Vincula Google SecOps a los servicios de Google Cloud

Se admite en los siguientes países:

Google SecOps depende de los servicios de Google Cloud para ciertas capacidades, como la autenticación. En este documento, se describe cómo configurar una cuenta de Google SecOps para vincularse a estos servicios de Google Cloud. Proporciona información para los usuarios que configuran una instancia nueva de Google SecOps y para los que migran una instancia existente de Google SecOps.

Antes de comenzar

Antes de configurar una instancia de Google SecOps con Google Cloud servicios, debes hacer lo siguiente:

Completa una de las siguientes secciones según si eres un cliente nuevo o existente.

Si deseas vincular una instancia de Google Security Operations creada para un proveedor de servicios de seguridad administrados (MSSP), comunícate con tu ingeniero de clientes de Google SecOps para obtener ayuda. La configuración requiere la asistencia de un representante de Google Security Operations.

Después de completar los pasos para vincular el proyecto de Google Cloud a Google SecOps, puedes examinar los datos del proyecto de Google Cloud en Google SecOps, lo que te permite supervisar de cerca tu proyecto en busca de cualquier tipo de vulneración de la seguridad.

Migra una instancia existente de Google SecOps

En las siguientes secciones, se describe cómo migrar un servicio existente de SecOps de Google a fin de que esté vinculada a un proyecto de Google Cloud y use IAM para administrar el control de acceso a los atributos.

Vincula un proyecto y un proveedor de personal

En el siguiente procedimiento, se describe cómo conectar una instancia existente de Google SecOps con un proyecto de Google Cloud y configurar el SSO con los servicios de federación de identidades de personal de IAM.

  1. Accede a Google SecOps.

  2. En la barra de navegación, selecciona Configuración > Configuración de SIEM.

  3. Haz clic en Google Cloud Platform.

  4. Ingresa el ID del proyecto de Google Cloud para vincularlo a la instancia de Google SecOps.

  5. Haz clic en Generate Link.

  6. Haz clic en Conectar con Google Cloud Platform. Se abrirá la consola de Google Cloud. Si ingresaste un ID del proyecto de Google Cloud incorrecto en las SecOps de Google regresa a la página de Google Cloud Platform en Google SecOps y, luego, ingresa el ID del proyecto correcto.

  7. En la consola de Google Cloud, ve a Seguridad > Google SecOps.

  8. Verifica la cuenta de servicio que se creó para el proyecto de Google Cloud.

  9. En Configura el inicio de sesión único, selecciona una de las siguientes opciones. según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si usas un proveedor de identidad de terceros, selecciona Federación de identidades de personal. y, luego, selecciona el proveedor de personal que quieras usar. Puedes configurarlo cuando configuras la federación de identidades de personal.

  10. Si seleccionaste Federación de identidades de personal, haz clic con el botón derecho en Probar la configuración de SSO. y, luego, abrirlo en una ventana privada o de incógnito.

  11. Continúa con la siguiente sección: Migra los permisos existentes a IAM.

Migra los permisos existentes a IAM

Después de migrar una instancia de Google SecOps existente, haz lo siguiente: usa comandos generados automáticamente para migrar permisos existentes y roles a IAM. Google SecOps crea estos comandos con la configuración de control de acceso de RBAC de funciones previa a la migración. Cuando se ejecutan, crean nuevas políticas de IAM equivalentes a tu configuración existente, como se define en Google SecOps en la página Configuración de SIEM > Usuarios y grupos.

Después de ejecutar estos comandos, no podrás volver a la función de control de acceso de RBAC de funciones anterior. Si tienes un problema, comunícate con el equipo de asistencia técnica.

  1. En la consola de Google Cloud, ve a Seguridad > Google SecOps > Acceso de administración.
  2. En Migrate role bindings, verás un conjunto de comandos de Google Cloud CLI generados automáticamente.
  3. Revisa y verifica que los comandos creen los permisos esperados. Para obtener información sobre los roles y los permisos de Google SecOps, consulta Cómo se asignan los permisos de IAM a cada rol de RBAC de funciones.
  4. Iniciar una sesión de Cloud Shell
  5. Copia los comandos generados automáticamente y, luego, pégalos y ejecútalos gcloud CLI.
  6. Después de ejecutar todos los comandos, haz clic en Verificar acceso. Si se realiza correctamente, verás el mensaje Access verified en la Administración de acceso de SecOps de Google. De lo contrario, verás el mensaje Acceso denegado. Puede tardar entre 1 y 2 minutos en aparecer.
  7. Para completar la migración, vuelve a la pestaña Security > Google SecOps > Access management y, luego, haz clic en Enable IAM.
  8. Verifica que puedas acceder a Google SecOps como usuario con el Administrador de la API de Chronicle.
    1. Accede a Google SecOps como usuario con el administrador de la API de Chronicle rol predefinido. Para obtener más información, consulta Acceder a Google Security Operations.
    2. Abre el menú Application > Configuración > Usuarios y Grupos de Google. Deberías ver el mensaje: Para administrar usuarios y grupos, dirígete a Identity and Access Management (IAM). en la consola de Google Cloud. Obtén más información para administrar usuarios y grupos.
  9. Accede a Google SecOps como un usuario con un rol diferente. Consulta Cómo acceder a Google SecOps para obtener más información.
  10. Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en IAM.

Configura una nueva instancia de Google SecOps

En el siguiente procedimiento, se describe cómo configurar una instancia nueva de Google SecOps por primera vez, después de configurar el proyecto de Google Cloud y los servicios de federación de identidades de personal de IAM para vincularlos a Google SecOps.

Si eres un cliente nuevo de Google SecOps, completa los siguientes pasos:

  1. Crea un proyecto de Google Cloud y habilita la API de Google SecOps. Si deseas obtener más información, consulta Configura un proyecto de Google Cloud para Google SecOps.

  2. Proporciona a tu ingeniero de atención al cliente de Google SecOps el ID del proyecto que planeas vincular a la instancia de Google SecOps. Después de Google SecOps El Ingeniero de Atención al cliente inicia el proceso y recibirás un correo electrónico de confirmación.

  3. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que proporcionadas en el paso anterior.

  4. Ve a Seguridad > SecOps de Google.

  5. Si no habilitaste la API de Google SecOps, verás un Botón Comenzar. Haz clic en el botón Introducción y, luego, completa los pasos guiados para habilitar la API de Google SecOps.

  6. En la sección Información de la empresa, ingresa la información de tu empresa y, luego, haz clic en Siguiente.

  7. Revisa la información de la cuenta de servicio y, luego, haz clic en Siguiente. Google SecOps crea una cuenta de servicio en el proyecto y establece los roles y permisos necesarios.

  8. Selecciona una de las siguientes opciones según el proveedor de identidad que usas para administrar el acceso de usuarios y grupos a Google Security Operations:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si usas un proveedor de identidad de terceros, selecciona el proveedor de personal que deseas usar. Debes establecer esto cuando configures la federación de identidades de personal.

  9. En Input your IdP Admin Groups here, ingresa el nombre común de uno o más grupos de IdP que incluyan administradores que configuran el acceso de los usuarios a funciones relacionadas con SOAR. Identificaste y creaste estos grupos cuando definiste los atributos y grupos de usuario en el IdP.

  10. Expande las Condiciones del Servicio. Si aceptas las condiciones, haz clic en Iniciar configuración.

    La aprovisionación de la instancia de Google Security Operations puede tardar hasta 15 minutos. Recibirás una notificación cuando la instancia se aprovisione correctamente. Si la configuración falla, comunícate con tu representante de atención al cliente de Google Cloud.

  11. Si seleccionaste Google Cloud Identity, asegúrate de otorgar un rol de Google Security Operations a usuarios y grupos con la IAM para que los usuarios puedan acceder a Google Security Operations. Realiza este paso con el proyecto de Google Cloud vinculado a Google Security Operations que creaste antes.

    El siguiente comando otorga el rol de visualizador de la API de Chronicle (roles/chronicle.viewer) a un solo usuario a través de gcloud.

    Para usar la consola de Google Cloud, consulta Otorga un solo rol.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Reemplaza lo siguiente:

    Para ver ejemplos sobre cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta Documentación de referencia de gcloud projects add-iam-policy-binding y Identificadores principales

Cambiar la configuración del inicio de sesión único (SSO)

En las siguientes secciones, se describe cómo cambiar los proveedores de identidad:

Cambia el proveedor de identidad de terceros

  1. Configura el nuevo proveedor de identidad de terceros y el grupo de identidades de personal.

  2. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP, cambia la asignación de grupos de IdP a grupos de referencia en el nuevo proveedor de identidad.

Completa los siguientes pasos para cambiar la configuración de SSO de Google SecOps:

  1. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud de Google SecOps.

  2. Ve a Seguridad > Google SecOps.

  3. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.

  4. Usa el menú Inicio de sesión único para cambiar los proveedores de SSO.

  5. Haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, abre una ventana privada o de incógnito.

  6. Regresa a la consola de Google Cloud, haz clic en la página Seguridad > Google SecOps > Descripción general y, luego, en la pestaña Inicio de sesión único.

  7. Haz clic en Guardar en la parte inferior de la página para actualizar el nuevo proveedor.

  8. Verifica que puedes acceder a Google SecOps.

Migra del proveedor de identidad de terceros a Cloud Identity

Completa los siguientes pasos para cambiar la configuración de SSO de usar un proveedor de identidad de terceros a Google Cloud Identity:

  1. Asegúrate de configurar Cloud Identity o Google Workspace como el proveedor de identidad.
  2. Otorga los roles y permisos de IAM predefinidos de Chronicle a los usuarios y grupos del proyecto vinculado a SecOps de Google.

  3. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IDP, cambia la asignación de grupos de IDP para hacer referencia a los grupos en el nuevo proveedor de identidad.

  4. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que está vinculado a Google SecOps.

  5. Ve a Seguridad > SecOps de Chronicle.

  6. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.

  7. Selecciona la casilla de verificación Google Cloud Identity.

  8. Haz clic con el botón derecho en el vínculo Test SSO setup y, luego, abre una ventana privada o de incógnito.

    • Si ves una pantalla de acceso, significa que la configuración del SSO se realizó correctamente. Continúa con el siguiente paso.
    • Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad.

  9. Regresa a la consola de Google Cloud y, luego, haz clic en Seguridad > Chronicle SecOps > página Descripción general > pestaña Inicio de sesión único.

  10. Haz clic en Guardar en la parte inferior de la página para actualizar el nuevo proveedor.

  11. Verifica que puedes acceder a Google SecOps.