Google SecOps を Google Cloud サービスにリンクする

Google SecOps は、認証などの特定の機能について Google Cloud サービスに依存しています。このドキュメントでは、これらの Google Cloud サービスにバインドされるように Google SecOps インスタンスを構成する方法について説明します。このドキュメントには、新しい Google SecOps インスタンスを構成するユーザーと、既存の Google SecOps インスタンスを移行するユーザー向けの情報が記載されています。

始める前に

Google Cloud サービスで Google SecOps インスタンスを構成する前に、次の操作を行う必要があります。

Google Cloud プロジェクトを作成し、Google Security Operations API を有効にします。詳細については、Google SecOps 用に Google Cloud プロジェクトを構成するをご覧ください。
Google SecOps インスタンス用の SSO プロバイダを構成します。

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダを使用できます。サードパーティの ID プロバイダを使用している場合は、Google Security Operations 用にサードパーティ ID プロバイダを構成するの手順を実施します。

Cloud Identity または Google Workspace を使用している場合は、Google Cloud ID プロバイダを構成するをご覧ください。
このドキュメントの手順を実施するための権限を付与されていることを確認してください。オンボーディングプロセスの各フェーズで必要な権限については、必要なロールをご覧ください。

新規のお客様か既存のお客様かに応じて、次のいずれかのセクションに入力します。

マネージドセキュリティサービスプロバイダ（MSSP）用に作成された Google Security Operations インスタンスをバインドする場合は、Google SecOps カスタマーエンジニアにサポートについてお問い合わせください。この構成を行うには、Google Security Operations 担当者のサポートが必要です。

既存の Google SecOps インスタンスを移行する

次の手順では、既存の Google SecOps インスタンスを Google Cloud プロジェクトと接続し、IAM Workforce Identity 連携サービスを使用して SSO を構成する方法について説明します。

Google SecOps にログインします。
ナビゲーションバーで、[設定] > [SIEM の設定] を選択します。
[Google Cloud Platform] をクリックします。
Google Cloud プロジェクト ID を入力して、プロジェクトを Google SecOps インスタンスにリンクします。
[リンクを生成] をクリックします。
[Google Cloud Platform に接続] をクリックします。 Google Cloud コンソールが開きます。Google SecOps アプリケーションに誤った Google Cloud プロジェクト ID を入力した場合は、Google SecOps の [Google Cloud Platform] ページに戻り、正しいプロジェクト ID を入力します。
Google Cloud コンソールで、[セキュリティ] > [Google SecOps] に移動します。
Google Cloud プロジェクト用に作成されたサービスアカウントを確認します。
[シングルサインオンの構成] で、Google SecOps へのユーザーとグループのアクセスを管理するために使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。
- Cloud Identity または Google Workspace を使用している場合は、[Google Cloud Identity] を選択します。
- サードパーティの ID プロバイダを使用している場合は、[Workforce Identity 連携] を選択してから、使用する Workforce プロバイダを選択します。これは、Workforce Identity 連携の構成時に設定します。
[Workforce Identity 連携] を選択した場合は、[SSO のセットアップのテスト] リンクを右クリックして、プライベートウィンドウまたはシークレットウィンドウで開きます。
- ログイン画面が表示されたら、SSO の設定は成功です。
- ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。

これらの手順を完了して Google Cloud プロジェクトを Google SecOps にバインドしたら、Google SecOps で Google Cloud プロジェクトデータを調べて、あらゆる種類のセキュリティ侵害がないかプロジェクトを詳細にモニタリングできます。

新しい Google SecOps インスタンスを構成する

次の手順では、Google Cloud プロジェクトと IAM Workforce Identity 連携サービスを構成して Google SecOps にリンクした後、新しい Google SecOps インスタンスを初めてセットアップする方法について説明します。

Google SecOps を初めてご利用になる場合は、次の手順を行います。

Google Cloud プロジェクトを作成し、Google SecOps API を有効にします。詳細については、Google SecOps 用に Google Cloud プロジェクトを構成するをご覧ください。
Google SecOps カスタマーエンジニアに、Google SecOps インスタンスにバインドする予定のプロジェクト ID を提示します。Google SecOps カスタマーエンジニアがプロセスを開始すると、確認メールが届きます。
Google Cloud コンソールを開き、前のステップで指定した Google Cloud プロジェクトを選択します。
[セキュリティ] > [Google SecOps] に移動します。
Google SecOps API を有効にしていない場合は、[開始する] ボタンが表示されます。[開始する] ボタンをクリックし、ガイド付きの手順に沿って Google SecOps API を有効にします。
[会社情報] セクションで会社情報を入力し、[次へ] をクリックします。
サービスアカウントの情報を確認し、[次へ] をクリックします。Google SecOps は、プロジェクトにサービスアカウントを作成し、必要なロールと権限を設定します。
Google Security Operations へのユーザーとグループのアクセスを管理するために使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。
- Cloud Identity または Google Workspace を使用している場合は、[Google Cloud Identity] オプションを選択します。
- サードパーティの ID プロバイダを使用している場合は、使用する Workforce プロバイダを選択します。これは、Workforce Identity 連携の構成時に設定します。
[Input your IDP Admin Groups here] で、SOAR 関連機能へのユーザーアクセスを構成する管理者を含む 1 つ以上の IdP グループの共通名を入力します。これらのグループは、IdP でユーザー属性とグループを定義する際に特定して作成したものです。
[利用規約] を開きます。利用規約に同意する場合は、[設定を開始] をクリックします。

Google Security Operations インスタンスがプロビジョニングされるまでに最大 15 分を要する場合があります。インスタンスが正常にプロビジョニングされると、通知が届きます。設定が失敗した場合は、Google Cloud のお客様担当にお問い合わせください。
[Google Cloud Identity] を選択した場合は、ユーザーが Google Security Operations にログインできるように、IAM を使用してユーザーとグループに Google Security Operations のロールを付与してください。このステップは、先ほど作成した Google Security Operations にバインドされた Google Cloud プロジェクトを使用して行います。

次のコマンドは、gcloud を使用して 1 人のユーザーに Chronicle API 閲覧者（roles/chronicle.viewer）のロールを付与します。

Google Cloud コンソールを使用するには、単一のロールを付与するをご覧ください
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"
```
次のように置き換えます。
- PROJECT_ID: Google Security Operations 用に Google Cloud プロジェクトを構成するで構成した Google Security Operations にバインドされたプロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
- EMAIL_ALIAS: 個別のユーザーのメールアドレス（例: user:alice@example.com）。
グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-binding とプリンシパル ID のリファレンスドキュメントをご覧ください。

シングルサインオン（SSO）構成を変更する

以下の各セクションでは、次の方法について説明します。

サードパーティの ID プロバイダを変更する

Google SecOps の SSO 構成を変更するには、次の手順を完了します。

Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。
[セキュリティ] > [Google SecOps] に移動します。
[概要] ページで、[シングルサインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティの ID プロバイダを構成するときに構成した ID プロバイダが表示されます。
[シングルサインオン] メニューを使用して SSO プロバイダを変更します。
[SSO の設定をテスト] リンクを右クリックし、プライベートウィンドウまたはシークレットウィンドウを開きます。
- ログイン画面が表示されたら、SSO の設定は成功です。次のステップに進みます。
- ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。
Google Cloud コンソールに戻り、[セキュリティ] > [Google SecOps] > [概要] ページをクリックして、[シングルサインオン] タブをクリックします。
ページ下部の [保存] をクリックして、新しいプロバイダに更新します。
Google SecOps にログインできることを確認します。

サードパーティの ID プロバイダから Cloud Identity に移行する

次の手順で、SSO の構成をサードパーティの ID プロバイダを使用する状態から Google Cloud Identity を使用するように変更します。

Cloud Identity または Google Workspace のいずれかを ID プロバイダとして構成します。
Chronicle の IAM 事前定義ロールと権限を、Google SecOps にバインドされたプロジェクト内のユーザーとグループに付与します。
Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。
[セキュリティ] > [Chronicle SecOps] に移動します。
[概要] ページで、[シングルサインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティの ID プロバイダを構成するときに構成した ID プロバイダが表示されます。
[Google Cloud Identity] チェックボックスをオンにします。
[SSO の設定をテスト] リンクを右クリックし、プライベートウィンドウまたはシークレットウィンドウを開きます。
- ログイン画面が表示されたら、SSO の設定は成功です。次のステップに進みます。
- ログイン画面が表示されない場合は、ID プロバイダの構成を確認してください。
Google Cloud コンソールに戻り、[セキュリティ] >Chronicle SecOps > [概要] ページ > [シングルサインオン] タブの順にクリックします。
ページ下部の [保存] をクリックして、新しいプロバイダに更新します。
Google SecOps にログインできることを確認します。