Google SecOps를 Google Cloud 서비스에 연결

Google SecOps는 인증과 같은 특정 기능에 Google Cloud 서비스를 사용합니다. 이 문서에서는 Google Cloud 서비스에 바인딩하도록 Google SecOps 인스턴스를 구성하는 방법을 설명합니다. 이 문서는 새 Google SecOps 인스턴스를 구성하는 사용자와 기존 Google SecOps 인스턴스를 마이그레이션하는 사용자에 대한 정보를 제공합니다.

시작하기 전에

Google Cloud 서비스로 Google SecOps 인스턴스를 구성하기 전에 다음을 수행해야 합니다.

• Google Cloud 프로젝트를 만들고 Chronicle API를 사용 설정합니다. 자세한 내용은 Google SecOps용 Google Cloud 프로젝트 구성을 참조하세요.

• Google SecOps 인스턴스의 SSO 제공업체를 구성합니다.

  Cloud ID, Google Workspace 또는 서드 파티 ID 공급업체를 사용할 수 있습니다. 서드 파티 ID 공급업체를 사용하는 경우 Google Security Operations의 서드 파티 ID 공급업체 구성의 단계를 수행합니다.

  Cloud ID, Google Workspace를 사용하는 경우 Google Cloud ID 공급업체 구성을 참조하세요.

• 이 문서의 단계를 수행하기 위한 권한이 있는지 확인합니다. 온보딩 프로세스의 각 단계에 필요한 권한에 대해서는 필요한 역할을 참조하세요.

신규 또는 기존 고객 여부에 따라 다음 섹션 중 하나를 완료합니다.

관리형 보안 서비스 제공업체(MSSP)용으로 만든 Google Security Operations 인스턴스를 결합하려면 Google SecOps 고객 엔지니어에게 도움을 받으세요. 이 구성은 Google Security Operations 담당자의 지원이 필요합니다.

이 단계를 완료하여 Google Cloud 프로젝트를 Google SecOps에 바인딩한 후에는 Google SecOps에서 Google Cloud 프로젝트 데이터를 검사하여 프로젝트에서 모든 유형의 보안 침해를 모니터링할 수 있습니다.

기존 Google SecOps 인스턴스 마이그레이션

다음 섹션에서는 기존 Google SecOps 인스턴스를 Google Cloud 프로젝트에 바인딩하고 IAM을 사용하여 기능 액세스 제어를 관리하도록 기존 Google SecOps 인스턴스를 마이그레이션하는 방법을 설명합니다.

프로젝트 및 직원 제공업체에 바인딩

다음 절차에서는 기존 Google SecOps 인스턴스를 Google Cloud 프로젝트와 연결하고 IAM 직원 ID 제휴 서비스를 사용하여 SSO를 구성하는 방법을 설명합니다.

1. Google SecOps에 로그인합니다.

2. 탐색 메뉴에서 설정 > SIEM 설정을 선택합니다.

3. Google Cloud Platform을 클릭합니다.

4. Google Cloud 프로젝트 ID를 입력하여 프로젝트를 Google SecOps 인스턴스에 연결합니다.

5. 링크 생성을 클릭합니다.

6. Google Cloud Platform에 연결을 클릭합니다. Google Cloud 콘솔이 열립니다. Google SecOps 애플리케이션에 잘못된 Google Cloud 프로젝트 ID를 입력한 경우 Google SecOps의 Google Cloud Platform 페이지로 돌아가서 올바른 프로젝트 ID를 입력합니다.

7. Google Cloud 콘솔에서 보안 > Google SecOps로 이동합니다.

8. Google Cloud 프로젝트에 만든 서비스 계정을 확인합니다.

9. 싱글 사인온(SSO) 구성에서 Google SecOps에 대한 사용자 및 그룹 액세스를 관리하는 데 사용하는 ID 공급업체에 따라 다음 옵션 중 하나를 선택합니다.

   • Cloud ID 또는 Google Workspace를 사용하는 경우 Google Cloud ID를 선택합니다.

   • 서드 파티 ID 공급업체를 사용하는 경우 직원 ID 제휴를 선택한 후 사용할 직원 제공업체를 선택합니다. 직원 ID 제휴를 구성할 때 이를 설정합니다.

10. 직원 ID 제휴를 선택한 경우 SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창에서 엽니다.

    • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다.
    • 로그인 화면이 표시되지 않으면 서드 파티 ID 공급업체 구성을 확인합니다. Google SecOps의 서드 파티 ID 공급업체 구성을 참조하세요.

11. 다음 섹션인 기존 권한을 IAM으로 마이그레이션으로 계속 진행합니다.

기존 권한을 IAM으로 마이그레이션

기존 Google SecOps 인스턴스를 마이그레이션한 후에는 자동 생성된 명령어를 사용하여 기존 권한과 역할을 IAM으로 마이그레이션할 수 있습니다. Google SecOps는 마이그레이션 전 기능 RBAC 액세스 제어 구성을 사용하여 이러한 명령어를 만듭니다. 실행하면 Google SecOps의 SIEM 설정 > 사용자 및 그룹 페이지에 정의한 기존 구성과 동일한 새 IAM 정책이 생성됩니다.

이 명령어를 실행한 후에는 이전 기능 RBAC 액세스 제어 기능으로 되돌릴 수 없습니다. 문제가 발생하면 기술 지원팀에 문의하세요.

1. Google Cloud 콘솔에서 보안 > Google SecOps > 액세스 관리 탭으로 이동합니다.
2. 역할 바인딩 마이그레이션 아래에 자동 생성된 Google Cloud CLI 명령어 집합이 표시됩니다.
3. 명령어에서 예상 권한을 만드는지 검토하고 확인합니다. Google SecOps 역할과 권한에 대한 자세한 내용은 IAM 권한이 각 기능 RBAC 역할에 매핑되는 방식을 참조하세요.
4. Cloud Shell 세션을 실행합니다.
5. 자동 생성된 명령어를 복사한 후 gcloud CLI에 붙여넣고 실행합니다.
6. 모든 명령어를 실행한 후 액세스 확인을 클릭합니다. 성공하면 Google SecOps 액세스 관리에 액세스 확인됨 메시지가 표시됩니다. 그렇지 않으면 액세스 거부됨 메시지가 표시됩니다. 표시되는 데 1~2분 정도 걸릴 수 있습니다.
7. 마이그레이션을 완료하려면 보안 > Google SecOps > 액세스 관리 탭으로 돌아간 후 IAM 사용 설정을 클릭합니다.
8. Chronicle API 관리자 역할이 있는 사용자로 Google SecOps에 액세스할 수 있는지 확인합니다.
   1. Chronicle API 관리자 사전 정의된 역할이 있는 사용자로 Google SecOps에 로그인합니다. 자세한 내용은 Google Security Operations에 로그인을 참조하세요.
   2. 애플리케이션 메뉴 > 설정 > 사용자 및 그룹 페이지를 엽니다. 사용자와 그룹을 관리하려면 Google Cloud 콘솔에서 Identity Access Management(IAM)로 이동하세요. 사용자와 그룹을 관리하는 방법을 자세히 알아보세요. 메시지가 표시됩니다.
9. 다른 역할이 있는 사용자로 Google SecOps에 로그인합니다. 자세한 내용은 Google SecOps에 로그인을 참조하세요.
10. 애플리케이션에서 사용 가능한 기능이 IAM에 정의된 권한과 일치하는지 확인합니다.

새 Google SecOps 인스턴스 구성

다음 절차에서는 Google SecOps에 연결하도록 Google Cloud 프로젝트 및 IAM 직원 ID 제휴 서비스를 구성한 후 새 Google SecOps 인스턴스를 처음 설정하는 방법을 설명합니다.

신규 Google SecOps 고객은 다음 단계를 완료하세요.

1. Google Cloud 프로젝트를 만들고 Google SecOps API를 사용 설정합니다. 자세한 내용은 Google SecOps용 Google Cloud 프로젝트 구성을 참조하세요.

2. Google SecOps 인스턴스에 바인딩하려는 프로젝트 ID를 Google SecOps 고객 엔지니어에게 제공합니다. Google SecOps 고객 엔지니어가 프로세스를 시작하면 확인 이메일이 전송됩니다.

3. Google Cloud 콘솔을 열고 이전 단계에서 제공한 Google Cloud 프로젝트를 선택합니다.

4. 보안 > Google SecOps로 이동합니다.

5. Google SecOps API를 사용 설정하지 않은 경우 시작하기 버튼이 표시됩니다. 시작하기 버튼을 클릭한 후 안내 단계를 완료하여 Google SecOps API를 사용 설정합니다.

6. 회사 정보 섹션에서 회사 정보를 입력한 후 다음을 클릭합니다.

7. 서비스 계정 정보를 검토한 후 다음을 클릭합니다. Google SecOps는 프로젝트에 서비스 계정을 만들고 필요한 역할 및 권한을 설정합니다.

8. Google Security Operations에 대한 사용자 및 그룹 액세스를 관리하는 데 사용하는 ID 공급업체에 따라 다음 옵션 중 하나를 선택합니다.

   • Cloud ID 또는 Google Workspace를 사용하는 경우 Google Cloud ID 옵션을 선택합니다.

   • 서드 파티 ID 공급업체를 사용하는 경우 사용할 직원 제공업체를 선택합니다. 직원 ID 제휴를 구성할 때 이를 설정합니다.

9. 여기에 IDP 관리자 그룹 입력에서 SOAR 관련 기능에 대한 사용자 액세스를 구성하는 관리자가 포함된 IdP 그룹 하나 이상의 일반 이름을 입력합니다. IdP에서 사용자 속성과 그룹을 정의할 때 이러한 그룹을 식별하고 만들었습니다.

10. 서비스 약관을 펼칩니다. 약관에 동의하면 설정 시작을 클릭합니다.

    Google Security Operations 인스턴스가 프로비저닝되는 데 최대 15분이 걸릴 수 있습니다. 인스턴스가 성공적으로 프로비저닝되면 알림이 전송됩니다. 설정이 실패하면 Google Cloud 고객 담당자에게 문의하세요.

11. Google Cloud ID를 선택한 경우 사용자가 Google Security Operations에 로그인할 수 있도록 IAM을 사용하여 사용자와 그룹에 Google Security Operations 역할을 부여해야 합니다. 앞에서 만든 Google Security Operations에 바인딩된 Google Cloud 프로젝트를 사용하여 이 단계를 수행합니다.

    다음 명령어는 gcloud를 사용하여 단일 사용자에게 Chronicle API 뷰어(roles/chronicle.viewer) 역할을 부여합니다.

    Google Cloud 콘솔을 사용하려면 단일 역할 부여를 참조하세요.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    다음을 바꿉니다.

    • PROJECT_ID: Google Security Operations를 위한 Google Cloud 프로젝트 구성에서 구성한 Google Security Operations로 바인딩된 프로젝트의 프로젝트 ID로 바꿉니다. 프로젝트를 식별하는 필드에 대한 설명은 프로젝트 만들기 및 관리를 참조하세요.
    • EMAIL_ALIAS: 개인 사용자 이메일(예: user:alice@example.com)

    그룹 또는 도메인과 같은 다른 구성원에게 역할을 부여하는 방법의 예시는 gcloud projects add-iam-policy-binding 및 주 구성원 식별자 참고 문서를 참조하세요.

싱글 사인온(SSO) 구성 변경

다음 섹션에서는 ID 공급업체를 변경하는 방법을 설명합니다.

• 서드 파티 ID 공급업체 변경
• 서드 파티 ID 공급업체에서 Cloud ID로 마이그레이션

서드 파티 ID 공급업체 변경

1. 새 서드 파티 ID 공급업체 및 직원 ID 풀을 설정합니다.

2. Google SecOps의 설정 > SOAR 설정 > 고급 > IDP 그룹 매핑에서 IdP 그룹 매핑이 새 ID 공급업체의 그룹을 참조하도록 변경합니다.

Google SecOps의 SSO 구성을 변경하려면 다음 단계를 완료합니다.

1. Google Cloud 콘솔을 연 후 Google SecOps에 바인딩된 Google Cloud 프로젝트를 선택합니다.

2. 보안 > Google SecOps로 이동합니다.

3. 개요 페이지에서 싱글 사인온(SSO) 탭을 클릭합니다. 이 페이지에는 Google SecOps에 서드 파티 ID 공급업체를 구성할 때 구성한 ID 공급업체가 표시됩니다.

4. 싱글 사인온(SSO) 메뉴를 사용하여 SSO 제공업체를 변경합니다.

5. SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창을 엽니다.

   • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다. 다음 단계로 계속 진행합니다.
   • 로그인 화면이 표시되지 않으면 서드 파티 ID 공급업체의 구성을 확인합니다. Google SecOps의 서드 파티 ID 공급업체 구성을 참조하세요.

6. Google Cloud 콘솔로 돌아가서 보안 > Google SecOps > 개요 페이지를 클릭한 다음 싱글 사인온(SSO) 탭을 클릭합니다.

7. 페이지 하단의 저장을 클릭하여 새 공급업체를 업데이트합니다.

8. Google SecOps에 로그인할 수 있는지 확인합니다.

서드 파티 ID 공급업체에서 Cloud ID로 마이그레이션

SSO 구성을 서드 파티 ID 공급업체 사용에서 Google Cloud ID 사용으로 변경하려면 다음 단계를 완료합니다.

1. Cloud ID 또는 Google Workspace를 ID 공급업체로 구성해야 합니다.
2. Google SecOps에 바인딩된 프로젝트의 사용자 및 그룹에 사전 정의된 Chronicle IAM 역할과 권한을 부여합니다.

3. Google SecOps의 설정 > SOAR 설정 > 고급 > IDP 그룹 매핑에서 IdP 그룹 매핑이 새 ID 공급업체의 그룹을 참조하도록 변경합니다.

4. Google Cloud 콘솔을 연 후 Google SecOps에 바인딩된 Google Cloud 프로젝트를 선택합니다.

5. 보안 > Chronicle SecOps로 이동합니다.

6. 개요 페이지에서 싱글 사인온(SSO) 탭을 클릭합니다. 이 페이지에는 Google SecOps에 서드 파티 ID 공급업체를 구성할 때 구성한 ID 공급업체가 표시됩니다.

7. Google Cloud ID 체크박스를 선택합니다.

8. SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창을 엽니다.

   • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다. 다음 단계로 계속 진행합니다.
   • 로그인 화면이 표시되지 않으면 ID 공급업체 구성을 확인합니다.

9. Google Cloud 콘솔로 돌아가서 보안 > Chronicle SecOps > 개요 페이지 > 싱글 사인온(SSO) 탭을 차례로 클릭합니다.

10. 페이지 하단의 저장을 클릭하여 새 공급업체를 업데이트합니다.

11. Google SecOps에 로그인할 수 있는지 확인합니다.