將 Google SecOps 執行個體連結至 Google Cloud 服務

Google Security Operations 執行個體會依賴 Google Cloud 服務提供特定重要功能，例如驗證。

本文說明如何設定執行個體，以便連結至這些服務，無論您是設定新的部署作業，還是遷移現有的 Google SecOps 執行個體，都適用本文內容。

事前準備

使用 Google Cloud服務設定 Google SecOps 執行個體前，請先完成下列步驟：

• 驗證權限。請確認您具備必要權限，可以完成本文中的步驟。如要瞭解在導入程序的各個階段中，需要哪些權限，請參閱「必要角色和權限」。

• 選擇專案設定：您可以為 Google SecOps 執行個體建立新專案 Google Cloud，也可以將執行個體連結至現有專案 Google Cloud 。

  如要建立新的 Google Cloud 專案並啟用 Chronicle API，請按照「建立 Google Cloud 專案」一文中的步驟操作。

• 為 Google SecOps 執行個體設定單一登入 (SSO) 提供者： 您可以透過 Cloud Identity、Google Workspace 或第三方身分識別提供者 (IdP) 進行設定，方法如下：

  • 如果使用第三方 IdP，請按照「

    為 Google SecOps 設定第三方身分識別提供者。

  • 如果您使用 Cloud Identity 或 Google Workspace，請按照

    為 Google SecOps 設定 Google Cloud 識別資訊提供者。

如要連結為管理安全服務供應商 (MSSP) 建立的 Google SecOps 執行個體，請與您的 Google SecOps 代表聯絡。設定時需要 Google SecOps 代表協助。

將 Google SecOps 執行個體連結至 Google Cloud 專案後，即可進一步設定 Google SecOps 執行個體。現在您可以檢查擷取的資料，並監控專案是否有潛在安全威脅。

設定新的 Google SecOps 執行個體

將新執行個體連結至專案，即可啟用驗證和監控功能，包括：

• 整合 Cloud Identity，存取各種 Google Cloud 服務，例如驗證、Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs。

• IAM 和員工身分聯盟支援使用現有第三方 IdP 進行驗證。

如要將 Google SecOps 執行個體連結至 Google Cloud 專案，請按照下列步驟操作：

1. 貴機構簽署 Google SecOps 客戶合約後，導入主題專家會收到導入邀請電子郵件，內含啟用連結。啟用連結僅供一次性使用。

   在入門邀請電子郵件中，按一下「前往」 Google Cloud啟用連結，開啟「將 SecOps 連結至專案」頁面。

2. 按一下「選取專案」，開啟「選取資源」頁面。

3. 在「選取資源」頁面中，選取要連結新 Google SecOps 執行個體的 Google Cloud 專案。以下提供兩種方案供您選擇：

   • 方法 1：建立新 Google Cloud 專案：

     按一下「New Project」(新專案)，然後按照「建立專案 Google Cloud 」一文中的步驟操作。

   • 方法 2：從清單中選取現有專案：

     按照「選取現有專案」一文所述步驟操作。

4. 選取專案後，系統會啟用「新增聯絡人」按鈕，「新增重要聯絡人」部分會顯示「重要聯絡人」表格。 這個表格會顯示通知「類別」，以及指派給各類別的聯絡人「電子郵件」地址。

   為下列至少四個必要通知類別指派聯絡人：技術、安全性、法律和帳單。

   將聯絡人指派給一或多個通知類別，方法如下：

   1. 如要開啟「編輯聯絡人」視窗，請按一下「新增聯絡人」，或在含有現有聯絡人的通知類別中，按一下「編輯」 。

   2. 輸入聯絡人的電子郵件地址，然後選取一或多個通知類別。

   3. 按一下「儲存」。

5. 點選「下一步」。

   系統會檢查 Chronicle API 是否已啟用。如果啟用，系統會在「Onboarding」(新手上路) 頁面顯示預先填入的新手上路資訊，並執行部署程序。這項程序最多可能需要 15 分鐘才能完成。

   部署作業成功完成後，您會收到通知。 如果部署失敗，請與 Google SecOps 支援團隊聯絡。

6. 請按照下列步驟確認部署作業是否正確：

   • 如要查看執行個體資訊，請前往https://console.cloud.google.com/security/chronicle/settings。

   • 如要更新任何資訊，請與 Google SecOps 支援團隊聯絡。

選取現有專案

1. 在「選取資源」頁面，從清單中選取「機構」。

   頁面會顯示 Google Cloud 專案和資料夾清單。

   • 這些專案與 Google SecOps 執行個體屬於同一個機構，且使用相同的帳單帳戶。

   • 如果專案或資料夾旁邊有 警告 圖示，就無法選取。將指標懸停在圖示上，即可查看原因，例如：缺少權限或帳單不符。

2. 根據下列條件選取專案：

   • 將執行個體連結至 Google Cloud 專案的條件：

     • Google Cloud 專案不得已連結至其他 Google SecOps 執行個體。

     • 您具備存取及使用專案所需的 IAM 權限，請參閱「新增 Google Cloud 專案的權限」。

     • 如果是法規遵循控管的租戶 (執行個體)，專案必須位於 Assured Workloads 資料夾中。詳情請參閱「員工身分聯盟」。

       法規遵循控制租戶 (執行個體) 符合下列其中一項法規遵循控制標準：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

   • 如要為 Google Cloud 法規遵循控管租戶 (執行個體) 選取專案，請按照下列步驟操作：

     1. 選取要開啟的 Assured Workloads 資料夾。
     2. 在 Assured Workloads 資料夾中，按一下專案名稱Google Cloud ，開啟「將 SecOps 連結至專案」頁面。
     3. 完成「 設定 IdP」一文所述的設定。

   • 如要為 Google Cloud 不符規定的受控租戶 (執行個體) 選取專案，請按照下列步驟操作：

     1. 按一下有效 Google Cloud 專案的名稱，開啟「將 SecOps 連結至專案」頁面。

     2. 在「將 SecOps 連結至專案」頁面中，視需要選取其他專案。如要這麼做，請按一下專案，再次顯示「選取資源」頁面。

3. 按一下「下一步」，將 Google SecOps 執行個體連結至所選專案，然後開啟「部署」頁面。

   「Deployment」(部署) 頁面會顯示執行個體和服務的最終詳細資料，您必須先同意，才能執行最終 ddx。頁面包含多個區段，顯示預先填入且無法編輯的欄位。只有 Google 代表可以變更這些詳細資料。

   請參閱下列各節的詳細說明。按一下「下一步」前往下一個部分：

   1. 執行個體詳細資料

      頁面會顯示合約中設定的執行個體詳細資料，例如公司、區域、套裝方案層級和資料保留期限。

      按一下「下一步」即可顯示下一個部分。

   2. 查看服務帳戶

      頁面隨即會顯示要建立的服務帳戶詳細資料。

      按一下「下一步」即可顯示下一個部分。

   3. 設定單一登入 (SSO)

      選擇已設定的單一登入服務供應商。根據您用來管理使用者和群組 Google SecOps 存取權的身分提供者，選取下列其中一個選項：

      • Google Cloud Identity：

        如果您使用 Cloud Identity 或 Google Workspace，請選取這個選項。

      • 員工身分聯盟：

        如果您使用第三方身分識別提供者，請從清單中選取工作團隊提供者。

        如果沒有看到您的身分識別提供者，請設定提供者，然後從清單中選取提供者。詳情請參閱「設定第三方身分識別提供者」。

        按一下「下一步」即可顯示下一個部分。

   4. 服務條款

      1. 選取「我同意...」核取方塊，表示同意條款。
      2. 按一下「開始設定」，根據顯示的詳細資料部署 Google SecOps 執行個體。

4. 按這裡繼續執行「下一步」步驟。

遷移現有的 Google SecOps 執行個體

以下各節說明如何遷移現有的 Google SecOps 執行個體，以便連結至 Google Cloud 專案，並使用 IAM 控制功能存取權。

連結至專案和工作團隊提供者

以下程序說明如何將現有 Google SecOps 執行個體連結至 Google Cloud 專案，並使用 IAM Workforce Identity Federation 服務設定 SSO。

1. 登入 Google SecOps。

2. 依序選取「設定」>「SIEM 設定」。

3. 按一下「Google Cloud Platform」。

4. 輸入 Google Cloud 專案 ID，將專案連結至 Google Security Operations 執行個體。

5. 按一下「產生連結」。

6. 按一下「Connect to Google Cloud Platform」(連結至平台)。 Google Cloud 控制台會隨即開啟。 如果在 Google SecOps 應用程式中輸入的專案 ID 有誤，請返回 Google SecOps 中的 Google Cloud Platform 頁面，然後輸入正確的專案 ID。 Google Cloud

7. 在 Google Cloud 控制台，依序前往「Security」>「Google SecOps」。

8. 確認系統為 Google Cloud 專案建立的服務帳戶。

9. 在「設定單一登入」下方，根據您用來管理使用者和群組 Google SecOps 存取權的識別資訊提供者，選取下列其中一個選項：

   • 如果您使用 Cloud Identity 或 Google Workspace，請選取「Google Cloud Identity」。

   • 如果您使用第三方識別資訊提供者，請選取「員工身分聯盟」，然後選取要使用的員工提供者。您可以在設定員工身分聯盟時進行這項設定。

10. 如果選取「員工身分聯盟」，請在「測試 SSO 設定」連結上按一下滑鼠右鍵，然後在私密或無痕視窗中開啟。

    • 如果看到登入畫面，表示單一登入設定成功。
    • 如果沒有看到登入畫面，請檢查第三方身分識別提供者的設定。請參閱「為 Google SecOps 設定第三方身分識別提供者」。

11. 請繼續進行下一節： 將現有權限遷移至 IAM。

將現有權限遷移至 IAM

遷移現有 Google SecOps 執行個體後，您可以使用自動產生的指令，將現有權限和角色遷移至 IAM。Google SecOps 會使用遷移前功能 RBAC 存取控管設定建立這些指令。執行時，這些指令會根據 Google SecOps 的「SIEM Settings」(SIEM 設定) >「Users and Groups」(使用者和群組) 頁面中定義的現有設定，建立新的 IAM 政策。

執行這些指令後，您就無法還原至先前的功能 RBAC 存取權控管功能。如果遇到問題，請與 Google SecOps 技術支援團隊聯絡。

1. 在 Google Cloud 控制台中，依序前往「Security」(安全性) >「Google SecOps」>「Access management」(存取權管理) 分頁標籤。
2. 在「遷移角色繫結」下方，您會看到一組自動產生的 Google Cloud CLI 指令。
3. 檢查並確認指令會建立預期權限。如要瞭解 Google SecOps 角色和權限，請參閱「如何將 IAM 權限對應至各項功能 RBAC 角色」。
4. 啟動 Cloud Shell 工作階段。
5. 複製自動產生的指令，然後貼到 gcloud CLI 中並執行。
6. 執行所有指令後，按一下「驗證存取權」。 如果成功，Google SecOps 存取權管理會顯示「存取權已驗證」訊息。否則會看到「存取遭拒」訊息。這項資訊可能需要 1 到 2 分鐘才會顯示。
7. 如要完成遷移作業，請返回「安全性」>「Google SecOps」>「存取權管理」分頁，然後按一下「啟用 IAM」。
8. 確認您能以具有 Chronicle API 管理員角色的使用者身分存取 Google SecOps。
   1. 以具有 Chronicle API 管理員預先定義角色的使用者身分登入 Google SecOps。詳情請參閱「登入 Google SecOps」。
   2. 開啟「SIEM 設定」>「使用者和群組」頁面。 您應該會看到以下訊息：「如要管理使用者和群組，請前往 Google Cloud 控制台中的 Identity Access Management (IAM)」。進一步瞭解如何管理使用者和群組。
9. 以具有其他角色的使用者身分登入 Google SecOps。詳情請參閱「登入 Google SecOps」。
10. 確認應用程式中的可用功能符合身分與存取權管理中定義的權限。

變更單一登入 (SSO) 設定

以下各節說明如何變更身分識別提供者：

• 變更第三方身分識別提供者
• 從第三方身分識別提供者遷移至 Cloud Identity

變更第三方識別資訊提供者

1. 設定新的第三方身分識別提供者和工作團隊身分集區。

2. 在 Google SecOps 中，依序前往「設定」 >「SOAR 設定」 >「進階」 >「IDP 群組對應」，然後變更 IdP 群組對應，以參照新身分提供者中的群組。

更新單一登入 (SSO) 設定

如要變更 Google SecOps 的單一登入設定，請完成下列步驟：

1. 開啟 Google Cloud 控制台，然後選取與 Google SecOps 綁定的 Google Cloud 專案。

2. 依序前往「安全性」>「Google SecOps」。

3. 在「總覽」頁面中，按一下「單一登入」分頁標籤。這個頁面會顯示您在為 Google SecOps 設定第三方識別資訊提供者時設定的 IdP。

4. 使用「單一登入」選單變更 SSO 提供者。

5. 在「Test SSO setup」連結上按一下滑鼠右鍵，然後開啟私密瀏覽視窗或無痕視窗。

   • 如果看到登入畫面，表示單一登入設定成功。繼續執行下一步。
   • 如果沒有看到登入畫面，請檢查第三方識別資訊提供者的設定。 請參閱「為 Google SecOps 設定第三方身分識別提供者」。

6. 返回 Google Cloud 控制台，依序點選「安全性」>「Google SecOps」>「總覽」頁面，然後點選「單一登入」分頁。

7. 按一下頁面底部的「儲存」，更新新的供應商。

8. 確認您可以登入 Google SecOps。

從第三方識別資訊提供者遷移至 Cloud Identity

請完成下列步驟，將單一登入設定從使用第三方識別資訊提供者變更為 Google Cloud Identity：

1. 請務必將 Cloud Identity 或 Google Workspace 設為身分識別提供者。
2. 在 Google SecOps 繫結專案中，將預先定義的 Chronicle IAM 角色和自訂角色授予使用者和群組。
3. 將「Chronicle SOAR 管理員」角色授予相關使用者或群組。

4. 在 Google SecOps 中，依序前往「設定」 >「SOAR 設定」 >「進階」 >「IDP 群組對應」， 新增 Chronicle SOAR 管理員。詳情請參閱「IdP 群組對應」。

5. 開啟 Google Cloud 控制台，然後選取與 Google SecOps 綁定的 Google Cloud 專案。

6. 依序前往「安全性」>「Chronicle SecOps」。

7. 在「總覽」頁面中，按一下「單一登入」分頁標籤。這個頁面會顯示您在為 Google SecOps 設定第三方識別資訊提供者時設定的 IdP。

8. 勾選「Google Cloud Identity」核取方塊。

9. 在「Test SSO setup」連結上按一下滑鼠右鍵，然後開啟私密瀏覽視窗或無痕視窗。

   • 如果看到登入畫面，表示單一登入設定成功。繼續執行下一步。
   • 如果沒有看到登入畫面，請檢查身分識別提供者的設定。

10. 返回 Google Cloud 控制台，然後依序點選「安全性」>「Chronicle SecOps」 >「總覽」頁面 >「單一登入」分頁標籤。

11. 按一下頁面底部的「儲存」，更新新的供應商。

12. 確認您可以登入 Google SecOps。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。