将 Google SecOps 与 Google Cloud 服务相关联

Google SecOps 的某些功能依赖于 Google Cloud 服务， 例如身份验证本文档介绍了如何配置 Google SecOps 实例以绑定到这些 Google Cloud 服务。它提供了 配置新的 Google SecOps 实例的用户以及 现有 Google SecOps 实例的迁移。

准备工作

使用 Google Cloud 配置 Google SecOps 实例前的准备工作 您必须执行以下操作：

• 创建一个 Google Cloud 项目并启用 Chronicle API。 如需了解详情，请参阅为 Google SecOps 配置 Google Cloud 项目。

• 为 Google SecOps 实例配置 SSO 提供方。

  您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方。 如果您使用第三方身份提供方，请执行为 Google Security Operations 配置第三方身份提供方中的步骤。

  如果您使用 Cloud Identity 或 Google Workspace，请参阅 配置 Google Cloud 身份提供方。

• 请确保您有权执行本文档中的步骤。 如需了解新手入门流程各个阶段所需的权限， 请参阅所需的角色。

根据您是新客户还是现有客户，完成以下某一部分。

如果要绑定为代管式安全性创建的 Google Security Operations 实例 服务提供商 (MSSP) 时，请与您的 Google SecOps 客户工程师联系以获取帮助。此配置需要 Google Security Operations 代表的协助。

完成将 Google Cloud 项目绑定到 Google SecOps 的步骤后， 可以在 Google SecOps 中检查 Google Cloud 项目数据 密切监控您的项目，发现任何类型的安全漏洞。

迁移现有 Google SecOps 实例

以下部分介绍了如何迁移现有的 Google SecOps 实例，以便它可以绑定到 Google Cloud 项目，并使用 IAM 来管理功能访问权限控制。

绑定到项目和员工提供方

以下过程介绍了如何连接现有的 Google SecOps 将实例与 Google Cloud 项目关联，并使用 IAM 配置单点登录 员工身份联合服务。

1. 登录 Google SecOps。

2. 在导航栏中，选择设置 >SIEM 设置：

3. 点击 Google Cloud Platform。

4. 输入 Google Cloud 项目 ID 以将项目关联到 Google SecOps 实例。

5. 点击生成链接。

6. 点击 Connect to Google Cloud Platform。Google Cloud 控制台即会打开。 如果您在 Google SecOps 应用中输入的 Google Cloud 项目 ID 不正确，请返回 Google SecOps 中的 Google Cloud Platform 页面，然后输入正确的项目 ID。

7. 在 Google Cloud 控制台中，转到安全 >Google SecOps）。

8. 验证为 Google Cloud 项目创建的服务账号。

9. 在配置单点登录下，根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供商，选择以下选项之一：

   • 如果您使用的是 Cloud Identity 或 Google Workspace，请选择 Google Cloud Identity。

   • 如果您使用的是第三方身份提供方，请选择 Workforce Identity Federation（员工身份联合）。 然后选择您要使用的员工提供方。您可以在 配置员工身份联合。

10. 如果您选择了 Workforce Identity Federation（员工身份联合），请右键点击 Test SSO setup（测试单点登录设置） 并在无痕式窗口中打开它。

    • 如果您看到登录屏幕，则表示单点登录设置成功。
    • 如果您没有看到登录界面，请检查第三方身份提供方的配置。请参阅为 Google SecOps 配置第三方身份提供方。

11. 继续阅读下一部分： 将现有权限迁移到 IAM。

将现有权限迁移到 IAM

迁移现有的 Google SecOps 实例后， 可以使用自动生成的命令来迁移现有权限和 授予 IAM。Google SecOps 会 使用迁移前的 Feature RBAC 访问权限控制配置。 运行时，它们会创建与您现有配置等效的新 IAM 政策，如 Google SecOps 中的 SIEM 设置 > 用户和群组页面中所定义。

运行这些命令后，您将无法再恢复使用之前的功能 RBAC 访问控制功能。如果您遇到问题，请与技术支持团队联系。

1. 在 Google Cloud 控制台中，前往安全 >Google SecOps >访问 管理标签页。
2. 在 Migrate Role bindings（迁移角色绑定）下，您会看到一组自动生成的 Google Cloud CLI 命令。
3. 查看并验证这些命令是否创建了预期权限。 如需了解 Google SecOps 角色和权限， 请参阅 IAM 权限如何映射到每个 Feature RBAC 角色。
4. 启动 Cloud Shell 会话。
5. 复制自动生成的命令，然后将其粘贴到 gcloud CLI。
6. 执行完所有命令后，点击验证访问权限。如果成功，您会在 Google SecOps 访问管理页面上看到 Access 已验证消息。否则，您会看到 系统会显示 Access denied 消息。此过程可能需要 1 到 2 分钟。
7. 如需完成迁移，请返回到安全 > Google SecOps > 访问权限管理标签页，然后点击启用 IAM。
8. 验证您能否以用户身份访问 Google SecOps Chronicle API Admin 角色。
   1. 使用 Chronicle API 管理员以用户身份登录 Google SecOps 预定义角色。如需了解详情，请参阅登录 Google Security Operations。
   2. 打开“应用程序”菜单 >设置 >用户和群组页面。 您应该会看到以下消息：要管理用户和群组，请转到 Identity Access Management (IAM) Google Cloud 控制台中。详细了解如何管理用户和群组。
9. 以具有其他角色的用户身份登录 Google SecOps。请参阅 登录 Google SecOps 以了解更多信息 信息。
10. 验证应用中的可用功能是否与权限相匹配 在 IAM 中定义的。

配置新的 Google SecOps 实例

以下过程介绍了在配置 Google Cloud 项目和 IAM 员工身份联合服务以关联到 Google SecOps 后，如何首次设置新的 Google SecOps 实例。

如果您是新的 Google SecOps 客户，请完成以下步骤：

1. 创建 Google Cloud 项目并启用 Google SecOps API。 如需了解详情，请参阅为 Google SecOps 配置 Google Cloud 项目。

2. 向您的 Google SecOps 客户工程师提供项目 ID 您计划绑定到 Google SecOps 实例的网络Google SecOps 之后 客户工程师启动该流程，您会收到一封电子邮件。

3. 打开 Google Cloud 控制台，然后选择 提供的链接

4. 转到安全性 >Google SecOps）。

5. 如果您尚未启用 Google SecOps API，则会看到 开始按钮。点击开始使用按钮，然后完成 启用 Google SecOps API 的引导步骤。

6. 在 Company Information（公司信息）部分，输入您的公司信息，然后点击 Next（下一步）。

7. 查看服务账号信息，然后点击下一步。 Google SecOps 会在项目中创建服务账号，并设置所需的角色和权限。

8. 根据身份提供方选择下列选项之一 用于管理用户和群组对 Google Security Operations 的访问权限：

   • 如果您使用的是 Cloud Identity 或 Google Workspace，请选择 Google Cloud Identity 选项。

   • 如果您使用的是第三方身份提供方，请选择员工 要使用的提供商。您可以在配置员工身份联合时设置此项。

9. 在在此处输入您的 IDP 管理员群组下，输入一个或多个 IdP 群组的通用名称，这些群组包含配置用户对 SOAR 相关功能的访问权限的管理员。您在在 IdP 中定义用户属性和群组时确定并创建了这些群组。

10. 展开服务条款。如果您同意这些条款，请点击开始设置。

    预配 Google 安全运营实例最长可能需要 15 分钟。实例成功预配后，您将收到通知。 如果设置失败，请与您的 Google Cloud 客户代表联系。

11. 如果您选择的是 Google Cloud Identity，请务必 使用 IAM 向用户和群组授予 Google Security Operations 角色 以便用户登录 Google Security Operations使用 Google Security Operations-bound 您之前创建的 Google Cloud 项目。

    以下命令使用 gcloud 向单个用户授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

    如需使用 Google Cloud 控制台，请参阅授予单个角色。

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    替换以下内容：

    • PROJECT_ID：将 PROJECT_ID 替换为您在为 Google 安全运营配置 Google Cloud 项目中配置的与 Google 安全运营相关联的项目的项目 ID。如需了解用于标识项目的字段，请参阅创建和管理项目。
    • EMAIL_ALIAS：个人用户的电子邮件地址，例如 user:alice@example.com。

    如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

更改单点登录 (SSO) 配置

以下部分介绍了如何更改身份提供方：

• 更改第三方身份提供方
• 从第三方身份提供方迁移到 Cloud Identity

更改第三方身份提供方

1. 设置新的第三方身份提供商和员工身份池。

2. 在 Google SecOps 中，依次选择设置 > SOAR 设置 > 高级 > IDP 组映射，然后将 IdP 组映射更改为引用新身份提供程序中的组。

如需更改 Google SecOps 的单点登录配置，请完成以下步骤：

1. 打开 Google Cloud 控制台，然后选择绑定到 Google SecOps 的 Google Cloud 项目。

2. 转到安全性 >Google SecOps）。

3. 在概览页面上，点击 Single Sign-On（单点登录）标签页。此页面会显示 您在为 Google SecOps 配置第三方身份提供方时配置的身份提供方。

4. 使用 Single Sign-On（单点登录）菜单更改 SSO 提供商。

5. 右键点击 Test SSO setup（测试单点登录设置）链接，然后打开无痕式窗口或无痕式窗口。

   • 如果您看到登录界面，则表示 SSO 设置成功。继续执行下一步。
   • 如果您没有看到登录屏幕，请检查第三方身份提供方的配置。 请参阅为 Google SecOps 配置第三方身份提供方。

6. 返回 Google Cloud 控制台，依次点击安全 > Google SecOps > 概览页面，然后点击单点登录标签页。

7. 点击页面底部的保存以更新新的提供商。

8. 检查您是否可以登录 Google SecOps。

从第三方身份提供商迁移到 Cloud Identity

如需将单点登录配置从使用第三方身份提供方更改为 Google Cloud Identity，请完成以下步骤：

1. 请务必将 Cloud Identity 或 Google Workspace 配置为身份提供程序。
2. 向 Google SecOps 绑定项目中的用户和群组授予预定义的 Chronicle IAM 角色和权限。

3. 在 Google SecOps 中，在设置下 >SOAR 设置 >高级 >IDP 群组映射， 将 IdP 群组映射更改为新身份提供方中的引用群组。

4. 打开 Google Cloud 控制台，然后选择 绑定到 Google SecOps

5. 前往安全 > Chronicle SecOps。

6. 在概览页面上，点击 Single Sign-On（单点登录）标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供商时配置的身份提供商。

7. 选中 Google Cloud Identity 复选框。

8. 右键点击测试 SSO 设置链接，然后打开一个私密窗口或无痕式窗口。

   • 如果您看到登录界面，则表示 SSO 设置成功。继续执行下一步。
   • 如果您没有看到登录屏幕，请检查身份提供方的配置。

9. 返回 Google Cloud 控制台，然后点击安全 >Chronicle SecOps >概览页面 >Single Sign-On（单点登录）标签页。

10. 点击页面底部的保存以更新新的提供商。

11. 检查您是否可以登录 Google SecOps。