Google SecOps mit Google Cloud-Diensten verknüpfen

Google SecOps hängt für bestimmte Funktionen von Google Cloud-Diensten ab, wie die Authentifizierung. In diesem Dokument wird beschrieben, wie Sie Google SecOps konfigurieren Instanz für die Bindung an diese Google Cloud-Dienste. Es bietet Informationen für Nutzer, die eine neue Google SecOps-Instanz konfigurieren, und Nutzer, die Vorhandene Google SecOps-Instanz migrieren

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud konfigurieren müssen Sie Folgendes tun:

Füllen Sie je nachdem, ob Sie Neu- oder Bestandskunde sind, einen der folgenden Abschnitte aus.

Wenn Sie eine Google Security Operations-Instanz binden möchten, die für eine verwaltete Sicherheit erstellt wurde Service Provider (MSSPs) erhalten, wenden Sie sich an Ihren Google SecOps Customer Engineer. Für die Konfiguration ist die Unterstützung eines Google Security Operations-Mitarbeiters erforderlich.

Nachdem Sie die Schritte zum Binden des Google Cloud-Projekts an Google SecOps ausgeführt haben, können Sie die Google Cloud-Projektdaten in Google SecOps untersuchen, Ihr Projekt genau auf jegliche Art von Sicherheitsbedrohungen überwachen.

Vorhandene Google SecOps-Instanz migrieren

In den folgenden Abschnitten wird beschrieben, wie Sie eine vorhandene Google SecOps-Lösung migrieren -Instanz so, dass sie an ein Google Cloud-Projekt gebunden ist und IAM zur Verwaltung der Feature-Zugriffssteuerung verwendet.

An einen Projekt- und Mitarbeiteranbieter binden

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Verbindung verbinden Instanz mit einem Google Cloud-Projekt erstellen und die Einmalanmeldung (SSO) mit IAM konfigurieren Mitarbeiteridentitätsföderation.

  1. Melden Sie sich in Google SecOps an.

  2. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen:

  3. Klicken Sie auf Google Cloud Platform.

  4. Geben Sie die Google Cloud-Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.

  5. Klicken Sie auf Link generieren.

  6. Klicken Sie auf Connect to Google Cloud Platform (Mit Google Cloud Platform verbinden). Die Google Cloud Console wird geöffnet. Wenn Sie in Google SecOps eine falsche Google Cloud-Projekt-ID eingegeben haben Anwendung erstellen, kehren Sie in Google SecOps zur Seite Google Cloud Platform zurück und geben Sie die richtige Projekt-ID ein.

  7. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps

  8. Prüfen Sie das Dienstkonto, das für das Google Cloud-Projekt erstellt wurde.

  9. Wählen Sie unter Einmalanmeldung (SSO) konfigurieren eine der folgenden Optionen aus. je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:

    • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity:

    • Wenn Sie einen externen Identitätsanbieter nutzen, wählen Sie Mitarbeiteridentitätsföderation aus. und wählen Sie dann den Personalanbieter aus, den Sie nutzen möchten. Das wird eingerichtet, wenn Mitarbeiteridentitätsföderation konfigurieren

  10. Wenn Sie Mitarbeiteridentitätsföderation ausgewählt haben, klicken Sie mit der rechten Maustaste auf SSO-Einrichtung testen. und sie dann in einem privaten oder Inkognitofenster öffnen.

  11. Fahren Sie mit dem nächsten Abschnitt fort: Vorhandene Berechtigungen zu IAM migrieren

Vorhandene Berechtigungen zu IAM migrieren

Nach der Migration einer bestehenden Google SecOps-Instanz können Sie mit automatisch generierten Befehlen vorhandene Berechtigungen und IAM-Rollen zu. Google SecOps erstellt diese Befehle mithilfe der Konfiguration der Feature RBAC-Zugriffssteuerung vor der Migration. Bei der Ausführung werden neue IAM-Richtlinien erstellt, die Ihren vorhandenen entsprechen. wie in Google SecOps unter der SIEM-Einstellungen > Seite Nutzer und Gruppen

Nachdem Sie diese Befehle ausgeführt haben, können Sie nicht mehr zum vorherigen Feature-RBAC zurückkehren. Zugriffssteuerung. Wenn ein Problem auftritt, wenden Sie sich an den technischen Support.

  1. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps > Zugang Verwaltung.
  2. Unter Rollenbindungen migrieren sehen Sie eine Reihe von automatisch generierten Google Cloud CLI-Befehle
  3. Prüfen Sie, ob die Befehle die erwarteten Berechtigungen erstellen. Informationen zu Google SecOps-Rollen und -Berechtigungen Siehe Zuordnung von IAM-Berechtigungen zu jeder Feature-RBAC-Rolle.
  4. Starten Sie eine Cloud Shell-Sitzung.
  5. Kopieren Sie die automatisch generierten Befehle, fügen Sie sie ein und führen Sie sie im gcloud CLI verwenden können.
  6. Nachdem Sie alle Befehle ausgeführt haben, klicken Sie auf Zugriff überprüfen. Wenn der Vorgang erfolgreich war, wird im Access Management von Google SecOps die Meldung Zugriff bestätigt angezeigt. Andernfalls sehen Sie die Meldung Access denied. Dies kann ein bis zwei Minuten dauern.
  7. Um die Migration abzuschließen, kehren Sie zu Sicherheit zurück. Google SecOps > Zugang Verwaltung und klicken Sie dann auf IAM aktivieren.
  8. Prüfen Sie, ob Sie als Nutzer mit der Chronicle API-Administrator.
    1. Als Chronicle API-Administrator in Google SecOps anmelden vordefinierte Rolle. Weitere Informationen finden Sie unter In Google Security Operations anmelden.
    2. Öffnen Sie das Anwendungsmenü > Einstellungen > Nutzer und Gruppen. Folgende Meldung sollte angezeigt werden: Rufen Sie zum Verwalten von Nutzern und Gruppen die Identity Access Management (IAM) auf. in der Google Cloud Console. Weitere Informationen zum Verwalten von Nutzern und Gruppen
  9. Melden Sie sich in Google SecOps als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter Für weitere Informationen in Google SecOps anmelden Informationen.
  10. Prüfen, ob die verfügbaren Funktionen in der Anwendung den Berechtigungen entsprechen die in IAM definiert sind.

Neue Google SecOps-Instanz konfigurieren

Im Folgenden wird beschrieben, wie Sie ein neues Google SecOps einrichten. Instanz nach der Konfiguration des Google Cloud-Projekts und IAM-Dienste der Mitarbeiteridentitätsföderation, die verknüpft werden sollen zu Google SecOps.

Wenn Sie ein neuer Google SecOps-Kunde sind, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Google SecOps API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

  2. Projekt-ID an Ihren Google SecOps Customer Engineer weitergeben an die Google SecOps-Instanz zu binden. Nach Google SecOps Der Customer Engineer startet den Prozess. Sie erhalten eine Bestätigungs-E-Mail.

  3. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, die im vorherigen Schritt bereitgestellt wurden.

  4. Gehen Sie zu Sicherheit > Google SecOps

  5. Wenn Sie die Google SecOps API nicht aktiviert haben, wird eine Schaltfläche Getting Started (Erste Schritte). Klicken Sie auf die Schaltfläche Getting Started (Erste Schritte) und führen Sie dann die folgenden Schritte aus: Anleitung zum Aktivieren der Google SecOps API

  6. Geben Sie im Abschnitt Company Information (Unternehmensinformationen) Ihre Unternehmensinformationen ein und klicken Sie dann auf Next (Weiter).

  7. Prüfen Sie die Dienstkontoinformationen und klicken Sie dann auf Weiter. Google SecOps erstellt ein Dienstkonto im Projekt und legt die erforderlichen Rollen und Berechtigungen fest.

  8. Wählen Sie je nach Identitätsanbieter eine der folgenden Optionen aus den Sie verwenden, um den Nutzer- und Gruppenzugriff auf Google Security Operations zu verwalten:

    • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie das Google Cloud Identity.

    • Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie die Belegschaft aus. den Sie verwenden möchten. Sie richten dies ein, wenn Sie die Mitarbeiteridentitätsföderation konfigurieren.

  9. Geben Sie unter Geben Sie hier Ihre IdP-Administratorgruppen ein den allgemeinen Namen für mindestens eine IdP-Gruppe ein, die Administratoren umfasst, die den Nutzerzugriff auf SOAR-Funktionen konfigurieren. Sie haben diese Gruppen identifiziert und erstellt, als Sie Nutzerattribute und Gruppen im IdP definiert haben.

  10. Maximieren Sie die Nutzungsbedingungen. Wenn Sie den Nutzungsbedingungen zustimmen, klicken Sie auf Jetzt einrichten.

    Es kann bis zu 15 Minuten dauern, bis die Google Security Operations-Instanz bereitgestellt. Sie erhalten eine Benachrichtigung, sobald die Instanz erfolgreich bereitgestellt wurde. Wenn die Einrichtung fehlschlägt, wenden Sie sich an Ihren Google Cloud-Kundenbetreuer.

  11. Wenn Sie Google Cloud Identity ausgewählt haben, müssen Sie Nutzern und Gruppen mithilfe von IAM eine Google Security Operations-Rolle zuweisen damit sich Nutzer in Google Security Operations anmelden können. Führen Sie diesen Schritt mit dem von Google Security Operations gebundenen Google Cloud-Projekt, das Sie zuvor erstellt haben.

    Mit dem folgenden Befehl wird einem einzelnen Nutzer mithilfe der gcloud die Rolle Chronicle API Viewer (roles/chronicle.viewer) zugewiesen.

    Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Ersetzen Sie Folgendes:

    Beispiele für das Zuweisen von Rollen an andere Mitglieder, z. B. einer Gruppe oder Domain, finden Sie unter Referenzdokumentation zu gcloud projects add-iam-policy-binding und Hauptkennungen

Konfiguration der Einmalanmeldung (SSO) ändern

In den folgenden Abschnitten wird beschrieben, wie Sie den Identitätsanbieter ändern:

Externen Identitätsanbieter ändern

  1. Richten Sie den neuen Drittanbieter und den Mitarbeiteridentitätspool ein.

  2. In Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung Ändern Sie die IdP-Gruppenzuordnung so, dass sie auf Gruppen des neuen Identitätsanbieters verweist.

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration für Google SecOps zu ändern:

  1. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, an Google SecOps gebunden.

  2. Gehen Sie zu Sicherheit > Google SecOps

  3. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Diese Seite enthält Identitätsanbieter, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben

  4. Verwenden Sie das Menü Single Sign-On (Einmalanmeldung (SSO)), um die SSO-Anbieter zu wechseln.

  5. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, ist die SSO eingerichtet. Fahren Sie mit dem nächsten Schritt fort.
    • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

  6. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung (SSO).

  7. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

  8. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von externem Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von der Verwendung eines externen Identitätsanbieters zu Google Cloud Identity zu ändern:

  1. Sie müssen entweder Cloud Identity oder Google Workspace als Identitätsanbieter konfigurieren.
  2. Gewähren Sie Nutzern und Gruppen im an Google SecOps gebundenen Projekt die vordefinierten Chronicle-IAM-Rollen und -Berechtigungen.

  3. In Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung Ändern Sie die IdP-Gruppenzuordnung so, dass sie auf Gruppen des neuen Identitätsanbieters verweist.

  4. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, an Google SecOps gebunden.

  5. Gehen Sie zu Sicherheit > Chronicle SecOps

  6. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Diese Seite enthält Identitätsanbieter, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben

  7. Klicken Sie das Kästchen Google Cloud Identity an.

  8. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, ist die SSO eingerichtet. Fahren Sie mit dem nächsten Schritt fort.
    • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des Identitätsanbieters.

  9. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Seite Übersicht > Single Sign-On (Einmalanmeldung (SSO)).

  10. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

  11. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.