Menautkan Google SecOps ke layanan Google Cloud

Didukung di:

Google SecOps bergantung pada layanan Google Cloud untuk kemampuan tertentu, seperti autentikasi. Dokumen ini menjelaskan cara mengonfigurasi instance Google SecOps agar terikat ke layanan Google Cloud ini. Panduan ini memberikan informasi bagi pengguna yang mengonfigurasi instance Google SecOps baru dan pengguna yang memigrasikan instance Google SecOps yang ada.

Sebelum memulai

Sebelum mengonfigurasi instance Google SecOps dengan layanan Google Cloud, Anda harus melakukan hal berikut:

Lengkapi salah satu bagian berikut, bergantung pada apakah Anda pelanggan baru atau lama.

Jika Anda ingin mengikat instance Google Security Operations yang dibuat untuk penyedia layanan keamanan terkelola (MSSP), hubungi Engineer Pelanggan Google SecOps untuk mendapatkan bantuan. Konfigurasi ini memerlukan bantuan dari perwakilan Google Security Operations.

Setelah menyelesaikan langkah-langkah untuk mengikat project Google Cloud ke Google SecOps, Anda dapat memeriksa data project Google Cloud di Google SecOps, sehingga Anda dapat memantau project dengan cermat untuk mendeteksi jenis kompromi keamanan apa pun.

Memigrasikan instance Google SecOps yang ada

Bagian berikut menjelaskan cara memigrasikan instance Google SecOps yang ada sehingga terikat dengan project Google Cloud dan menggunakan IAM untuk mengelola kontrol akses fitur.

Mengikat ke project dan penyedia tenaga kerja

Prosedur berikut menjelaskan cara menghubungkan instance Google SecOps yang ada dengan project Google Cloud dan mengonfigurasi SSO menggunakan layanan workforce identity federation IAM.

  1. Login ke Google SecOps.

  2. Di menu navigasi, pilih Setelan > Setelan SIEM.

  3. Klik Google Cloud Platform.

  4. Masukkan Google Cloud project ID untuk menautkan project ke instance Google SecOps.

  5. Klik Buat Link.

  6. Klik Connect to Google Cloud Platform. Konsol Google Cloud akan terbuka. Jika Anda memasukkan project ID Google Cloud yang salah di aplikasi Google SecOps, kembali ke halaman Google Cloud Platform di Google SecOps dan masukkan project ID yang benar.

  7. Dari konsol Google Cloud, buka Keamanan > Google SecOps.

  8. Verifikasi akun layanan yang dibuat untuk project Google Cloud .

  9. Di bagian Configure single sign-on, pilih salah satu opsi berikut berdasarkan penyedia identitas yang Anda gunakan untuk mengelola akses pengguna dan grup ke Google SecOps:

    • Jika Anda menggunakan Cloud Identity atau Google Workspace, pilih Google Cloud Identity.

    • Jika Anda menggunakan penyedia identitas pihak ketiga, pilih Workforce Identity Federation, lalu pilih penyedia tenaga kerja yang ingin Anda gunakan. Anda menyiapkannya saat mengonfigurasi workforce identity federation.

  10. Jika Anda memilih Workforce Identity Federation, klik kanan link Test SSO setup, lalu buka di jendela pribadi atau samaran.

  11. Lanjutkan ke bagian berikutnya: Memigrasikan izin yang ada ke IAM.

Memigrasikan izin yang ada ke IAM

Setelah memigrasikan instance Google SecOps yang ada, Anda dapat menggunakan perintah yang dibuat secara otomatis untuk memigrasikan izin dan peran yang ada ke IAM. Google SecOps membuat perintah ini menggunakan konfigurasi kontrol akses Feature RBAC pra-migrasi Anda. Saat dijalankan, kebijakan ini akan membuat kebijakan IAM baru yang setara dengan konfigurasi yang ada, seperti yang ditentukan di Google SecOps pada halaman Setelan SIEM > Pengguna dan Grup.

Setelah menjalankan perintah ini, Anda tidak dapat kembali ke fitur kontrol akses Feature RBAC sebelumnya. Jika Anda mengalami masalah, hubungi Dukungan Teknis.

  1. Di konsol Google Cloud, buka tab Security > Google SecOps > Access management.
  2. Di bagian Migrate role bindings, Anda akan melihat serangkaian perintah Google Cloud CLI yang dibuat secara otomatis.
  3. Tinjau dan pastikan perintah tersebut membuat izin yang diharapkan. Untuk mengetahui informasi tentang peran dan izin Google SecOps, lihat Cara izin IAM dipetakan ke setiap peran Feature RBAC.
  4. Luncurkan sesi Cloud Shell.
  5. Salin perintah yang dibuat otomatis, lalu tempel dan jalankan di gcloud CLI.
  6. Setelah Anda menjalankan semua perintah, klik Verifikasi Akses. Jika berhasil, Anda akan melihat pesan Akses diverifikasi di Pengelolaan Akses Google SecOps. Jika tidak, Anda akan melihat pesan Akses ditolak. Mungkin perlu waktu 1-2 menit untuk muncul.
  7. Untuk menyelesaikan migrasi, kembali ke tab Security > Google SecOps > Access management, lalu klik Enable IAM.
  8. Pastikan Anda dapat mengakses Google SecOps sebagai pengguna dengan peran Admin Chronicle API.
    1. Login ke Google SecOps sebagai pengguna dengan peran bawaan Admin Chronicle API. Lihat Login ke Google Security Operations untuk mengetahui informasi selengkapnya.
    2. Buka halaman Menu aplikasi > Setelan > Pengguna & Grup. Anda akan melihat pesan: Untuk mengelola pengguna dan grup, buka Identity Access Management (IAM) di konsol Google Cloud. Pelajari lebih lanjut cara mengelola pengguna dan grup.
  9. Login ke Google SecOps sebagai pengguna dengan peran yang berbeda. Lihat Login ke Google SecOps untuk mengetahui informasi selengkapnya.
  10. Pastikan fitur yang tersedia di aplikasi cocok dengan izin yang ditentukan di IAM.

Mengonfigurasi instance Google SecOps baru

Prosedur berikut menjelaskan cara menyiapkan instance Google SecOps baru untuk pertama kalinya, setelah mengonfigurasi layanan Google Cloud project dan workforce identity federation IAM untuk ditautkan ke Google SecOps.

Jika Anda adalah pelanggan Google SecOps baru, selesaikan langkah-langkah berikut:

  1. Buat project Google Cloud dan aktifkan Google SecOps API. Lihat Mengonfigurasi Google Cloud project untuk Google SecOps untuk mengetahui informasi selengkapnya.

  2. Berikan ID project yang ingin Anda ikat ke instance Google SecOps kepada Customer Engineer Google SecOps Anda. Setelah Engineer Pelanggan Google SecOps memulai prosesnya, Anda akan menerima email konfirmasi.

  3. Buka konsol Google Cloud, lalu pilih project Google Cloud yang Anda berikan di langkah sebelumnya.

  4. Buka Keamanan > Google SecOps.

  5. Jika belum mengaktifkan Google SecOps API, Anda akan melihat tombol Memulai. Klik tombol Getting Started, lalu selesaikan langkah-langkah terpandu untuk mengaktifkan Google SecOps API.

  6. Di bagian Informasi Perusahaan, masukkan informasi perusahaan Anda, lalu klik Berikutnya.

  7. Tinjau informasi akun layanan, lalu klik Berikutnya. Google SecOps membuat akun layanan dalam project dan menetapkan peran dan izin yang diperlukan.

  8. Pilih salah satu opsi berikut berdasarkan penyedia identitas yang Anda gunakan untuk mengelola akses pengguna dan grup ke Google Security Operations:

    • Jika Anda menggunakan Cloud Identity atau Google Workspace, pilih opsi Google Cloud Identity.

    • Jika Anda menggunakan penyedia identitas pihak ketiga, pilih penyedia tenaga kerja yang ingin Anda gunakan. Anda menyiapkannya saat mengonfigurasi workforce identity federation.

  9. Di bagian Masukkan Grup Admin IdP Anda di sini, masukkan nama umum untuk satu atau beberapa grup IdP yang menyertakan administrator yang mengonfigurasi akses pengguna ke fitur terkait SOAR. Anda mengidentifikasi dan membuat grup ini saat menentukan atribut dan grup pengguna di IdP.

  10. Luaskan Persyaratan Layanan. Jika Anda menyetujui persyaratannya, klik Mulai penyiapan.

    Mungkin perlu waktu hingga 15 menit agar instance Google Security Operations disediakan. Anda akan menerima notifikasi setelah instance berhasil disediakan. Jika penyiapan gagal, hubungi Google Cloud perwakilan pelanggan Anda.

  11. Jika Anda memilih Google Cloud Identity, pastikan untuk memberikan peran Google Security Operations kepada pengguna dan grup menggunakan IAM sehingga pengguna dapat login ke Google Security Operations. Lakukan langkah ini menggunakan projectGoogle Cloud yang terikat dengan Google Security Operations yang Anda buat sebelumnya.

    Perintah berikut memberikan peran Chronicle API Viewer (roles/chronicle.viewer) kepada satu pengguna menggunakan gcloud.

    Untuk menggunakan konsol Google Cloud, lihat Memberikan satu peran.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Ganti kode berikut:

    Untuk contoh cara memberikan peran kepada anggota lain, seperti grup atau domain, lihat dokumentasi referensi gcloud projects add-iam-policy-binding dan Principal identifiers.

Mengubah konfigurasi Single Sign-On (SSO)

Bagian berikut menjelaskan cara mengubah penyedia identitas:

Mengubah penyedia identitas pihak ketiga

  1. Siapkan penyedia identitas pihak ketiga dan kumpulan identitas tenaga kerja yang baru.

  2. Di Google SecOps, di bagian Setelan > Setelan SOAR > Lanjutan > Pemetaan grup IdP, ubah Pemetaan grup IdP untuk mereferensikan grup di penyedia identitas baru.

Selesaikan langkah-langkah berikut untuk mengubah konfigurasi SSO untuk Google SecOps:

  1. Buka konsol Google Cloud, lalu pilih Google Cloud project yang terikat dengan Google SecOps.

  2. Buka Keamanan > Google SecOps.

  3. Di halaman Ringkasan, klik tab Single Sign-On. Halaman ini menampilkan penyedia identitas yang Anda konfigurasi saat Mengonfigurasi penyedia identitas pihak ketiga untuk Google SecOps.

  4. Gunakan menu Single Sign-On untuk mengubah penyedia SSO.

  5. Klik kanan link Test SSO setup, lalu buka jendela pribadi atau samaran.

  6. Kembali ke konsol Google Cloud, klik halaman Security > Google SecOps > Overview, lalu klik tab Single Sign-On.

  7. Klik Simpan di bagian bawah halaman untuk memperbarui penyedia baru.

  8. Pastikan Anda dapat login ke Google SecOps.

Bermigrasi dari penyedia identitas pihak ketiga ke Cloud Identity

Selesaikan langkah-langkah berikut untuk mengubah konfigurasi SSO dari menggunakan penyedia identitas pihak ketiga menjadi Google Cloud Identity:

  1. Pastikan Anda mengonfigurasi Cloud Identity atau Google Workspace sebagai penyedia identitas.
  2. Berikan peran dan izin IAM Chronicle yang telah ditetapkan kepada pengguna dan grup dalam project yang terikat dengan Google SecOps.

  3. Di Google SecOps, di bagian Setelan > Setelan SOAR > Lanjutan > Pemetaan grup IdP, ubah Pemetaan grup IdP untuk mereferensikan grup di penyedia identitas baru.

  4. Buka konsol Google Cloud, lalu pilih Google Cloud project yang terikat dengan Google SecOps.

  5. Buka Keamanan > Chronicle SecOps.

  6. Di halaman Ringkasan, klik tab Single Sign-On. Halaman ini menampilkan penyedia identitas yang Anda konfigurasi saat Mengonfigurasi penyedia identitas pihak ketiga untuk Google SecOps.

  7. Pilih kotak centang Google Cloud Identity.

  8. Klik kanan link Test SSO setup, lalu buka jendela pribadi atau samaran.

    • Jika Anda melihat layar login, berarti penyiapan SSO berhasil. Lanjutkan ke langkah berikutnya.
    • Jika Anda tidak melihat layar login, periksa konfigurasi penyedia identitas.

  9. Kembali ke konsol Google Cloud, lalu klik Security > Chronicle SecOps > halaman Overview > tab Single Sign-On.

  10. Klik Simpan di bagian bawah halaman untuk memperbarui penyedia baru.

  11. Pastikan Anda dapat login ke Google SecOps.