Vincula Google SecOps a los servicios de Google Cloud

Google SecOps depende de los servicios de Google Cloud para ciertas capacidades, como la autenticación. En este documento, se describe cómo configurar una cuenta de Google SecOps para vincularse a estos servicios de Google Cloud. Brinda información para usuarios que configuren una nueva instancia de Google SecOps migrar una instancia existente de Google SecOps.

Antes de comenzar

Antes de configurar una instancia de Google SecOps con Google Cloud servicios, debes hacer lo siguiente:

Completa una de las siguientes secciones según si eres un cliente nuevo o existente.

Si deseas vincular una instancia de Google Security Operations creada para una instancia de seguridad proveedor de servicios en la nube (MSSP), comunícate con tu ingeniero de Atención al cliente de Google SecOps para obtener ayuda. La configuración requiere la asistencia de un representante de Google Security Operations.

Después de completar los pasos para vincular el proyecto de Google Cloud a Google SecOps, puedes examinar los datos del proyecto de Google Cloud en Google SecOps, lo que te permitirá supervisar de cerca tu proyecto en busca de cualquier tipo de compromiso de seguridad.

Migra una instancia existente de Google SecOps

En las siguientes secciones, se describe cómo migrar un servicio existente de SecOps de Google a fin de que esté vinculada a un proyecto de Google Cloud y use IAM para administrar el control de acceso a los atributos.

Vincular a un proyecto y a un proveedor de personal

A continuación, se describe el procedimiento para conectar una cuenta existente de SecOps de Google con un proyecto de Google Cloud y configurarás el SSO con la IAM de federación de identidades de personal.

  1. Accede a Google SecOps.

  2. En la barra de navegación, selecciona Configuración > Configuración de SIEM.

  3. Haz clic en Google Cloud Platform.

  4. Ingresa el ID del proyecto de Google Cloud para vincularlo a la instancia de Google SecOps.

  5. Haz clic en Generar vínculo.

  6. Haz clic en Conectar a Google Cloud Platform. Se abrirá la consola de Google Cloud. Si ingresaste un ID del proyecto de Google Cloud incorrecto en las SecOps de Google regresa a la página de Google Cloud Platform en Google SecOps y, luego, ingresa el ID del proyecto correcto.

  7. En la consola de Google Cloud, ve a Seguridad > SecOps de Google.

  8. Verifica la cuenta de servicio que se creó para el proyecto de Google Cloud.

  9. En Configura el inicio de sesión único, selecciona una de las siguientes opciones. según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si usas un proveedor de identidad de terceros, selecciona Federación de identidades de personal. y, luego, selecciona el proveedor de personal que quieras usar. Debes configurar esto cuando configurar la federación de identidades de personal.

  10. Si seleccionaste Federación de identidades de personal, haz clic con el botón derecho en Probar la configuración de SSO. y, luego, abrirlo en una ventana privada o de incógnito.

  11. Continúa con la siguiente sección: Migra los permisos existentes a IAM.

Migra los permisos existentes a IAM

Después de migrar una instancia de Google SecOps existente, haz lo siguiente: usa comandos generados automáticamente para migrar permisos existentes y roles a IAM. Google SecOps crea estos comandos con tu configuración de control de acceso de RBAC de funciones previa a la migración. Cuando se ejecutan, crean nuevas políticas de IAM equivalentes a las existentes actual, tal como se define en Google SecOps en el Configuración del SIEM > Usuarios y grupos.

Después de ejecutar estos comandos, no puedes volver al RBAC de funciones anterior la función de control de acceso. Si tienes algún problema, comunícate con el equipo de asistencia técnica.

  1. En la consola de Google Cloud, ve a Seguridad > Google SecOps > Acceso de administración.
  2. En Migrar vinculaciones de roles, verás un conjunto de comandos de Google Cloud CLI.
  3. Revisa y verifica que los comandos creen los permisos esperados. Para obtener información sobre los roles y permisos de Google SecOps, Consulta Cómo se asignan los permisos de IAM a cada rol de RBAC de funciones.
  4. Iniciar una sesión de Cloud Shell
  5. Copia los comandos generados automáticamente y, luego, pégalos y ejecútalos gcloud CLI.
  6. Después de ejecutar todos los comandos, haz clic en Verify Access. Si se realiza de forma correcta, verás el mensaje Acceso verificado en la Administración de accesos de Google SecOps. De lo contrario, verás con el mensaje Access denied. Puede tardar entre 1 y 2 minutos en aparecer.
  7. Para completar la migración, regresa a Seguridad > Google SecOps > Acceso Management y, luego, haz clic en Habilitar IAM.
  8. Verifica que puedas acceder a Google SecOps como usuario con el Administrador de la API de Chronicle.
    1. Accede a Google SecOps como usuario con el administrador de la API de Chronicle rol predefinido. Para obtener más información, consulta Acceder a Google Security Operations.
    2. Abre el menú Application > Configuración > Usuarios y Grupos de Google. Deberías ver el mensaje: Para administrar usuarios y grupos, dirígete a Identity and Access Management (IAM). en la consola de Google Cloud. Obtén más información para administrar usuarios y grupos.
  9. Accede a Google SecOps como un usuario con un rol diferente. Consulta Accede a Google SecOps para obtener más información información.
  10. Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en IAM.

Configura una nueva instancia de Google SecOps

A continuación, se describe cómo configurar una nueva versión de Google SecOps. por primera vez después de configurar el proyecto de Google Cloud y de federación de identidades de personal de IAM para vincular a Google SecOps.

Si eres un cliente nuevo de Google SecOps, completa los siguientes pasos:

  1. Crea un proyecto de Google Cloud y habilita la API de Google SecOps. Si deseas obtener más información, consulta Configura un proyecto de Google Cloud para Google SecOps.

  2. Proporciónale al ingeniero de Atención al cliente de Google SecOps el ID del proyecto planea vincularse a la instancia de Google SecOps. Después de Google SecOps El Ingeniero de Atención al cliente inicia el proceso y recibirás un correo electrónico de confirmación.

  3. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que proporcionadas en el paso anterior.

  4. Ve a Seguridad > SecOps de Google.

  5. Si no habilitaste la API de Google SecOps, verás un Botón Comenzar. Haz clic en el botón Getting Started y, luego, completa los pasos guiados para habilitar la API de Google SecOps.

  6. En la sección Company Information, ingresa la información de tu empresa y, luego, haz clic en Next.

  7. Revisa la información de la cuenta de servicio y, luego, haz clic en Siguiente. Google SecOps crea una cuenta de servicio en el proyecto y establece los roles y permisos necesarios.

  8. Selecciona una de las siguientes opciones según el proveedor de identidad que usas para administrar el acceso de usuarios y grupos a Google Security Operations:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si trabajas con un proveedor de identidad externo, selecciona el personal proveedor de servicios en la nube que deseas usar. Debes establecer esto cuando configures la federación de identidades de personal.

  9. En Input your IdP Admin Groups here, ingresa el nombre común de uno o más grupos de IdP que incluyan administradores que configuran el acceso de los usuarios a funciones relacionadas con SOAR. Identificaste y creaste estos grupos cuando definiste los atributos y grupos de usuario en el IdP.

  10. Expande las Condiciones del Servicio. Si las aceptas, haz clic en Iniciar configuración.

    La instancia de Google Security Operations puede tardar hasta 15 minutos en completarse o con aprovisionamiento. Recibirás una notificación cuando la instancia se aprovisione correctamente. Si la configuración falla, comunícate con tu representante de atención al cliente de Google Cloud.

  11. Si seleccionaste Google Cloud Identity, asegúrate de otorgar un rol de Google Security Operations a usuarios y grupos con la IAM para que los usuarios puedan acceder a Google Security Operations. Para realizar este paso, usa el rol vinculado a Google Security Operations proyecto de Google Cloud que creaste anteriormente.

    El siguiente comando otorga el rol de visualizador de la API de Chronicle (roles/chronicle.viewer) a un solo usuario a través de gcloud.

    Para usar la consola de Google Cloud, consulta Asigna un solo rol.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Reemplaza lo siguiente:

    Para ver ejemplos sobre cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta Documentación de referencia de gcloud projects add-iam-policy-binding y Identificadores principales

Cambiar la configuración del inicio de sesión único (SSO)

En las siguientes secciones, se describe cómo cambiar los proveedores de identidad:

Cambia el proveedor de identidad de terceros

  1. Configura el nuevo proveedor de identidad de terceros y grupo de identidades de personal.

  2. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP, cambia la asignación de grupos de IdP a grupos de referencia en el nuevo proveedor de identidad.

Completa los siguientes pasos para cambiar la configuración del SSO de Google SecOps:

  1. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud de Google SecOps.

  2. Ve a Seguridad > SecOps de Google.

  3. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestra los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps

  4. Usa el menú Inicio de sesión único para cambiar los proveedores de SSO.

  5. Haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, abre una ventana privada o de incógnito.

  6. Regresa a la consola de Google Cloud, haz clic en el botón Seguridad > SecOps de Google > Descripción general y, luego, haz clic en la pestaña Inicio de sesión único.

  7. Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.

  8. Verifica que puedes acceder a Google SecOps.

Migra del proveedor de identidad de terceros a Cloud Identity

Completa los siguientes pasos para cambiar la configuración de SSO de usar un proveedor de identidad de terceros a Google Cloud Identity:

  1. Asegúrate de configurar Cloud Identity o Google Workspace como proveedor de identidad.
  2. Otorga los roles y permisos predefinidos de Chronicle IAM a los usuarios y grupos en el proyecto vinculado a Google SecOps.

  3. En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP, cambia la asignación de grupos de IdP a grupos de referencia en el nuevo proveedor de identidad.

  4. Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud de Google SecOps.

  5. Ve a Seguridad > SecOps de Chronicle.

  6. En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestra los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps

  7. Selecciona la casilla de verificación Google Cloud Identity.

  8. Haz clic con el botón derecho en el vínculo Probar la configuración de SSO y, luego, abre una ventana privada o de incógnito.

    • Si ves una pantalla de acceso, el SSO se configuró correctamente. Continúa con el siguiente paso.
    • Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad.

  9. Regresa a la consola de Google Cloud y haz clic en Seguridad > SecOps de Chronicle > Página Resumen > la pestaña Single sign-On.

  10. Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.

  11. Verifica que puedes acceder a Google SecOps.