Collegare Google SecOps ai servizi Google Cloud

Google SecOps dipende dai servizi Google Cloud per alcune funzionalità, come l'autenticazione. Questo documento descrive come configurare una configurazione Google SecOps per l'associazione a questi servizi Google Cloud. Fornisce informazioni su gli utenti che stanno configurando una nuova istanza Google SecOps e quelli che eseguire la migrazione di un'istanza Google SecOps esistente.

Prima di iniziare

Prima di configurare un'istanza Google SecOps con Google Cloud devi fare quanto segue:

Completa una delle seguenti sezioni a seconda che tu sia un cliente nuovo o un cliente esistente.

Se vuoi associare un'istanza Google Security Operations creata per una sicurezza gestita un fornitore di servizi (MSSP), contatta il tuo Customer Engineer di Google SecOps per ricevere assistenza. La configurazione richiede l'assistenza di un rappresentante Google Security Operations.

Dopo aver completato i passaggi per associare il progetto Google Cloud a Google SecOps, esaminare i dati del progetto Google Cloud in Google SecOps, in modo da per monitorare attentamente il vostro progetto al fine di rilevare qualsiasi tipo di compromissione della sicurezza.

Esegui la migrazione di un'istanza Google SecOps esistente

Le sezioni seguenti descrivono come eseguire la migrazione di una piattaforma Google SecOps esistente in modo che sia associato a un progetto Google Cloud e utilizzi IAM per gestire il controllo dell'accesso alle funzionalità.

Associa a un provider di progetto e forza lavoro

La seguente procedura descrive come collegare un account Google SecOps esistente con un progetto Google Cloud e configurare SSO utilizzando IAM e i servizi di federazione delle identità per la forza lavoro.

  1. Accedi a Google SecOps.

  2. Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.

  3. Fai clic su Piattaforma Google Cloud.

  4. Inserisci l'ID progetto Google Cloud per collegare il progetto all'istanza Google SecOps.

  5. Fai clic su Genera link.

  6. Fai clic su Connetti a Google Cloud. Si apre la console Google Cloud. Se hai inserito un ID progetto Google Cloud non corretto in Google SecOps , torna alla pagina Google Cloud Platform in Google SecOps e inserisci l'ID progetto corretto.

  7. Dalla console Google Cloud, vai a Sicurezza > Google SecOps.

  8. Verifica l'account di servizio creato per il progetto Google Cloud.

  9. In Configura Single Sign-On, seleziona una delle opzioni seguenti. in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

    • Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.

    • Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità per la forza lavoro. e seleziona il fornitore di forza lavoro che vuoi utilizzare. Puoi configurare questa funzionalità configurazione della federazione delle identità per la forza lavoro.

  10. Se hai selezionato Federazione delle identità per la forza lavoro, fai clic con il tasto destro del mouse su Verifica configurazione SSO e aprilo in una finestra di navigazione privata o in incognito.

  11. Continua con la sezione successiva: Esegui la migrazione delle autorizzazioni esistenti a IAM.

Esegui la migrazione delle autorizzazioni esistenti a IAM

Dopo aver eseguito la migrazione di un'istanza Google SecOps esistente, puoi usare i comandi generati automaticamente per eseguire la migrazione delle autorizzazioni esistenti ruoli a IAM. Google SecOps crea questi comandi utilizzando la configurazione del controllo dell'accesso di Feature RBAC prima della migrazione. Quando vengono eseguite, creano nuovi criteri IAM equivalenti a quelli esistenti configurazione, come definito in Google SecOps ai sensi Impostazioni SIEM > Utenti e gruppi.

Dopo aver eseguito questi comandi, non puoi tornare alla versione precedente di Feature RBAC funzionalità di controllo dell'accesso. Se riscontri un problema, contatta l'assistenza tecnica.

  1. Nella console Google Cloud, vai a Sicurezza > Google SecOps > Accesso di Google Cloud.
  2. In Esegui la migrazione delle associazioni di ruoli, vedrai un insieme di ruoli generati automaticamente comandi Google Cloud CLI.
  3. Esamina e verifica che i comandi creino le autorizzazioni previste. Per informazioni sui ruoli e sulle autorizzazioni di Google SecOps, consulta la sezione In che modo le autorizzazioni IAM vengono mappate a ogni ruolo di Feature RBAC.
  4. Avvia una sessione di Cloud Shell.
  5. Copia i comandi generati automaticamente, quindi incollali ed eseguili nel con gcloud CLI.
  6. Dopo aver eseguito tutti i comandi, fai clic su Verify Access (Verifica accesso). Se l'operazione ha esito positivo, verrà visualizzato il messaggio Accesso verificato in Gestione degli accessi di Google SecOps. Altrimenti, vedrai il messaggio Accesso negato. Potrebbero essere necessari 1-2 minuti prima che venga visualizzato.
  7. Per completare la migrazione, torna a Sicurezza > Google SecOps > Accesso gestione di sicurezza, quindi fai clic su Abilita IAM.
  8. Verifica di poter accedere a Google SecOps come utente con il Ruolo Amministratore API Chronicle.
    1. Accedi a Google SecOps come utente con l'amministratore dell'API Chronicle ruolo predefinito. Per ulteriori informazioni, vedi Accedere a Google Security Operations.
    2. Apri il menu Applicazione > Impostazioni > Utenti e Gruppi. Dovresti visualizzare il messaggio: Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud. Scopri di più sulla gestione di utenti e gruppi.
  9. Accedi a Google SecOps come utente con un ruolo diverso. Consulta Accedi a Google SecOps per ulteriori informazioni informazioni.
  10. Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definiti in IAM.

Configura una nuova istanza Google SecOps

La seguente procedura descrive come configurare una nuova configurazione di Google SecOps per la prima volta, dopo aver configurato il progetto Google Cloud e i servizi di federazione delle identità per la forza lavoro IAM da collegare a Google SecOps.

Se sei un nuovo cliente Google SecOps, completa i seguenti passaggi:

  1. Crea un progetto Google Cloud e abilita l'API Google SecOps. Per saperne di più, consulta Configurare un progetto Google Cloud per Google SecOps.

  2. Fornisci l'ID progetto al tuo Customer Engineer di Google SecOps che intendi associare all'istanza Google SecOps. Dopo Google SecOps Il Customer Engineer avvia il processo; riceverai un'email di conferma.

  3. Apri la console Google Cloud e seleziona il progetto Google Cloud a cui fornita nel passaggio precedente.

  4. Vai a Sicurezza > Google SecOps.

  5. Se non hai abilitato l'API Google SecOps, verrà visualizzato un Pulsante Come iniziare. Fai clic sul pulsante Come iniziare e completa il processo. i passaggi guidati per abilitare l'API Google SecOps.

  6. Nella sezione Company Information (Informazioni sull'azienda), inserisci le informazioni sull'azienda e fai clic su Next (Avanti).

  7. Esamina i dati dell'account di servizio e fai clic su Avanti. Google SecOps crea un account di servizio nel progetto e imposta i ruoli e le autorizzazioni richiesti.

  8. Seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google Security Operations:

  9. In Inserisci qui i tuoi gruppi di amministratori IdP, inserisci il nome comune per uno o più gruppi di IdP che includono gli amministratori che configurano l'accesso degli utenti alle funzionalità relative a SOAR. Hai identificato e creato questi gruppi quando hai definito gli attributi e i gruppi utente nell'IdP.

  10. Espandi i Termini di servizio. Se accetti i termini, fai clic su Avvia configurazione.

    L'avvio dell'istanza di Google Security Operations potrebbe richiedere fino a 15 minuti di cui è stato eseguito il provisioning. Riceverai una notifica dopo che il provisioning dell'istanza sarà stato eseguito correttamente. Se la configurazione non riesce, contatta il tuo rappresentante clienti Google Cloud.

  11. Se hai selezionato Google Cloud Identity, assicurati di: concedere un ruolo di Google Security Operations a utenti e gruppi utilizzando IAM per consentire agli utenti di accedere a Google Security Operations. Esegui questo passaggio utilizzando il campo Google Security Operations progetto Google Cloud che hai creato in precedenza.

    Il comando seguente concede il ruolo Visualizzatore API Chronicle (roles/chronicle.viewer) a un singolo utente utilizzando gcloud.

    Per utilizzare la console Google Cloud, vedi Concedere un singolo ruolo.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Sostituisci quanto segue:

    Per esempi di come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, vedi Documentazione di riferimento di gcloud projects add-iam-policy-binding e Identificatori entità.

Modifica la configurazione Single Sign-On (SSO)

Le seguenti sezioni descrivono come cambiare i provider di identità:

Cambiare il provider di identità di terze parti

  1. Configura il nuovo provider di identità di terze parti e il pool di identità della forza lavoro.

  2. In Google SecOps, in Settings (Impostazioni) > Impostazioni SOAR > Avanzate > Mappatura dei gruppi di IdP, modificare la mappatura dei gruppi IdP in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

Completa i seguenti passaggi per modificare la configurazione SSO per Google SecOps:

  1. Apri la console Google Cloud, quindi seleziona il progetto Google Cloud che associati a Google SecOps.

  2. Vai a Sicurezza > Google SecOps.

  3. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. Questa pagina mostra I provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  4. Utilizza il menu Single Sign-On per cambiare i provider SSO.

  5. Fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi apri una finestra di navigazione privata o in incognito.

  6. Torna alla console Google Cloud e fai clic su Sicurezza > Google SecOps > Panoramica e fai clic sulla scheda Single Sign-On.

  7. Fai clic su Save (Salva) nella parte inferiore della pagina per aggiornare il nuovo provider.

  8. Verifica di poter accedere a Google SecOps.

Eseguire la migrazione da provider di identità di terze parti a Cloud Identity

Completa i seguenti passaggi per modificare la configurazione SSO dall'utilizzo di un provider di identità di terze parti a Google Cloud Identity:

  1. Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
  2. Concedi i ruoli e le autorizzazioni IAM predefiniti a Chronicle a utenti e gruppi nel progetto collegato a Google SecOps.

  3. In Google SecOps, in Settings (Impostazioni) > Impostazioni SOAR > Avanzate > Mappatura dei gruppi di IdP, modificare la mappatura dei gruppi IdP in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

  4. Apri la console Google Cloud, quindi seleziona il progetto Google Cloud che associati a Google SecOps.

  5. Vai a Sicurezza > Chronicle SecOps.

  6. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. Questa pagina mostra I provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  7. Seleziona la casella di controllo Google Cloud Identity.

  8. Fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi apri una finestra di navigazione privata o in incognito.

    • Se viene visualizzata una schermata di accesso, significa che la configurazione del servizio SSO è riuscita. Continua con il passaggio successivo.
    • Se non vedi una schermata di accesso, controlla la configurazione del provider di identità.

  9. Torna alla console Google Cloud e fai clic su Sicurezza > Chronicle SecOps > Pagina Panoramica > Scheda Single Sign-On.

  10. Fai clic su Save (Salva) nella parte inferiore della pagina per aggiornare il nuovo provider.

  11. Verifica di poter accedere a Google SecOps.