Vincular o Google SecOps aos serviços do Google Cloud

Compatível com:

O Google SecOps depende dos serviços do Google Cloud para determinados recursos, como a autenticação. Este documento descreve como configurar uma instância do Google SecOps para se vincular a esses serviços do Google Cloud. Ele fornece informações para usuários que estão configurando uma nova instância do Google SecOps e para aqueles que estão migrando uma instância do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com os serviços do Google Cloud, faça o seguinte:

Conclua uma das seções a seguir, dependendo se você é um cliente novo ou atual.

Se você quiser vincular uma instância do Google Security Operations criada para um provedor de serviços de segurança gerenciada (MSSP, na sigla em inglês), entre em contato com seu engenheiro de cliente do Google SecOps para receber ajuda. A configuração requer a assistência de um representante de Operações de Segurança do Google.

Depois de concluir as etapas para vincular o projeto do Google Cloud ao Google SecOps, é possível examinar os dados do projeto do Google Cloud no Google SecOps. Assim, você pode monitorar de perto seu projeto em busca de qualquer tipo de comprometimento de segurança.

Migrar uma instância do Google SecOps

As seções a seguir descrevem como migrar uma instância do Google SecOps para que ela seja vinculada a um projeto do Google Cloud e use o IAM para gerenciar o controle de acesso a recursos.

Vincular-se a um provedor de projeto e de força de trabalho

O procedimento a seguir descreve como conectar uma instância do Google SecOps a um projeto do Google Cloud e configurar o SSO usando os serviços de federação de identidade de força de trabalho do IAM.

  1. Faça login no Google SecOps.

  2. Na barra de navegação, selecione Configurações > Configurações do SIEM.

  3. Clique em Google Cloud Platform.

  4. Insira o ID do projeto do Google Cloud para vincular o projeto à instância do Google SecOps.

  5. Clique em Gerar link.

  6. Clique em Conectar ao Google Cloud Platform. O console do Google Cloud é aberto. Se você inseriu um ID do projeto do Google Cloud incorreto no Google SecOps volte à página do Google Cloud Platform no Google SecOps e insira o ID do projeto correto.

  7. No console do Google Cloud, acesse Segurança > Google SecOps.

  8. Verifique a conta de serviço que foi criada para o projeto do Google Cloud.

  9. Em Configurar o Logon único, selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos ao Google SecOps:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade da força de trabalho e, em seguida, selecione o provedor de força de trabalho que você quer usar. Você configura isso quando como configurar a federação de identidade de colaboradores.

  10. Se você selecionou Workforce Identity Federation, clique com o botão direito do mouse em Test SSO setup. e abra-o em uma janela privada ou anônima.

  11. Continue com a próxima seção: Migrar as permissões atuais para o IAM.

Migrar as permissões atuais para o IAM

Depois de migrar uma instância do Google SecOps, use comandos gerados automaticamente para migrar as permissões e funções atuais para o IAM. O Google SecOps cria estes comandos usando sua configuração de controle de acesso RBAC de recurso pré-migração. Quando executados, eles criam novas políticas do IAM equivalentes à sua configuração atual, conforme definido no Google SecOps na página Configurações do SIEM > Usuários e grupos.

Depois de executar esses comandos, não será possível reverter para o recurso de controle de acesso Feature RBAC anterior. Se você encontrar um problema, entre em contato com o suporte técnico.

  1. No console do Google Cloud, acesse a guia Security > Google SecOps > Gerenciamento de acesso.
  2. Em Migre vinculações de função, você vai encontrar um conjunto de comandos da CLI do Google Cloud gerados automaticamente.
  3. Revise e verifique se os comandos criam as permissões esperadas. Para mais informações sobre os papéis e permissões do Google SecOps, consulte Como as permissões do IAM são mapeadas para cada papel do RBAC de recurso.
  4. Inicie uma sessão do Cloud Shell.
  5. Copie os comandos gerados automaticamente, cole e execute-os no CLI gcloud.
  6. Depois de executar todos os comandos, clique em Verificar acesso. Se tudo der certo, a mensagem Acesso verificado vai aparecer no Gerenciamento de acesso do Google SecOps. Caso contrário, você verá a mensagem Acesso negado. Isso pode levar de 1 a 2 minutos.
  7. Para concluir a migração, retorne ao painel Segurança > Google SecOps > Acesso de cliente e, em seguida, clique em Ativar IAM.
  8. Verifique se você tem acesso ao Google SecOps como usuário com o Administrador da API Chronicle.
    1. Faça login no Google SecOps como um usuário com a função predefinida de administrador da API Chronicle. Consulte Fazer login nas Operações de segurança do Google para mais informações.
    2. Abra o menu do aplicativo > Configurações > Usuários e Grupos do Google. A mensagem Para gerenciar usuários e grupos, acesse Identity Access Management (IAM) no console do Google Cloud. Saiba mais sobre como gerenciar usuários e grupos.
  9. Faça login no Google SecOps como um usuário com uma função diferente. Consulte Fazer login no Google SecOps para mais informações.
  10. Verificar se os recursos disponíveis no aplicativo correspondem às permissões definidos no IAM.

Configurar uma nova instância do Google SecOps

O procedimento a seguir descreve como configurar uma nova instância do Google SecOps pela primeira vez, depois de configurar o projeto do Google Cloud e os serviços de federação de identidade da força de trabalho do IAM para vincular ao Google SecOps.

Se você for um novo cliente do Google SecOps, conclua as seguintes etapas:

  1. Crie um projeto do Google Cloud e ative a API Google SecOps. Para mais informações, consulte Configurar um projeto do Google Cloud para o Google SecOps.

  2. Informe ao engenheiro de cliente do Google SecOps o ID do projeto que você planeja vincular à instância do Google SecOps. Depois que o Google SecOps Customer Engineer inicia o processo, você recebe um e-mail de confirmação.

  3. Abra o console do Google Cloud e selecione o projeto que você informou na etapa anterior.

  4. Acesse Segurança > Google SecOps.

  5. Se você não tiver ativado a API Google SecOps, um botão Primeiros passos vai aparecer. Clique no botão Primeiros passos e siga as etapas guiadas para ativar a API Google SecOps.

  6. Na seção Informações da empresa, insira as informações da sua empresa e clique em Próxima.

  7. Revise as informações da conta de serviço e clique em Próxima. O Google SecOps cria uma conta de serviço no projeto e define os papéis e as permissões necessários.

  8. Selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos às Operações de segurança do Google:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione a Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione a força de trabalho de nuvem que você quer usar. Isso é definido ao configurar a federação de identidade de colaboradores.

  9. Em Insira seus grupos de administradores do IdP aqui, digite o nome comum de um ou mais grupos de IdP que incluem administradores que configuram o acesso do usuário a recursos relacionados ao SOAR. Você identificou e criou esses grupos quando definiu atributos e grupos de usuários no IdP.

  10. Abra os Termos de Serviço. Se você concordar com os termos, clique em Iniciar configuração.

    Pode levar até 15 minutos para a instância do Google Security Operations ser provisionado. Você vai receber uma notificação quando a instância for provisionada. Se a configuração falhar, entre em contato com o representante do cliente do Google Cloud.

  11. Se você selecionou o Google Cloud Identity, faça o seguinte: conceder um papel de Operações de segurança do Google a usuários e grupos usando o IAM para que os usuários possam fazer login nas Operações de segurança do Google. Realize esta etapa usando o limite de operações de segurança do Google o projeto do Google Cloud criado anteriormente.

    O comando a seguir concede o papel de leitor da API Chronicle (roles/chronicle.viewer) a um único usuário usando gcloud.

    Para usar o console do Google Cloud, consulte Conceder um único papel.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    Substitua:

    Para exemplos de como atribuir papéis a outros membros, como um grupo ou domínio, consulte documentação de referência do gcloud projects add-iam-policy-binding e identificadores principais.

Mudar a configuração do Logon único (SSO)

As seções a seguir descrevem como mudar os provedores de identidade:

Mudar o provedor de identidade terceirizado

  1. Configure o novo provedor de identidade de terceiros e o pool de identidade da força de trabalho.

  2. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo de IDP, mude o Mapeamento de grupo de IDP para grupos de referência no novo provedor de identidade.

Conclua as etapas a seguir para alterar a configuração do SSO do Google SecOps:

  1. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculadas ao Google SecOps.

  2. Acesse Segurança > Google SecOps.

  3. Na página Visão geral, clique na guia Single Sign-On. Esta página mostra os provedores que você definiu ao configurar um provedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Logon único para alterar os provedores de SSO.

  5. Clique com o botão direito do mouse no link Test SSO setup e abra uma janela privada ou anônima.

  6. Volte ao console do Google Cloud e clique em Segurança > Google SecOps > Visão geral e, em seguida, clique na guia Logon único.

  7. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  8. Verifique se você consegue fazer login no Google SecOps.

Migrar de um provedor de identidade de terceiros para o Cloud Identity

Siga estas etapas para mudar a configuração do SSO de um provedor de identidade de terceiros para o Google Cloud Identity:

  1. Configure o Cloud Identity ou o Google Workspace como o provedor de identidade.
  2. Conceda as permissões e os papéis predefinidos do IAM do Chronicle a usuários e grupos no projeto vinculado ao Google SecOps.
  3. No Google SecOps, em Configurações > Configurações de SOAR > Avançado > Mapeamento de grupo do IdP mude o mapeamento de grupo do IdP para fazer referência a grupos no novo provedor de identidade.

  4. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculado ao Google SecOps.

  5. Acesse Segurança > Chronicle SecOps.

  6. Na página Overview, clique na guia Single Sign-On. Esta página mostra os provedores que você definiu ao configurar um provedor de identidade de terceiros para o Google SecOps.

  7. Marque a caixa de seleção Google Cloud Identity.

  8. Clique com o botão direito do mouse no link Testar configuração de SSO e abra uma janela anônima ou particular.

    • Se uma tela de login aparecer, a configuração do SSO foi concluída. Continue para a próxima etapa.
    • Se você não vir uma tela de login, verifique a configuração do provedor de identidade.
  9. Volte ao console do Google Cloud e clique em Segurança > Chronicle SecOps > Página Visão geral > Guia Single Sign-On.

  10. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  11. Verifique se você consegue fazer login no Google SecOps.