Google SecOps mit Google Cloud-Diensten verknüpfen

Unterstützt in:

Google SecOps ist für bestimmte Funktionen wie die Authentifizierung auf Google Cloud-Dienste angewiesen. In diesem Dokument wird beschrieben, wie Sie Google SecOps konfigurieren Instanz für die Bindung an diese Google Cloud-Dienste. Es bietet Informationen für Nutzer, die eine neue Google SecOps-Instanz konfigurieren, und Nutzer, die Vorhandene Google SecOps-Instanz migrieren

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

Füllen Sie einen der folgenden Abschnitte aus, je nachdem, ob Sie Neukunde oder Bestandskunde sind.

Wenn Sie eine Google Security Operations-Instanz binden möchten, die für eine verwaltete Sicherheit erstellt wurde Service Provider (MSSPs) erhalten, wenden Sie sich an Ihren Google SecOps Customer Engineer. Für die Konfiguration ist die Unterstützung eines Mitarbeiters von Google Security Operations erforderlich.

Nachdem Sie die Schritte zum Binden des Google Cloud-Projekts an Google SecOps ausgeführt haben, können Sie die Google Cloud-Projektdaten in Google SecOps untersuchen, um Ihr Projekt genau auf jegliche Art von Sicherheitsbedrohungen überwachen.

Vorhandene Google SecOps-Instanz migrieren

In den folgenden Abschnitten wird beschrieben, wie Sie eine vorhandene Google SecOps-Lösung migrieren -Instanz so, dass sie an ein Google Cloud-Projekt gebunden ist und IAM zur Verwaltung der Feature-Zugriffssteuerung verwendet.

An einen Projekt- und Mitarbeiteranbieter binden

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz mit einem Google Cloud-Projekt verbinden und die Einmalanmeldung mithilfe von IAM-Identitätsfederationsdiensten für Mitarbeiter konfigurieren.

  1. Melden Sie sich in Google SecOps an.

  2. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen aus.

  3. Klicken Sie auf Google Cloud Platform.

  4. Geben Sie die Google Cloud-Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.

  5. Klicken Sie auf Link generieren.

  6. Klicken Sie auf Connect to Google Cloud Platform (Mit Google Cloud Platform verbinden). Die Google Cloud Console wird geöffnet. Wenn Sie in Google SecOps eine falsche Google Cloud-Projekt-ID eingegeben haben Anwendung erstellen, kehren Sie in Google SecOps zur Seite Google Cloud Platform zurück und geben Sie die richtige Projekt-ID ein.

  7. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps.

  8. Prüfen Sie das Dienstkonto, das für das Google Cloud-Projekt erstellt wurde.

  9. Wählen Sie unter Einmalanmeldung (SSO) konfigurieren eine der folgenden Optionen aus. je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:

    • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity aus.

    • Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, wählen Sie Workforce Identity-Föderation und dann den gewünschten Workforce-Anbieter aus. Das wird eingerichtet, wenn Mitarbeiteridentitätsföderation konfigurieren

  10. Wenn Sie Workforce Identity Federation ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Link Einrichtung der SSO-Testversion und öffnen Sie ihn in einem privaten oder Inkognitofenster.

  11. Fahren Sie mit dem nächsten Abschnitt fort: Vorhandene Berechtigungen zu IAM migrieren.

Vorhandene Berechtigungen zu IAM migrieren

Nach der Migration einer bestehenden Google SecOps-Instanz können Sie mit automatisch generierten Befehlen vorhandene Berechtigungen und IAM-Rollen zu. Google SecOps erstellt diese Befehle mithilfe der Konfiguration der Feature RBAC-Zugriffssteuerung vor der Migration. Bei der Ausführung werden neue IAM-Richtlinien erstellt, die Ihren vorhandenen entsprechen. wie in Google SecOps unter der SIEM-Einstellungen > Seite Nutzer und Gruppen

Nachdem Sie diese Befehle ausgeführt haben, können Sie nicht mehr zur vorherigen Zugriffssteuerungsfunktion Feature RBAC zurückkehren. Wenn ein Problem auftritt, wenden Sie sich an den technischen Support.

  1. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps > Zugang Verwaltung.
  2. Unter Rollenbindungen migrieren sehen Sie eine Reihe automatisch generierter Google Cloud CLI-Befehle.
  3. Prüfen Sie, ob die Befehle die erwarteten Berechtigungen erstellen. Informationen zu Google SecOps-Rollen und -Berechtigungen Siehe Zuordnung von IAM-Berechtigungen zu jeder Feature-RBAC-Rolle.
  4. Starten Sie eine Cloud Shell-Sitzung.
  5. Kopieren Sie die automatisch generierten Befehle, fügen Sie sie in die gcloud-Befehlszeile ein und führen Sie sie aus.
  6. Nachdem Sie alle Befehle ausgeführt haben, klicken Sie auf Zugriff überprüfen. Wenn der Vorgang erfolgreich war, wird in der Zugriffsverwaltung von Google SecOps die Meldung Zugriff bestätigt angezeigt. Andernfalls sehen Sie die Meldung Access denied. Das kann ein bis zwei Minuten dauern.
  7. Um die Migration abzuschließen, kehren Sie zum Tab Sicherheit > Google SecOps > Zugriffsverwaltung zurück und klicken Sie auf IAM aktivieren.
  8. Prüfen Sie, ob Sie als Nutzer mit der Chronicle API-Administrator.
    1. Melden Sie sich in Google SecOps als Nutzer mit der vordefinierten Rolle „Chronicle API Admin“ an. Weitere Informationen finden Sie unter In Google Security Operations anmelden.
    2. Öffnen Sie das Anwendungsmenü > Einstellungen > Nutzer und Gruppen. Sie sollten die Meldung Zum Verwalten von Nutzern und Gruppen rufen Sie in der Google Cloud Console Identity and Access Management (IAM) auf. sehen. Weitere Informationen zum Verwalten von Nutzern und Gruppen
  9. Melden Sie sich in Google SecOps als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
  10. Prüfen Sie, ob die verfügbaren Funktionen in der Anwendung mit den in IAM definierten Berechtigungen übereinstimmen.

Neue Google SecOps-Instanz konfigurieren

Im Folgenden wird beschrieben, wie Sie eine neue Google SecOps-Instanz zum ersten Mal einrichten, nachdem Sie das Google Cloud-Projekt und die IAM-Federationsdienste für die Mitarbeiteridentität konfiguriert haben, um eine Verknüpfung mit Google SecOps herzustellen.

Wenn Sie ein neuer Google SecOps-Kunde sind, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Google SecOps API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

  2. Projekt-ID an Ihren Google SecOps Customer Engineer weitergeben an die Google SecOps-Instanz zu binden. Nachdem der Google SecOps-Kundentechniker den Prozess gestartet hat, erhalten Sie eine Bestätigungs-E-Mail.

  3. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das Sie im vorherigen Schritt angegeben haben.

  4. Gehen Sie zu Sicherheit > Google SecOps.

  5. Wenn Sie die Google SecOps API nicht aktiviert haben, wird eine Schaltfläche Erste Schritte. Klicken Sie auf die Schaltfläche Getting Started (Erste Schritte) und führen Sie dann die folgenden Schritte aus: Anleitung zum Aktivieren der Google SecOps API

  6. Geben Sie im Bereich Unternehmensinformationen Ihre Unternehmensinformationen ein und klicken Sie auf Weiter.

  7. Überprüfen Sie die Informationen zum Dienstkonto und klicken Sie auf Weiter. Google SecOps erstellt ein Dienstkonto im Projekt und legt die erforderlichen Rollen und Berechtigungen fest.

  8. Wählen Sie je nach Identitätsanbieter eine der folgenden Optionen aus den Sie verwenden, um den Nutzer- und Gruppenzugriff auf Google Security Operations zu verwalten:

    • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie das Google Cloud Identity.

    • Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie die Belegschaft aus. den Sie verwenden möchten. Sie richten dies beim Konfigurieren der Workforce Identity-Föderation ein.

  9. Geben Sie unter Hier IdP-Administratorgruppen eingeben den gemeinsamen Namen für eine oder mehrere IdP-Gruppen ein, die Administratoren enthalten, die den Nutzerzugriff auf SOAR-bezogene Funktionen konfigurieren. Sie haben diese Gruppen identifiziert und erstellt, als Sie Nutzerattribute und ‑gruppen in der IdP definiert haben.

  10. Maximieren Sie die Nutzungsbedingungen. Wenn Sie den Nutzungsbedingungen zustimmen, klicken Sie auf Jetzt einrichten.

    Es kann bis zu 15 Minuten dauern, bis die Google Security Operations-Instanz bereitgestellt. Sie erhalten eine Benachrichtigung, sobald die Instanz erfolgreich bereitgestellt wurde. Wenn die Einrichtung fehlschlägt, wenden Sie sich an Ihren Google Cloud-Kundenbetreuer.

  11. Wenn Sie Google Cloud Identity ausgewählt haben, müssen Sie Nutzern und Gruppen mithilfe von IAM eine Google Security Operations-Rolle zuweisen damit sich Nutzer in Google Security Operations anmelden können. Führen Sie diesen Schritt mit dem Google Cloud-Projekt aus, das Sie zuvor mit Google Security Operations verknüpft haben.

    Mit dem folgenden Befehl wird einem einzelnen Nutzer mit der gcloud die Rolle Chronicle API-Betrachter (roles/chronicle.viewer) zugewiesen.

    Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    Ersetzen Sie Folgendes:

    Beispiele dazu, wie Sie anderen Mitgliedern wie einer Gruppe oder Domain Rollen zuweisen, finden Sie in der Referenzdokumentation zu gcloud projects add-iam-policy-binding und Principal-IDs.

Konfiguration der Einmalanmeldung (SSO) ändern

In den folgenden Abschnitten wird beschrieben, wie Sie den Identitätsanbieter ändern:

Externen Identitätsanbieter ändern

  1. Richten Sie den neuen Drittanbieter und den Mitarbeiteridentitätspool ein.

  2. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IDP-Gruppenzuordnung in Gruppen im neuen Identitätsanbieter.

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration für Google SecOps zu ändern:

  1. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, an Google SecOps gebunden.

  2. Gehen Sie zu Sicherheit > Google SecOps.

  3. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

  4. Über das Menü Einmalanmeldung können Sie den SSO-Anbieter ändern.

  5. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
    • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie im Hilfeartikel Externen Identitätsanbieter für Google SecOps konfigurieren.
  6. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung (SSO).

  7. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

  8. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von einem externen Identitätsanbieter zu Google Cloud Identity zu ändern:

  1. Konfigurieren Sie entweder Cloud Identity oder Google Workspace als Identitätsanbieter.
  2. Weisen Sie Nutzern und Gruppen im Google SecOps-gebundenen Projekt die vordefinierten Chronicle IAM-Rollen und ‑Berechtigungen zu.
  3. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IDP-Gruppenzuordnung in Gruppen im neuen Identitätsanbieter.

  4. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, an Google SecOps gebunden.

  5. Gehen Sie zu Sicherheit > Chronicle SecOps

  6. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

  7. Klicken Sie das Kästchen Google Cloud Identity an.

  8. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
    • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des Identitätsanbieters.
  9. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Übersicht > Tab Einmalanmeldung.

  10. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

  11. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.