Google SecOps mit Google Cloud-Diensten verknüpfen

Google SecOps ist für bestimmte Funktionen, z. B. die Authentifizierung, von Google Cloud-Diensten abhängig. In diesem Dokument wird beschrieben, wie Sie eine Google SecOps-Instanz konfigurieren, um eine Bindung an diese Google Cloud-Dienste herzustellen. Er bietet Informationen für Nutzer, die eine neue Google SecOps-Instanz konfigurieren, und für Nutzer, die eine vorhandene Google SecOps-Instanz migrieren.

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

• Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Google Security Operations API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

• Konfigurieren Sie einen SSO-Anbieter für die Google SecOps-Instanz.

  Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter verwenden. Wenn Sie einen externen Identitätsanbieter nutzen, führen Sie die Schritte unter Externen Identitätsanbieter für Google Security Operations konfigurieren aus.

  Wenn Sie Cloud Identity und Google Workspace verwenden, finden Sie weitere Informationen unter Google Cloud-Identitätsanbieter konfigurieren.

• Prüfen Sie, ob Sie die Berechtigungen zum Ausführen der Schritte in diesem Dokument haben. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses finden Sie unter Erforderliche Rollen.

Füllen Sie je nachdem, ob Sie Neu- oder Bestandskunde sind, einen der folgenden Abschnitte aus.

Wenn Sie eine Google Security Operations-Instanz binden möchten, die für einen verwalteten Sicherheitsdienstanbieter (Managed Security Service Provider, MSSP) erstellt wurde, wenden Sie sich an Ihren Google SecOps Customer Engineer. Für die Konfiguration ist die Unterstützung eines Google Security Operations-Mitarbeiters erforderlich.

Vorhandene Google SecOps-Instanz migrieren

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz mit einem Google Cloud-Projekt verbinden und die Einmalanmeldung (SSO) mit IAM-Diensten zur Mitarbeiteridentitätsföderation konfigurieren.

1. Melden Sie sich in Google SecOps an.

2. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen aus.

3. Klicken Sie auf Google Cloud Platform.

4. Geben Sie die Google Cloud-Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.

5. Klicken Sie auf Link generieren.

6. Klicken Sie auf Connect to Google Cloud Platform (Mit Google Cloud Platform verbinden). Die Google Cloud Console wird geöffnet. Wenn Sie in der Google SecOps-Anwendung eine falsche Google Cloud-Projekt-ID eingegeben haben, kehren Sie in Google SecOps zur Seite Google Cloud Platform zurück und geben die richtige Projekt-ID ein.

7. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps.

8. Prüfen Sie das Dienstkonto, das für das Google Cloud-Projekt erstellt wurde.

9. Wählen Sie unter Einmalanmeldung (SSO) konfigurieren je nach Identitätsanbieter, mit dem Sie den Nutzer- und Gruppenzugriff auf Google SecOps verwalten, eine der folgenden Optionen aus:

   • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity aus.

   • Wenn Sie einen externen Identitätsanbieter nutzen, wählen Sie Mitarbeiteridentitätsföderation und dann den Personalanbieter aus, den Sie verwenden möchten. Sie richten dies ein, wenn Sie die Mitarbeiteridentitätsföderation konfigurieren.

10. Wenn Sie Mitarbeiteridentitätsföderation ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie ihn in einem privaten oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, ist die SSO eingerichtet.
    • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

Nachdem Sie diese Schritte ausgeführt haben, um das Google Cloud-Projekt an Google SecOps zu binden, können Sie die Google Cloud-Projektdaten in Google SecOps untersuchen, um Ihr Projekt genau auf jede Art von Sicherheitsvorfall zu überwachen.

Neue Google SecOps-Instanz konfigurieren

Im Folgenden wird beschrieben, wie Sie zum ersten Mal eine neue Google SecOps-Instanz einrichten, nachdem Sie das Google Cloud-Projekt und die IAM-Dienste der Mitarbeiteridentitätsföderation so konfiguriert haben, dass sie mit Google SecOps verknüpft sind.

Wenn Sie ein neuer Google SecOps-Kunde sind, führen Sie die folgenden Schritte aus:

1. Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Google SecOps API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

2. Geben Sie Ihrem Google SecOps Customer Engineer die Projekt-ID, die Sie an die Google SecOps-Instanz binden möchten. Nachdem der Google SecOps Customer Engineer den Prozess gestartet hat, erhalten Sie eine Bestätigungs-E-Mail.

3. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das Sie im vorherigen Schritt angegeben haben.

4. Klicken Sie auf Sicherheit > Google SecOps.

5. Wenn Sie die Google SecOps API nicht aktiviert haben, wird die Schaltfläche Erste Schritte angezeigt. Klicken Sie auf die Schaltfläche Erste Schritte und führen Sie die beschriebenen Schritte aus, um die Google SecOps API zu aktivieren.

6. Geben Sie im Abschnitt Company Information (Unternehmensinformationen) Ihre Unternehmensinformationen ein und klicken Sie dann auf Next (Weiter).

7. Prüfen Sie die Dienstkontoinformationen und klicken Sie dann auf Weiter. Google SecOps erstellt ein Dienstkonto im Projekt und legt die erforderlichen Rollen und Berechtigungen fest.

8. Wählen Sie je nach Identitätsanbieter, mit dem Sie den Nutzer- und Gruppenzugriff auf Google Security Operations verwalten, eine der folgenden Optionen aus:

   • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie die Option Google Cloud Identity aus.

   • Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie den gewünschten Personalanbieter aus. Sie richten dies ein, wenn Sie die Mitarbeiteridentitätsföderation konfigurieren.

9. Geben Sie unter Geben Sie hier Ihre IdP-Administratorgruppen ein den allgemeinen Namen für mindestens eine IdP-Gruppe ein, die Administratoren umfasst, die den Nutzerzugriff auf SOAR-Funktionen konfigurieren. Sie haben diese Gruppen identifiziert und erstellt, als Sie Nutzerattribute und Gruppen im IdP definiert haben.

10. Maximieren Sie die Nutzungsbedingungen. Wenn Sie den Nutzungsbedingungen zustimmen, klicken Sie auf Jetzt einrichten.

    Es kann bis zu 15 Minuten dauern, bis die Google Security Operations-Instanz bereitgestellt wird. Sie erhalten eine Benachrichtigung, sobald die Instanz erfolgreich bereitgestellt wurde. Wenn die Einrichtung fehlschlägt, wenden Sie sich an Ihren Google Cloud-Kundenbetreuer.

11. Wenn Sie Google Cloud Identity ausgewählt haben, müssen Sie Nutzern und Gruppen mithilfe von IAM eine Google Security Operations-Rolle zuweisen, damit sich Nutzer in Google Security Operations anmelden können. Führen Sie diesen Schritt mit dem an Google Security Operations gebundenen Google Cloud-Projekt aus, das Sie zuvor erstellt haben.

    Mit dem folgenden Befehl wird einem einzelnen Nutzer mithilfe der gcloud die Rolle Chronicle API Viewer (roles/chronicle.viewer) zugewiesen.

    Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: durch die Projekt-ID des an Google Security Operations gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren konfiguriert haben. Unter Projekte erstellen und verwalten finden Sie eine Beschreibung der Felder, die ein Projekt identifizieren.
    • EMAIL_ALIAS: die E-Mail-Adresse eines einzelnen Nutzers, z. B. user:alice@example.com

    Beispiele für das Zuweisen von Rollen an andere Mitglieder, z. B. einer Gruppe oder Domain, finden Sie in der Referenzdokumentation zu gcloud projects add-iam-policy-binding und Haupt-IDs.

Konfiguration der Einmalanmeldung (SSO) ändern

In den folgenden Abschnitten wird beschrieben, wie Sie den Identitätsanbieter ändern:

• Externen Identitätsanbieter ändern
• Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Externen Identitätsanbieter ändern

1. Richten Sie den neuen Drittanbieter und den Mitarbeiteridentitätspool ein.

2. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung die IdP-Gruppenzuordnung zu Referenzgruppen des neuen Identitätsanbieters.

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration für Google SecOps zu ändern:

1. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das an Google SecOps gebunden ist.

2. Klicken Sie auf Sicherheit > Google SecOps.

3. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

4. Verwenden Sie das Menü Single Sign-On (Einmalanmeldung (SSO)), um die SSO-Anbieter zu wechseln.

5. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, ist die SSO eingerichtet. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

6. Kehren Sie zur Google Cloud Console zurück, klicken Sie auf die Seite Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung (SSO).

7. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

8. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von externem Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von der Verwendung eines externen Identitätsanbieters zu Google Cloud Identity zu ändern:

1. Sie müssen entweder Cloud Identity oder Google Workspace als Identitätsanbieter konfigurieren.
2. Gewähren Sie Nutzern und Gruppen im an Google SecOps gebundenen Projekt die vordefinierten Chronicle-IAM-Rollen und -Berechtigungen.

3. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung die IdP-Gruppenzuordnung zu Referenzgruppen des neuen Identitätsanbieters.

4. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das an Google SecOps gebunden ist.

5. Klicken Sie auf Sicherheit > Chronicle SecOps.

6. Klicken Sie auf der Seite Übersicht auf den Tab Einmalanmeldung (SSO). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

7. Klicken Sie das Kästchen Google Cloud Identity an.

8. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, ist die SSO eingerichtet. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn Sie keinen Anmeldebildschirm sehen, prüfen Sie die Konfiguration des Identitätsanbieters.

9. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Seite Übersicht > Tab Einmalanmeldung (SSO).

10. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

11. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.