Google SecOps mit Google Cloud-Diensten verknüpfen

Google SecOps ist für bestimmte Funktionen wie die Authentifizierung auf Google Cloud-Dienste angewiesen. In diesem Dokument wird beschrieben, wie Sie eine Google SecOps-Instanz so konfigurieren, dass sie an diese Google Cloud-Dienste gebunden wird. Sie enthält Informationen für Nutzer, die eine neue Google SecOps-Instanz konfigurieren, und für Nutzer, die eine vorhandene Google SecOps-Instanz migrieren.

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

• Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Chronicle API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

• Konfigurieren Sie einen SSO-Anbieter für die Google SecOps-Instanz.

  Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter verwenden. Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, führen Sie die Schritte unter Drittanbieter-Identitätsanbieter für Google Security Operations konfigurieren aus.

  Wenn Sie Cloud Identity oder Google Workspace verwenden, lesen Sie den Hilfeartikel Google Cloud-Identitätsanbieter konfigurieren.

• Sie müssen die Berechtigungen haben, die Schritte in diesem Dokument auszuführen. Informationen zu den erforderlichen Berechtigungen für jede Phase des Onboarding-Prozesses finden Sie unter Erforderliche Rollen.

Führen Sie einen der folgenden Abschnitte aus, je nachdem, ob Sie Neukunde oder Bestandskunde sind.

Wenn Sie eine Google Security Operations-Instanz binden möchten, die für einen Managed Security Service Provider (MSSP) erstellt wurde, wenden Sie sich bitte an Ihren Google SecOps-Kundenservicemitarbeiter. Für die Konfiguration ist die Unterstützung eines Mitarbeiters von Google Security Operations erforderlich.

Nachdem Sie die Schritte zum Binden des Google Cloud-Projekts an Google SecOps ausgeführt haben, können Sie die Google Cloud-Projektdaten in Google SecOps prüfen und Ihr Projekt so genau auf Sicherheitslücken beobachten.

Vorhandene Google SecOps-Instanz migrieren

In den folgenden Abschnitten wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz migrieren, damit sie an ein Google Cloud-Projekt gebunden ist und die Zugriffssteuerung für Funktionen mit IAM verwaltet wird.

An ein Projekt und einen Personaldienstleister binden

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz mit einem Google Cloud-Projekt verbinden und die Einmalanmeldung mithilfe von IAM-Identitätsfederationsdiensten für Mitarbeiter konfigurieren.

1. Melden Sie sich in Google SecOps an.

2. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen aus.

3. Klicken Sie auf Google Cloud Platform.

4. Geben Sie die Google Cloud-Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.

5. Klicken Sie auf Link generieren.

6. Klicken Sie auf Mit der Google Cloud Platform verbinden. Die Google Cloud Console wird geöffnet. Wenn Sie in der Google SecOps-Anwendung eine falsche Google Cloud-Projekt-ID eingegeben haben, kehren Sie in Google SecOps zur Seite Google Cloud Platform zurück und geben Sie die richtige Projekt-ID ein.

7. Gehen Sie in der Google Cloud Console zu Sicherheit > Google SecOps.

8. Prüfen Sie das Dienstkonto, das für das Google Cloud-Projekt erstellt wurde.

9. Wählen Sie unter Einmalanmeldung konfigurieren eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:

   • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity aus.

   • Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, wählen Sie Workforce Identity-Föderation und dann den gewünschten Workforce-Anbieter aus. Sie richten dies beim Konfigurieren der Workforce Identity-Föderation ein.

10. Wenn Sie Workforce Identity Federation ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Link Test SSO setup (SSO-Einrichtung testen) und öffnen Sie ihn in einem privaten oder Inkognitofenster.

    • Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich.
    • Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

11. Fahren Sie mit dem nächsten Abschnitt fort: Vorhandene Berechtigungen zu IAM migrieren.

Vorhandene Berechtigungen zu IAM migrieren

Nachdem Sie eine vorhandene Google SecOps-Instanz migriert haben, können Sie vorhandene Berechtigungen und Rollen mithilfe automatisch generierter Befehle zu IAM migrieren. Google SecOps erstellt diese Befehle anhand der vor der Migration konfigurierten Feature-RBAC-Zugriffssteuerung. Beim Ausführen werden neue IAM-Richtlinien erstellt, die Ihrer vorhandenen Konfiguration entsprechen, wie in Google SecOps auf der Seite SIEM-Einstellungen > Nutzer und Gruppen definiert.

Nachdem Sie diese Befehle ausgeführt haben, können Sie nicht mehr zur vorherigen Zugriffssteuerungsfunktion Feature RBAC zurückkehren. Wenn ein Problem auftritt, wenden Sie sich an den technischen Support.

1. Klicken Sie in der Google Cloud Console auf Sicherheit > Google SecOps > Zugriffsverwaltung.
2. Unter Rollenbindungen migrieren sehen Sie eine Reihe automatisch generierter Google Cloud CLI-Befehle.
3. Prüfen Sie, ob die Befehle die erwarteten Berechtigungen erstellen. Informationen zu Google SecOps-Rollen und ‑Berechtigungen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen Rollen der Feature-RBAC.
4. Starten Sie eine Cloud Shell-Sitzung.
5. Kopieren Sie die automatisch generierten Befehle, fügen Sie sie in die gcloud CLI ein und führen Sie sie aus.
6. Nachdem Sie alle Befehle ausgeführt haben, klicken Sie auf Zugriff prüfen. Wenn der Vorgang erfolgreich war, wird in der Zugriffsverwaltung von Google SecOps die Meldung Zugriff bestätigt angezeigt. Andernfalls wird die Meldung Zugriff verweigert angezeigt. Das kann ein bis zwei Minuten dauern.
7. Um die Migration abzuschließen, kehren Sie zum Tab Sicherheit > Google SecOps > Zugriffsverwaltung zurück und klicken Sie auf IAM aktivieren.
8. Prüfen Sie, ob Sie als Nutzer mit der Rolle „Chronicle API Admin“ auf Google SecOps zugreifen können.
   1. Melden Sie sich in Google SecOps als Nutzer mit der vordefinierten Rolle „Chronicle API Admin“ an. Weitere Informationen finden Sie unter In Google Security Operations anmelden.
   2. Öffnen Sie die Seite Anwendungsmenü > Einstellungen > Nutzer und Gruppen. Sie sollten die Meldung Zum Verwalten von Nutzern und Gruppen rufen Sie in der Google Cloud Console Identity and Access Management (IAM) auf. sehen. Weitere Informationen zum Verwalten von Nutzern und Gruppen
9. Melden Sie sich in Google SecOps als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
10. Prüfen Sie, ob die verfügbaren Funktionen in der Anwendung mit den in IAM definierten Berechtigungen übereinstimmen.

Neue Google SecOps-Instanz konfigurieren

Im Folgenden wird beschrieben, wie Sie eine neue Google SecOps-Instanz zum ersten Mal einrichten, nachdem Sie das Google Cloud-Projekt und die IAM-Federationsdienste für die Mitarbeiteridentität konfiguriert haben, um eine Verknüpfung mit Google SecOps herzustellen.

Wenn Sie ein neuer Google SecOps-Kunde sind, führen Sie die folgenden Schritte aus:

1. Erstellen Sie ein Google Cloud-Projekt und aktivieren Sie die Google SecOps API. Weitere Informationen finden Sie unter Google Cloud-Projekt für Google SecOps konfigurieren.

2. Geben Sie Ihrem Google SecOps-Kundenservicemitarbeiter die Projekt-ID an, die Sie an die Google SecOps-Instanz binden möchten. Nachdem der Google SecOps-Customer Engineer den Prozess gestartet hat, erhalten Sie eine Bestätigungs-E-Mail.

3. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das Sie im vorherigen Schritt angegeben haben.

4. Gehen Sie zu Sicherheit > Google SecOps.

5. Wenn Sie die Google SecOps API nicht aktiviert haben, wird die Schaltfläche Jetzt starten angezeigt. Klicken Sie auf die Schaltfläche Jetzt starten und führen Sie die Schritte zur Aktivierung der Google SecOps API aus.

6. Geben Sie im Bereich Unternehmensinformationen Ihre Unternehmensinformationen ein und klicken Sie auf Weiter.

7. Überprüfen Sie die Informationen zum Dienstkonto und klicken Sie dann auf Weiter. Google SecOps erstellt ein Dienstkonto im Projekt und legt die erforderlichen Rollen und Berechtigungen fest.

8. Wählen Sie je nach dem Identitätsanbieter, mit dem Sie den Nutzer- und Gruppenzugriff auf Google Security Operations verwalten, eine der folgenden Optionen aus:

   • Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie die Option Google Cloud Identity aus.

   • Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, wählen Sie den gewünschten Anbieter für die Mitarbeiteridentität aus. Sie haben diese Informationen beim Konfigurieren der Workforce Identity-Föderation festgelegt.

9. Geben Sie unter Hier IdP-Administratorgruppen eingeben den gemeinsamen Namen für eine oder mehrere IdP-Gruppen ein, die Administratoren enthalten, die den Nutzerzugriff auf SOAR-bezogene Funktionen konfigurieren. Sie haben diese Gruppen identifiziert und erstellt, als Sie Nutzerattribute und ‑gruppen im Identitätsanbieter definiert haben.

10. Maximieren Sie die Nutzungsbedingungen. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Einrichtung starten.

    Es kann bis zu 15 Minuten dauern, bis die Google Security Operations-Instanz bereitgestellt ist. Sie werden benachrichtigt, sobald die Instanz bereitgestellt wurde. Wenn die Einrichtung fehlschlägt, wenden Sie sich an Ihren Google Cloud-Kundenbetreuer.

11. Wenn Sie Google Cloud Identity ausgewählt haben, müssen Sie Nutzern und Gruppen mithilfe von IAM eine Google Security Operations-Rolle zuweisen, damit sie sich in Google Security Operations anmelden können. Führen Sie diesen Schritt mit dem Google Cloud-Projekt aus, das Sie zuvor mit Google Security Operations verknüpft haben.

    Mit dem folgenden Befehl wird einem einzelnen Nutzer mit der gcloud die Rolle Chronicle API-Betrachter (roles/chronicle.viewer) zugewiesen.

    Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: mit der Projekt-ID des mit Google Security Operations verknüpften Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren konfiguriert haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.
    • EMAIL_ALIAS: E-Mail-Adresse eines einzelnen Nutzers, z. B. user:alice@example.com.

    Beispiele dazu, wie Sie anderen Mitgliedern wie einer Gruppe oder Domain Rollen zuweisen, finden Sie in der Referenzdokumentation zu gcloud projects add-iam-policy-binding und Principal-IDs.

Konfiguration der Einmalanmeldung (SSO) ändern

In den folgenden Abschnitten wird beschrieben, wie Sie Identitätsanbieter ändern:

• Drittanbieter-Identitätsanbieter ändern
• Von einem Identitätsanbieter von Drittanbietern zu Cloud Identity migrieren

Externen Identitätsanbieter ändern

1. Richten Sie den neuen Drittanbieter-Identitätsanbieter und Workforce Identity-Pool ein.

2. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IDP-Gruppenzuordnung in Gruppen im neuen Identitätsanbieter.

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration für Google SecOps zu ändern:

1. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das mit Google SecOps verknüpft ist.

2. Klicken Sie auf Sicherheit > Google SecOps.

3. Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On (Einmalanmeldung). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

4. Über das Menü Einmalanmeldung können Sie den SSO-Anbieter ändern.

5. Klicken Sie mit der rechten Maustaste auf den Link Einmalanmeldung (SSO) testen und öffnen Sie dann ein privates oder Inkognitofenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

6. Kehren Sie zur Google Cloud Console zurück, klicken Sie auf die Seite Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmelden mit einer einzigen Anmeldung.

7. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

8. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von einem externen Identitätsanbieter zu Google Cloud Identity zu ändern:

1. Konfigurieren Sie entweder Cloud Identity oder Google Workspace als Identitätsanbieter.
2. Weisen Sie Nutzern und Gruppen im Google SecOps-gebundenen Projekt die vordefinierten Chronicle IAM-Rollen und ‑Berechtigungen zu.

3. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IDP-Gruppenzuordnung in Gruppen im neuen Identitätsanbieter.

4. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud-Projekt aus, das mit Google SecOps verknüpft ist.

5. Gehen Sie zu Sicherheit > Chronicle SecOps.

6. Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On (Einmalanmeldung). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

7. Klicken Sie das Kästchen Google Cloud Identity an.

8. Klicken Sie mit der rechten Maustaste auf den Link Einmalanmeldung (SSO) testen und öffnen Sie dann ein privates oder Inkognitofenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters.

9. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Übersicht > Tab Einmalanmeldung.

10. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

11. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.