Vincula Google SecOps a los servicios de Google Cloud
Google SecOps depende de los servicios de Google Cloud para ciertas funciones, como la autenticación. En este documento, se describe cómo configurar una instancia de Google SecOps para que se vincule a estos servicios de Google Cloud. Proporciona información para los usuarios que configuran una nueva instancia de Google SecOps y para los que migran una instancia existente de Google SecOps.
Antes de comenzar
Antes de configurar una instancia de Google SecOps con los servicios de Google Cloud, debes hacer lo siguiente:
Crea un proyecto de Google Cloud y habilita la API de Chronicle. Consulta Configura un proyecto de Google Cloud para Google SecOps para obtener más información.
Configura un proveedor de SSO para la instancia de Google SecOps.
Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros. Si usas un proveedor de identidad de terceros, sigue los pasos que se indican en Configura un proveedor de identidad de terceros para las Operaciones de seguridad de Google.
Si usas Cloud Identity o Google Workspace, consulta Cómo configurar un proveedor de identidad de Google Cloud.
Asegúrate de tener los permisos para realizar los pasos de este documento. Para obtener información sobre los permisos necesarios para cada fase del proceso de integración, consulta Roles obligatorios.
Completa una de las siguientes secciones según si eres un cliente nuevo o existente.
Si deseas vincular una instancia de Google Security Operations creada para un proveedor de servicios de seguridad administrados (MSSP), comunícate con tu ingeniero de clientes de Google SecOps para obtener ayuda. La configuración requiere la asistencia de un representante de Google Security Operations.
Después de completar los pasos para vincular el proyecto de Google Cloud a Google SecOps, puedes examinar los datos del proyecto de Google Cloud en Google SecOps, lo que te permite supervisar de cerca tu proyecto en busca de cualquier tipo de vulneración de la seguridad.
Migra una instancia existente de Google SecOps
En las siguientes secciones, se describe cómo migrar una instancia existente de Google SecOps para que esté vinculada a un proyecto de Google Cloud y use IAM para administrar el control de acceso a las funciones.
Vincula un proyecto y un proveedor de personal
En el siguiente procedimiento, se describe cómo conectar una instancia existente de Google SecOps con un proyecto de Google Cloud y configurar el SSO con los servicios de federación de identidades de personal de IAM.
Accede a Google SecOps.
En la barra de navegación, selecciona Configuración > Configuración de SIEM.
Haz clic en Google Cloud Platform.
Ingresa el ID del proyecto de Google Cloud para vincularlo a la instancia de Google SecOps.
Haz clic en Generate Link.
Haz clic en Conectar con Google Cloud Platform. Se abrirá la consola de Google Cloud. Si ingresaste un ID del proyecto de Google Cloud incorrecto en la aplicación de Google SecOps, vuelve a la página Google Cloud Platform en Google SecOps y, luego, ingresa el ID del proyecto correcto.
En la consola de Google Cloud, ve a Seguridad > Google SecOps.
Verifica la cuenta de servicio que se creó para el proyecto de Google Cloud.
En Configurar el inicio de sesión único, selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:
Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.
Si usas un proveedor de identidad de terceros, selecciona Federación de identidades de personal y, luego, selecciona el proveedor de personal que deseas usar. Puedes configurar esto cuando configuras la federación de identidades de personal.
Si seleccionaste Workforce Identity Federation, haz clic con el botón derecho en el vínculo Test SSO setup y, luego, ábrelo en una ventana privada o de incógnito.
- Si ves una pantalla de acceso, significa que la configuración del SSO se realizó correctamente.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad de terceros. Consulta Cómo configurar un proveedor de identidad de terceros para Google SecOps.
Continúa con la siguiente sección: Cómo migrar los permisos existentes a IAM.
Migra los permisos existentes a IAM
Después de migrar una instancia existente de Google SecOps, puedes usar comandos generados automáticamente para migrar los permisos y roles existentes a IAM. Google SecOps crea estos comandos con la configuración de control de acceso de RBAC de funciones previa a la migración. Cuando se ejecutan, crean nuevas políticas de IAM equivalentes a tu configuración existente, como se define en Google SecOps en la página Configuración de SIEM > Usuarios y grupos.
Después de ejecutar estos comandos, no podrás volver a la función de control de acceso de RBAC de funciones anterior. Si tienes un problema, comunícate con el equipo de asistencia técnica.
- En la consola de Google Cloud, ve a Seguridad > Google SecOps > pestaña Administración de acceso.
- En Migrate role bindings, verás un conjunto de comandos de Google Cloud CLI generados automáticamente.
- Revisa y verifica que los comandos creen los permisos esperados. Para obtener información sobre los roles y los permisos de Google SecOps, consulta Cómo se asignan los permisos de IAM a cada rol de RBAC de funciones.
- Inicia una sesión de Cloud Shell.
- Copia los comandos generados automáticamente y, luego, pégalos y ejecútalos en la gcloud CLI.
- Después de ejecutar todos los comandos, haz clic en Verificar acceso. Si se realiza correctamente, verás el mensaje Access verified en la Administración de acceso de SecOps de Google. De lo contrario, verás el mensaje Acceso denegado. Es posible que tarde entre 1 y 2 minutos en aparecer.
- Para completar la migración, vuelve a la pestaña Security > Google SecOps > Access management y, luego, haz clic en Enable IAM.
- Verifica que puedas acceder a Google SecOps como un usuario con el rol de administrador de la API de Chronicle.
- Accede a Google SecOps como un usuario con el rol predefinido de administrador de la API de Chronicle. Consulta Cómo acceder a Google Security Operations para obtener más información.
- Abre la página Menú de la aplicación > Configuración > Usuarios y grupos. Deberías ver el mensaje: Para administrar usuarios y grupos, ve a Identity Access Management (IAM) en la consola de Google Cloud. Obtén más información para administrar usuarios y grupos.
- Accede a SecOps de Google como un usuario con un rol diferente. Consulta Cómo acceder a Google SecOps para obtener más información.
- Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en IAM.
Cómo configurar una nueva instancia de Google SecOps
En el siguiente procedimiento, se describe cómo configurar una instancia nueva de Google SecOps por primera vez, después de configurar el proyecto de Google Cloud y los servicios de federación de identidades de personal de IAM para vincularlos a Google SecOps.
Si eres un cliente nuevo de Google SecOps, completa los siguientes pasos:
Crea un proyecto de Google Cloud y habilita la API de Google SecOps. Consulta Configura un proyecto de Google Cloud para Google SecOps para obtener más información.
Proporciona a tu ingeniero de atención al cliente de Google SecOps el ID del proyecto que planeas vincular a la instancia de Google SecOps. Una vez que el Ingeniero de Atención al cliente de SecOps de Google inicie el proceso, recibirás un correo electrónico de confirmación.
Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que proporcionaste en el paso anterior.
Ve a Seguridad > Google SecOps.
Si no habilitaste la API de Google SecOps, verás el botón Introducción. Haz clic en el botón Introducción y, luego, completa los pasos guiados para habilitar la API de Google SecOps.
En la sección Información de la empresa, ingresa la información de tu empresa y, luego, haz clic en Siguiente.
Revisa la información de la cuenta de servicio y, luego, haz clic en Siguiente. Google SecOps crea una cuenta de servicio en el proyecto y establece los roles y permisos necesarios.
Selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google Security Operations:
Si usas Cloud Identity o Google Workspace, selecciona la opción Google Cloud Identity.
Si usas un proveedor de identidad de terceros, selecciona el proveedor de personal que deseas usar. Puedes configurarlo cuando configuras la federación de identidades de personal.
En Ingresa tus grupos de administradores de IdP aquí, ingresa el nombre común de uno o más grupos de IdP que incluyan administradores que configuren el acceso de los usuarios a las funciones relacionadas con SOAR. Identificaste y creaste estos grupos cuando definiste los atributos y los grupos de usuarios en la IdP.
Expande las Condiciones del Servicio. Si aceptas las condiciones, haz clic en Iniciar configuración.
La aprovisionación de la instancia de Google Security Operations puede tardar hasta 15 minutos. Recibirás una notificación cuando se aprovisione correctamente la instancia. Si la configuración falla, comunícate con tu representante de atención al cliente de Google Cloud.
Si seleccionaste Google Cloud Identity, asegúrate de asignar un rol de Google Security Operations a los usuarios y grupos con IAM para que los usuarios puedan acceder a Google Security Operations. Realiza este paso con el proyecto de Google Cloud vinculado a Google Security Operations que creaste antes.
El siguiente comando otorga el rol de Visualizador de la API de Chronicle (
roles/chronicle.viewer
) a un solo usuario congcloud
.Para usar la consola de Google Cloud, consulta Otorga un solo rol.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member='EMAIL_ALIAS"
Reemplaza lo siguiente:
PROJECT_ID
: con el ID del proyecto vinculado a Google Security Operations que configuraste en Configura un proyecto de Google Cloud para Google Security Operations. Consulta Crea y administra proyectos para obtener una descripción de los campos que identifican un proyecto.EMAIL_ALIAS
: Es el correo electrónico de un usuario individual, por ejemplo,user:alice@example.com
.
Para ver ejemplos de cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta gcloud projects add-iam-policy-binding y la documentación de referencia de Identificadores principales.
Cambia la configuración de inicio de sesión único (SSO)
En las siguientes secciones, se describe cómo cambiar los proveedores de identidad:
- Cómo cambiar el proveedor de identidad de terceros
- Cómo migrar de un proveedor de identidad de terceros a Cloud Identity
Cambia el proveedor de identidad de terceros
Configura el nuevo proveedor de identidad de terceros y el grupo de identidades de personal.
En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IDP, cambia la asignación de grupos de IDP para hacer referencia a los grupos en el nuevo proveedor de identidad.
Completa los siguientes pasos para cambiar la configuración de SSO de Google SecOps:
Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que está vinculado a Google SecOps.
Ve a Seguridad > Google SecOps.
En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.
Usa el menú Inicio de sesión único para cambiar los proveedores de SSO.
Haz clic con el botón derecho en el vínculo Test SSO setup y, luego, abre una ventana privada o de incógnito.
- Si ves una pantalla de acceso, significa que la configuración del SSO se realizó correctamente. Continúa con el siguiente paso.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad de terceros. Consulta Cómo configurar un proveedor de identidad de terceros para Google SecOps.
Regresa a la consola de Google Cloud, haz clic en la página Seguridad > Google SecOps > Descripción general y, luego, en la pestaña Inicio de sesión único.
Haz clic en Guardar en la parte inferior de la página para actualizar el nuevo proveedor.
Verifica que puedas acceder a Google SecOps.
Migra de un proveedor de identidad de terceros a Cloud Identity
Completa los siguientes pasos para cambiar la configuración del SSO de un proveedor de identidad externo a Cloud Identity de Google:
- Asegúrate de configurar Cloud Identity o Google Workspace como el proveedor de identidad.
- Otorga los roles y permisos de IAM predefinidos de Chronicle a los usuarios y grupos del proyecto vinculado a SecOps de Google.
En Google SecOps, en Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IDP, cambia la asignación de grupos de IDP para hacer referencia a los grupos en el nuevo proveedor de identidad.
Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud que está vinculado a Google SecOps.
Ve a Seguridad > Chronicle SecOps.
En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los proveedores de identidad que configuraste cuando configuraste un proveedor de identidad de terceros para Google SecOps.
Selecciona la casilla de verificación Google Cloud Identity.
Haz clic con el botón derecho en el vínculo Test SSO setup y, luego, abre una ventana privada o de incógnito.
- Si ves una pantalla de acceso, significa que la configuración del SSO se realizó correctamente. Continúa con el siguiente paso.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad.
Regresa a la consola de Google Cloud y, luego, haz clic en Seguridad > Chronicle SecOps > página Descripción general > pestaña Inicio de sesión único.
Haz clic en Guardar en la parte inferior de la página para actualizar el nuevo proveedor.
Verifica que puedas acceder a Google SecOps.