Associer Google SecOps aux services Google Cloud

Compatible avec:

Google SecOps dépend des services Google Cloud pour certaines fonctionnalités, comme l'authentification. Ce document explique comment configurer une instance Google SecOps pour l'associer à ces services Google Cloud. Il fournit des informations aux utilisateurs qui configurent une nouvelle instance Google SecOps et à ceux qui migrent une instance Google SecOps existante.

Avant de commencer

Avant de configurer une instance Google SecOps avec les services Google Cloud, vous devez procéder comme suit:

Suivez l'une des sections suivantes selon que vous êtes un nouveau client ou un client existant.

Si vous souhaitez associer une instance Google Security Operations créée pour un fournisseur de services de sécurité gérés (MSSP, Managed Security Service Provider), contactez votre ingénieur client Google SecOps pour obtenir de l'aide. La configuration nécessite l'aide d'un représentant de Google Security Operations.

Une fois que vous avez lié le projet Google Cloud à Google SecOps, vous pouvez examiner les données du projet Google Cloud dans Google SecOps, ce qui vous permet de surveiller de près votre projet pour détecter tout type de faille de sécurité.

Migrer une instance Google SecOps existante

Les sections suivantes expliquent comment migrer une instance Google SecOps existante afin qu'elle soit associée à un projet Google Cloud et qu'elle utilise IAM pour gérer le contrôle des accès aux fonctionnalités.

Associer à un projet et à un fournisseur de main-d'œuvre

La procédure suivante explique comment connecter une instance Google SecOps existante à un projet Google Cloud et configurer l'authentification unique à l'aide des services de fédération d'identité de personnel IAM.

  1. Connectez-vous à Google SecOps.

  2. Dans la barre de navigation, sélectionnez Settings > SIEM Settings (Paramètres > Paramètres du SIEM).

  3. Cliquez sur Google Cloud Platform.

  4. Saisissez l'ID de projet Google Cloud pour associer le projet à l'instance Google SecOps.

  5. Cliquez sur Générer un lien.

  6. Cliquez sur Se connecter à Google Cloud Platform. La console Google Cloud s'ouvre. Si vous avez saisi un ID de projet Google Cloud incorrect dans l'application Google SecOps, revenez à la page Google Cloud Platform dans Google SecOps et saisissez l'ID de projet correct.

  7. Dans la console Google Cloud, accédez à Sécurité > Google SecOps.

  8. Vérifiez le compte de service créé pour le projet Google Cloud.

  9. Sous Configurer l'authentification unique, sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez Fédération des identités des employés, puis le fournisseur de personnel que vous souhaitez utiliser. Vous le configurez lorsque vous configurez la fédération d'identité de personnel.

  10. Si vous avez sélectionné Workforce Identity Federation (Fédération Workforce Identity), effectuez un clic droit sur le lien Tester la configuration de l'authentification unique, puis ouvrez-le dans une fenêtre privée ou de navigation privée.

  11. Passez à la section suivante : Migrer les autorisations existantes vers IAM.

Migrer les autorisations existantes vers IAM

Après avoir migré une instance Google SecOps existante, vous pouvez utiliser des commandes générées automatiquement pour migrer les autorisations et les rôles existants vers IAM. Google SecOps crée ces commandes à l'aide de votre configuration de contrôle des accès RBAC de fonctionnalité avant la migration. Lorsqu'elles sont exécutées, elles créent des règles IAM équivalentes à votre configuration existante, comme défini dans Google SecOps sur la page SIEM Settings (Paramètres SIEM) > Users and Groups (Utilisateurs et groupes).

Une fois ces commandes exécutées, vous ne pouvez plus revenir à l'ancienne fonctionnalité de contrôle des accès RBAC de fonctionnalité. En cas de problème, contactez l'assistance technique.

  1. Dans la console Google Cloud, accédez à Sécurité > Google SecOps > onglet Gestion des accès.
  2. Sous Migrate role bindings (Migrer les liaisons de rôle), vous trouverez un ensemble de commandes Google Cloud CLI générées automatiquement.
  3. Examinez et vérifiez que les commandes créent les autorisations attendues. Pour en savoir plus sur les rôles et les autorisations Google SecOps, consultez Comment les autorisations IAM correspondent à chaque rôle RBAC de fonctionnalité.
  4. Lancez une session Cloud Shell.
  5. Copiez les commandes générées automatiquement, puis collez-les et exécutez-les dans gcloud CLI.
  6. Une fois toutes les commandes exécutées, cliquez sur Valider l'accès. Si l'opération réussit, le message Accès validé s'affiche dans la section Gestion des accès de Google SecOps. Sinon, le message Accès refusé s'affiche. L'affichage peut prendre une à deux minutes.
  7. Pour terminer la migration, revenez à l'onglet Security (Sécurité) > Google SecOps (Google SecOps) > Access management (Gestion des accès), puis cliquez sur Enable IAM (Activer IAM).
  8. Vérifiez que vous pouvez accéder à Google SecOps en tant qu'utilisateur disposant du rôle "Administrateur de l'API Chronicle".
    1. Connectez-vous à Google SecOps en tant qu'utilisateur disposant du rôle prédéfini d'administrateur de l'API Chronicle. Pour en savoir plus, consultez Se connecter à Google Security Operations.
    2. Ouvrez la page Menu de l'application > Paramètres > Utilisateurs et groupes. Le message suivant s'affiche: Pour gérer les utilisateurs et les groupes, accédez à Identity Access Management (IAM) (Identity and Access Management) dans la console Google Cloud. En savoir plus sur la gestion des utilisateurs et des groupes
  9. Connectez-vous à Google SecOps en tant qu'utilisateur disposant d'un autre rôle. Pour en savoir plus, consultez la section Se connecter à Google SecOps.
  10. Vérifiez que les fonctionnalités disponibles dans l'application correspondent aux autorisations définies dans IAM.

Configurer une instance Google SecOps

La procédure suivante explique comment configurer une instance Google SecOps pour la première fois, après avoir configuré le projet Google Cloud et les services de fédération d'identité de personnel IAM pour les associer à Google SecOps.

Si vous êtes un nouveau client Google SecOps, procédez comme suit:

  1. Créez un projet Google Cloud et activez l'API Google SecOps. Pour en savoir plus, consultez Configurer un projet Google Cloud pour Google SecOps.

  2. Fournissez à votre ingénieur client Google SecOps l'ID de projet que vous prévoyez de lier à l'instance Google SecOps. Une fois que l'ingénieur client SecOps de Google a lancé la procédure, vous recevez un e-mail de confirmation.

  3. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud que vous avez fourni à l'étape précédente.

  4. Accédez à Sécurité > Google SecOps.

  5. Si vous n'avez pas activé l'API Google SecOps, un bouton Premiers pas s'affiche. Cliquez sur le bouton Premiers pas, puis suivez la procédure guidée pour activer l'API Google SecOps.

  6. Dans la section Informations sur l'entreprise, saisissez les informations sur votre entreprise, puis cliquez sur Suivant.

  7. Vérifiez les informations du compte de service, puis cliquez sur Suivant. Google SecOps crée un compte de service dans le projet et définit les rôles et les autorisations requis.

  8. Sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google Security Operations:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez l'option Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez le fournisseur d'identité des employés que vous souhaitez utiliser. Vous le configurez lorsque vous configurez la fédération d'identité de personnel.

  9. Sous Saisissez ici les groupes d'administrateurs de votre IdP, saisissez le nom commun d'un ou de plusieurs groupes d'IDP qui incluent des administrateurs qui configurent l'accès des utilisateurs aux fonctionnalités liées à SOAR. Vous avez identifié et créé ces groupes lorsque vous avez défini des attributs et des groupes utilisateur dans l'IDP.

  10. Développez la section Conditions d'utilisation. Si vous acceptez les conditions, cliquez sur Démarrer la configuration.

    L'instance Google Security Operations peut prendre jusqu'à 15 minutes à être provisionnée. Vous recevrez une notification une fois l'instance provisionnée. Si la configuration échoue, contactez votre représentant client Google Cloud.

  11. Si vous avez sélectionné Google Cloud Identity, assurez-vous d'attribuer un rôle Google Security Operations aux utilisateurs et aux groupes à l'aide d'IAM afin qu'ils puissent se connecter à Google Security Operations. Effectuez cette étape à l'aide du projet Google Cloud associé à Google Security Operations que vous avez créé précédemment.

    La commande suivante accorde le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) à un seul utilisateur à l'aide de gcloud.

    Pour utiliser la console Google Cloud, consultez Attribuer un rôle unique.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Remplacez les éléments suivants :

    Pour savoir comment attribuer des rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence gcloud projects add-iam-policy-binding et Principal identifiers (Identifiants principaux).

Modifier la configuration de l'authentification unique (SSO)

Les sections suivantes expliquent comment modifier les fournisseurs d'identité:

Modifier le fournisseur d'identité tiers

  1. Configurez le nouveau fournisseur d'identité tiers et le pool d'identités de personnel.

  2. Dans Google SecOps, sous Settings > SOAR settings > Advanced > IDP group mapping, modifiez le mappage des groupes d'IDP pour référencer les groupes dans le nouveau fournisseur d'identité.

Pour modifier la configuration SSO de Google SecOps, procédez comme suit:

  1. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud associé à Google SecOps.

  2. Accédez à Sécurité > Google SecOps.

  3. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

  4. Utilisez le menu Authentification unique pour modifier les fournisseurs d'authentification unique.

  5. Cliquez avec le bouton droit de la souris sur le lien Tester la configuration de l'authentification unique, puis ouvrez une fenêtre privée ou de navigation privée.

  6. Revenez dans la console Google Cloud, accédez à la page Sécurité > Google SecOps > Présentation, puis cliquez sur l'onglet Authentification unique.

  7. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

  8. Vérifiez que vous pouvez vous connecter à Google SecOps.

Migrer d'un fournisseur d'identité tiers vers Cloud Identity

Pour remplacer un fournisseur d'identité tiers par Google Cloud Identity dans la configuration de l'authentification unique, procédez comme suit:

  1. Veillez à configurer Cloud Identity ou Google Workspace comme fournisseur d'identité.
  2. Accordez les rôles et autorisations IAM Chronicle prédéfinis aux utilisateurs et aux groupes du projet Google SecOps.

  3. Dans Google SecOps, sous Settings > SOAR settings > Advanced > IDP group mapping, modifiez le mappage des groupes d'IDP pour référencer les groupes dans le nouveau fournisseur d'identité.

  4. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud associé à Google SecOps.

  5. Accédez à Sécurité > Chronicle SecOps.

  6. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

  7. Cochez la case Google Cloud Identity.

  8. Cliquez avec le bouton droit de la souris sur le lien Tester la configuration de l'authentification unique, puis ouvrez une fenêtre privée ou de navigation privée.

    • Si un écran de connexion s'affiche, la configuration de l'authentification unique a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité.

  9. Revenez dans la console Google Cloud, puis cliquez sur Sécurité > Chronicle SecOps > page Vue d'ensemble > onglet Authentification unique.

  10. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

  11. Vérifiez que vous pouvez vous connecter à Google SecOps.