Associer Google SecOps aux services Google Cloud

Google SecOps dépend des services Google Cloud pour certaines fonctionnalités, telles que l'authentification. Ce document explique comment configurer une instance Google SecOps pour la lier à ces services Google Cloud. Il fournit des informations aux utilisateurs qui configurent une nouvelle instance Google SecOps et à ceux qui migrent une instance Google SecOps existante.

Avant de commencer

Avant de configurer une instance Google SecOps avec des services Google Cloud, vous devez effectuer les opérations suivantes:

Remplissez l'une des sections suivantes, selon que vous êtes un nouveau client ou un client existant.

Si vous souhaitez lier une instance Google Security Operations créée pour un fournisseur de services de sécurité gérés (MSSP), contactez votre ingénieur client Google SecOps pour obtenir de l'aide. Cette configuration nécessite l'aide d'un représentant Google Security Operations.

Migrer une instance Google SecOps existante

La procédure suivante explique comment connecter une instance Google SecOps existante à un projet Google Cloud et configurer l'authentification unique à l'aide des services IAM de fédération des identités des employés.

  1. Connectez-vous à Google SecOps.

  2. Dans la barre de navigation, sélectionnez Settings > SIEM Settings (Paramètres > Paramètres SIEM).

  3. Cliquez sur Google Cloud Platform.

  4. Saisissez l'ID du projet Google Cloud pour associer le projet à l'instance Google SecOps.

  5. Cliquez sur Générer un lien.

  6. Cliquez sur Se connecter à Google Cloud Platform. La console Google Cloud s'ouvre. Si vous avez saisi un ID de projet Google Cloud incorrect dans l'application Google SecOps, revenez à la page Google Cloud Platform de Google SecOps et saisissez le bon ID de projet.

  7. Dans la console Google Cloud, accédez à Sécurité > Google SecOps.

  8. Vérifiez le compte de service créé pour le projet Google Cloud.

  9. Sous Configurer l'authentification unique, sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez Fédération des identités des employés, puis le fournisseur de personnel que vous souhaitez utiliser. Cette configuration s'effectue lors de la configuration de la fédération des identités des employés.

  10. Si vous avez sélectionné Fédération des identités des employés, effectuez un clic droit sur le lien Tester la configuration de l'authentification unique, puis ouvrez-le dans une fenêtre de navigation privée.

Une fois que vous avez effectué ces étapes pour lier le projet Google Cloud à Google SecOps, vous pouvez examiner les données du projet Google Cloud dans Google SecOps, ce qui vous permet de surveiller de près votre projet pour détecter tout type de compromission de sécurité.

Configurer une nouvelle instance Google SecOps

La procédure suivante explique comment configurer une nouvelle instance Google SecOps pour la première fois après avoir configuré le projet Google Cloud et les services IAM de fédération des identités des employés pour les associer à Google SecOps.

Si vous êtes un nouveau client Google SecOps, procédez comme suit:

  1. Créez un projet Google Cloud et activez l'API Google SecOps. Pour en savoir plus, consultez Configurer un projet Google Cloud pour Google SecOps.

  2. Transmettez à votre ingénieur client Google SecOps l'ID du projet que vous prévoyez d'associer à l'instance Google SecOps. Une fois que l'ingénieur client Google SecOps a lancé le processus, vous recevez un e-mail de confirmation.

  3. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud que vous avez fourni à l'étape précédente.

  4. Accédez à Sécurité > Google SecOps.

  5. Si vous n'avez pas activé l'API Google SecOps, un bouton Getting Started (Premiers pas) s'affiche. Cliquez sur le bouton Getting Started (Premiers pas), puis suivez la procédure guidée pour activer l'API Google SecOps.

  6. Dans la section Company Information (Informations sur l'entreprise), saisissez les informations sur votre entreprise, puis cliquez sur Next (Suivant).

  7. Vérifiez les informations du compte de service, puis cliquez sur Suivant. Google SecOps crée un compte de service dans le projet et définit les rôles et les autorisations requis.

  8. Sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google Security Operations:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez l'option Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez le fournisseur d'employés que vous souhaitez utiliser. Vous devez définir cette option au moment de configurer la fédération des identités des employés.

  9. Sous Input your IDP Admin Groups here (Saisissez ici vos groupes d'administrateurs IdP), saisissez le nom commun d'un ou de plusieurs groupes IdP comprenant des administrateurs qui configurent l'accès des utilisateurs aux fonctionnalités SOAR. Vous avez identifié et créé ces groupes lorsque vous avez défini des attributs utilisateur et des groupes dans l'IdP.

  10. Développez la section Conditions d'utilisation. Si vous acceptez les conditions d'utilisation, cliquez sur Démarrer la configuration.

    Le provisionnement de l'instance Google Security Operations peut prendre jusqu'à 15 minutes. Vous recevrez une notification une fois l'instance provisionnée. Si la configuration échoue, contactez votre représentant Google Cloud.

  11. Si vous avez sélectionné Google Cloud Identity, veillez à attribuer un rôle Google Security Operations aux utilisateurs et aux groupes à l'aide d'IAM afin qu'ils puissent se connecter à Google Security Operations. Effectuez cette étape à l'aide du projet Google Cloud lié à Google Security Operations que vous avez créé précédemment.

    La commande suivante attribue le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) à un seul utilisateur à l'aide de gcloud.

    Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Remplacez les éléments suivants :

    Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence sur gcloud projects add-iam-policy-binding et sur les identifiants principaux.

Modifier la configuration de l'authentification unique (SSO)

Les sections suivantes décrivent comment

Modifier le fournisseur d'identité tiers

Pour modifier la configuration de l'authentification unique pour Google SecOps, procédez comme suit:

  1. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud associé à Google SecOps.

  2. Accédez à Sécurité > Google SecOps.

  3. Sur la page Overview (Aperçu), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez configurés lors de la configuration d'un fournisseur d'identité tiers pour Google SecOps.

  4. Utilisez le menu Single Sign-On (Authentification unique) pour changer de fournisseur SSO.

  5. Effectuez un clic droit sur le lien Test SSO setup (Tester la configuration de l'authentification unique), puis ouvrez une fenêtre de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration de l'authentification unique a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité tiers. Consultez Configurer un fournisseur d'identité tiers pour Google SecOps.

  6. Revenez à la console Google Cloud, cliquez sur la page Security > Google SecOps > Overview (Sécurité > Google SecOps > Vue d'ensemble), puis sur l'onglet Single Sign-On (Authentification unique).

  7. Cliquez sur Save (Enregistrer) en bas de la page pour mettre à jour le nouveau fournisseur.

  8. Vérifiez que vous pouvez vous connecter à Google SecOps.

Effectuer une migration d'un fournisseur d'identité tiers vers Cloud Identity

Pour remplacer la configuration de l'authentification unique par un fournisseur d'identité tiers par Google Cloud Identity, procédez comme suit:

  1. Veillez à configurer Cloud Identity ou Google Workspace en tant que fournisseur d'identité.
  2. Accordez les rôles et autorisations IAM Chronicle prédéfinis aux utilisateurs et aux groupes dans le projet lié à Google SecOps.

  3. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud associé à Google SecOps.

  4. Accédez à Sécurité > Chronicle SecOps.

  5. Sur la page Overview (Aperçu), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez configurés lors de la configuration d'un fournisseur d'identité tiers pour Google SecOps.

  6. Cochez la case Google Cloud Identity.

  7. Effectuez un clic droit sur le lien Test SSO setup (Tester la configuration de l'authentification unique), puis ouvrez une fenêtre de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration de l'authentification unique a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité.

  8. Revenez à la console Google Cloud, puis cliquez sur Sécurité > Chronicle SecOps > page Présentation > onglet Authentification unique.

  9. Cliquez sur Save (Enregistrer) en bas de la page pour mettre à jour le nouveau fournisseur.

  10. Vérifiez que vous pouvez vous connecter à Google SecOps.