Collegare Google SecOps ai servizi Google Cloud

Google SecOps dipende dai servizi Google Cloud per determinate funzionalità, come l'autenticazione. Questo documento descrive come configurare un'istanza Google SecOps da associare a questi servizi Google Cloud. Fornisce informazioni per gli utenti che stanno configurando una nuova istanza Google SecOps e per quelli che stanno eseguendo la migrazione di un'istanza Google SecOps esistente.

Prima di iniziare

Prima di configurare un'istanza Google SecOps con i servizi Google Cloud, devi seguire questi passaggi:

Completa una delle seguenti sezioni a seconda che tu sia un cliente nuovo o un cliente esistente.

Se vuoi associare un'istanza Google Security Operations creata per un fornitore di servizi di sicurezza gestiti (MSSP), contatta il tuo Customer Engineer di Google SecOps per ricevere assistenza. La configurazione richiede l'assistenza di un rappresentante Google Security Operations.

Esegui la migrazione di un'istanza Google SecOps esistente

La procedura seguente descrive come connettere un'istanza Google SecOps esistente a un progetto Google Cloud e configurare SSO utilizzando i servizi di federazione delle identità per la forza lavoro IAM.

  1. Accedi a Google SecOps.

  2. Nella barra di navigazione, seleziona Settings (Impostazioni) > SIEM Settings (Impostazioni SIEM).

  3. Fai clic su Piattaforma Google Cloud.

  4. Inserisci l'ID progetto Google Cloud per collegare il progetto all'istanza Google SecOps.

  5. Fai clic su Genera link.

  6. Fai clic su Connetti a Google Cloud. Si apre la console Google Cloud. Se hai inserito un ID progetto Google Cloud non corretto nell'applicazione Google SecOps, torna alla pagina Piattaforma Google Cloud in Google SecOps e inserisci l'ID progetto corretto.

  7. Nella console Google Cloud, vai a Sicurezza > Google SecOps.

  8. Verifica l'account di servizio creato per il progetto Google Cloud.

  9. In Configura Single Sign-On, seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

    • Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.

    • Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità per la forza lavoro, quindi seleziona il provider di forza lavoro che vuoi utilizzare. Puoi impostare questa opzione durante la configurazione della federazione delle identità della forza lavoro.

  10. Se hai selezionato Federazione delle identità per la forza lavoro, fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi aprilo in una finestra di navigazione privata o in incognito.

Dopo aver completato questi passaggi per associare il progetto Google Cloud a Google SecOps, puoi esaminare i dati del progetto Google Cloud in Google SecOps, in modo da monitorare attentamente il progetto per qualsiasi tipo di compromissione della sicurezza.

Configura una nuova istanza Google SecOps

La seguente procedura descrive come configurare una nuova istanza Google SecOps per la prima volta, dopo aver configurato il progetto Google Cloud e i servizi di federazione delle identità per la forza lavoro IAM per il collegamento a Google SecOps.

Se sei un nuovo cliente Google SecOps, completa i seguenti passaggi:

  1. Crea un progetto Google Cloud e abilita l'API Google SecOps. Per saperne di più, consulta Configurare un progetto Google Cloud per Google SecOps.

  2. Fornisci al tuo Customer Engineer di Google SecOps l'ID progetto che prevedi di associare all'istanza Google SecOps. Dopo che il Customer Engineer di Google SecOps avvia la procedura, riceverai un'email di conferma.

  3. Apri la console Google Cloud, quindi seleziona il progetto Google Cloud che hai fornito nel passaggio precedente.

  4. Vai a Sicurezza > Google SecOps.

  5. Se non hai abilitato l'API Google SecOps, sarà visualizzato un pulsante Per iniziare. Fai clic sul pulsante Inizia e completa i passaggi guidati per attivare l'API Google SecOps.

  6. Nella sezione Company Information (Informazioni sull'azienda), inserisci le informazioni sull'azienda e fai clic su Next (Avanti).

  7. Esamina i dati dell'account di servizio e fai clic su Avanti. Google SecOps crea un account di servizio nel progetto e imposta i ruoli e le autorizzazioni richiesti.

  8. Seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google Security Operations:

  9. In Inserisci qui i tuoi gruppi di amministratori IdP, inserisci il nome comune per uno o più gruppi di IdP che includono gli amministratori che configurano l'accesso degli utenti alle funzionalità relative a SOAR. Hai identificato e creato questi gruppi quando hai definito gli attributi e i gruppi utente nell'IdP.

  10. Espandi i Termini di servizio. Se accetti i termini, fai clic su Avvia configurazione.

    Il provisioning dell'istanza di Google Security Operations potrebbe richiedere fino a 15 minuti. Riceverai una notifica dopo che il provisioning dell'istanza sarà stato eseguito correttamente. Se la configurazione non riesce, contatta il tuo rappresentante clienti Google Cloud.

  11. Se hai selezionato Google Cloud Identity, assicurati di concedere un ruolo Google Security Operations a utenti e gruppi utilizzando IAM, in modo che gli utenti possano accedere a Google Security Operations. Esegui questo passaggio utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

    Il comando seguente concede il ruolo Visualizzatore API Chronicle (roles/chronicle.viewer) a un singolo utente utilizzando gcloud.

    Per utilizzare la console Google Cloud, vedi Concedere un singolo ruolo.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Sostituisci quanto segue:

    Per esempi di come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, consulta la documentazione di riferimento relativa ai progetti gcloud add-iam-policy-binding e agli identificatori principali.

Modifica la configurazione Single Sign-On (SSO)

Le seguenti sezioni descrivono come cambiare i provider di identità:

Cambiare il provider di identità di terze parti

  1. Configura il nuovo provider di identità di terze parti e il pool di identità della forza lavoro.

  2. In Google SecOps, in Settings (Impostazioni) > SOAR settings (Impostazioni SOAR) > Advanced (Avanzate) > IdP group mapping (Mappatura gruppi di IdP), modifica la mappatura dei gruppi di IdP in modo che riguardi i gruppi di riferimento nel nuovo provider di identità.

Completa i seguenti passaggi per modificare la configurazione SSO per Google SecOps:

  1. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  2. Vai a Sicurezza > Google SecOps.

  3. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  4. Utilizza il menu Single Sign-On per cambiare i provider SSO.

  5. Fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi apri una finestra di navigazione privata o in incognito.

  6. Torna alla console Google Cloud, fai clic sulla pagina Sicurezza > Google SecOps > Panoramica, quindi sulla scheda Single Sign-On.

  7. Fai clic su Save (Salva) nella parte inferiore della pagina per aggiornare il nuovo provider.

  8. Verifica di poter accedere a Google SecOps.

Eseguire la migrazione da provider di identità di terze parti a Cloud Identity

Completa i seguenti passaggi per modificare la configurazione SSO dall'utilizzo di un provider di identità di terze parti a Google Cloud Identity:

  1. Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
  2. Concedi i ruoli e le autorizzazioni IAM predefiniti a Chronicle a utenti e gruppi nel progetto collegato a Google SecOps.

  3. In Google SecOps, in Settings (Impostazioni) > SOAR settings (Impostazioni SOAR) > Advanced (Avanzate) > IdP group mapping (Mappatura gruppi di IdP), modifica la mappatura dei gruppi di IdP in modo che riguardi i gruppi di riferimento nel nuovo provider di identità.

  4. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  5. Vai a Sicurezza > Chronicle SecOps.

  6. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  7. Seleziona la casella di controllo Google Cloud Identity.

  8. Fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi apri una finestra di navigazione privata o in incognito.

    • Se viene visualizzata una schermata di accesso, significa che la configurazione del servizio SSO è riuscita. Continua con il passaggio successivo.
    • Se non vedi una schermata di accesso, controlla la configurazione del provider di identità.

  9. Torna alla console Google Cloud e fai clic su Sicurezza > Chronicle SecOps > pagina Panoramica > scheda Single Sign-On.

  10. Fai clic su Save (Salva) nella parte inferiore della pagina per aggiornare il nuovo provider.

  11. Verifica di poter accedere a Google SecOps.