Collegare Google SecOps ai servizi Google Cloud

Supportato in:

Google SecOps dipende dai servizi Google Cloud per alcune funzionalità, come l'autenticazione. Questo documento descrive come configurare una configurazione Google SecOps per l'associazione a questi servizi Google Cloud. Fornisce informazioni per gli utenti che stanno configurando una nuova istanza Google SecOps e per quelli che stanno eseguendo la migrazione di un'istanza Google SecOps esistente.

Prima di iniziare

Prima di configurare un'istanza Google SecOps con i servizi Google Cloud, devi eseguire i seguenti passaggi:

Completa una delle seguenti sezioni a seconda che tu sia un cliente nuovo o esistente.

Se vuoi associare un'istanza Google Security Operations creata per una sicurezza gestita un fornitore di servizi (MSSP), contatta il tuo Customer Engineer di Google SecOps per ricevere assistenza. La configurazione richiede l'assistenza di un rappresentante Google Security Operations.

Dopo aver completato i passaggi per associare il progetto Google Cloud a Google SecOps, puoi esaminare i dati del progetto Google Cloud in Google SecOps, in modo da monitorare attentamente il progetto per rilevare qualsiasi tipo di compromissione della sicurezza.

Esegui la migrazione di un'istanza Google SecOps esistente

Le sezioni seguenti descrivono come eseguire la migrazione di un'istanza Google SecOps esistente in modo che sia associata a un progetto Google Cloud e utilizzi IAM per gestire il controllo dell'accesso alle funzionalità.

Associa a un provider di progetto e forza lavoro

La procedura seguente descrive come collegare un'istanza Google SecOps esistente a un progetto Google Cloud e configurare l'accessoSSO utilizzando i servizi di federazione delle identità del personale IAM.

  1. Accedi a Google SecOps.

  2. Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.

  3. Fai clic su Google Cloud Platform.

  4. Inserisci l'ID progetto Google Cloud per collegare il progetto all'istanza Google SecOps.

  5. Fai clic su Genera link.

  6. Fai clic su Connetti a Google Cloud. Si apre la console Google Cloud. Se hai inserito un ID progetto Google Cloud errato nell'applicazione Google SecOps, torna alla pagina Google Cloud in Google SecOps e inserisci l'ID progetto corretto.

  7. Nella console Google Cloud, vai a Sicurezza > Google SecOps.

  8. Verifica l'account di servizio creato per il progetto Google Cloud.

  9. In Configura Single Sign-On, seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

    • Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.

    • Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità della forza lavoro, quindi seleziona il provider della forza lavoro che vuoi utilizzare. Puoi configurare questa funzionalità configurazione della federazione delle identità per la forza lavoro.

  10. Se hai selezionato Federazione delle identità per la forza lavoro, fai clic con il tasto destro del mouse su Verifica configurazione SSO e aprilo in una finestra di navigazione privata o in incognito.

  11. Continua con la sezione successiva: Esegui la migrazione delle autorizzazioni esistenti a IAM.

Esegui la migrazione delle autorizzazioni esistenti a IAM

Dopo aver eseguito la migrazione di un'istanza Google SecOps esistente, puoi usare i comandi generati automaticamente per eseguire la migrazione delle autorizzazioni esistenti i ruoli di IAM a IAM. Google SecOps crea questi comandi utilizzando la configurazione del controllo dell'accesso di Feature RBAC prima della migrazione. Quando vengono eseguiti, creano nuovi criteri IAM equivalenti alla configurazione esistente, come definito in Google SecOps nella pagina Impostazioni SIEM > Utenti e gruppi.

Dopo aver eseguito questi comandi, non puoi ripristinare la funzionalità di controllo dell'accesso RBAC dei componenti precedente. Se riscontri un problema, contatta l'assistenza tecnica.

  1. Nella console Google Cloud, vai a Sicurezza > Google SecOps > Accesso di Google Cloud.
  2. In Esegui la migrazione delle associazioni di ruoli, vedrai un insieme di ruoli generati automaticamente comandi Google Cloud CLI.
  3. Esamina e verifica che i comandi creino le autorizzazioni previste. Per informazioni sui ruoli e sulle autorizzazioni di Google SecOps, consulta la sezione In che modo le autorizzazioni IAM vengono mappate a ogni ruolo di Feature RBAC.
  4. Avvia una sessione Cloud Shell.
  5. Copia i comandi generati automaticamente, quindi incollali ed eseguili nell'interfaccia a riga di comando gcloud.
  6. Dopo aver eseguito tutti i comandi, fai clic su Verifica accesso. Se l'operazione ha esito positivo, verrà visualizzato il messaggio Accesso verificato in Gestione degli accessi di Google SecOps. Altrimenti, vedrai il messaggio Accesso negato. Potrebbero essere necessari 1-2 minuti prima che venga visualizzato.
  7. Per completare la migrazione, torna alla scheda Sicurezza > Google SecOps > Gestione accessi e fai clic su Attiva IAM.
  8. Verifica di poter accedere a Google SecOps come utente con il ruolo di amministratore dell'API Chronicle.
    1. Accedi a Google SecOps come utente con il ruolo predefinito di amministratore dell'API Chronicle. Per ulteriori informazioni, vedi Accedere a Google Security Operations.
    2. Apri il menu Applicazione > Impostazioni > Utenti e Gruppi. Dovresti visualizzare il messaggio: Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud. Scopri di più sulla gestione di utenti e gruppi.
  9. Accedi a Google SecOps come utente con un ruolo diverso. Per ulteriori informazioni, consulta Accedere a Google SecOps.
  10. Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definite in IAM.

Configura una nuova istanza Google SecOps

La procedura riportata di seguito descrive come configurare una nuova istanza Google SecOps per la prima volta, dopo aver configurato il progetto Google Cloud e i servizi di federazione delle identità del personale IAM da collegare a Google SecOps.

Se sei un nuovo cliente Google SecOps, completa i seguenti passaggi:

  1. Crea un progetto Google Cloud e abilita l'API Google SecOps. Per saperne di più, consulta Configurare un progetto Google Cloud per Google SecOps.

  2. Fornisci al tuo Customer Engineer di Google SecOps l'ID progetto che prevedi di associare all'istanza Google SecOps. Dopo che il tecnico dell'assistenza clienti di Google SecOps avvia la procedura, riceverai un'email di conferma.

  3. Apri la console Google Cloud e seleziona il progetto Google Cloud fornito nel passaggio precedente.

  4. Vai a Sicurezza > Google SecOps.

  5. Se non hai abilitato l'API Google SecOps, verrà visualizzato un Pulsante Come iniziare. Fai clic sul pulsante Inizia e poi completa la procedura guidata per abilitare l'API Google SecOps.

  6. Nella sezione Informazioni sull'azienda, inserisci le informazioni sull'azienda e fai clic su Avanti.

  7. Esamina i dati dell'account di servizio e fai clic su Avanti. Google SecOps crea un account di servizio nel progetto e imposta i ruoli e le autorizzazioni richiesti.

  8. Seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google Security Operations:

  9. In Inserisci qui i tuoi gruppi di amministratori IdP, inserisci il nome comune per uno o più gruppi di IdP che includono gli amministratori che configurano l'accesso degli utenti alle funzionalità relative a SOAR. Hai identificato e creato questi gruppi quando hai definito gli attributi e i gruppi utente nell'IdP.

  10. Espandi i Termini di servizio. Se accetti i termini, fai clic su Avvia configurazione.

    Il provisioning dell'istanza Google Security Operations potrebbe richiedere fino a 15 minuti. Riceverai una notifica al termine del provisioning dell'istanza. Se la configurazione non va a buon fine, contatta il tuo rappresentante per i clienti Google Cloud.

  11. Se hai selezionato Google Cloud Identity, assicurati di: concedere un ruolo di Google Security Operations a utenti e gruppi utilizzando IAM per consentire agli utenti di accedere a Google Security Operations. Esegui questo passaggio utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

    Il seguente comando concede il ruolo Chronicle API Viewer (roles/chronicle.viewer) a un singolo utente utilizzando gcloud.

    Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Sostituisci quanto segue:

    Per esempi di come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, vedi Documentazione di riferimento di gcloud projects add-iam-policy-binding e Identificatori entità.

Modificare la configurazione del Single Sign-On (SSO)

Le sezioni seguenti descrivono come modificare i provider di identità:

Modificare il provider di identità di terze parti

  1. Configura il nuovo provider di identità di terze parti e il pool di identità della forza lavoro.

  2. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

Per modificare la configurazione SSO per Google SecOps:

  1. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  2. Vai a Sicurezza > Google SecOps.

  3. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  4. Utilizza il menu Single Sign-On per cambiare i provider SSO.

  5. Fai clic con il tasto destro del mouse sul link Testa la configurazione dell'accessoSSO e poi apri una finestra privata o di navigazione in incognito.

  6. Torna alla console Google Cloud, fai clic sulla pagina Sicurezza > Google SecOps > Panoramica e poi sulla scheda Single Sign-On.

  7. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  8. Verifica di poter accedere a Google SecOps.

Eseguire la migrazione da provider di identità di terze parti a Cloud Identity

Completa i seguenti passaggi per modificare la configurazione SSO dall'utilizzo di un provider di identità di terze parti a Cloud Identity di Google:

  1. Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
  2. Concedi i ruoli e le autorizzazioni IAM di Chronicle predefiniti a utenti e gruppi nel progetto associato a Google SecOps.

  3. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

  4. Apri la console Google Cloud, quindi seleziona il progetto Google Cloud che associati a Google SecOps.

  5. Vai a Sicurezza > Chronicle SecOps.

  6. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  7. Seleziona la casella di controllo Google Cloud Identity.

  8. Fai clic con il tasto destro del mouse sul link Verifica configurazione SSO, quindi apri una finestra di navigazione privata o in incognito.

    • Se viene visualizzata una schermata di accesso, significa che la configurazione del servizio SSO è riuscita. Continua con il passaggio successivo.
    • Se non vedi una schermata di accesso, controlla la configurazione del provider di identità.

  9. Torna alla console Google Cloud e fai clic su Sicurezza > Chronicle SecOps > Pagina Panoramica > Scheda Single Sign-On.

  10. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  11. Verifica di poter accedere a Google SecOps.