Collegare Google SecOps ai servizi Google Cloud

Supportato in:

Google SecOps dipende dai servizi Google Cloud per alcune funzionalità, come l'autenticazione. Questo documento descrive come configurare un'istanza Google SecOps per associarla a questi servizi Google Cloud. Fornisce informazioni per gli utenti che stanno configurando una nuova istanza Google SecOps e per quelli che stanno eseguendo la migrazione di un'istanza Google SecOps esistente.

Prima di iniziare

Prima di configurare un'istanza Google SecOps con i servizi Google Cloud, devi eseguire i seguenti passaggi:

Completa una delle seguenti sezioni a seconda che tu sia un cliente nuovo o esistente.

Se vuoi associare un'istanza Google Security Operations creata per un fornitore di servizi di sicurezza gestiti (MSSP), contatta il tuo Customer Engineer di Google SecOps per ricevere assistenza. La configurazione richiede l'assistenza di un rappresentante di Google Security Operations.

Dopo aver completato i passaggi per associare il progetto Google Cloud a Google SecOps, puoi esaminare i dati del progetto Google Cloud in Google SecOps, in modo da monitorare attentamente il progetto per rilevare qualsiasi tipo di compromissione della sicurezza.

Esegui la migrazione di un'istanza Google SecOps esistente

Le sezioni seguenti descrivono come eseguire la migrazione di un'istanza Google SecOps esistente in modo che sia associata a un progetto Google Cloud e utilizzi IAM per gestire controllo dell'accesso dell'accesso alle funzionalità.

Eseguire il collegamento a un progetto e a un provider di forza lavoro

La procedura seguente descrive come collegare un'istanza Google SecOps esistente a un progetto Google Cloud e configurare l'accessoSSO utilizzando i servizi di federazione delle identità del personale IAM.

  1. Accedi a Google SecOps.

  2. Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.

  3. Fai clic su Google Cloud Platform.

  4. Inserisci l'ID progetto Google Cloud per collegare il progetto all'istanza Google SecOps.

  5. Fai clic su Genera link.

  6. Fai clic su Connetti alla piattaforma Google Cloud. Si apre la console Google Cloud. Se hai inserito un ID progetto Google Cloud errato nell'applicazione Google SecOps, torna alla pagina Google Cloud in Google SecOps e inserisci l'ID progetto corretto.

  7. Nella console Google Cloud, vai a Sicurezza > Google SecOps.

  8. Verifica l'account di servizio creato per il progetto Google Cloud.

  9. In Configura Single Sign-On, seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

    • Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.

    • Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità della forza lavoro, quindi seleziona il provider della forza lavoro che vuoi utilizzare. Lo configuri durante la configurazione della federazione delle identità per la forza lavoro.

  10. Se hai selezionato Federazione dell'identità del personale, fai clic con il tasto destro del mouse sul link Testa la configurazione SSO e apri la pagina in una finestra privata o di navigazione in incognito.

  11. Vai alla sezione successiva: Esegui la migrazione delle autorizzazioni esistenti in IAM.

Esegui la migrazione delle autorizzazioni esistenti a IAM

Dopo aver eseguito la migrazione di un'istanza Google SecOps esistente, puoi utilizzare i comandi generati automaticamente per eseguire la migrazione delle autorizzazioni e dei ruoli esistenti in IAM. Google SecOps crea questi comandi utilizzando la configurazione controllo dell'accesso RBAC per le funzionalità precedente alla migrazione. Quando vengono eseguiti, creano nuovi criteri IAM equivalenti alla configurazione esistente, come definito in Google SecOps nella pagina Impostazioni SIEM > Utenti e gruppi.

Dopo aver eseguito questi comandi, non puoi ripristinare la funzionalità di controllo dell'accesso RBAC delle funzionalità precedente. Se riscontri un problema, contatta l'assistenza tecnica.

  1. Nella console Google Cloud, vai a Sicurezza > Google SecOps > scheda Gestione accessi.
  2. In Esegui la migrazione delle associazioni di ruolo, vedrai un insieme di comandi Google Cloud CLI generati automaticamente.
  3. Esamina e verifica che i comandi creino le autorizzazioni previste. Per informazioni sui ruoli e sulle autorizzazioni di Google SecOps, consulta Come le autorizzazioni IAM vengono mappate a ciascun ruolo RBAC delle funzionalità.
  4. Avvia una sessione Cloud Shell.
  5. Copia i comandi generati automaticamente, quindi incollali ed eseguili nellgcloud CLI.
  6. Dopo aver eseguito tutti i comandi, fai clic su Verifica accesso. In caso di esito positivo, vedrai il messaggio Accesso verificato in Gestione dell'accesso di Google SecOps. In caso contrario, verrà visualizzato il messaggio Accesso negato. Potrebbero essere necessari 1-2 minuti prima che venga visualizzato.
  7. Per completare la migrazione, torna alla scheda Sicurezza > Google SecOps > Gestione accessi e fai clic su Attiva IAM.
  8. Verifica di poter accedere a Google SecOps come utente con il ruolo di amministratore dell'API Chronicle.
    1. Accedi a Google SecOps come utente con il ruolo predefinito di amministratore dell'API Chronicle. Per ulteriori informazioni, consulta Accedere a Google Security Operations.
    2. Apri la pagina Menu dell'applicazione > Impostazioni > Utenti e gruppi. Dovresti visualizzare il messaggio: Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud. Scopri di più sulla gestione di utenti e gruppi.
  9. Accedi a Google SecOps come utente con un ruolo diverso. Per ulteriori informazioni, consulta Accedere a Google SecOps.
  10. Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definite in IAM.

Configurare una nuova istanza Google SecOps

La procedura riportata di seguito descrive come configurare una nuova istanza Google SecOps per la prima volta, dopo aver configurato il progetto Google Cloud e i servizi di federazione delle identità del personale IAM da collegare a Google SecOps.

Se sei un nuovo cliente Google SecOps, completa i seguenti passaggi:

  1. Crea un progetto Google Cloud e abilita l'API Google SecOps. Per ulteriori informazioni, consulta Configurare un progetto Google Cloud per Google SecOps.

  2. Fornisci al tuo Customer Engineer di Google SecOps l'ID progetto che prevedi di associare all'istanza Google SecOps. Dopo che Customer Engineer di Google SecOps avvia la procedura, riceverai un'email di conferma.

  3. Apri la console Google Cloud e seleziona il progetto Google Cloud fornito nel passaggio precedente.

  4. Vai a Sicurezza > Google SecOps.

  5. Se non hai attivato l'API Google SecOps, vedrai un pulsante Inizia. Fai clic sul pulsante Inizia e poi completa la procedura guidata per abilitare l'API Google SecOps.

  6. Nella sezione Informazioni sull'azienda, inserisci le informazioni sull'azienda e fai clic su Avanti.

  7. Esamina le informazioni dell'account di servizio e fai clic su Avanti. Google SecOps crea un account di servizio nel progetto e imposta i ruoli e le autorizzazioni richiesti.

  8. Seleziona una delle seguenti opzioni in base all'identity provider che utilizzi per gestire l'accesso di utenti e gruppi a Google Security Operations:

  9. In Inserisci qui i gruppi di amministratori IdP, inserisci il nome comune di uno o più gruppi IdP che includono gli amministratori che configurano l'accesso degli utenti alle funzionalità correlate a SOAR. Hai identificato e creato questi gruppi quando hai definito gli attributi e i gruppi utente nell'IDP.

  10. Espandi i Termini di servizio. Se accetti i termini, fai clic su Avvia configurazione.

    Il provisioning dell'istanza Google Security Operations potrebbe richiedere fino a 15 minuti. Riceverai una notifica al termine del provisioning dell'istanza. Se la configurazione non va a buon fine, contatta il tuo rappresentante per i clienti Google Cloud.

  11. Se hai selezionato Google Cloud Identity, assicurati di assegnare un ruolo Google Security Operations a utenti e gruppi utilizzando IAM in modo che gli utenti possano accedere a Google Security Operations. Esegui questo passaggio utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

    Il seguente comando concede il ruolo Chronicle API Viewer (roles/chronicle.viewer) a un singolo utente utilizzando gcloud.

    Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Sostituisci quanto segue:

    Per esempi su come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, consulta la documentazione di riferimento di gcloud projects add-iam-policy-binding e Principal Identifiers.

Modificare la configurazione del Single Sign-On (SSO)

Le sezioni seguenti descrivono come modificare i provider di identità:

Modificare il provider di identità di terze parti

  1. Configura il nuovo provider di identità di terze parti e il pool di identità della forza lavoro.

  2. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

Per modificare la configurazione SSO per Google SecOps:

  1. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  2. Vai a Sicurezza > Google SecOps.

  3. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  4. Utilizza il menu Single Sign-On per cambiare i provider SSO.

  5. Fai clic con il tasto destro del mouse sul link Testa la configurazione dell'accessoSSO e poi apri una finestra privata o di navigazione in incognito.

  6. Torna alla console Google Cloud, fai clic sulla pagina Sicurezza > Google SecOps > Panoramica e poi sulla scheda Single Sign-On.

  7. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  8. Verifica di poter accedere a Google SecOps.

Esegui la migrazione da un provider di identità di terze parti a Cloud Identity

Completa i seguenti passaggi per modificare la configurazione SSO dall'utilizzo di un provider di identità di terze parti a Cloud Identity di Google:

  1. Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
  2. Concedi i ruoli e le autorizzazioni IAM di Chronicle predefiniti a utenti e gruppi nel progetto associato a Google SecOps.

  3. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.

  4. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  5. Vai a Sicurezza > Chronicle SecOps.

  6. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  7. Seleziona la casella di controllo Google Cloud Identity.

  8. Fai clic con il tasto destro del mouse sul link Testa la configurazione dell'accessoSSO e poi apri una finestra privata o di navigazione in incognito.

    • Se viene visualizzata una schermata di accesso, la configurazione dell'SSO è andata a buon fine. Vai al passaggio successivo.
    • Se non vedi una schermata di accesso, controlla la configurazione del provider di identità.

  9. Torna alla console Google Cloud, poi fai clic su Sicurezza > Chronicle SecOps > pagina Panoramica > scheda Single Sign-On.

  10. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  11. Verifica di poter accedere a Google SecOps.