Collegare Google SecOps ai Google Cloud servizi
Google SecOps si basa su Google Cloud servizi per determinate funzionalità, come l'autenticazione. Questo documento descrive come configurare un'istanza Google SecOps per associarla a questi Google Cloud servizi. Fornisce informazioni per gli utenti che stanno configurando una nuova istanza Google SecOps e per quelli che stanno eseguendo la migrazione di un'istanza Google SecOps esistente.
Prima di iniziare
Prima di configurare un'istanza Google SecOps con i servizi Google Cloud, devi svolgere i seguenti passaggi:
Crea un progetto Google Cloud e abilita l'API Chronicle. Per ulteriori informazioni, consulta Configurare un Google Cloud progetto per Google SecOps.
Configura un provider SSO per l'istanza Google SecOps.
Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti. Se utilizzi un provider di identità di terze parti, segui i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations.
Se utilizzi Cloud Identity, Google Workspace, consulta Configurare un Google Cloud provider di identità.
Assicurati di disporre delle autorizzazioni per eseguire i passaggi descritti in questo documento. Per informazioni sulle autorizzazioni richieste per ogni fase della procedura di onboarding, consulta Ruoli richiesti.
Completa una delle seguenti sezioni a seconda che tu sia un cliente nuovo o esistente.
Se vuoi associare un'istanza Google Security Operations creata per un fornitore di servizi di sicurezza gestiti (MSSP), contatta il tuo Customer Engineer di Google SecOps per ricevere assistenza. La configurazione richiede l'assistenza di un rappresentante di Google Security Operations.
Dopo aver completato i passaggi per associare il Google Cloud progetto a Google SecOps, puoi esaminare i dati del Google Cloud progetto in Google SecOps, in modo da monitorare attentamente il progetto per rilevare qualsiasi tipo di compromissione della sicurezza.
Esegui la migrazione di un'istanza Google SecOps esistente
Le sezioni seguenti descrivono come eseguire la migrazione di un'istanza Google SecOps esistente in modo che sia associata a un progetto e utilizzi IAM per gestire il controllo dell'accesso alle funzionalità. Google Cloud
Eseguire il collegamento a un progetto e a un provider di forza lavoro
La procedura riportata di seguito descrive come collegare un'istanza Google SecOps esistente a un Google Cloud progetto e configurare l'accessoSSO utilizzando i servizi di federazione delle identità del personale IAM.
Accedi a Google SecOps.
Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.
Fai clic su Google Cloud Platform.
Inserisci l' Google Cloud ID progetto per collegare il progetto all'istanza Google SecOps.
Fai clic su Genera link.
Fai clic su Connetti a Google Cloud Platform. Si apre la console Google Cloud. Se hai inserito un ID progetto Google Cloud errato nell'applicazione Google SecOps, torna alla pagina Google Cloud in Google SecOps e inserisci l'ID progetto corretto.
Nella console Google Cloud, vai a Sicurezza > Google SecOps.
Verifica l'account di servizio creato per il Google Cloud progetto.
In Configura Single Sign-On, seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:
Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.
Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità della forza lavoro, quindi il provider della forza lavoro che vuoi utilizzare. Lo configuri durante la configurazione della federazione delle identità per la forza lavoro.
Se hai selezionato Federazione dell'identità del personale, fai clic con il tasto destro del mouse sul link Testa la configurazione SSO e apri la pagina in una finestra privata o di navigazione in incognito.
- Se viene visualizzata una schermata di accesso, la configurazione dell'SSO è andata a buon fine.
- Se non vedi una schermata di accesso, controlla la configurazione del provider di identità di terze parti. Consulta Configurare un provider di identità di terze parti per Google SecOps.
Vai alla sezione successiva: Esegui la migrazione delle autorizzazioni esistenti in IAM.
Esegui la migrazione delle autorizzazioni esistenti a IAM
Dopo aver eseguito la migrazione di un'istanza Google SecOps esistente, puoi utilizzare i comandi generati automaticamente per eseguire la migrazione delle autorizzazioni e dei ruoli esistenti in IAM. Google SecOps crea questi comandi utilizzando la configurazione del controllo dell'accesso RBAC per le funzionalità precedente alla migrazione. Quando vengono eseguiti, creano nuovi criteri IAM equivalenti alla configurazione esistente, come definito in Google SecOps nella pagina Impostazioni SIEM > Utenti e gruppi.
Dopo aver eseguito questi comandi, non puoi ripristinare la funzionalità di controllo dell'accesso RBAC delle funzionalità precedente. Se riscontri un problema, contatta l'assistenza tecnica.
- Nella console Google Cloud, vai a Sicurezza > Google SecOps > scheda Gestione accessi.
- In Esegui la migrazione delle associazioni di ruolo, vedrai un insieme di comandi Google Cloud CLI generati automaticamente.
- Esamina e verifica che i comandi creino le autorizzazioni previste. Per informazioni sui ruoli e sulle autorizzazioni di Google SecOps, consulta Come le autorizzazioni IAM vengono mappate a ciascun ruolo RBAC per funzionalità.
- Avvia una sessione Cloud Shell.
- Copia i comandi generati automaticamente, quindi incollali ed eseguili nell'interfaccia a riga di comando gcloud.
- Dopo aver eseguito tutti i comandi, fai clic su Verifica accesso. In caso di esito positivo, vedrai il messaggio Accesso verificato in Gestione dell'accesso di Google SecOps. In caso contrario, verrà visualizzato il messaggio Accesso negato. Potrebbero essere necessari 1-2 minuti prima che venga visualizzato.
- Per completare la migrazione, torna alla scheda Sicurezza > Google SecOps > Gestione accessi e fai clic su Attiva IAM.
- Verifica di poter accedere a Google SecOps come utente con il ruolo di amministratore dell'API Chronicle.
- Accedi a Google SecOps come utente con il ruolo predefinito di amministratore dell'API Chronicle. Per ulteriori informazioni, consulta Accedere a Google Security Operations.
- Apri la pagina Menu dell'applicazione > Impostazioni > Utenti e gruppi. Dovresti visualizzare il messaggio: Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud. Scopri di più sulla gestione di utenti e gruppi.
- Accedi a Google SecOps come utente con un ruolo diverso. Per ulteriori informazioni, consulta la sezione Accedere a Google SecOps.
- Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definite in IAM.
Configurare una nuova istanza Google SecOps
La procedura riportata di seguito descrive come configurare una nuova istanza di Google SecOps per la prima volta, dopo aver configurato i servizi di federazione delle identità del personale del Google Cloud progetto e di IAM da collegare a Google SecOps.
Se sei un nuovo cliente Google SecOps, completa i seguenti passaggi:
Crea un progetto Google Cloud e abilita l'API Google SecOps. Per ulteriori informazioni, consulta Configurare un Google Cloud progetto per Google SecOps.
Fornisci al tuo Customer Engineer di Google SecOps l'ID progetto che prevedi di associare all'istanza Google SecOps. Dopo che il tecnico dell'assistenza clienti di Google SecOps avvia la procedura, riceverai un'email di conferma.
Apri la console Google Cloud e seleziona il Google Cloud progetto fornito nel passaggio precedente.
Vai a Sicurezza > Google SecOps.
Se non hai attivato l'API Google SecOps, vedrai un pulsante Inizia. Fai clic sul pulsante Inizia e completa la procedura guidata per abilitare l'API Google SecOps.
Nella sezione Informazioni sull'azienda, inserisci le informazioni sull'azienda e fai clic su Avanti.
Esamina le informazioni dell'account di servizio e fai clic su Avanti. Google SecOps crea un account di servizio nel progetto e imposta i ruoli e le autorizzazioni richiesti.
Seleziona una delle seguenti opzioni in base all'identity provider che utilizzi per gestire l'accesso di utenti e gruppi a Google Security Operations:
Se utilizzi Cloud Identity o Google Workspace, seleziona l'opzione Google Cloud Identity.
Se utilizzi un provider di identità di terze parti, seleziona il provider di personale che vuoi utilizzare. Lo configuri durante la configurazione della federazione delle identità per la forza lavoro.
In Inserisci qui i gruppi di amministratori IdP, inserisci il nome comune di uno o più gruppi IdP che includono gli amministratori che configurano l'accesso degli utenti alle funzionalità correlate a SOAR. Hai identificato e creato questi gruppi quando hai definito gruppi e attributi utente nell'IDP.
Espandi i Termini di servizio. Se accetti i termini, fai clic su Avvia configurazione.
Il provisioning dell'istanza Google Security Operations potrebbe richiedere fino a 15 minuti. Riceverai una notifica al termine del provisioning dell'istanza. Se la configurazione non va a buon fine, contatta il tuo Google Cloud rappresentante dei clienti.
Se hai selezionato Google Cloud Identity, assicurati di assegnare un ruolo Google Security Operations a utenti e gruppi utilizzando IAM in modo che gli utenti possano accedere a Google Security Operations. Esegui questo passaggio utilizzando il progettoGoogle Cloud vincolato a Google Security OperationsGoogle Cloud creato in precedenza.
Il seguente comando concede il ruolo Chronicle API Viewer (
roles/chronicle.viewer
) a un singolo utente utilizzandogcloud
.Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member='EMAIL_ALIAS"
Sostituisci quanto segue:
PROJECT_ID
: con l'ID del progetto associato a Google Security Operations che hai configurato in Configura un Google Cloud progetto per Google Security Operations. Per una descrizione dei campi che identificano un progetto, consulta Creazione e gestione dei progetti.EMAIL_ALIAS
: l'indirizzo email di un singolo utente, ad esempiouser:alice@example.com
.
Per esempi su come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, consulta la documentazione di riferimento di gcloud projects add-iam-policy-binding e Principal Identifiers.
Modificare la configurazione del Single Sign-On (SSO)
Le sezioni seguenti descrivono come modificare i provider di identità:
- Modificare il provider di identità di terze parti
- Eseguire la migrazione da un provider di identità di terze parti a Cloud Identity
Modificare il provider di identità di terze parti
Configura il nuovo provider di identità di terze parti e il pool di identità della forza lavoro.
In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.
Per modificare la configurazione SSO per Google SecOps:
Apri la console Google Cloud e seleziona il Google Cloud progetto associato a Google SecOps.
Vai a Sicurezza > Google SecOps.
Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.
Utilizza il menu Single Sign-On per cambiare i provider SSO.
Fai clic con il tasto destro del mouse sul link Testa la configurazione SSO e poi apri una finestra privata o di navigazione in incognito.
- Se viene visualizzata una schermata di accesso, la configurazione dell'SSO è andata a buon fine. Vai al passaggio successivo.
- Se non vedi una schermata di accesso, controlla la configurazione del provider di identità di terze parti. Consulta Configurare un provider di identità di terze parti per Google SecOps.
Torna alla console Google Cloud, fai clic sulla pagina Sicurezza > Google SecOps > Panoramica e poi sulla scheda Single Sign-On.
Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.
Verifica di poter accedere a Google SecOps.
Esegui la migrazione da un provider di identità di terze parti a Cloud Identity
Completa i seguenti passaggi per modificare la configurazione SSO dall'utilizzo di un provider di identità di terze parti a Cloud Identity di Google:
- Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
- Concedi i ruoli e le autorizzazioni IAM di Chronicle predefiniti a utenti e gruppi nel progetto associato a Google SecOps.
In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppo provider di identità, modifica la mappatura gruppo provider di identità in modo che faccia riferimento ai gruppi nel nuovo provider di identità.
Apri la console Google Cloud e seleziona il Google Cloud progetto associato a Google SecOps.
Vai a Sicurezza > Chronicle SecOps.
Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. In questa pagina vengono visualizzati i provider di identità che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.
Seleziona la casella di controllo Google Cloud Identity.
Fai clic con il tasto destro del mouse sul link Testa la configurazione SSO e poi apri una finestra privata o di navigazione in incognito.
- Se viene visualizzata una schermata di accesso, la configurazione dell'SSO è andata a buon fine. Vai al passaggio successivo.
- Se non vedi una schermata di accesso, controlla la configurazione dell'identity provider.
Torna alla console Google Cloud, poi fai clic su Sicurezza > Chronicle SecOps > pagina Panoramica > scheda Single Sign-On.
Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.
Verifica di poter accedere a Google SecOps.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.