Vincular o Google SecOps aos serviços do Google Cloud

Compatível com:

O Google SecOps depende de serviços do Google Cloud para determinados recursos, como autenticação. Este documento descreve como configurar uma instância do Google SecOps para se vincular a esses serviços do Google Cloud. Ele fornece informações para usuários que estão configurando uma nova instância do Google SecOps e para aqueles que estão migrando uma instância do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com os serviços do Google Cloud, faça o seguinte:

Conclua uma das seções a seguir, dependendo se você é um cliente novo ou atual.

Se você quiser vincular uma instância do Google Security Operations criada para um provedor de serviços de segurança gerenciados (MSSPs, na sigla em inglês), entre em contato com seu engenheiro de cliente do Google SecOps para receber ajuda. A configuração requer a assistência de um representante do Google Security Operations.

Depois de concluir as etapas para vincular o projeto do Google Cloud ao Google SecOps, você poderá examinar os dados do projeto do Google Cloud no Google SecOps, permitindo que você monitore de perto o projeto para qualquer tipo de comprometimento de segurança.

Migrar uma instância atual do Google SecOps

As seções a seguir descrevem como migrar uma instância do Google SecOps para que ela seja vinculada a um projeto do Google Cloud e use o IAM para gerenciar o controle de acesso a recursos.

Vincular a um projeto e um provedor de mão de obra

O procedimento a seguir descreve como conectar uma instância do Google SecOps a um projeto do Google Cloud e configurar o SSO usando os serviços de federação de identidade da força de trabalho do IAM.

  1. Faça login no Google SecOps.

  2. Na barra de navegação, selecione Configurações > Configurações do SIEM.

  3. Clique em Google Cloud Platform.

  4. Insira o ID do projeto do Google Cloud para vincular o projeto à instância do Google SecOps.

  5. Clique em Gerar link.

  6. Clique em Conectar ao Google Cloud Platform. O console do Google Cloud será aberto. Se você inseriu um ID do projeto do Google Cloud incorreto no aplicativo Google SecOps, volte à página Google Cloud Platform no Google SecOps e insira o ID do projeto correto.

  7. No console do Google Cloud, acesse Segurança > Google SecOps.

  8. Verifique a conta de serviço criada para o projeto do Google Cloud.

  9. Em Configurar o Logon único, selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos ao Google SecOps:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade de colaboradores e, em seguida, selecione o provedor de colaboradores que você quer usar. Você configura isso ao configurar a federação de identidade da força de trabalho.

  10. Se você selecionou Federação de identidade da força de trabalho, clique com o botão direito do mouse no link Testar configuração de SSO e abra-o em uma janela anônima ou particular.

  11. Continue com a próxima seção: Migrar as permissões atuais para o IAM.

Migrar as permissões atuais para o IAM

Depois de migrar uma instância do Google SecOps, use comandos gerados automaticamente para migrar as permissões e funções atuais para o IAM. O Google SecOps cria esses comandos usando a configuração de controle de acesso do RBAC de recursos antes da migração. Quando executados, eles criam novas políticas do IAM equivalentes à sua configuração atual, conforme definido no Google SecOps na página Configurações do SIEM > Usuários e grupos.

Depois de executar esses comandos, não será possível reverter para o controle de acesso anterior do Feature RBAC. Se você encontrar um problema, entre em contato com o suporte técnico.

  1. No console do Google Cloud, acesse a guia Security > Google SecOps > Gerenciamento de acesso.
  2. Em Migre vinculações de função, você vai encontrar um conjunto de comandos da Google Cloud CLI gerados automaticamente.
  3. Revise e verifique se os comandos criam as permissões esperadas. Para informações sobre papéis e permissões do Google SecOps, consulte Como as permissões do IAM são mapeadas para cada papel de RBAC de recursos.
  4. Inicie uma sessão do Cloud Shell.
  5. Copie os comandos gerados automaticamente, cole e execute na CLI gcloud.
  6. Depois de executar todos os comandos, clique em Verificar acesso. Se a operação for bem-sucedida, a mensagem Acesso verificado vai aparecer na página Gerenciamento de acesso do Google SecOps. Caso contrário, a mensagem Acesso negado vai aparecer. Isso pode levar de 1 a 2 minutos.
  7. Para concluir a migração, volte à guia Security > Google SecOps > Gerenciamento de acesso e clique em Ativar IAM.
  8. Verifique se você pode acessar o Google SecOps como um usuário com a função de administrador da API Chronicle.
    1. Faça login no Google SecOps como um usuário com a função predefinida de administrador da API Chronicle. Consulte Fazer login no Google Security Operations para mais informações.
    2. Abra a página Menu do aplicativo > Configurações > Usuários e grupos. A mensagem Para gerenciar usuários e grupos, acesse Identity Access Management (IAM) no console do Google Cloud. Saiba como gerenciar usuários e grupos.
  9. Faça login no Google SecOps como um usuário com uma função diferente. Consulte Fazer login no Google SecOps para mais informações.
  10. Verifique se os recursos disponíveis no aplicativo correspondem às permissões definidas no IAM.

Configurar uma nova instância do Google SecOps

O procedimento a seguir descreve como configurar uma nova instância do Google SecOps pela primeira vez, depois de configurar o projeto do Google Cloud e os serviços de federação de identidade da força de trabalho do IAM para vincular ao Google SecOps.

Se você for um novo cliente do Google SecOps, siga estas etapas:

  1. Crie um projeto do Google Cloud e ative a API Google SecOps. Consulte Configurar um projeto do Google Cloud para o Google SecOps para mais informações.

  2. Informe ao engenheiro de cliente do Google SecOps o ID do projeto que você planeja vincular à instância do Google SecOps. Depois que o Google SecOps Engenheiro de clientes inicia o processo, você recebe um e-mail de confirmação.

  3. Abra o console do Google Cloud e selecione o projeto que você informou na etapa anterior.

  4. Acesse Segurança > Google SecOps.

  5. Se você não tiver ativado a API Google SecOps, um botão Primeiros passos vai aparecer. Clique no botão Primeiros passos e siga as etapas guiadas para ativar a API Google SecOps.

  6. Na seção Informações da empresa, insira as informações da sua empresa e clique em Próxima.

  7. Revise as informações da conta de serviço e clique em Próxima. O Google SecOps cria uma conta de serviço no projeto e define os papéis e as permissões necessários.

  8. Selecione uma das opções a seguir com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos às Operações de segurança do Google:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione a opção Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione o provedor de força de trabalho que você quer usar. Você configura isso ao configurar a federação de identidade da força de trabalho.

  9. Em Insira seus grupos de administradores do IdP aqui, digite o nome comum de um ou mais grupos de IdP que incluem administradores que configuram o acesso do usuário a recursos relacionados ao SOAR. Você identificou e criou esses grupos ao definir atributos e grupos de usuários no IdP.

  10. Abra os Termos de Serviço. Se você concordar com os termos, clique em Iniciar configuração.

    Pode levar até 15 minutos para provisionar a instância do Google Security Operations. Você vai receber uma notificação quando a instância for provisionada. Se a configuração falhar, entre em contato com seu representante do cliente do Google Cloud.

  11. Se você selecionou Google Cloud Identity, conceda um papel do Google Security Operations a usuários e grupos que usam o IAM para que eles possam fazer login no Google Security Operations. Realize esta etapa usando o projeto do Google Cloud vinculado às operações de segurança do Google que você criou anteriormente.

    O comando a seguir concede o papel Leitor da API Chronicle (roles/chronicle.viewer) a um único usuário usando o gcloud.

    Para usar o console do Google Cloud, consulte Conceder um único papel.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Substitua:

    Para conferir exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte gcloud projects add-iam-policy-binding e a documentação de referência Identificadores principais.

Mudar a configuração do Logon único (SSO)

As seções a seguir descrevem como mudar os provedores de identidade:

Mudar o provedor de identidade terceirizado

  1. Configure o novo provedor de identidade de terceiros e o pool de identidade de colaboradores.

  2. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo de provedor de identidade, mude o Mapeamento de grupo de provedor de identidade para grupos de referência no novo provedor de identidade.

Siga estas etapas para mudar a configuração de SSO do Google SecOps:

  1. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculado ao Google SecOps.

  2. Acesse Segurança > Google SecOps.

  3. Na página Visão geral, clique na guia Logon único. Esta página mostra os provedores de identidade que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Logon único para mudar os provedores de SSO.

  5. Clique com o botão direito do mouse no link Testar configuração de SSO e abra uma janela anônima ou particular.

  6. Volte ao console do Google Cloud, clique na página Segurança > Google SecOps > Visão geral e, em seguida, clique na guia Sessão única de login.

  7. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  8. Verifique se você consegue fazer login no Google SecOps.

Migrar de um provedor de identidade de terceiros para o Cloud Identity

Siga estas etapas para mudar a configuração do SSO de um provedor de identidade de terceiros para o Google Cloud Identity:

  1. Configure o Cloud Identity ou o Google Workspace como o provedor de identidade.
  2. Conceda as permissões e os papéis predefinidos do IAM do Chronicle a usuários e grupos no projeto vinculado ao Google SecOps.

  3. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo de IDP, mude o Mapeamento de grupo de IDP para grupos de referência no novo provedor de identidade.

  4. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculado ao Google SecOps.

  5. Acesse Segurança > Chronicle SecOps.

  6. Na página Visão geral, clique na guia Logon único. Esta página mostra os provedores de identidade que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.

  7. Marque a caixa de seleção Google Cloud Identity.

  8. Clique com o botão direito do mouse no link Testar configuração de SSO e abra uma janela anônima ou particular.

    • Se uma tela de login aparecer, a configuração do SSO foi bem-sucedida. Continue para a próxima etapa.
    • Se a tela de login não aparecer, verifique a configuração do provedor de identidade.

  9. Volte ao console do Google Cloud e clique em Segurança > Chronicle SecOps > página Visão geral > guia Single Sign-On.

  10. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  11. Verifique se você consegue fazer login no Google SecOps.