Vincular o Google SecOps aos serviços do Google Cloud

O Google SecOps depende dos serviços do Google Cloud para determinados recursos, como autenticação. Neste documento, descrevemos como configurar uma instância do Google SecOps para se vincular a esses serviços do Google Cloud. Ele fornece informações para usuários que estão configurando uma nova instância do Google SecOps e para aqueles que estão migrando uma instância atual do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com serviços do Google Cloud, faça o seguinte:

Preencha uma das seções a seguir para clientes novos ou atuais.

Se você quiser vincular uma instância de Operações de segurança do Google criada para um provedor de serviços de segurança gerenciado (MSSPs, na sigla em inglês), entre em contato com seu Engenheiro de clientes de SecOps do Google para receber ajuda. A configuração requer a assistência de um representante de Operações de Segurança do Google.

Migrar uma instância atual do Google SecOps

O procedimento a seguir descreve como conectar uma instância atual do Google SecOps a um projeto do Google Cloud e configurar o SSO usando os serviços de federação de identidade de colaboradores do IAM.

  1. Faça login no Google SecOps.

  2. Na barra de navegação, selecione Configurações > Configurações do SIEM.

  3. Clique em Google Cloud Platform.

  4. Insira o ID do projeto do Google Cloud para vinculá-lo à instância do Google SecOps.

  5. Clique em Gerar link.

  6. Clique em Conectar ao Google Cloud Platform. O console do Google Cloud é aberto. Se você inseriu um ID do projeto do Google Cloud incorreto no aplicativo Google SecOps, retorne à página do Google Cloud Platform no Google SecOps e insira o ID do projeto correto.

  7. No console do Google Cloud, acesse Segurança > Google SecOps.

  8. Verifique a conta de serviço que foi criada para o projeto do Google Cloud.

  9. Em Configurar logon único, selecione uma das seguintes opções com base no provedor de identidade usado para gerenciar o acesso de usuários e grupos ao Google SecOps:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade de colaboradores e, em seguida, o provedor que você quer usar. Isso é definido ao configurar a federação de identidade de colaboradores.

  10. Se você selecionou Federação de identidade de colaboradores, clique com o botão direito do mouse no link Testar configuração de SSO e abra-o em uma janela particular ou anônima.

Depois de concluir essas etapas para vincular o projeto do Google Cloud ao Google SecOps, você pode examinar os dados do projeto do Google Cloud no Google SecOps, permitindo que você monitore de perto seu projeto em busca de qualquer tipo de comprometimento de segurança.

Configurar uma nova instância do Google SecOps

O procedimento a seguir descreve como configurar uma nova instância do Google SecOps pela primeira vez, depois de configurar o projeto do Google Cloud e os serviços de federação de identidade de colaboradores do IAM para vincular ao Google SecOps.

Se você for um novo cliente do Google SecOps, conclua as seguintes etapas:

  1. Criar um projeto do Google Cloud e ativar a API Google SecOps. Para mais informações, consulte Configurar um projeto do Google Cloud para o Google SecOps.

  2. Forneça ao Engenheiro de clientes do Google SecOps o ID do projeto que você planeja vincular à instância do Google SecOps. Depois que o engenheiro de clientes do Google SecOps iniciar o processo, você receberá um e-mail de confirmação.

  3. Abra o console do Google Cloud e selecione o projeto do Google Cloud que você forneceu na etapa anterior.

  4. Acesse Segurança > Google SecOps.

  5. Se você não tiver ativado a API Google SecOps, o botão Como começar vai aparecer. Clique no botão Começar e conclua as etapas orientadas para ativar a API Google SecOps.

  6. Na seção Company Information, insira as informações da sua empresa e clique em Next.

  7. Analise as informações da conta de serviço e clique em Próxima. O Google SecOps cria uma conta de serviço no projeto e define os papéis e permissões necessários.

  8. Selecione uma das opções a seguir com base no provedor de identidade usado para gerenciar o acesso de usuários e grupos ao Google Security Operations:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione a opção Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione o provedor de força de trabalho que quer usar. Isso é definido ao configurar a federação de identidade de colaboradores.

  9. Em Insira os grupos de administradores do IdP aqui, digite o nome comum de um ou mais grupos de IdP que incluem administradores que configuram o acesso dos usuários a recursos relacionados ao SOAR. Você identificou e criou esses grupos quando definiu atributos e grupos de usuários no IdP.

  10. Abra os Termos de Serviço. Se você concordar com os termos, clique em Iniciar configuração.

    Pode levar até 15 minutos para a instância do Google Security Operations ser provisionada. Você vai receber uma notificação quando o provisionamento da instância for concluído. Se a configuração falhar, entre em contato com o representante do cliente do Google Cloud.

  11. Se você selecionou Google Cloud Identity, conceda um papel de Operações de segurança do Google a usuários e grupos que utilizam o IAM para que os usuários possam fazer login nas Operações de segurança do Google. Execute essa etapa usando o projeto do Google Cloud vinculado às Operações de segurança do Google criado anteriormente.

    O comando a seguir concede o papel de leitor da API Chronicle (roles/chronicle.viewer) a um único usuário usando gcloud.

    Para usar o console do Google Cloud, consulte Conceder um único papel.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Substitua:

    Para exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e identificadores principais.

Alterar a configuração de logon único (SSO)

As seções a seguir descrevem como alterar provedores de identidade:

Alterar o provedor de identidade de terceiros

  1. Configure o novo provedor de identidade de terceiros e o novo pool de identidades de colaboradores.

  2. No Google SecOps, em Configurações > Configurações SOAR > Avançado > Mapeamento de grupo do IdP, mude o mapeamento de grupo do IdP para fazer referência a grupos no novo provedor de identidade.

Conclua as etapas a seguir para alterar a configuração do SSO do Google SecOps:

  1. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculado ao Google SecOps.

  2. Acesse Segurança > Google SecOps.

  3. Na página Overview, clique na guia Single Sign-On. Essa página mostra os provedores de identidade que você definiu em Como configurar um provedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Logon único para alterar os provedores de SSO.

  5. Clique com o botão direito do mouse no link Test SSO setup e abra uma janela privada ou anônima.

  6. Volte ao console do Google Cloud, clique na página Segurança > Google SecOps > Visão geral e depois na guia Logon único.

  7. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  8. Verifique se você consegue fazer login no Google SecOps.

Migrar do provedor de identidade terceirizado para o Cloud Identity

Conclua as etapas a seguir para alterar a configuração do SSO de usar um provedor de identidade de terceiros para o Google Cloud Identity:

  1. Configure o Cloud Identity ou o Google Workspace como o provedor de identidade.
  2. Conceda os papéis e permissões predefinidos do IAM do Chronicle a usuários e grupos no projeto vinculado ao Google SecOps.

  3. No Google SecOps, em Configurações > Configurações SOAR > Avançado > Mapeamento de grupo do IdP, mude o mapeamento de grupo do IdP para fazer referência a grupos no novo provedor de identidade.

  4. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculado ao Google SecOps.

  5. Acesse Segurança > Chronicle SecOps.

  6. Na página Overview, clique na guia Single Sign-On. Essa página mostra os provedores de identidade que você definiu em Como configurar um provedor de identidade de terceiros para o Google SecOps.

  7. Marque a caixa de seleção Google Cloud Identity.

  8. Clique com o botão direito do mouse no link Test SSO setup e abra uma janela privada ou anônima.

    • Se uma tela de login aparecer, a configuração do SSO terá sido concluída. Continue para a próxima etapa.
    • Se você não vir uma tela de login, verifique a configuração do provedor de identidade.

  9. Volte ao console do Google Cloud e clique em Segurança > Chronicle SecOps > página Visão geral > guia Logon único.

  10. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  11. Verifique se você consegue fazer login no Google SecOps.