将 Google SecOps 实例与 Google Cloud 服务相关联

Google Security Operations 实例依赖于 Google Cloud 服务来实现某些关键功能，例如身份验证。

本文档介绍了如何配置实例以关联到这些服务，无论您是设置新的部署还是迁移现有的 Google SecOps 实例。

准备工作

在配置包含 Google Cloud服务的 Google SecOps 实例之前，您必须执行以下操作：

• 验证权限。确保您拥有完成本文档中的步骤所需的必要权限。如需了解在每个新手入门阶段所需的权限，请参阅所需的角色和权限。

• 选择项目设置：您可以为 Google SecOps 实例创建新的 Google Cloud项目，也可以将其与现有 Google Cloud 项目相关联。

  如需创建新的 Google Cloud 项目并启用 Chronicle API，请按照创建 Google Cloud 项目中的步骤操作。

• 为 Google SecOps 实例配置 SSO 提供方：您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方 (IdP)，具体如下：

  • 如果您使用的是第三方 IdP，请按照

    为 Google SecOps 配置第三方身份提供商。

  • 如果您使用的是 Cloud Identity 或 Google Workspace，请按照

    为 Google SecOps 配置 Google Cloud 身份提供方。

如需关联为代管式安全服务提供商 (MSSP) 创建的 Google SecOps 实例，请与您的 Google SecOps 代表联系。设置需要 Google SecOps 代表的协助。

将 Google SecOps 实例与 Google Cloud 项目相关联后，该 Google SecOps 实例现在可以进行进一步配置了。现在，您可以检查提取的数据，并监控项目是否存在潜在的安全威胁。

配置新的 Google SecOps 实例

将新实例关联到项目后，您可以使用身份验证和监控功能，包括：

• Cloud Identity 集成，用于访问各种 Google Cloud 服务，例如身份验证、Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs。

• IAM 和员工身份联合支持通过现有第三方 IdP 进行身份验证。

如需将 Google SecOps 实例与 Google Cloud 项目相关联，请执行以下步骤：

1. 贵组织签署 Google SecOps 客户合同后，初始配置 SME 会收到一封包含激活链接的初始配置邀请电子邮件。激活链接只能使用一次。

   在初始配置邀请电子邮件中，点击前往 Google Cloud激活链接，打开将 SecOps 关联到项目页面。

2. 点击选择项目，打开选择资源页面。

3. 在选择资源页面上，选择一个 Google Cloud 项目以关联您的新 Google SecOps 实例。具体有两种方案可供选择：

   • 方式 1：创建新 Google Cloud 项目：

     点击新项目，然后按照创建 Google Cloud 项目中所述的步骤操作。

   • 方法 2：从列表中选择现有项目：

     按照选择现有项目中所述的步骤操作。

4. 选择项目后，系统会启用添加联系人按钮，并且添加重要联系人部分会显示重要联系人表格。 下表显示了通知类别以及分配给每个类别的联系人的电子邮件地址。

   为至少以下四种强制性通知类别分配联系人：技术、安全、法律和结算。

   按以下步骤将联系人分配给一个或多个通知类别：

   1. 如需打开修改联系人窗口，请点击添加联系人，或在包含现有联系人的通知类别中点击 修改 修改。

   2. 输入联系人的电子邮件地址，然后选择一个或多个通知类别。

   3. 点击保存。

5. 点击下一步。

   系统会检查 Chronicle API 是否已启用。如果启用，初始配置页面会显示预先填充的初始配置信息，并运行部署流程。此过程最多可能需要 15 分钟才能完成。

   部署成功完成后，您会收到通知。 如果部署失败，请与 Google SecOps 支持团队联系。

6. 验证部署是否正确，如下所示：

   • 如需查看实例信息，请前往https://console.cloud.google.com/security/chronicle/settings。

   • 如需更新任何信息，请与 Google SecOps 支持团队联系。

选择现有项目

1. 在选择资源页面上，从列表中选择您的组织。

   该页面会显示 Google Cloud 项目和文件夹的列表。

   • 这些项目与 Google SecOps 实例属于同一组织，并且具有相同的结算账号。

   • 如果项目或文件夹旁边显示 警告 警告图标，则表示您无法选择该项目或文件夹。将指针悬停在相应图标上，即可查看原因，例如：缺少权限或结算不匹配。

2. 根据以下条件选择项目：

   • 将实例与 Google Cloud 项目相关联的条件：

     • Google Cloud 项目不得已关联到其他 Google SecOps 实例。

     • 您拥有访问和处理项目所需的 IAM 权限，请参阅添加 Google Cloud 项目所需的权限。

     • 对于受合规性控制的租户（实例），项目必须位于 Assured Workloads 文件夹中。如需了解详情，请参阅员工身份联合。

       受合规性控制的租户（实例）符合以下合规性控制标准之一：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

   • 如需为受合规性控制的租户（实例）选择 Google Cloud 项目，请执行以下操作：

     1. 选择一个 Assured Workloads 文件夹以将其打开。
     2. 在 Assured Workloads 文件夹中，点击Google Cloud 项目的名称以打开将 SecOps 关联到项目页面。
     3. 完成配置 IdP 中所述的配置。

   • 为不受合规性控制的租户（实例）选择 Google Cloud 项目：

     1. 点击有效 Google Cloud 项目的名称，打开将 SecOps 与项目相关联页面。

     2. 在将 SecOps 关联到项目页面上，根据需要选择其他项目。为此，您需要点击相应项目，以再次显示选择资源页面。

3. 点击下一步，将 Google SecOps 实例与所选项目相关联，然后打开部署页面。

   部署页面会显示实例和服务的最终详细信息，并要求您在执行最终 ddx 之前表示同意。该页面包含多个部分，其中显示了预填充的不可修改字段。只有 Google 代表可以更改这些详细信息。

   请查看以下各部分中的详细信息。点击下一步以转到下一部分：

   1. 实例详情

      该页面会显示合同中设置的实例详细信息，例如公司、区域、套餐层级和数据保留期限。

      点击下一步以显示下一部分。

   2. 查看服务账号

      该页面会显示要创建的服务账号的详细信息。

      点击下一步以显示下一部分。

   3. 配置单点登录 (SSO)

      选择已配置的单点登录提供方。根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供方，选择以下选项之一：

      • Google Cloud Identity：

        如果您使用的是 Cloud Identity 或 Google Workspace，请选择此选项。

      • 员工身份联合：

        如果您使用的是第三方身份提供方，请从列表中选择您的员工提供方。

        如果您没有看到自己的身份提供方，请配置您的提供方，然后从列表中选择您的提供方。如需了解详情，请参阅配置第三方身份提供方。

        点击下一步以显示下一部分。

   4. 服务条款

      1. 选中我同意...复选框以同意相应条款。
      2. 点击开始设置，根据显示的详细信息部署 Google SecOps 实例。

4. 点击此处继续执行下一步。

迁移现有的 Google SecOps 实例

以下部分介绍了如何迁移现有 Google SecOps 实例，以将其与 Google Cloud 项目相关联，并使用 IAM 控制功能访问权限。

关联到项目和员工提供方

以下过程介绍了如何将现有 Google SecOps 实例与 Google Cloud 项目相关联，以及如何使用 IAM Workforce Identity Federation 服务配置 SSO。

1. 登录 Google SecOps。

2. 依次选择设置 > SIEM 设置。

3. 点击 Google Cloud Platform。

4. 输入 Google Cloud 项目 ID，将项目与 Google SecOps 实例相关联。

5. 点击生成链接。

6. 点击关联到 Google Cloud 平台。系统会打开 Google Cloud 控制台。 如果您在 Google SecOps 应用中输入了错误的 Google Cloud 项目 ID，请返回 Google SecOps 中的 Google Cloud Platform 页面，然后输入正确的项目 ID。

7. 在 Google Cloud 控制台中，依次前往安全性 > Google SecOps。

8. 验证系统为 Google Cloud 项目创建的服务账号。

9. 在配置单点登录下方，根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供商，选择以下选项之一：

   • 如果您使用的是 Cloud Identity 或 Google Workspace，请选择 Google Cloud Identity。

   • 如果您使用的是第三方身份提供方，请选择员工身份联合，然后选择要使用的员工身份提供方。您可以在配置员工身份联合时设置此项。

10. 如果您选择员工身份联合，请右键点击测试 SSO 设置链接，然后在私密窗口或无痕式窗口中打开该链接。

    • 如果您看到登录界面，则表示单点登录设置成功。
    • 如果您没有看到登录界面，请检查第三方身份提供方的配置。 请参阅为 Google SecOps 配置第三方身份提供方。

11. 继续执行下一部分：将现有权限迁移到 IAM。

将现有权限迁移到 IAM

迁移现有 Google SecOps 实例后，您可以使用自动生成的命令将现有权限和角色迁移到 IAM。Google SecOps 会使用迁移前的功能 RBAC 访问权限控制配置来创建这些命令。运行后，这些脚本会创建与现有配置等效的新 IAM 政策，如 Google SecOps 中 SIEM 设置 > 用户和群组页面中所定义的那样。

运行这些命令后，您将无法恢复到之前的功能 RBAC 访问权限控制功能。如果您遇到问题，请与 Google SecOps 技术支持团队联系。

1. 在 Google Cloud 控制台中，依次前往安全性 > Google SecOps > 访问权限管理标签页。
2. 在迁移角色绑定下，您会看到一组自动生成的 Google Cloud CLI 命令。
3. 查看并验证命令是否创建了预期权限。 如需了解 Google SecOps 角色和权限，请参阅 IAM 权限如何映射到每个功能 RBAC 角色。
4. 启动 Cloud Shell 会话。
5. 复制自动生成的命令，然后将其粘贴到 gcloud CLI 中并运行。
6. 执行所有命令后，点击验证访问权限。 如果成功，您会在 Google SecOps 访问权限管理中看到“已验证访问权限”消息。否则，您会看到“拒绝访问”消息 。此过程可能需要 1 到 2 分钟时间。
7. 如需完成迁移，请依次前往安全 > Google SecOps > 访问权限管理标签页，然后点击启用 IAM。
8. 验证您是否可以作为具有 Chronicle API 管理员角色的用户访问 Google SecOps。
   1. 以具有 Chronicle API Admin 预定义角色的用户身份登录 Google SecOps。如需了解详情，请参阅登录 Google SecOps。
   2. 打开 SIEM 设置 > 用户和群组页面。 您应该会看到以下消息：如需管理用户和群组，请前往 Google Cloud 控制台中的 Identity Access Management (IAM)。详细了解如何管理用户和群组。
9. 以具有其他角色的用户身份登录 Google SecOps。 如需了解详情，请参阅登录 Google SecOps。
10. 验证应用中的可用功能是否与 IAM 中定义的权限相匹配。

更改 SSO 配置

以下部分介绍了如何更改身份提供方：

• 更改第三方身份提供商
• 从第三方身份提供商迁移到 Cloud Identity

更改第三方身份提供方

1. 设置新的第三方身份提供方和员工身份池。

2. 在 Google SecOps 中，依次前往设置 > SOAR 设置 > 高级 > IDP 群组映射，然后更改 IdP 群组映射以引用新身份提供方中的群组。

更新 SSO 设置

如需更改 Google SecOps 的 SSO 配置，请完成以下步骤：

1. 打开 Google Cloud 控制台，然后选择与 Google SecOps 绑定的 Google Cloud 项目。

2. 前往安全性 > Google SecOps。

3. 在概览页面上，点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。

4. 使用单点登录菜单更改 SSO 提供方。

5. 右键点击测试单点登录设置链接，然后打开私密窗口或无痕式窗口。

   • 如果您看到登录界面，则表示单点登录设置成功。继续执行下一步。
   • 如果您没有看到登录界面，请检查第三方身份提供方的配置。 请参阅为 Google SecOps 配置第三方身份提供方。

6. 返回 Google Cloud 控制台，依次点击安全 > Google SecOps > 概览页面，然后点击单点登录标签页。

7. 点击页面底部的保存以更新新提供商。

8. 验证您是否可以登录 Google SecOps。

从第三方身份提供商迁移到 Cloud Identity

请完成以下步骤，将 SSO 配置从使用第三方身份提供方更改为使用 Google Cloud Identity：

1. 请务必将 Cloud Identity 或 Google Workspace 配置为身份提供方。
2. 向 Google SecOps 绑定项目中的用户和群组授予预定义的 Chronicle IAM 角色和自定义角色。
3. 向相关用户或群组授予 Chronicle SOAR 管理员角色。

4. 在 Google SecOps 中，依次选择设置 > SOAR 设置 > 高级 > IDP 群组映射，然后添加 Chronicle SOAR 管理员。如需了解详情，请参阅 IdP 群组映射。

5. 打开 Google Cloud 控制台，然后选择与 Google SecOps 绑定的 Google Cloud 项目。

6. 前往安全性 > Chronicle SecOps。

7. 在概览页面上，点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。

8. 选中 Google Cloud Identity 复选框。

9. 右键点击测试单点登录设置链接，然后打开私密窗口或无痕式窗口。

   • 如果您看到登录界面，则表示单点登录设置成功。继续执行下一步。
   • 如果您没有看到登录界面，请检查身份提供方的配置。

10. 返回 Google Cloud 控制台，然后依次点击安全 > Chronicle SecOps > 概览页面 > 单点登录标签页。

11. 点击页面底部的保存以更新新提供商。

12. 验证您是否可以登录 Google SecOps。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。