Incorporación o migración de una instancia de Google Security Operations
Google Security Operations se vincula a un proyecto de Google Cloud proporcionado por el cliente para integrarse más estrechamente a los servicios de Google Cloud, como Identity and Access Management, Cloud Monitoring y los registros de auditoría de Cloud. Los clientes pueden usar IAM y la federación de identidades de personal para autenticarse con su proveedor de identidad existente.
En los siguientes documentos, se explica el proceso para incorporar una nueva instancia de Google Security Operations o migrar una existente.
- Configura un proyecto de Google Cloud para Google Security Operations
- Configura un proveedor de identidad de terceros para Google Security Operations
- Vincula Google Security Operations a los servicios de Google Cloud
- Configura el control de acceso a las funciones con la IAM
- Configura el control de acceso a los datos
- Completa la lista de tareas de configuración de Google Cloud
Roles obligatorios
En las siguientes secciones, se describen los permisos que necesitas para cada fase del proceso de integración, que se mencionaron en la sección anterior.
Configura un proyecto de Google Cloud para Google Security Operations
Para completar los pasos que se indican en Configura un proyecto de Google Cloud para Google Security Operations, necesitas los siguientes permisos de IAM.
Si tienes el permiso Creador de proyectos (resourcemanager.projects.create
a nivel de la organización, no se requieren permisos adicionales para crear un proyecto y habilitar la API de Chronicle).
Si no tienes este permiso, necesitas los siguientes permisos a nivel del proyecto:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin
) - Editor (
roles/editor
) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin
) - Administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin
)
Configura un proveedor de identidad
Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros (como Okta o Azure AD) para administrar usuarios, grupos y la autenticación.
Permisos para configurar Cloud Identity o Google Workspace
Si usas Cloud Identity, debes tener las funciones y los permisos que se describen en Administra el acceso a los proyectos, las carpetas y las organizaciones.
Si usas Google Workspace, debes tener una cuenta de administrador de Cloud Identity y poder acceder a la Consola del administrador.
Consulta Configura el proveedor de identidad de Google Cloud para obtener más información sobre el uso de Cloud Identity o Google Workspace como proveedor de identidad.
Permisos para configurar un proveedor de identidad de terceros
Si usas un proveedor de identidad de terceros, configurarás la Federación de identidades de personal y un grupo de identidades de personal.
Para completar los pasos que se indican en Configura un proveedor de identidad de terceros para Google Security Operations, necesitas los siguientes permisos de IAM.
Permisos del Editor de proyecto para el proyecto vinculado a Google Security Operations que creaste anteriormente.
El permiso Administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin
) a nivel de la organización.Usa el siguiente comando como ejemplo para establecer la función
roles/iam.workforcePoolAdmin
:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
Reemplaza lo siguiente:
ORGANIZATION_ID
: Es el ID numérico de la organización.USER_EMAIL
: Es la dirección de correo electrónico del usuario administrador.
Para obtener más información, consulta Configura un proveedor de identidad de terceros.
Vincula una instancia de Google Security Operations a los servicios de Google Cloud
Para completar los pasos que se indican en Vincula Google Security Operations a los servicios de Google Cloud, necesitas los mismos permisos definidos en la sección Configura un proyecto de Google Cloud para Google Security Operations.
Si planeas migrar una instancia existente de Google SecOps, necesitas permisos para acceder a Google SecOps. Para obtener una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM
Configura el control de acceso a las funciones con la IAM
Para completar los pasos que se indican en Configura el control de acceso a las funciones con IAM, necesitas el siguiente permiso de IAM a nivel de proyecto para otorgar y modificar las vinculaciones de funciones de IAM del proyecto:
Consulta Asigna funciones a usuarios y grupos para ver un ejemplo de cómo hacerlo.
Si planeas migrar una instancia existente de Google Security Operations a IAM, necesitas los mismos permisos que se definen en la sección Configura un proveedor de identidad de terceros de Google Security Operations.
Configura el control de acceso a los datos
Si deseas configurar el RBAC de datos para los usuarios, necesitas las funciones de administrador de la API de Chronicle (roles/chronicle.admin
) y visualizador de roles (roles/iam.roleViewer
). Para asignar los permisos a los usuarios, necesitas la función de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin
) o administrador de seguridad (roles/iam.securityAdmin
).
Si no tienes los roles necesarios, asígnalos en IAM.
Requisitos de las funciones avanzadas de Google Security Operations
En la siguiente tabla, se enumeran las funciones avanzadas de Google Security Operations y sus dependencias en un proyecto de Google Cloud proporcionado por el cliente y la federación de identidades de personal de Google.
Capacidades | Base de Google Cloud | ¿Se requiere un proyecto de Google Cloud? | ¿Requiere integración en IAM? |
---|---|---|---|
Registros de auditoría de Cloud: actividades administrativas | Registros de auditoría de Cloud | Sí | Sí |
Registros de auditoría de Cloud: acceso a los datos | Registros de auditoría de Cloud | Sí | Sí |
Facturación de Cloud: suscripción en línea o pago por uso | Facturación de Cloud | Sí | No |
APIs de Google Security Operations: acceso general, creación y administración de credenciales con IdP de terceros | APIs de Google Cloud | Sí | Sí |
APIs de Google Security Operations: acceso general, creación y administración de credenciales con Cloud Identity | APIs de Google Cloud, Cloud Identity | Sí | Sí |
Controles compatibles: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
Controles de cumplimiento: FedRAMP High o superior | Assured Workloads | Sí | Sí |
Controles de cumplimiento: Servicio de políticas de la organización | Servicio de políticas de la organización | Sí | No |
Controles de cumplimiento: Controles del servicio de VPC | Controles del servicio de VPC | Sí | No |
Administración de contactos: divulgaciones legales | Contactos esenciales | Sí | No |
Supervisión del estado: interrupciones de las canalizaciones de transferencia | Cloud Monitoring | Sí | No |
Transferencia: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sí | No |
Controles de acceso basados en roles: datos | Identity and Access Management | Sí | Sí |
Controles de acceso basados en roles: funciones o recursos | Identity and Access Management | Sí | Sí |
Acceso a la asistencia: envío de casos, seguimiento | Atención al cliente de Cloud | Sí | No |
Autenticación unificada de SecOps | Federación de identidades de personal de Google | No | Sí |