Onboarding o migrazione di un'istanza di Google Security Operations

Supportato in:

Google Security Operations si collega a un progetto Google Cloud fornito dal cliente per integrarsi più strettamente con i servizi Google Cloud, come Identity and Access Management, Cloud Monitoring e Cloud Audit Logs. I clienti possono utilizzare IAM e la federazione delle identità per la forza lavoro per eseguire l'autenticazione usando il provider di identità esistente.

I seguenti documenti ti guidano nella procedura di onboarding di un nuovo o eseguire la migrazione di un'istanza di Google Security Operations esistente.

  1. Configura un progetto Google Cloud per Google Security Operations
  2. Configurare un provider di identità di terze parti per Google Security Operations
  3. Collegare Google Security Operations ai servizi Google Cloud
  4. Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
  5. Configurare il controllo dell'accesso ai dati
  6. Completa l'elenco di controllo per la configurazione di Google Cloud

Ruoli obbligatori

Le seguenti sezioni descrivono le autorizzazioni necessarie per ogni fase del delle operazioni preliminari, menzionato nella sezione precedente.

Configura un progetto Google Cloud per Google Security Operations

Per completare i passaggi descritti in Configurare un progetto Google Cloud per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.

Se hai l'Autore progetto (resourcemanager.projects.create) autorizzazione a livello di organizzazione, nessuna autorizzazione aggiuntiva per creare un progetto e abilitare l'API Chronicle.

Se non disponi di questa autorizzazione, sono necessarie le seguenti autorizzazioni a livello di progetto:

Configura un provider di identità

Puoi utilizzare Cloud Identity, Google Workspace o un'identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

Autorizzazioni per configurare Cloud Identity o Google Workspace

Se utilizzi Cloud Identity, devi disporre dei ruoli e delle autorizzazioni descritti in Gestire l'accesso a progetti, cartelle e organizzazioni.

Se utilizzi Google Workspace, devi avere un amministratore di Cloud Identity account e poter accedere alla Console di amministrazione.

Consulta Configurare il provider di identità Google Cloud per saperne di più sull'utilizzo di Cloud Identity o Google Workspace come provider di identità.

Autorizzazioni per configurare un provider di identità di terze parti

Se utilizzi un provider di identità di terze parti, devi configurare Federazione delle identità per la forza lavoro e un di identità per la forza lavoro.

Per completare i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.

  • Autorizzazioni di Editor di progetto per il progetto collegato a Google Security Operations che hai creato in precedenza.

  • Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) a livello di organizzazione.

    Utilizza il seguente comando come esempio per impostare il ruolo roles/iam.workforcePoolAdmin:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
    • USER_EMAIL: indirizzo email dell'amministratore.

Per saperne di più, vedi Configurare un provider di identità di terze parti.

Per completare i passaggi descritti in Collegare Google Security Operations ai servizi Google Cloud, devi disporre delle stesse autorizzazioni definite in Configurare un progetto Google Cloud per Google Security Operations .

Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente, devi avere le autorizzazioni necessarie per accedere a Google SecOps. Per un elenco dei ruoli predefiniti, vedi Ruoli predefiniti di Google SecOps in IAM

Configurare il controllo dell'accesso alle funzionalità utilizzando IAM

Per completare i passaggi descritti in Configurare il controllo dell'accesso alle funzionalità utilizzando IAM, devi disporre della seguente autorizzazione IAM a livello di progetto per Concedi e modifica le associazioni dei ruoli IAM del progetto:

Consulta Assegnare ruoli a utenti e gruppi per un esempio di come eseguire questa operazione.

Se prevedi di eseguire la migrazione di un'istanza Google Security Operations esistente a IAM, devi disporre delle stesse autorizzazioni definite nella sezione Configurare un provider di identità di terze parti per Google Security Operations.

Configurare il controllo dell'accesso ai dati

Per configurare il RBAC dei dati per gli utenti, devi disporre dei ruoli Amministratore API Chronicle (roles/chronicle.admin) e visualizzatore ruoli (roles/iam.roleViewer). Per assegnare gli ambiti agli utenti, è necessario l'amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) oppure Ruolo Amministratore sicurezza (roles/iam.securityAdmin).

Se non hai i ruoli richiesti, assegnali in IAM.

Requisiti relativi alle funzionalità avanzate di Google Security Operations

La tabella seguente elenca le funzionalità avanzate di Google Security Operations e le relative dipendenze da un progetto Google Cloud fornito dal cliente e dalla federazione delle identità della forza lavoro di Google.

Capacità Gli elementi di base di Google Cloud Richiede un progetto Google Cloud? Richiede l'integrazione IAM?
Cloud Audit Logs: attività amministrative Cloud Audit Logs
Cloud Audit Logs: accesso ai dati Cloud Audit Logs
Fatturazione Cloud: abbonamento online o pagamento a consumo Cloud Billing No
API Chronicle: accesso generale, creazione e gestione delle credenziali tramite IdP di terze parti API di Google Cloud
API Chronicle: accesso generale, creazione e gestione delle credenziali con Cloud Identity API Google Cloud, Cloud Identity
Controlli conformi: CMEK Cloud Key Management Service o Cloud External Key Manager No
Controlli conformi: FedRAMP High o versioni successive Assured Workloads
Controlli conformi: servizio Criteri dell'organizzazione Servizio Criteri dell'organizzazione No
Controlli conformi: Controlli di servizio VPC Controlli di servizio VPC No
Gestione dei contatti: informative legali Contatti fondamentali No
Monitoraggio dell'integrità: interruzioni della pipeline di importazione Cloud Monitoring No
Importazione: webhook, Pub/Sub, hub eventi Azure, Amazon Kinesis Data Firehose Identity and Access Management No
Controlli di accesso basati sui ruoli: dati Identity and Access Management
Controlli di accesso basati sui ruoli: funzionalità o risorse Identity and Access Management
Accesso all'assistenza: invio e monitoraggio delle richieste Assistenza clienti Google Cloud No
Autenticazione SecOps unificata Federazione delle identità per la forza lavoro Google No