Google Security Operations インスタンスのオンボーディングまたは移行
Google Security Operations は、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などの Google Cloud サービスとより緊密に統合するために、お客様が指定する Google Cloud プロジェクトにリンクしています。お客様は IAM と Workforce Identity 連携を使用することで、既存の ID プロバイダを使用して認証することができます。
次のドキュメントでは、新しい Google Security Operations インスタンスをオンボーディングするか、既存の Google Security Operations インスタンスを移行するプロセスについて説明します。
- Google Security Operations 用に Google Cloud プロジェクトを構成する
- Google Security Operations 用にサードパーティ ID プロバイダを構成する
- Google Security Operations を Google Cloud サービスにリンクする
- IAM を使用して機能アクセス制御を構成する
- データアクセス制御を構成する
- Google Cloud 設定チェックリストを完了する
必要なロール
次のセクションでは、前のセクションで説明したオンボーディング プロセスの各フェーズで必要な権限について説明します。
Google Security Operations 用に Google Cloud プロジェクトを構成する
Google Security Operations 用に Google Cloud プロジェクトを構成するの手順を完了するには、次の IAM 権限が必要です。
組織レベルでプロジェクト作成者(resourcemanager.projects.create
)の権限がある場合、プロジェクトを作成して Chronicle API を有効にするために追加の権限は必要ありません。
この権限がない場合は、プロジェクト レベルで次の権限が必要です。
- Chronicle サービス管理者(
roles/chroniclesm.admin
) - 編集者(
roles/editor
) - プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin
) - Service Usage 管理者(
roles/serviceusage.serviceUsageAdmin
)
ID プロバイダを構成する
Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。
Cloud Identity または Google Workspace を構成する権限
Cloud Identity を使用している場合は、プロジェクト、フォルダ、組織へのアクセス権の管理に記載されているロールと権限が必要です。
Google Workspace をご利用の場合は、Cloud Identity 管理者アカウントをお持ちで、管理コンソールにログインできる必要があります。
Cloud Identity または Google Workspace を ID プロバイダとして使用する方法については、Google Cloud ID プロバイダを構成するをご覧ください。
サードパーティの ID プロバイダを構成するための権限
サードパーティの ID プロバイダを使用する場合は、Workforce Identity 連携と Workload Identity プールを構成します。
Google Security Operations 用のサードパーティ ID プロバイダを構成するの手順を完了するには、次の IAM 権限が必要です。
以前に作成した Google Security Operations にバインドされたプロジェクトに対するプロジェクト編集者権限。
組織レベルの IAM 人員プール管理者(
roles/iam.workforcePoolAdmin
)の権限。次のコマンドを例として使用し、
roles/iam.workforcePoolAdmin
ロールを設定します。gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
以下を置き換えます。
ORGANIZATION_ID
: 数値の組織 IDUSER_EMAIL
: 管理者ユーザーのメールアドレス。
詳細については、サードパーティの ID プロバイダを構成するをご覧ください。
Google Security Operations インスタンスを Google Cloud サービスにリンクする
Google Security Operations を Google Cloud サービスにリンクするの手順を完了するには、Google Security Operations 用に Google Cloud プロジェクトを構成するセクションで定義されている同じ権限が必要です。
既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスするための権限が必要です。事前定義ロールの一覧については、IAM の Google SecOps の事前定義ロールをご覧ください。
IAM を使用して機能アクセス制御を構成する
IAM を使用して機能アクセス制御を構成するの手順を完了するには、プロジェクトの IAM ロール バインディングを付与および変更するために、プロジェクト レベルで次の IAM 権限が必要です。
これを行う方法の例については、ユーザーとグループにロールを割り当てるをご覧ください。
既存の Google Security Operations インスタンスを IAM に移行する場合は、サードパーティ ID プロバイダ Google Security Operations を構成するのセクションで定義されているのと同じ権限が必要です。
データアクセス制御を構成する
ユーザーのデータ RBAC を構成するには、Chronicle API 管理者(roles/chronicle.admin
)ロールとロール閲覧者(roles/iam.roleViewer
)ロールが必要です。ユーザーにスコープを割り当てるには、プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin
)またはセキュリティ管理者(roles/iam.securityAdmin
)のロールが必要です。
必要なロールがない場合は、IAM でロールを割り当てます。
Google Security Operations の高度な機能の要件
次の表に、Google Security Operations の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの依存関係を示します。
能力 | Google Cloud の基盤 | Google Cloud プロジェクトが必要ですか? | IAM の統合が必要ですか? |
---|---|---|---|
Cloud Audit Logs: 管理アクティビティ | Cloud Audit Logs | ○ | ○ |
Cloud Audit Logs: データアクセス | Cloud Audit Logs | ○ | ○ |
Cloud Billing: オンライン サブスクリプションまたは従量課金制 | Cloud Billing | ○ | いいえ |
Google Security Operations API: サードパーティの IdP を使用した一般的なアクセス、ミントおよび認証情報の管理 | Google Cloud APIs | ○ | ○ |
Google Security Operations API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理 | Google Cloud APIs、Cloud Identity | ○ | ○ |
準拠コントロール: CMEK | Cloud Key Management Service または Cloud External Key Manager | ○ | いいえ |
準拠コントロール: FedRAMP High 以上 | Assured Workloads | ○ | ○ |
準拠コントロール: 組織ポリシー サービス | 組織ポリシー サービス | ○ | いいえ |
準拠コントロール: VPC Service Controls | VPC Service Controls | ○ | いいえ |
連絡先管理: 法的開示 | 重要な連絡先 | ○ | いいえ |
健全性モニタリング: 取り込みパイプラインの停止 | Cloud Monitoring | ○ | いいえ |
取り込み: Webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | ○ | いいえ |
ロールベース アクセス制御: データ | Identity and Access Management | ○ | ○ |
ロールベース アクセス制御: 機能またはリソース | Identity and Access Management | ○ | ○ |
サポート アクセス: ケースの送信、トラッキング | Cloud カスタマーケア | ○ | いいえ |
統合 SecOps 認証 | Google Workforce Identity 連携 | いいえ | ○ |