Google Security Operations インスタンスのオンボーディングまたは移行

Google Security Operations は、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などの Google Cloud サービスとより緊密に統合するために、お客様が指定する Google Cloud プロジェクトにリンクしています。お客様は IAM と Workforce Identity 連携を使用することで、既存の ID プロバイダを使用して認証することができます。

次のドキュメントでは、新しい Google Security Operations インスタンスをオンボーディングするか、既存の Google Security Operations インスタンスを移行するプロセスについて説明します。

  1. Google Security Operations 用に Google Cloud プロジェクトを構成する
  2. Google Security Operations 用にサードパーティ ID プロバイダを構成する
  3. Google Security Operations を Google Cloud サービスにリンクする
  4. IAM を使用して機能アクセス制御を構成する
  5. データアクセス制御を構成する
  6. Google Cloud 設定チェックリストを完了する

必要なロール

次のセクションでは、前のセクションで説明したオンボーディング プロセスの各フェーズで必要な権限について説明します。

Google Security Operations 用に Google Cloud プロジェクトを構成する

Google Security Operations 用に Google Cloud プロジェクトを構成するの手順を完了するには、次の IAM 権限が必要です。

組織レベルでプロジェクト作成者(resourcemanager.projects.createの権限がある場合、プロジェクトを作成して Chronicle API を有効にするために追加の権限は必要ありません。

この権限がない場合は、プロジェクト レベルで次の権限が必要です。

ID プロバイダを構成する

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。

Cloud Identity または Google Workspace を構成する権限

Cloud Identity を使用している場合は、プロジェクト、フォルダ、組織へのアクセス権の管理に記載されているロールと権限が必要です。

Google Workspace をご利用の場合は、Cloud Identity 管理者アカウントをお持ちで、管理コンソールにログインできる必要があります。

Cloud Identity または Google Workspace を ID プロバイダとして使用する方法については、Google Cloud ID プロバイダを構成するをご覧ください。

サードパーティの ID プロバイダを構成するための権限

サードパーティの ID プロバイダを使用する場合は、Workforce Identity 連携と Workload Identity プールを構成します。

Google Security Operations 用のサードパーティ ID プロバイダを構成するの手順を完了するには、次の IAM 権限が必要です。

  • 以前に作成した Google Security Operations にバインドされたプロジェクトに対するプロジェクト編集者権限。

  • 組織レベルの IAM 人員プール管理者(roles/iam.workforcePoolAdminの権限。

    次のコマンドを例として使用し、roles/iam.workforcePoolAdmin ロールを設定します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
    

    以下を置き換えます。

    • ORGANIZATION_ID: 数値の組織 ID
    • USER_EMAIL: 管理者ユーザーのメールアドレス。

詳細については、サードパーティの ID プロバイダを構成するをご覧ください。

Google Security Operations を Google Cloud サービスにリンクするの手順を完了するには、Google Security Operations 用に Google Cloud プロジェクトを構成するセクションで定義されている同じ権限が必要です。

既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスするための権限が必要です。事前定義ロールの一覧については、IAM の Google SecOps の事前定義ロールをご覧ください。

IAM を使用して機能アクセス制御を構成する

IAM を使用して機能アクセス制御を構成するの手順を完了するには、プロジェクトの IAM ロール バインディングを付与および変更するために、プロジェクト レベルで次の IAM 権限が必要です。

これを行う方法の例については、ユーザーとグループにロールを割り当てるをご覧ください。

既存の Google Security Operations インスタンスを IAM に移行する場合は、サードパーティ ID プロバイダ Google Security Operations を構成するのセクションで定義されているのと同じ権限が必要です。

データアクセス制御を構成する

ユーザーのデータ RBAC を構成するには、Chronicle API 管理者(roles/chronicle.admin)ロールとロール閲覧者(roles/iam.roleViewer)ロールが必要です。ユーザーにスコープを割り当てるには、プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロールが必要です。

必要なロールがない場合は、IAM でロールを割り当てます

Google Security Operations の高度な機能の要件

次の表に、Google Security Operations の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの依存関係を示します。

能力 Google Cloud の基盤 Google Cloud プロジェクトが必要ですか? IAM の統合が必要ですか?
Cloud Audit Logs: 管理アクティビティ Cloud Audit Logs
Cloud Audit Logs: データアクセス Cloud Audit Logs
Cloud Billing: オンライン サブスクリプションまたは従量課金制 Cloud Billing いいえ
Google Security Operations API: サードパーティの IdP を使用した一般的なアクセス、ミントおよび認証情報の管理 Google Cloud APIs
Google Security Operations API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理 Google Cloud APIs、Cloud Identity
準拠コントロール: CMEK Cloud Key Management Service または Cloud External Key Manager いいえ
準拠コントロール: FedRAMP High 以上 Assured Workloads
準拠コントロール: 組織ポリシー サービス 組織ポリシー サービス いいえ
準拠コントロール: VPC Service Controls VPC Service Controls いいえ
連絡先管理: 法的開示 重要な連絡先 いいえ
健全性モニタリング: 取り込みパイプラインの停止 Cloud Monitoring いいえ
取り込み: Webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose Identity and Access Management いいえ
ロールベース アクセス制御: データ Identity and Access Management
ロールベース アクセス制御: 機能またはリソース Identity and Access Management
サポート アクセス: ケースの送信、トラッキング Cloud カスタマーケア いいえ
統合 SecOps 認証 Google Workforce Identity 連携 いいえ