Onboarding o migrazione di un'istanza di Google Security Operations
Google Security Operations si collega a un progetto Google Cloud fornito dal cliente per integrarsi più strettamente con i servizi Google Cloud, come Identity and Access Management, Cloud Monitoring e Cloud Audit Logs. I clienti possono utilizzare IAM e la federazione delle identità per la forza lavoro per eseguire l'autenticazione usando il provider di identità esistente.
I seguenti documenti ti guidano nella procedura di onboarding di un nuovo o eseguire la migrazione di un'istanza di Google Security Operations esistente.
- Configura un progetto Google Cloud per Google Security Operations
- Configurare un provider di identità di terze parti per Google Security Operations
- Collegare Google Security Operations ai servizi Google Cloud
- Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
- Configurare il controllo dell'accesso ai dati
- Completa l'elenco di controllo per la configurazione di Google Cloud
Ruoli obbligatori
Le seguenti sezioni descrivono le autorizzazioni necessarie per ogni fase del delle operazioni preliminari, menzionato nella sezione precedente.
Configura un progetto Google Cloud per Google Security Operations
Per completare i passaggi descritti in Configurare un progetto Google Cloud per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Se hai l'Autore progetto (resourcemanager.projects.create)
autorizzazione a livello di organizzazione, nessuna autorizzazione aggiuntiva
per creare un progetto e abilitare l'API Chronicle.
Se non disponi di questa autorizzazione, sono necessarie le seguenti autorizzazioni a livello di progetto:
- Amministratore servizio Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) - Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configura un provider di identità
Puoi utilizzare Cloud Identity, Google Workspace o un'identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.
Autorizzazioni per configurare Cloud Identity o Google Workspace
Se utilizzi Cloud Identity, devi disporre dei ruoli e delle autorizzazioni descritti in Gestire l'accesso a progetti, cartelle e organizzazioni.
Se utilizzi Google Workspace, devi avere un amministratore di Cloud Identity account e poter accedere alla Console di amministrazione.
Consulta Configurare il provider di identità Google Cloud per saperne di più sull'utilizzo di Cloud Identity o Google Workspace come provider di identità.
Autorizzazioni per configurare un provider di identità di terze parti
Se utilizzi un provider di identità di terze parti, devi configurare Federazione delle identità per la forza lavoro e un di identità per la forza lavoro.
Per completare i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Autorizzazioni di Editor di progetto per il progetto collegato a Google Security Operations che hai creato in precedenza.
Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin) a livello di organizzazione.Utilizza il seguente comando come esempio per impostare il ruolo
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSostituisci quanto segue:
ORGANIZATION_ID: l'ID numerico dell'organizzazione.USER_EMAIL: indirizzo email dell'amministratore.
Per saperne di più, vedi Configurare un provider di identità di terze parti.
Collega un'istanza di Google Security Operations ai servizi Google Cloud
Per completare i passaggi descritti in Collegare Google Security Operations ai servizi Google Cloud, devi disporre delle stesse autorizzazioni definite in Configurare un progetto Google Cloud per Google Security Operations .
Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente, devi avere le autorizzazioni necessarie per accedere a Google SecOps. Per un elenco dei ruoli predefiniti, vedi Ruoli predefiniti di Google SecOps in IAM
Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Per completare i passaggi descritti in Configurare il controllo dell'accesso alle funzionalità utilizzando IAM, devi disporre della seguente autorizzazione IAM a livello di progetto per Concedi e modifica le associazioni dei ruoli IAM del progetto:
Consulta Assegnare ruoli a utenti e gruppi per un esempio di come eseguire questa operazione.
Se prevedi di eseguire la migrazione di un'istanza Google Security Operations esistente a IAM, devi disporre delle stesse autorizzazioni definite nella sezione Configurare un provider di identità di terze parti per Google Security Operations.
Configurare il controllo dell'accesso ai dati
Per configurare il RBAC dei dati per gli utenti,
devi disporre dei ruoli Amministratore API Chronicle (roles/chronicle.admin) e visualizzatore ruoli (roles/iam.roleViewer). Per assegnare gli ambiti agli utenti, è necessario
l'amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) oppure
Ruolo Amministratore sicurezza (roles/iam.securityAdmin).
Se non hai i ruoli richiesti, assegnali in IAM.
Requisiti relativi alle funzionalità avanzate di Google Security Operations
La tabella seguente elenca le funzionalità avanzate di Google Security Operations e le relative dipendenze da un progetto Google Cloud fornito dal cliente e dalla federazione delle identità della forza lavoro di Google.
| Capacità | Gli elementi di base di Google Cloud | Richiede un progetto Google Cloud? | Richiede l'integrazione IAM? |
|---|---|---|---|
| Cloud Audit Logs: attività amministrative | Cloud Audit Logs | Sì | Sì |
| Cloud Audit Logs: accesso ai dati | Cloud Audit Logs | Sì | Sì |
| Fatturazione Cloud: abbonamento online o pagamento a consumo | Cloud Billing | Sì | No |
| API Chronicle: accesso generale, creazione e gestione delle credenziali tramite IdP di terze parti | API di Google Cloud | Sì | Sì |
| API Chronicle: accesso generale, creazione e gestione delle credenziali con Cloud Identity | API Google Cloud, Cloud Identity | Sì | Sì |
| Controlli conformi: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sì | No |
| Controlli conformi: FedRAMP High o versioni successive | Assured Workloads | Sì | Sì |
| Controlli conformi: servizio Criteri dell'organizzazione | Servizio Criteri dell'organizzazione | Sì | No |
| Controlli conformi: Controlli di servizio VPC | Controlli di servizio VPC | Sì | No |
| Gestione dei contatti: informative legali | Contatti fondamentali | Sì | No |
| Monitoraggio dell'integrità: interruzioni della pipeline di importazione | Cloud Monitoring | Sì | No |
| Importazione: webhook, Pub/Sub, hub eventi Azure, Amazon Kinesis Data Firehose | Identity and Access Management | Sì | No |
| Controlli di accesso basati sui ruoli: dati | Identity and Access Management | Sì | Sì |
| Controlli di accesso basati sui ruoli: funzionalità o risorse | Identity and Access Management | Sì | Sì |
| Accesso all'assistenza: invio e monitoraggio delle richieste | Assistenza clienti Google Cloud | Sì | No |
| Autenticazione SecOps unificata | Federazione delle identità per la forza lavoro Google | No | Sì |