Integra o migra una instancia de Google Security Operations
Google Security Operations se vincula a un Google Cloud proyecto proporcionado por el cliente para integrarlo mejor con los Google Cloud servicios, como Identity and Access Management, Cloud Monitoring y Cloud Audit Logs. Los clientes pueden usar IAM y la federación de identidades de personal para autenticarse con su proveedor de identidad existente.
En los siguientes documentos, se te guiará a través del proceso para integrar una instancia nueva de Google Security Operations o migrar una existente.
- Configura un Google Cloud proyecto para Google Security Operations
- Configura un proveedor de identidad de terceros para Google Security Operations
- Vincula Google Security Operations a Google Cloud servicios
- Cómo configurar el control de acceso a las funciones con IAM
- Configura el control de acceso a los datos
- Completa la Google Cloud lista de tareas de configuración.
Roles obligatorios
En las siguientes secciones, se describen los permisos que necesitas para cada fase del proceso de integración, que se mencionó en la sección anterior.
Configura un Google Cloud proyecto para Google Security Operations
Para completar los pasos de Configura un Google Cloud proyecto para Google Security Operations, necesitas los siguientes permisos de IAM.
Si tienes el permiso Creador de proyectos (resourcemanager.projects.create
) a nivel de la organización, no se requieren permisos adicionales para crear un proyecto y habilitar la API de Chronicle.
Si no tienes este permiso, necesitas los siguientes permisos a nivel del proyecto:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin
) - Editor (
roles/editor
) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin
) - Administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin
)
Configura un proveedor de identidad
Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros (como Okta o Azure AD) para administrar usuarios, grupos y autenticación.
Permisos para configurar Cloud Identity o Google Workspace
Si usas Cloud Identity, debes tener los roles y permisos que se describen en Administra accesos a proyectos, carpetas y organizaciones.
Si usas Google Workspace, debes tener una cuenta de administrador de Cloud Identity y poder acceder a la Consola del administrador.
Consulta Configura Google Cloud el proveedor de identidad para obtener más información sobre cómo usar Cloud Identity o Google Workspace como proveedor de identidad.
Permisos para configurar un proveedor de identidad de terceros
Si usas un proveedor de identidad de terceros, configurarás la federación de Workforce Identity y un grupo de identidades de personal.
Para completar los pasos que se indican en Cómo configurar un proveedor de identidad de terceros para Google Security Operations, necesitas los siguientes permisos de IAM.
Permisos de Editor de proyecto en el proyecto vinculado a Google Security Operations que creaste anteriormente.
Permiso Administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin
) a nivel de la organización.Usa el siguiente comando como ejemplo para configurar el rol
roles/iam.workforcePoolAdmin
:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID numérico de la organización.USER_EMAIL
: La dirección de correo electrónico del usuario administrador.
Permiso de Visualizador de la organización (
resourcemanager.organizations.get
) a nivel de la organización
Para obtener más información, consulta Configura un proveedor de identidad externo.
Vincula una instancia de Google Security Operations a los servicios de Google Cloud
Para completar los pasos de Vincula Google Security Operations a Google Cloud servicios, necesitarás los mismos permisos que se definen en la sección Configura un Google Cloud proyecto para Google Security Operations.
Si planeas migrar una instancia existente de Google SecOps, necesitarás permisos para acceder a Google SecOps. Para obtener una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM.
Configura el control de acceso a las funciones con IAM
Para completar los pasos de Configurar el control de acceso a las funciones con IAM, necesitas el siguiente permiso de IAM a nivel del proyecto para otorgar y modificar las vinculaciones de roles de IAM del proyecto:
Consulta Cómo asignar roles a usuarios y grupos para ver un ejemplo de cómo hacerlo.
Si planeas migrar una instancia existente de Google Security Operations a IAM, necesitarás los mismos permisos que se definen en la sección Configura un proveedor de identidad de terceros en Google Security Operations.
Configura el control de acceso a los datos
Para configurar el RBAC de datos para los usuarios, necesitas los roles de administrador de la API de Chronicle (roles/chronicle.admin
) y de visor de roles (roles/iam.roleViewer
). Para asignar los permisos a los usuarios, necesitas el rol Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin
) o Administrador de seguridad (roles/iam.securityAdmin
).
Si no tienes los roles necesarios, asígnales en IAM.
Requisitos de las funciones avanzadas de Google Security Operations
En la siguiente tabla, se enumeran las funciones avanzadas de Google Security Operations y sus dependencias en un proyecto Google Cloud proporcionado por el cliente y la integración de identidades de la fuerza laboral de Google.
Función | Google Cloud foundation | ¿Requiere Google Cloud un proyecto? | ¿Requiere integración de IAM? |
---|---|---|---|
Registros de auditoría de Cloud: actividades administrativas | Registros de auditoría de Cloud | Sí | Sí |
Registros de auditoría de Cloud: acceso a los datos | Registros de auditoría de Cloud | Sí | Sí |
Facturación de Cloud: suscripción en línea o pago por uso | Facturación de Cloud | Sí | No |
APIs de Chronicle: Acceso general, creación y administración de credenciales con un IdP externo | APIs deGoogle Cloud | Sí | Sí |
APIs de Chronicle: Acceso general, creación y administración de credenciales con Cloud Identity | Google Cloud APIs, Cloud Identity | Sí | Sí |
Controles de cumplimiento: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
Controles de cumplimiento: FedRAMP High o superior | Assured Workloads | Sí | Sí |
Controles de cumplimiento: Servicio de políticas de la organización | Servicio de políticas de la organización | Sí | No |
Controles conformes: Controles del servicio de VPC | Controles del servicio de VPC | Sí | No |
Administración de contactos: Divulgaciones legales | Contactos esenciales | Sí | No |
Supervisión del estado: interrupciones de la canalización de transferencia | Cloud Monitoring | Sí | No |
Transferencia: webhook, Pub/Sub, Azure Event Hub y Amazon Kinesis Data Firehose | Identity and Access Management | Sí | No |
Controles de acceso basados en roles: datos | Identity and Access Management | Sí | Sí |
Controles de acceso basados en roles: funciones o recursos | Identity and Access Management | Sí | Sí |
Acceso a la asistencia: envío y seguimiento de casos | Atención al cliente de Cloud | Sí | No |
Autenticación unificada de SecOps | Federación de identidades de personal de Google | No | Sí |