Intégrer ou migrer une instance Google Security Operations
Google Security Operations est associé à un projet Google Cloud fourni par le client s'intègrent plus étroitement aux services Google Cloud, comme Identity and Access Management, Cloud Monitoring et Cloud Audit Logs. Les clients peuvent utiliser IAM et la fédération des identités des employés pour s'authentifier à l'aide de leur fournisseur d'identité existant.
Les documents suivants vous guident tout au long du processus d'intégration d'un nouveau instance Google Security Operations ou migrer une instance Google Security Operations existante.
- Configurer un projet Google Cloud pour Google Security Operations
- Configurer un fournisseur d'identité tiers pour Google Security Operations
- Associer Google Security Operations aux services Google Cloud
- Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
- Configurer le contrôle des accès aux données
- Suivre la checklist de configuration de Google Cloud
Rôles requis
Les sections suivantes décrivent les autorisations dont vous avez besoin pour chaque phase du processus d'intégration, mentionné dans la section précédente.
Configurer un projet Google Cloud pour Google Security Operations
Pour suivre la procédure décrite dans Configurer un projet Google Cloud pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Si vous disposez de l'outil de création de projets (resourcemanager.projects.create)
au niveau de l'organisation, aucune autorisation supplémentaire
sont nécessaires pour créer un projet et activer l'API Chronicle.
Si vous ne disposez pas de cette autorisation, vous devez disposer des autorisations suivantes au niveau du projet:
- Administrateur du service Chronicle (
roles/chroniclesm.admin) - Éditeur (
roles/editor) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) - Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurer un fournisseur d'identité
Vous pouvez utiliser Cloud Identity, Google Workspace ou une identité tierce (Okta ou Azure AD, par exemple) pour gérer les utilisateurs, les groupes et l'authentification.
Autorisations permettant de configurer Cloud Identity ou Google Workspace
Si vous utilisez Cloud Identity, vous devez disposer des rôles et autorisations décrits dans la section Gérer l'accès aux projets, aux dossiers et aux organisations
Si vous utilisez Google Workspace, vous devez disposer d'un administrateur Cloud Identity compte et pouvoir se connecter à la console d'administration.
Consultez Configurer le fournisseur d'identité Google Cloud. pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace comme fournisseur d'identité.
Autorisations pour configurer un fournisseur d'identité tiers
Si vous utilisez un fournisseur d'identité tiers, vous devez configurer la fédération des identités des employés d'identités des employés.
Pour suivre la procédure Configurer un fournisseur d'identité tiers pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Autorisations Éditeur de projet pour le projet lié à Google Security Operations que vous avez créé précédemment
Administrateur de pools d'employés IAM (
roles/iam.workforcePoolAdmin) au niveau de l'organisation.Utilisez la commande suivante comme exemple pour définir le rôle
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.USER_EMAIL: adresse e-mail de l'administrateur.
Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.
Associer une instance Google Security Operations aux services Google Cloud
Pour suivre la procédure décrite dans Associer Google Security Operations aux services Google Cloud, vous devez disposer des autorisations définies dans la section Configurer un projet Google Cloud pour Google Security Operations. .
Si vous envisagez de migrer une instance Google SecOps existante : vous avez besoin d'autorisations pour accéder à Google SecOps. Pour obtenir la liste des rôles prédéfinis, consultez Rôles prédéfinis Google SecOps dans IAM
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Pour suivre la procédure décrite dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM, vous avez besoin de l'autorisation IAM suivante au niveau du projet pour accorder et modifier les liaisons de rôles IAM du projet:
Consultez Attribuer des rôles à des utilisateurs et à des groupes. pour obtenir un exemple.
Si vous envisagez de migrer une instance Google Security Operations existante vers IAM, vous devez disposer des autorisations définies Section Configurer un fournisseur d'identité tiers Google Security Operations
Configurer le contrôle des accès aux données
Pour configurer le contrôle des accès basé sur les rôles pour les utilisateurs,
vous avez besoin de l'administrateur de l'API Chronicle (roles/chronicle.admin) et du rôle
Lecteur (roles/iam.roleViewer). Pour attribuer les niveaux d'accès aux utilisateurs, vous devez
l'administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) ou
Rôle d'administrateur de sécurité (roles/iam.securityAdmin).
Si vous ne disposez pas des rôles requis, attribuez-les dans IAM.
Exigences liées aux fonctionnalités avancées de Google Security Operations
Le tableau suivant répertorie les fonctionnalités avancées de Google Security Operations et leurs les dépendances sur un projet Google Cloud fourni par le client et sur les équipes Google la fédération d'identité.
| Capacité | Éléments de base Google Cloud | Nécessite un projet Google Cloud ? | Nécessite une intégration IAM ? |
|---|---|---|---|
| Cloud Audit Logs: activités d'administration | Cloud Audit Logs | Oui | Oui |
| Cloud Audit Logs: accès aux données | Cloud Audit Logs | Oui | Oui |
| Facturation Cloud: abonnement en ligne ou paiement à l'usage | Cloud Billing | Oui | Non |
| API Google Security Operations: accès général, émission et gestion des identifiants à l'aide d'un IdP tiers | API Google Cloud | Oui | Oui |
| API Google Security Operations: accès général, émission et gestion des identifiants à l'aide de Cloud Identity | API Google Cloud, Cloud Identity | Oui | Oui |
| Contrôles de conformité: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Oui | Non |
| Contrôles de conformité: niveau d'impact élevé du FedRAMP ou supérieur | Assured Workloads | Oui | Oui |
| Contrôles de conformité: service de règles d'administration | Service de règles d'administration | Oui | Non |
| Contrôles conformes: VPC Service Controls | VPC Service Controls | Oui | Non |
| Gestion des contacts: mentions légales | Contacts essentiels | Oui | Non |
| Surveillance de l'état: indisponibilités du pipeline d'ingestion | Cloud Monitoring | Oui | Non |
| Ingestion: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Oui | Non |
| Contrôles des accès basés sur les rôles: données | Identity and Access Management | Oui | Oui |
| Contrôles d'accès basés sur les rôles: fonctionnalités ou ressources | Identity and Access Management | Oui | Oui |
| Accès à l'assistance: envoi des demandes, suivi | Cloud Customer Care | Oui | Non |
| Authentification SecOps unifiée | Fédération des identités des employés Google | Non | Oui |