Intégrer ou migrer une instance Google Security Operations
Google Security Operations est associé à un projet Google Cloud fourni par le client s'intègrent plus étroitement aux services Google Cloud, comme Identity and Access Management, Cloud Monitoring et Cloud Audit Logs. Les clients peuvent utiliser IAM et la fédération des identités des employés pour s'authentifier à l'aide de leur fournisseur d'identité existant.
Les documents suivants vous guident tout au long du processus d'intégration d'un nouveau instance Google Security Operations ou migrer une instance Google Security Operations existante.
- Configurer un projet Google Cloud pour Google Security Operations
- Configurer un fournisseur d'identité tiers pour Google Security Operations
- Associer Google Security Operations aux services Google Cloud
- Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
- Configurer le contrôle des accès aux données
- Suivez la checklist de configuration de Google Cloud
Rôles requis
Les sections suivantes décrivent les autorisations dont vous avez besoin pour chaque phase du processus d'intégration, mentionné dans la section précédente.
Configurer un projet Google Cloud pour Google Security Operations
Pour suivre la procédure décrite dans Configurer un projet Google Cloud pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Si vous disposez de l'autorisation Créateur de projet (resourcemanager.projects.create) au niveau de l'organisation, aucune autorisation supplémentaire n'est requise pour créer un projet et activer l'API Chronicle.
Si vous ne disposez pas de cette autorisation, vous avez besoin des autorisations suivantes au niveau du projet :
- Administrateur du service Chronicle (
roles/chroniclesm.admin) - Éditeur (
roles/editor) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) - Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurer un fournisseur d'identité
Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.
Autorisations permettant de configurer Cloud Identity ou Google Workspace
Si vous utilisez Cloud Identity, vous devez disposer des rôles et des autorisations décrits dans la section Gérer l'accès aux projets, aux dossiers et aux organisations.
Si vous utilisez Google Workspace, vous devez disposer d'un administrateur Cloud Identity compte et pouvoir se connecter à la Console d'administration.
Consultez Configurer le fournisseur d'identité Google Cloud. pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace comme fournisseur d'identité.
Autorisations permettant de configurer un fournisseur d'identité tiers
Si vous utilisez un fournisseur d'identité tiers, vous devez configurer la fédération des identités des employés d'identités des employés.
Pour suivre la procédure décrite dans Configurer un fournisseur d'identité tiers pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Autorisations Éditeur de projet pour le projet lié à Google Security Operations que vous avez créé précédemment.
Administrateur de pools d'employés IAM (
roles/iam.workforcePoolAdmin) au niveau de l'organisation.Utilisez la commande suivante comme exemple pour définir le rôle
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.USER_EMAIL: adresse e-mail de l'utilisateur administrateur.
Autorisations Lecteur d'organisation (
resourcemanager.organizations.get) au niveau de l'organisation.
Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.
Associer une instance Google Security Operations à des services Google Cloud
Pour suivre la procédure décrite dans Associer Google Security Operations aux services Google Cloud, vous avez besoin des mêmes autorisations définies dans la section Configurer un projet Google Cloud pour Google Security Operations.
Si vous prévoyez de migrer une instance Google SecOps existante, vous devez disposer d'autorisations pour accéder à Google SecOps. Pour obtenir la liste des rôles prédéfinis, consultez Rôles prédéfinis Google SecOps dans IAM
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Pour suivre la procédure décrite dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM, vous devez disposer de l'autorisation IAM suivante au niveau du projet pour accorder et modifier les liaisons de rôle IAM du projet :
Consultez Attribuer des rôles à des utilisateurs et à des groupes. pour obtenir un exemple.
Si vous prévoyez de migrer une instance Google Security Operations existante vers IAM, vous avez besoin des mêmes autorisations définies dans la section Configurer Google Security Operations avec un fournisseur d'identité tiers.
Configurer le contrôle des accès aux données
Pour configurer le RBAC des données pour les utilisateurs, vous avez besoin des rôles Administrateur de l'API Chronicle (roles/chronicle.admin) et Lecteur de rôle (roles/iam.roleViewer). Pour attribuer les niveaux d'accès aux utilisateurs, vous devez
l'administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) ou
Rôle d'administrateur de sécurité (roles/iam.securityAdmin).
Si vous ne disposez pas des rôles requis, attribuez-les dans IAM.
Exigences concernant les fonctionnalités avancées de Google Security Operations
Le tableau suivant répertorie les fonctionnalités avancées de Google Security Operations et leurs les dépendances sur un projet Google Cloud fourni par le client et sur les équipes Google la fédération d'identité.
| Capacité | Google Cloud Foundation | Nécessite un projet Google Cloud ? | Nécessite une intégration IAM ? |
|---|---|---|---|
| Cloud Audit Logs: activités d'administration | Cloud Audit Logs | Oui | Oui |
| Cloud Audit Logs : accès aux données | Cloud Audit Logs | Oui | Oui |
| Facturation Cloud: abonnement en ligne ou paiement à l'usage | Cloud Billing | Oui | Non |
| API Chronicle : accès général, création et gestion d'identifiants à l'aide d'un fournisseur d'identité tiers | API Google Cloud | Oui | Oui |
| API Chronicle : accès général, création et gestion d'identifiants à l'aide de Cloud Identity | API Google Cloud, Cloud Identity | Oui | Oui |
| Contrôles conformes : CMEK | Cloud Key Management Service ou Cloud External Key Manager | Oui | Non |
| Contrôles conformes : FedRAMP High ou supérieur | Assured Workloads | Oui | Oui |
| Contrôles conformes : service de règles d'administration | Service de règles d'administration | Oui | Non |
| Contrôles conformes : VPC Service Controls | VPC Service Controls | Oui | Non |
| Gestion des contacts: mentions légales | Contacts essentiels | Oui | Non |
| Surveillance de l'état : pannes du pipeline d'ingestion | Cloud Monitoring | Oui | Non |
| Ingestion : webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Oui | Non |
| Contrôles des accès basés sur les rôles : données | Identity and Access Management | Oui | Oui |
| Contrôles des accès basés sur les rôles : fonctionnalités ou ressources | Identity and Access Management | Oui | Oui |
| Accès à l'assistance: envoi des demandes, suivi | Cloud Customer Care | Oui | Non |
| Authentification SecOps unifiée | Fédération des identités des employés Google | Non | Oui |