Onboarding o migrazione di un'istanza di Google Security Operations
Google Security Operations si collega a un progetto Google Cloud fornito dal cliente a si integrano maggiormente con i servizi Google Cloud come Identity and Access Management, Cloud Monitoring e Cloud Audit Logs. I clienti possono utilizzare IAM forza lavoro e la federazione delle identità per l'autenticazione mediante il proprio provider di identità esistente.
I seguenti documenti ti guidano nella procedura di onboarding di un nuovo Google Security Operations, o eseguire la migrazione di un'istanza Google Security Operations esistente.
- Configura un progetto Google Cloud per Google Security Operations
- Configurare un provider di identità di terze parti per Google Security Operations
- Collegare Google Security Operations ai servizi Google Cloud
- Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
- Configurare il controllo dell'accesso ai dati
- Completa l'elenco di controllo per la configurazione di Google Cloud
Ruoli obbligatori
Le seguenti sezioni descrivono le autorizzazioni necessarie per ogni fase del delle operazioni preliminari, menzionato nella sezione precedente.
Configura un progetto Google Cloud per Google Security Operations
Per completare i passaggi descritti in Configurare un progetto Google Cloud per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Se hai l'Autore progetto (resourcemanager.projects.create
)
autorizzazione a livello di organizzazione, nessuna autorizzazione aggiuntiva
per creare un progetto e abilitare l'API Chronicle.
Se non disponi di questa autorizzazione, sono necessarie le seguenti autorizzazioni a livello di progetto:
- Amministratore servizio Chronicle (
roles/chroniclesm.admin
) - Editor (
roles/editor
) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) - Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin
)
Configura un provider di identità
Puoi utilizzare Cloud Identity, Google Workspace o un'identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.
Autorizzazioni per configurare Cloud Identity o Google Workspace
Se utilizzi Cloud Identity, devi disporre dei ruoli e delle autorizzazioni descritti in Gestire l'accesso a progetti, cartelle e organizzazioni.
Se utilizzi Google Workspace, devi avere un amministratore di Cloud Identity account e poter accedere alla Console di amministrazione.
Consulta Configurare il provider di identità Google Cloud per saperne di più sull'utilizzo di Cloud Identity o Google Workspace come provider di identità.
Autorizzazioni per configurare un provider di identità di terze parti
Se utilizzi un provider di identità di terze parti, devi configurare Federazione delle identità per la forza lavoro e un di identità per la forza lavoro.
Per completare i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Autorizzazioni di Editor di progetto per il progetto collegato a Google Security Operations che hai creato in precedenza.
Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin
) a livello di organizzazione.Utilizza il seguente comando come esempio per impostare il ruolo
roles/iam.workforcePoolAdmin
:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID numerico dell'organizzazione.USER_EMAIL
: indirizzo email dell'amministratore.
Per saperne di più, vedi Configurare un provider di identità di terze parti.
Collega un'istanza di Google Security Operations ai servizi Google Cloud
Per completare i passaggi descritti in Collegare Google Security Operations ai servizi Google Cloud, devi disporre delle stesse autorizzazioni definite in Configurare un progetto Google Cloud per Google Security Operations. .
Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente, devi avere le autorizzazioni necessarie per accedere a Google SecOps. Per un elenco dei ruoli predefiniti, vedi Ruoli predefiniti di Google SecOps in IAM
Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Per completare i passaggi descritti in Configurare il controllo dell'accesso alle funzionalità utilizzando IAM, devi disporre della seguente autorizzazione IAM a livello di progetto per Concedi e modifica le associazioni dei ruoli IAM del progetto:
Vedi Assegnare ruoli a utenti e gruppi. per vedere un esempio.
Se prevedi di eseguire la migrazione di un'istanza Google Security Operations esistente a IAM, devi disporre delle stesse autorizzazioni definite Sezione Configurare un provider di identità di terze parti Google Security Operations.
Configurare il controllo dell'accesso ai dati
Per configurare il RBAC dei dati per gli utenti,
sono necessari l'Amministratore API Chronicle (roles/chronicle.admin
) e il ruolo
Ruoli di Visualizzatore (roles/iam.roleViewer
). Per assegnare gli ambiti agli utenti, è necessario
l'amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin
) oppure
Ruolo Amministratore sicurezza (roles/iam.securityAdmin
).
Se non hai i ruoli richiesti, assegnali in IAM.
Requisiti relativi alle funzionalità avanzate di Google Security Operations
La tabella seguente elenca le funzionalità avanzate di Google Security Operations e le relative delle dipendenze su un progetto Google Cloud fornito dal cliente e sulla forza lavoro Google la federazione delle identità.
Capacità | Gli elementi di base di Google Cloud | Richiede un progetto Google Cloud? | Richiede l'integrazione IAM? |
---|---|---|---|
Cloud Audit Logs: attività amministrative | Cloud Audit Logs | Sì | Sì |
Cloud Audit Logs: accesso ai dati | Cloud Audit Logs | Sì | Sì |
Fatturazione Cloud: abbonamento online o pagamento a consumo | Cloud Billing | Sì | No |
API Google Security Operations: accesso generale, creazione e gestione delle credenziali tramite IdP di terze parti | API di Google Cloud | Sì | Sì |
API Google Security Operations: accesso generale, creazione e gestione delle credenziali utilizzando Cloud Identity | API Google Cloud, Cloud Identity | Sì | Sì |
Controlli conformi: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sì | No |
Controlli conformi: FedRAMP High o versioni successive | Assured Workloads | Sì | Sì |
Controlli conformi: servizio Criteri dell'organizzazione | Servizio Criteri dell'organizzazione | Sì | No |
Controlli conformi: Controlli di servizio VPC | Controlli di servizio VPC | Sì | No |
Gestione dei contatti: informative legali | Contatti necessari | Sì | No |
Monitoraggio dello stato di integrità: interruzioni della pipeline di importazione | Cloud Monitoring | Sì | No |
Importazione: webhook, Pub/Sub, hub eventi Azure, Amazon Kinesis Data Firehose | Identity and Access Management | Sì | No |
Controlli di accesso basati sui ruoli: dati | Identity and Access Management | Sì | Sì |
Controlli di accesso basati sui ruoli: funzionalità o risorse | Identity and Access Management | Sì | Sì |
Accesso all'assistenza: invio della richiesta, monitoraggio | Assistenza clienti Google Cloud | Sì | No |
Autenticazione SecOps unificata | Federazione delle identità per la forza lavoro Google | No | Sì |