Incorporación o migración de una instancia de Google Security Operations
Google Security Operations se vincula a un proyecto de Google Cloud proporcionado por el cliente para integrarse mejor con los servicios de Google Cloud, como Identity and Access Management, Cloud Monitoring y Registros de auditoría de Cloud. Los clientes pueden usar IAM y la federación de identidades de personal para autenticarse con el proveedor de identidad existente.
Los siguientes documentos te guiarán a través del proceso para incorporar una nueva instancia de Google Security Operations o migrar una existente.
- Configura un proyecto de Google Cloud para Google Security Operations
- Configura un proveedor de identidad de terceros para Google Security Operations
- Vincula Google Security Operations a los servicios de Google Cloud
- Configura el control de acceso a las funciones con la IAM
- Configura el control de acceso a los datos
- Completa la lista de tareas de configuración de Google Cloud
Roles obligatorios
En las siguientes secciones, se describen los permisos que necesitas para cada fase del del proceso de integración inicial, que se mencionó en la sección anterior.
Configura un proyecto de Google Cloud para Google Security Operations
Para completar los pasos que se indican en Configura un proyecto de Google Cloud para Google Security Operations, necesitas los siguientes permisos de IAM.
Si tienes el rol Creador del proyecto (resourcemanager.projects.create)
permiso a nivel de la organización, no se habilitarán
son necesarios para crear un proyecto y habilitar la API de Chronicle.
Si no cuentas con este permiso, necesitas los siguientes permisos a nivel de proyecto:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin) - Administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configura un proveedor de identidad
Puedes usar Cloud Identity, Google Workspace o una identidad de terceros (como Okta o Azure AD) para administrar los usuarios, los grupos y la autenticación.
Permisos para configurar Cloud Identity o Google Workspace
Si usas Cloud Identity, debes tener los roles y permisos que se describen en Administra el acceso a proyectos, carpetas y organizaciones.
Si usas Google Workspace, debes tener un administrador de Cloud Identity y puedas acceder a la Consola del administrador.
Consulta Configura el proveedor de identidad de Google Cloud. para obtener más información sobre el uso de Cloud Identity o Google Workspace como proveedor de identidad.
Permisos para configurar un proveedor de identidad de terceros
Si usas un proveedor de identidad externo, configurarás Federación de identidades de personal y una grupo de identidades de personal.
Para completar los pasos que se indican en Configura un proveedor de identidad de terceros para Google Security Operations, necesitas los siguientes permisos de IAM.
Permisos del Editor de proyecto para el proyecto vinculado a Google Security Operations que creaste anteriormente.
Administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin) permiso a nivel de la organización.Usa el siguiente comando como ejemplo para establecer la función
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminReemplaza lo siguiente:
ORGANIZATION_ID: Es el ID numérico de la organización.USER_EMAIL: Es la dirección de correo electrónico del usuario administrador.
Para obtener más información, consulta Configura un proveedor de identidad de terceros.
Vincula una instancia de Google Security Operations a los servicios de Google Cloud
Para completar los pasos que se indican en Cómo vincular Google Security Operations a los servicios de Google Cloud, necesitas los mismos permisos que se definen en Configura un proyecto de Google Cloud para Google Security Operations sección.
Si planeas migrar una instancia existente de Google SecOps, sigue estos pasos: Necesitas permisos para acceder a Google SecOps. Para obtener una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM
Configura el control de acceso a las funciones con la IAM
Para completar los pasos de Configura el control de acceso a las funciones con la IAM, haz lo siguiente: necesitas el siguiente permiso de IAM a nivel de proyecto para otorgar y modificar las vinculaciones de roles de IAM del proyecto:
Consulta Asigna roles a usuarios y grupos. para ver un ejemplo de cómo hacerlo.
Si planeas migrar una instancia existente de Google Security Operations a IAM necesitarás los mismos permisos que se definen en el Sección Configura un proveedor de identidad de terceros de Google Security Operations.
Configura el control de acceso a los datos
Para configurar el RBAC de datos para los usuarios,
necesitas el administrador de la API de Chronicle (roles/chronicle.admin) y el rol
de visualizador (roles/iam.roleViewer). Para asignar los permisos a los usuarios, necesitas
el Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o
Administrador de seguridad (roles/iam.securityAdmin).
Si no tienes los roles necesarios, asígnalos en IAM.
Requisitos de las funciones avanzadas de Google Security Operations
En la siguiente tabla, se enumeran las funciones avanzadas de Google Security Operations y su dependencias en un proyecto de Google Cloud proporcionado por el cliente y el personal de Google la federación de identidades.
| Función | Base de Google Cloud | ¿Se requiere un proyecto de Google Cloud? | ¿Requiere integración en IAM? |
|---|---|---|---|
| Registros de auditoría de Cloud: actividades administrativas | Cloud Audit Logs | Sí | Sí |
| Registros de auditoría de Cloud: acceso a los datos | Cloud Audit Logs | Sí | Sí |
| Facturación de Cloud: suscripción en línea o pago por uso | Facturación de Cloud | Sí | No |
| APIs de Google Security Operations: acceso general, creación y administración de credenciales con IdP de terceros | APIs de Google Cloud | Sí | Sí |
| APIs de Google Security Operations: acceso general, creación y administración de credenciales con Cloud Identity | APIs de Google Cloud, Cloud Identity | Sí | Sí |
| Controles compatibles: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
| Controles de cumplimiento: FedRAMP High o superior | Assured Workloads | Sí | Sí |
| Controles de cumplimiento: Servicio de políticas de la organización | Servicio de políticas de la organización | Sí | No |
| Controles de cumplimiento: Controles del servicio de VPC | Controles del servicio de VPC | Sí | No |
| Administración de contactos: divulgaciones legales | Contactos esenciales | Sí | No |
| Supervisión del estado: interrupciones de las canalizaciones de transferencia | Cloud Monitoring | Sí | No |
| Transferencia: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Administración de identidades y accesos | Sí | No |
| Controles de acceso basados en roles: datos | Administración de identidades y accesos | Sí | Sí |
| Controles de acceso basados en roles: funciones o recursos | Administración de identidades y accesos | Sí | Sí |
| Acceso a la asistencia: envío de casos, seguimiento | Atención al cliente de Cloud | Sí | No |
| Autenticación unificada de SecOps | Federación de identidades de personal de Google | No | Sí |