Google Security Operations-Instanz einrichten oder migrieren
Google Security Operations ist mit einem vom Kunden bereitgestellten Google Cloud-Projekt verknüpft, eine engere Einbindung in Google Cloud-Dienste wie Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs. Kunden können IAM nutzen und die Mitarbeiteridentitätsföderation, um sich mit ihrem bestehenden Identitätsanbieter zu authentifizieren.
In den folgenden Dokumenten finden Sie Anleitungen zur Einrichtung eines neuen Google Security Operations-Instanz an oder migrieren Sie eine vorhandene Google Security Operations-Instanz.
- Google Cloud-Projekt für Google Security Operations konfigurieren
- Externen Identitätsanbieter für Google Security Operations konfigurieren
- Google Security Operations mit Google Cloud-Diensten verknüpfen
- Zugriffssteuerung für Features mit IAM konfigurieren
- Datenzugriffssteuerung konfigurieren
- Checkliste für die Einrichtung von Google Cloud ausfüllen
Erforderliche Rollen
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die Sie für die einzelnen Phasen des wie Sie im vorherigen Abschnitt erwähnt wurden.
Google Cloud-Projekt für Google Security Operations konfigurieren
Für die Schritte unter Google Cloud-Projekt für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Wenn Sie den Projektersteller (resourcemanager.projects.create) haben
auf Organisationsebene und dann keine zusätzlichen Berechtigungen
sind erforderlich, um ein Projekt zu erstellen und die Chronicle API zu aktivieren.
Wenn Sie diese Berechtigung nicht haben, benötigen Sie die folgenden Berechtigungen auf Projektebene zu finden:
- Chronicle-Dienstadministrator (
roles/chroniclesm.admin) - Bearbeiter (
roles/editor) - Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) - Service Usage-Administrator (
roles/serviceusage.serviceUsageAdmin)
Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder die Identität eines Drittanbieters verwenden (z. B. Okta oder Azure AD), um Nutzer, Gruppen und Authentifizierung zu verwalten.
Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace
Wenn Sie Cloud Identity verwenden, benötigen Sie die hier beschriebenen Rollen und Berechtigungen: Zugriff auf Projekte, Ordner und Organisationen verwalten
Wenn Sie Google Workspace verwenden, benötigen Sie einen Cloud Identity-Administrator und können sich in der Admin-Konsole anmelden.
Siehe Google Cloud-Identitätsanbieter konfigurieren finden Sie weitere Informationen zur Verwendung von Cloud Identity oder Google Workspace als Identitätsanbieter.
Berechtigungen zum Konfigurieren eines externen Identitätsanbieters
Wenn Sie einen externen Identitätsanbieter verwenden, konfigurieren Sie Mitarbeiteridentitätsföderation und eine Mitarbeiteridentitätspool.
Für die Schritte unter Externen Identitätsanbieter für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Project Editor-Berechtigungen für das zuvor erstellte Projekt mit Google Security Operations-Bindung.
IAM-Personalpool-Administrator (
roles/iam.workforcePoolAdmin) auf Organisationsebene.Verwenden Sie den folgenden Befehl als Beispiel, um die Rolle
roles/iam.workforcePoolAdminfestzulegen:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.USER_EMAIList die E-Mail-Adresse des Administrators.
Weitere Informationen finden Sie unter Externen Identitätsanbieter konfigurieren.
Google Security Operations-Instanz mit Google Cloud-Diensten verknüpfen
So führen Sie die Schritte unter Google Security Operations mit Google Cloud-Diensten verknüpfen aus: Sie benötigen dieselben Berechtigungen wie unter Google Cloud-Projekt für Google Security Operations konfigurieren definiert .
Wenn Sie vorhaben, eine vorhandene Google SecOps-Instanz zu migrieren: Sie benötigen Berechtigungen für den Zugriff auf Google SecOps. Eine Liste vordefinierter Rollen finden Sie unter Vordefinierte Google SecOps-Rollen in IAM
Zugriffssteuerung für Features mit IAM konfigurieren
So führen Sie die Schritte unter Zugriffssteuerung für Features mit IAM konfigurieren aus: benötigen Sie die folgende IAM-Berechtigung auf Projektebene, die IAM-Rollenbindungen des Projekts zu gewähren und zu ändern:
Weitere Informationen finden Sie unter Nutzern und Gruppen Rollen zuweisen. finden Sie ein Beispiel dafür.
Wenn Sie eine vorhandene Google Security Operations-Instanz zu IAM migrieren möchten, Sie benötigen dieselben Berechtigungen, die im Abschnitt Externen Identitätsanbieter konfigurieren
Datenzugriffssteuerung konfigurieren
So konfigurieren Sie die RBAC für Daten für Nutzer:
Sie benötigen den Chronicle API-Administrator (roles/chronicle.admin) und die Rolle
Betrachter (roles/iam.roleViewer). Um Nutzern die Bereiche zuzuweisen, müssen Sie
Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) oder
Rolle „Sicherheitsadministrator“ (roles/iam.securityAdmin).
Wenn Sie die erforderlichen Rollen nicht haben, weisen Sie die Rollen in IAM zu.
Google Security Operations-Anforderungen an erweiterte Funktionen
In der folgenden Tabelle sind die erweiterten Funktionen von Google Security Operations und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Google Cloud-Projekt und Google-Mitarbeitern Identitätsföderation.
| Leistungsvermögen | Google Cloud-Grundlagen | Google Cloud-Projekt erforderlich? | IAM-Integration erforderlich? |
|---|---|---|---|
| Cloud-Audit-Logs: Verwaltungsaktivitäten | Cloud-Audit-Logs | Ja | Ja |
| Cloud-Audit-Logs: Datenzugriff | Cloud-Audit-Logs | Ja | Ja |
| Cloud Billing: Onlineabo oder „Pay as you go“ | Cloud Billing | Ja | Nein |
| Google Security Operations APIs: allgemeiner Zugriff, Erstellung und Verwaltung von Anmeldedaten mit einem externen IdP | Google Cloud APIs | Ja | Ja |
| Google Security Operations APIs: allgemeiner Zugriff, Prägen und Verwaltung von Anmeldedaten mit Cloud Identity | Google Cloud APIs, Cloud Identity | Ja | Ja |
| Konforme Kontrollen: CMEK | Cloud Key Management Service oder Cloud External Key Manager | Ja | Nein |
| Konforme Kontrollen: FedRAMP High oder höher | Assured Workloads | Ja | Ja |
| Konforme Kontrollen: Organisationsrichtliniendienst | Organisationsrichtliniendienst | Ja | Nein |
| Konforme Kontrollen: VPC Service Controls | VPC Service Controls | Ja | Nein |
| Kontaktverwaltung: Rechtliche Offenlegungen | Wichtige Kontakte | Ja | Nein |
| Zustandsüberwachung: Ausfälle der Aufnahmepipeline | Cloud Monitoring | Ja | Nein |
| Datenaufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ja | Nein |
| Rollenbasierte Zugriffssteuerung: Daten | Identity and Access Management | Ja | Ja |
| Rollenbasierte Zugriffssteuerung: Funktionen oder Ressourcen | Identity and Access Management | Ja | Ja |
| Supportzugriff: Fallübermittlung, Nachverfolgung | Cloud Customer Care | Ja | Nein |
| Unified SecOps-Authentifizierung | Google-Mitarbeiteridentitätsföderation | Nein | Ja |