Como integrar ou migrar uma instância do Google Security Operations
O Google Security Operations vincula um projeto do Google Cloud fornecido pelo cliente para se integrar mais aos serviços do Google Cloud, como o Identity and Access Management, o Cloud Monitoring e os Registros de auditoria do Cloud. Os clientes podem usar o IAM e federação de identidade de colaboradores para fazer a autenticação com o provedor de identidade atual.
Os documentos a seguir orientam você no processo de integração de um novo instância do Google Security Operations ou migre uma instância atual do Google Security Operations.
- Configure um projeto do Google Cloud para o Google Security Operations
- Configurar um provedor de identidade terceirizado para as Operações de segurança do Google
- Vincular as Operações de segurança do Google aos serviços do Google Cloud
- Configurar o controle de acesso a recursos usando o IAM
- Configurar o controle de acesso aos dados
- Conclua a lista de verificação de configuração do Google Cloud
Funções exigidas
As seções a seguir descrevem as permissões necessárias para cada fase do de integração de dados, mencionado na seção anterior.
Configurar um projeto do Google Cloud para o Google Security Operations
Para concluir as etapas em Configurar um projeto do Google Cloud para o Google Security Operations, você precisa das seguintes permissões do IAM.
Se você tiver o papel Criador do projeto (resourcemanager.projects.create
no nível da organização e nenhuma outra permissão
são necessários para criar um projeto e ativar a API Chronicle.
Se você não tiver essa permissão, precisará das seguintes permissões no nível do projeto:
- Administrador de serviços do Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) - Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurar um provedor de identidade
É possível usar o Cloud Identity, o Google Workspace ou um sistema de provedor (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Permissões para configurar o Cloud Identity ou o Google Workspace
Se você estiver usando o Cloud Identity, precisará ter os papéis e as permissões descritos em Gerenciar o acesso a projetos, pastas e organizações.
Se você usa o Google Workspace, precisa ter um administrador do Cloud Identity. conta e fazer login no Admin Console.
Consulte Configurar o provedor de identidade do Google Cloud. para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor de identidade.
Permissões para configurar um provedor de identidade de terceiros
Se você usa um provedor de identidade de terceiros, vai configurar Federação de identidade da força de trabalho e uma pool de identidade da força de trabalho.
Para concluir as etapas em Configurar um provedor de identidade terceirizado para as Operações de segurança do Google, você precisa das seguintes permissões do IAM.
Permissões de editor do projeto para o projeto vinculado às Operações de segurança do Google que você criou anteriormente.
Administrador de pool de funcionários do IAM (
roles/iam.workforcePoolAdmin) no nível da organização.Use o seguinte comando como exemplo para definir o papel
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSubstitua:
ORGANIZATION_ID: o ID numérico da organização.USER_EMAIL: o endereço de e-mail do usuário administrador.
Saiba mais em Configurar um provedor de identidade de terceiros.
Vincular uma instância do Google Security Operations aos serviços do Google Cloud
Para concluir as etapas em Vincular as operações de segurança do Google aos serviços do Google Cloud, faça o seguinte: você precisa das mesmas permissões definidas em Configurar um projeto do Google Cloud para as Operações de segurança do Google nesta seção.
Se você planeja migrar uma instância atual do Google SecOps, faça o seguinte: você precisa de permissões para acessar o Google SecOps. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM
Configurar o controle de acesso a recursos usando o IAM
Para concluir as etapas em Configurar o controle de acesso aos recursos usando o IAM, faça o seguinte: Você precisa da seguinte permissão do IAM no projeto para conceda e modifique as vinculações de papéis do IAM do projeto:
Consulte Atribuir funções a usuários e grupos. para ver um exemplo de como fazer isso.
Se você planeja migrar uma instância atual das Operações de segurança do Google para o IAM, você precisa das mesmas permissões definidas na Seção Configurar um provedor de identidade terceirizado para as Operações de segurança do Google.
Configurar o controle de acesso aos dados
Para configurar o RBAC de dados para usuários, faça o seguinte:
você precisa do papel de administrador (roles/chronicle.admin) e de papel da API Chronicle
Leitor (roles/iam.roleViewer). Para atribuir os escopos aos usuários, é necessário
pelo Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ou
Administrador de segurança (roles/iam.securityAdmin).
Se você não tiver os papéis necessários, atribua-os no IAM.
Requisitos dos recursos avançados do Google Security Operations
A tabela a seguir lista os recursos avançados das Operações de segurança do Google e os respectivos dependências em um projeto do Google Cloud fornecido pelo cliente e aos funcionários do Google federação de identidade.
| Capacidade | Base do Google Cloud | Requer um projeto do Google Cloud? | Requer integração com o IAM? |
|---|---|---|---|
| Registros de auditoria do Cloud: atividades administrativas | Registros de auditoria do Cloud | Sim | Sim |
| Registros de auditoria do Cloud: acesso a dados | Registros de auditoria do Cloud | Sim | Sim |
| Cloud Billing: assinatura on-line ou pagamento por uso | Cloud Billing | Sim | Não |
| APIs Google Security Operations: acesso geral, criação e gerenciamento de credenciais usando IdP de terceiros | APIs Google Cloud | Sim | Sim |
| APIs Google Security Operations: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity | APIs do Google Cloud e Cloud Identity | Sim | Sim |
| Controles em compliance: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Sim | Não |
| Controles de compliance: FedRAMP de nível alto ou superior | Assured Workloads | Sim | Sim |
| Controles em compliance: serviço de políticas da organização | Serviço de política da organização | Sim | Não |
| Controles de conformidade: VPC Service Controls | VPC Service Controls | Sim | Não |
| Gerenciamento de contatos: declarações legais | Contatos essenciais | Sim | Não |
| Monitoramento da integridade: interrupções do pipeline de ingestão | Cloud Monitoring | Sim | Não |
| Ingestão: webhook, Pub/Sub, Azure Event Hub e Amazon Kinesis Data Firehose | Identity and Access Management | Sim | Não |
| Controles de acesso com base em papéis: dados | Identity and Access Management | Sim | Sim |
| Controles de acesso baseados em funções: funcionalidades ou recursos | Identity and Access Management | Sim | Sim |
| Acesso ao suporte: envio e rastreamento de casos | Cloud Customer Care | Sim | Não |
| Autenticação unificada de SecOps | Federação de identidade de colaboradores do Google | Não | Sim |