Google Security Operations-Instanz einrichten oder migrieren
Google Security Operations ist mit einem vom Kunden bereitgestellten Google Cloud-Projekt verknüpft, eine engere Einbindung in Google Cloud-Dienste wie Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs. Kunden können IAM und die Workforce Identity-Föderation verwenden, um sich über ihren vorhandenen Identitätsanbieter zu authentifizieren.
In den folgenden Dokumenten erfahren Sie, wie Sie eine neue Google Security Operations-Instanz einrichten oder eine vorhandene Google Security Operations-Instanz migrieren.
- Google Cloud-Projekt für Google Security Operations konfigurieren
- Identitätsanbieter eines Drittanbieters für Google Security Operations konfigurieren
- Google Security Operations mit Google Cloud-Diensten verknüpfen
- Zugriffssteuerung für Features mit IAM konfigurieren
- Datenzugriffssteuerung konfigurieren
- Checkliste für die Einrichtung von Google Cloud abschließen
Erforderliche Rollen
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die Sie für die einzelnen Phasen des wie Sie im vorherigen Abschnitt erwähnt wurden.
Google Cloud-Projekt für Google Security Operations konfigurieren
Für die Schritte unter Google Cloud-Projekt für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Wenn Sie die Berechtigung Projektersteller (resourcemanager.projects.create) auf Ebene der Organisation haben, sind keine zusätzlichen Berechtigungen erforderlich, um ein Projekt zu erstellen und die Chronicle API zu aktivieren.
Wenn Sie diese Berechtigung nicht haben, benötigen Sie die folgenden Berechtigungen auf Projektebene:
- Administrator von Chronicle-Dienst (
roles/chroniclesm.admin) - Bearbeiter (
roles/editor) - Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) - Service Usage-Administrator (
roles/serviceusage.serviceUsageAdmin)
Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder die Identität eines Drittanbieters verwenden (z. B. Okta oder Azure AD), um Nutzer, Gruppen und die Authentifizierung zu verwalten.
Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace
Wenn Sie Cloud Identity verwenden, benötigen Sie die hier beschriebenen Rollen und Berechtigungen: Zugriff auf Projekte, Ordner und Organisationen verwalten
Wenn Sie Google Workspace verwenden, benötigen Sie einen Cloud Identity-Administrator und können sich in der Admin-Konsole anmelden.
Siehe Google Cloud-Identitätsanbieter konfigurieren finden Sie weitere Informationen zur Verwendung von Cloud Identity oder Google Workspace als Identitätsanbieter.
Berechtigungen zum Konfigurieren eines externen Identitätsanbieters
Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, konfigurieren Sie die Workforce Identity-Föderation und einen Workforce Identity-Pool.
Für die Schritte unter Externen Identitätsanbieter für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Project Editor-Berechtigungen für das zuvor erstellte Projekt mit Google Security Operations-Bindung.
IAM-Personalpool-Administrator (
roles/iam.workforcePoolAdmin) auf Organisationsebene.Verwenden Sie den folgenden Befehl als Beispiel, um die Rolle
roles/iam.workforcePoolAdminfestzulegen:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.USER_EMAIL: die E-Mail-Adresse des Administratornutzers.
Berechtigungen für Organisationsbetrachter (
resourcemanager.organizations.get) auf Organisationsebene
Weitere Informationen finden Sie unter Drittanbieter-Identitätsanbieter konfigurieren.
Google Security Operations-Instanz mit Google Cloud-Diensten verknüpfen
So führen Sie die Schritte unter Google Security Operations mit Google Cloud-Diensten verknüpfen aus: Sie benötigen dieselben Berechtigungen, die unter Google Cloud-Projekt für Google Security Operations konfigurieren definiert sind .
Wenn Sie vorhaben, eine vorhandene Google SecOps-Instanz zu migrieren: Sie benötigen Berechtigungen für den Zugriff auf Google SecOps. Eine Liste der vordefinierten Rollen finden Sie unter Vordefinierte Google SecOps-Rollen in IAM.
Zugriffssteuerung für Funktionen mit IAM konfigurieren
So führen Sie die Schritte unter Zugriffssteuerung für Features mit IAM konfigurieren aus: benötigen Sie die folgende IAM-Berechtigung auf Projektebene, die IAM-Rollenbindungen des Projekts zu gewähren und zu ändern:
Eine Anleitung dazu finden Sie unter Nutzern und Gruppen Rollen zuweisen.
Wenn Sie eine vorhandene Google Security Operations-Instanz zu IAM migrieren möchten, Sie benötigen dieselben Berechtigungen, die im Abschnitt Externen Identitätsanbieter konfigurieren
Datenzugriffssteuerung konfigurieren
Wenn Sie die datenbasierte RBAC für Nutzer konfigurieren möchten, benötigen Sie die Rollen „Chronicle API Admin“ (roles/chronicle.admin) und „Role Viewer“ (roles/iam.roleViewer). Um Nutzern die Berechtigungen zuzuweisen, benötigen Sie die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin).
Wenn Sie die erforderlichen Rollen nicht haben, weisen Sie die Rollen in IAM zu.
Google Security Operations-Anforderungen an erweiterte Funktionen
In der folgenden Tabelle sind die erweiterten Funktionen von Google Security Operations und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Google Cloud-Projekt und Google-Mitarbeitern Identitätsföderation.
| Leistungsvermögen | Google Cloud Foundation | Ist ein Google Cloud-Projekt erforderlich? | Ist eine IAM-Integration erforderlich? |
|---|---|---|---|
| Cloud-Audit-Logs: Administratoraktivitäten | Cloud-Audit-Logs | Ja | Ja |
| Cloud-Audit-Logs: Datenzugriff | Cloud-Audit-Logs | Ja | Ja |
| Cloud Billing: Online-Abo oder Pay-as-you-go | Cloud Billing | Ja | Nein |
| Chronicle APIs: allgemeiner Zugriff, prägen und verwalten Sie Anmeldedaten mit einem externen IdP | Google Cloud APIs | Ja | Ja |
| Chronicle APIs: Allgemeiner Zugriff, Erstellung und Verwaltung von Anmeldedaten mit Cloud Identity | Google Cloud APIs, Cloud Identity | Ja | Ja |
| Konforme Steuerelemente: CMEK | Cloud Key Management Service oder Cloud External Key Manager | Ja | Nein |
| Konforme Kontrollen: FedRAMP High oder höher | Assured Workloads | Ja | Ja |
| Konforme Kontrollen: Organisationsrichtliniendienst | Organisationsrichtliniendienst | Ja | Nein |
| Konforme Kontrollen: VPC Service Controls | VPC Service Controls | Ja | Nein |
| Kontaktverwaltung: Rechtliche Offenlegungen | Wichtige Kontakte | Ja | Nein |
| Systemüberwachung: Ausfälle der Datenaufnahmepipeline | Cloud Monitoring | Ja | Nein |
| Datenaufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ja | Nein |
| Rollenbasierte Zugriffssteuerung: Daten | Identity and Access Management | Ja | Ja |
| Rollenbasierte Zugriffssteuerung: Features oder Ressourcen | Identity and Access Management | Ja | Ja |
| Supportzugriff: Fallübermittlung, Nachverfolgung | Cloud Customer Care | Ja | Nein |
| Einheitliche SecOps-Authentifizierung | Google-Mitarbeiteridentitätsföderation | Nein | Ja |