Intégrer ou migrer une instance Google Security Operations
Google Security Operations se connecte à un projet Google Cloud fourni par le client pour une intégration plus étroite avec les services Google Cloud , tels que Identity and Access Management, Cloud Monitoring et Cloud Audit Logs. Les clients peuvent utiliser IAM et la fédération des identités des employés pour s'authentifier à l'aide de leur fournisseur d'identité existant.
Les documents suivants vous guident tout au long du processus d'intégration d'une nouvelle instance Google Security Operations ou de migration d'une instance Google Security Operations existante.
- Configurer un Google Cloud projet pour Google Security Operations
- Configurer un fournisseur d'identité tiers pour Google Security Operations
- Associer Google Security Operations à des Google Cloud services
- Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
- Configurer le contrôle de l'accès aux données
- Suivez la Google Cloud checklist de configuration.
Rôles requis
Les sections suivantes décrivent les autorisations dont vous avez besoin pour chaque phase du processus d'intégration, mentionné dans la section précédente.
Configurer un Google Cloud projet pour Google Security Operations
Pour suivre la procédure décrite dans Configurer un projet Google Cloud pour Google Security Operations, vous avez besoin des autorisations IAM suivantes.
Si vous disposez de l'autorisation Créateur de projet (resourcemanager.projects.create) au niveau de l'organisation, aucune autorisation supplémentaire n'est requise pour créer un projet et activer l'API Chronicle.
Si vous ne disposez pas de cette autorisation, vous avez besoin des autorisations suivantes au niveau du projet:
- Administrateur du service Chronicle (
roles/chroniclesm.admin) - Éditeur (
roles/editor) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) - Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurer un fournisseur d'identité
Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.
Autorisations pour configurer Cloud Identity ou Google Workspace
Si vous utilisez Cloud Identity, vous devez disposer des rôles et des autorisations décrits dans la section Gérer l'accès aux projets, aux dossiers et aux organisations.
Si vous utilisez Google Workspace, vous devez disposer d'un compte administrateur Cloud Identity et être en mesure de vous connecter à la console d'administration.
Pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace comme fournisseur d'identité, consultez Configurer un fournisseur d'identité Google Cloud .
Autorisations pour configurer un fournisseur d'identité tiers
Si vous utilisez un fournisseur d'identité tiers, vous devez configurer la fédération d'identité de personnel et un pool d'identités de personnel.
Pour suivre la procédure décrite dans Configurer un fournisseur d'identité tiers pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Autorisations Éditeur de projet pour le projet lié à Google Security Operations que vous avez créé précédemment.
Autorisation Administrateur de pools d'employés IAM (
roles/iam.workforcePoolAdmin) au niveau de l'organisation.Utilisez la commande suivante comme exemple pour définir le rôle
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.USER_EMAIL: adresse e-mail de l'utilisateur administrateur.
Autorisations Lecteur d'organisation (
resourcemanager.organizations.get) au niveau de l'organisation.
Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.
Associer une instance Google Security Operations à des services Google Cloud
Pour effectuer les étapes de la section Associer Google Security Operations à des Google Cloud services, vous avez besoin des mêmes autorisations définies dans la section Configurer un Google Cloud projet pour Google Security Operations.
Si vous prévoyez de migrer une instance Google SecOps existante, vous avez besoin d'autorisations pour accéder à Google SecOps. Pour obtenir la liste des rôles prédéfinis, consultez la section Rôles prédéfinis Google SecOps dans IAM.
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Pour suivre la procédure décrite dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM, vous devez disposer de l'autorisation IAM suivante au niveau du projet pour accorder et modifier les liaisons de rôles IAM du projet:
Pour savoir comment procéder, consultez Attribuer des rôles aux utilisateurs et aux groupes.
Si vous prévoyez de migrer une instance Google Security Operations existante vers IAM, vous avez besoin des mêmes autorisations définies dans la section Configurer Google Security Operations avec un fournisseur d'identité tiers.
Configurer le contrôle des accès aux données
Pour configurer le RBAC des données pour les utilisateurs, vous avez besoin des rôles Administrateur de l'API Chronicle (roles/chronicle.admin) et Lecteur de rôle (roles/iam.roleViewer). Pour attribuer les portées aux utilisateurs, vous devez disposer du rôle Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin).
Si vous ne disposez pas des rôles requis, attribuez-les dans IAM.
Exigences concernant les fonctionnalités avancées de Google Security Operations
Le tableau suivant liste les fonctionnalités avancées de Google Security Operations et leurs dépendances vis-à-vis d'un projet Google Cloud fourni par le client et de la fédération d'identités de la main-d'œuvre Google.
| Capacité | Google Cloud foundation | Nécessite-t-il un projet Google Cloud ? | Nécessite-t-il une intégration IAM ? |
|---|---|---|---|
| Cloud Audit Logs: activités administratives | Cloud Audit Logs | Oui | Oui |
| Cloud Audit Logs: accès aux données | Cloud Audit Logs | Oui | Oui |
| Cloud Billing: abonnement en ligne ou paiement à l'usage | Cloud Billing | Oui | Non |
| API Chronicle: accès général, création et gestion d'identifiants à l'aide d'un fournisseur d'identité tiers | APIGoogle Cloud | Oui | Oui |
| API Chronicle: accès général, création et gestion d'identifiants à l'aide de Cloud Identity | Google Cloud API, Cloud Identity | Oui | Oui |
| Contrôles conformes: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Oui | Non |
| Contrôles conformes: FedRAMP High ou supérieur | Assured Workloads | Oui | Oui |
| Contrôles conformes: service de règles d'administration | Service de règles d'administration | Oui | Non |
| Contrôles conformes: VPC Service Controls | VPC Service Controls | Oui | Non |
| Gestion des contacts: informations légales | Contacts essentiels | Oui | Non |
| Surveillance de l'état: pannes du pipeline d'ingestion | Cloud Monitoring | Oui | Non |
| Ingestion: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Oui | Non |
| Contrôles d'accès basés sur les rôles: données | Identity and Access Management | Oui | Oui |
| Contrôles des accès basés sur les rôles: fonctionnalités ou ressources | Identity and Access Management | Oui | Oui |
| Accès à l'assistance: soumission de demandes, suivi | Cloud Customer Care | Oui | Non |
| Authentification SecOps unifiée | Fédération des identités des employés Google | Non | Oui |