Integrar ou migrar uma instância do Google Security Operations
O Google Security Operations se vincula a um projeto do Google Cloud fornecido pelo cliente para se integrar mais de perto aos serviços do Google Cloud, como o Identity and Access Management, o Cloud Monitoring e os Registros de auditoria do Cloud. Os clientes podem usar o IAM e a federação de identidade da força de trabalho para fazer a autenticação usando o provedor de identidade atual.
Os documentos a seguir orientam você no processo de integração de uma nova instância do Google Security Operations ou migração de uma instância existente.
- Configure um projeto do Google Cloud para o Google Security Operations
- Configurar um provedor de identidade terceirizado para as Operações de segurança do Google
- Vincular as Operações de segurança do Google aos serviços do Google Cloud
- Configurar o controle de acesso a recursos usando o IAM
- Configurar o controle de acesso a dados
- Concluir a lista de verificação de configuração do Google Cloud
Funções exigidas
As seções a seguir descrevem as permissões necessárias para cada fase do de integração de dados, mencionado na seção anterior.
Configurar um projeto do Google Cloud para o Google Security Operations
Para concluir as etapas em Configurar um projeto do Google Cloud para o Google Security Operations, você precisa das seguintes permissões do IAM.
Se você tiver o papel Criador de projetos (resourcemanager.projects.create)
no nível da organização e nenhuma outra permissão
são necessários para criar um projeto e ativar a API Chronicle.
Se você não tiver essa permissão, precisará das seguintes permissões no nível do projeto:
- Administrador de serviços do Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) - Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurar um provedor de identidade
Você pode usar o Cloud Identity, o Google Workspace ou um provedor de identidade de terceiros (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Permissões para configurar o Cloud Identity ou o Google Workspace
Se você estiver usando o Cloud Identity, precisará ter os papéis e as permissões descritos em Gerenciar o acesso a projetos, pastas e organizações.
Se você usa o Google Workspace, é necessário ter um administrador do Cloud Identity conta e fazer login no Admin Console.
Consulte Configurar o provedor de identidade do Google Cloud. para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor de identidade.
Permissões para configurar um provedor de identidade de terceiros
Se você usa um provedor de identidade de terceiros, vai configurar Federação de identidade da força de trabalho e um pool de identidade da força de trabalho.
Para concluir as etapas em Configurar um provedor de identidade de terceiros para as Operações de segurança do Google, você precisa das seguintes permissões do IAM.
Permissões de editor do projeto para o projeto associado às Operações de segurança do Google que você criou anteriormente.
Administrador de pool de força de trabalho do IAM (
roles/iam.workforcePoolAdmin) no nível da organização.Use o comando a seguir como exemplo para definir o papel
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSubstitua:
ORGANIZATION_ID: o ID numérico da organização.USER_EMAIL: o endereço de e-mail do usuário administrador.
Permissões de Leitor da organização (
resourcemanager.organizations.get) no nível da organização.
Para mais informações, consulte Configurar um provedor de identidade de terceiros.
Vincular uma instância do Google Security Operations aos serviços do Google Cloud
Para concluir as etapas em Vincular as operações de segurança do Google aos serviços do Google Cloud, faça o seguinte: você precisa das mesmas permissões definidas em Configurar um projeto do Google Cloud para as Operações de segurança do Google nesta seção.
Se você planeja migrar uma instância do Google SecOps, é necessário ter permissões para acessar o Google SecOps. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM.
Configurar o controle de acesso a recursos usando o IAM
Para concluir as etapas em Configurar o controle de acesso aos recursos usando o IAM, faça o seguinte: Você precisa da seguinte permissão do IAM no projeto para conceda e modifique as vinculações de papéis do IAM do projeto:
Consulte Atribuir funções a usuários e grupos para conferir um exemplo de como fazer isso.
Se você planeja migrar uma instância das Operações de segurança do Google para o IAM, você precisa das mesmas permissões definidas na Seção Configurar um provedor de identidade terceirizado para as Operações de segurança do Google.
Configurar o controle de acesso aos dados
Para configurar o RBAC de dados para usuários, faça o seguinte:
você precisa do papel de administrador (roles/chronicle.admin) e de papel da API Chronicle
Leitor (roles/iam.roleViewer). Para atribuir os escopos aos usuários, é necessário
pelo Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ou
Administrador de segurança (roles/iam.securityAdmin).
Se você não tiver os papéis necessários, atribua-os no IAM.
Requisitos de recursos avançados do Google Security Operations
A tabela a seguir lista os recursos avançados das Operações de segurança do Google e os respectivos dependências em um projeto do Google Cloud fornecido pelo cliente e aos funcionários do Google federação de identidade.
| Capacidade | Base do Google Cloud | Requer um projeto do Google Cloud? | Requer integração com o IAM? |
|---|---|---|---|
| Registros de auditoria do Cloud: atividades administrativas | Registros de auditoria do Cloud | Sim | Sim |
| Registros de auditoria do Cloud: acesso a dados | Registros de auditoria do Cloud | Sim | Sim |
| Cloud Billing: assinatura on-line ou pagamento por uso | Cloud Billing | Sim | Não |
| APIs do Chronicle: acesso geral, criação e gerenciamento de credenciais usando um IdP de terceiros | APIs Google Cloud | Sim | Sim |
| APIs Chronicle: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity | APIs do Google Cloud e Cloud Identity | Sim | Sim |
| Controles em compliance: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Sim | Não |
| Controles em conformidade: FedRAMP High ou superior | Assured Workloads | Sim | Sim |
| Controles em conformidade: serviço de políticas da organização | Serviço de política da organização | Sim | Não |
| Controles em conformidade: VPC Service Controls | VPC Service Controls | Sim | Não |
| Gerenciamento de contatos: declarações legais | Contatos essenciais | Sim | Não |
| Monitoramento de integridade: interrupções do pipeline de transferência | Cloud Monitoring | Sim | Não |
| Ingestão: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sim | Não |
| Controles de acesso baseados em função: dados | Identity and Access Management | Sim | Sim |
| Controles de acesso baseados em função: recursos ou recursos | Identity and Access Management | Sim | Sim |
| Acesso ao suporte: envio de casos, acompanhamento | Cloud Customer Care | Sim | Não |
| Autenticação unificada de SecOps | Federação de identidade de colaboradores do Google | Não | Sim |