Google Security Operations-Instanz einrichten oder migrieren
Google Security Operations wird mit einem vom Kunden bereitgestellten Google Cloud-Projekt verknüpft, um eine engere Integration mit Google Cloud-Diensten wie Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs zu ermöglichen. Kunden können IAM und die Workforce Identity-Föderation verwenden, um sich über ihren vorhandenen Identitätsanbieter zu authentifizieren.
In den folgenden Dokumenten erfahren Sie, wie Sie eine neue Google Security Operations-Instanz einrichten oder eine vorhandene Google Security Operations-Instanz migrieren.
- Google Cloud-Projekt für Google Security Operations konfigurieren
- Identitätsanbieter eines Drittanbieters für Google Security Operations konfigurieren
- Google Security Operations mit Google Cloud-Diensten verknüpfen
- Zugriffssteuerung für Funktionen mit IAM konfigurieren
- Datenzugriffssteuerung konfigurieren
- Checkliste für die Einrichtung von Google Cloud abschließen
Erforderliche Rollen
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die Sie für jede Phase des Onboarding-Prozesses benötigen, der im vorherigen Abschnitt erwähnt wurde.
Google Cloud-Projekt für Google Security Operations konfigurieren
Für die Schritte unter Google Cloud-Projekt für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Wenn Sie die Berechtigung Projektersteller (resourcemanager.projects.create) auf Ebene der Organisation haben, sind keine zusätzlichen Berechtigungen erforderlich, um ein Projekt zu erstellen und die Chronicle API zu aktivieren.
Wenn Sie diese Berechtigung nicht haben, benötigen Sie die folgenden Berechtigungen auf Projektebene:
- Administrator von Chronicle-Dienst (
roles/chroniclesm.admin) - Bearbeiter (
roles/editor) - Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) - Service Usage-Administrator (
roles/serviceusage.serviceUsageAdmin)
Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder einen Identitätsanbieter eines Drittanbieters (z. B. Okta oder Azure AD) verwenden, um Nutzer, Gruppen und die Authentifizierung zu verwalten.
Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace
Wenn Sie Cloud Identity verwenden, benötigen Sie die Rollen und Berechtigungen, die unter Zugriff auf Projekte, Ordner und Organisationen verwalten beschrieben sind.
Wenn Sie Google Workspace verwenden, benötigen Sie ein Cloud Identity-Administratorkonto und müssen sich in der Admin-Konsole anmelden können.
Weitere Informationen zur Verwendung von Cloud Identity oder Google Workspace als Identitätsanbieter finden Sie unter Google Cloud-Identitätsanbieter konfigurieren.
Berechtigungen zum Konfigurieren eines externen Identitätsanbieters
Wenn Sie einen Identitätsanbieter von Drittanbietern verwenden, konfigurieren Sie die Workforce Identity-Föderation und einen Workforce Identity-Pool.
Für die Schritte unter Externen Identitätsanbieter für Google Security Operations konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Projektbearbeiter-Berechtigungen für das zuvor erstellte Google Security Operations-Projekt
Berechtigung IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) auf OrganisationsebeneVerwenden Sie den folgenden Befehl als Beispiel, um die Rolle
roles/iam.workforcePoolAdminfestzulegen:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.USER_EMAIL: die E-Mail-Adresse des Administratornutzers.
Berechtigungen für Organisationsbetrachter (
resourcemanager.organizations.get) auf Organisationsebene
Weitere Informationen finden Sie unter Drittanbieter-Identitätsanbieter konfigurieren.
Google Security Operations-Instanz mit Google Cloud-Diensten verknüpfen
Für die Schritte unter Google Security Operations mit Google Cloud-Diensten verknüpfen benötigen Sie dieselben Berechtigungen, die im Abschnitt Google Cloud-Projekt für Google Security Operations konfigurieren definiert sind.
Wenn Sie eine vorhandene Google SecOps-Instanz migrieren möchten, benötigen Sie Berechtigungen für den Zugriff auf Google SecOps. Eine Liste der vordefinierten Rollen finden Sie unter Vordefinierte Google SecOps-Rollen in IAM.
Zugriffssteuerung für Funktionen mit IAM konfigurieren
Um die Schritte unter Zugriffssteuerung für Funktionen mit IAM konfigurieren ausführen zu können, benötigen Sie die folgende IAM-Berechtigung auf Projektebene, um die IAM-Rollenzuweisungen des Projekts zu gewähren und zu ändern:
Eine Anleitung dazu finden Sie unter Nutzern und Gruppen Rollen zuweisen.
Wenn Sie eine vorhandene Google Security Operations-Instanz zu IAM migrieren möchten, benötigen Sie dieselben Berechtigungen, die im Abschnitt Google Security Operations für einen externen Identitätsanbieter konfigurieren definiert sind.
Datenzugriffssteuerung konfigurieren
Wenn Sie die datenbasierte RBAC für Nutzer konfigurieren möchten, benötigen Sie die Rollen „Chronicle API Admin“ (roles/chronicle.admin) und „Role Viewer“ (roles/iam.roleViewer). Um Nutzern die Berechtigungen zuzuweisen, benötigen Sie die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin).
Wenn Sie nicht die erforderlichen Rollen haben, weisen Sie sie in IAM zu.
Anforderungen an erweiterte Funktionen von Google Security Operations
In der folgenden Tabelle sind die erweiterten Funktionen von Google Security Operations und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Google Cloud-Projekt und der Identitätsföderierung von Google aufgeführt.
| Leistungsvermögen | Google Cloud Foundation | Erfordert das Google Cloud-Projekt? | Ist eine IAM-Integration erforderlich? |
|---|---|---|---|
| Cloud-Audit-Logs: Administratoraktivitäten | Cloud-Audit-Logs | Ja | Ja |
| Cloud-Audit-Logs: Datenzugriff | Cloud-Audit-Logs | Ja | Ja |
| Cloud Billing: Online-Abo oder Pay-as-you-go | Cloud Billing | Ja | Nein |
| Chronicle APIs: Allgemeiner Zugriff, Anmeldedaten mithilfe eines Drittanbieter-IdP erstellen und verwalten | Google Cloud APIs | Ja | Ja |
| Chronicle APIs: Allgemeiner Zugriff, Anmeldedaten mit Cloud Identity erstellen und verwalten | Google Cloud APIs, Cloud Identity | Ja | Ja |
| Konforme Steuerelemente: CMEK | Cloud Key Management Service oder Cloud External Key Manager | Ja | Nein |
| Konforme Kontrollen: FedRAMP High oder höher | Assured Workloads | Ja | Ja |
| Konforme Steuerelemente: Organisationsrichtliniendienst | Organisationsrichtliniendienst | Ja | Nein |
| Konforme Steuerelemente: VPC Service Controls | VPC Service Controls | Ja | Nein |
| Kontaktverwaltung: Rechtliche Hinweise | Wichtige Kontakte | Ja | Nein |
| Systemüberwachung: Ausfälle der Datenaufnahmepipeline | Cloud Monitoring | Ja | Nein |
| Datenaufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ja | Nein |
| Rollenbasierte Zugriffssteuerung: Daten | Identity and Access Management | Ja | Ja |
| Rollenbasierte Zugriffssteuerung: Funktionen oder Ressourcen | Identity and Access Management | Ja | Ja |
| Supportzugriff: Einreichen und Nachverfolgen von Supportanfragen | Cloud Customer Care | Ja | Nein |
| Unified SecOps-Authentifizierung | Mitarbeiteridentitätsföderation von Google | Nein | Ja |