Intégrer ou migrer une instance Google Security Operations
Google Security Operations est associé à un projet Google Cloud fourni par le client pour une intégration plus étroite avec les services Google Cloud, tels que Identity and Access Management, Cloud Monitoring et Cloud Audit Logs. Les clients peuvent utiliser IAM et la fédération des identités des employés pour s'authentifier à l'aide de leur fournisseur d'identité existant.
Les documents suivants vous guident tout au long du processus d'intégration d'une nouvelle instance Google Security Operations ou de migration d'une instance Google Security Operations existante.
- Configurer un projet Google Cloud pour Google Security Operations
- Configurer un fournisseur d'identité tiers pour Google Security Operations
- Associer Google Security Operations aux services Google Cloud
- Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
- Configurer le contrôle des accès aux données
- Suivre la checklist de configuration de Google Cloud
Rôles requis
Les sections suivantes décrivent les autorisations dont vous avez besoin pour chaque phase du processus d'intégration, mentionnées dans la section précédente.
Configurer un projet Google Cloud pour Google Security Operations
Pour suivre la procédure décrite dans Configurer un projet Google Cloud pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Si vous disposez de l'autorisation Créateur de projet (resourcemanager.projects.create) au niveau de l'organisation, aucune autorisation supplémentaire n'est requise pour créer un projet et activer l'API Chronicle.
Si vous ne disposez pas de cette autorisation, vous devez disposer des autorisations suivantes au niveau du projet:
- Administrateur du service Chronicle (
roles/chroniclesm.admin) - Éditeur (
roles/editor) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) - Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurer un fournisseur d'identité
Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (comme Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.
Autorisations permettant de configurer Cloud Identity ou Google Workspace
Si vous utilisez Cloud Identity, vous devez disposer des rôles et des autorisations décrits dans la section Gérer l'accès aux projets, aux dossiers et aux organisations.
Si vous utilisez Google Workspace, vous devez disposer d'un compte administrateur Cloud Identity et être en mesure de vous connecter à la console d'administration.
Pour en savoir plus sur l'utilisation de Cloud Identity ou Google Workspace en tant que fournisseur d'identité, consultez la page Configurer le fournisseur d'identité Google Cloud.
Autorisations pour configurer un fournisseur d'identité tiers
Si vous utilisez un fournisseur d'identité tiers, vous devez configurer la fédération des identités des employés et un pool d'identités de personnel.
Pour suivre la procédure Configurer un fournisseur d'identité tiers pour Google Security Operations, vous devez disposer des autorisations IAM suivantes.
Autorisations Éditeur de projet pour le projet lié à Google Security Operations que vous avez créé précédemment
Autorisation Administrateur de pools d'employés IAM (
roles/iam.workforcePoolAdmin) au niveau de l'organisation.Utilisez la commande suivante comme exemple pour définir le rôle
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.USER_EMAIL: adresse e-mail de l'administrateur.
Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.
Associer une instance Google Security Operations aux services Google Cloud
Pour suivre la procédure décrite dans Associer Google Security Operations aux services Google Cloud, vous devez disposer des mêmes autorisations que celles définies dans la section Configurer un projet Google Cloud pour Google Security Operations.
Si vous envisagez de migrer une instance Google SecOps existante, vous devez disposer d'autorisations pour accéder à Google SecOps. Pour obtenir la liste des rôles prédéfinis, consultez la page Rôles prédéfinis Google SecOps dans IAM.
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Pour suivre la procédure décrite dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM, vous devez disposer de l'autorisation IAM suivante au niveau du projet afin d'accorder et de modifier les liaisons de rôles IAM du projet:
Pour savoir comment procéder, consultez Attribuer des rôles à des utilisateurs et à des groupes.
Si vous envisagez de migrer une instance Google Security Operations existante vers IAM, vous devez disposer des mêmes autorisations que celles définies dans la section Configurer un fournisseur d'identité tiers Google Security Operations.
Configurer le contrôle des accès aux données
Pour configurer le RBAC des données pour les utilisateurs, vous devez disposer des rôles Administrateur de l'API Chronicle (roles/chronicle.admin) et Lecteur de rôle (roles/iam.roleViewer). Pour attribuer les niveaux d'accès aux utilisateurs, vous devez disposer du rôle Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin).
Si vous ne disposez pas des rôles requis, attribuez-les dans IAM.
Exigences liées aux fonctionnalités avancées de Google Security Operations
Le tableau suivant répertorie les fonctionnalités avancées de Google Security Operations et leurs dépendances pour un projet Google Cloud fourni par le client et la fédération des identités des employés Google.
| Capacité | Éléments de base Google Cloud | Nécessite un projet Google Cloud ? | Nécessite une intégration IAM ? |
|---|---|---|---|
| Cloud Audit Logs: activités d'administration | Cloud Audit Logs | Oui | Oui |
| Cloud Audit Logs: accès aux données | Cloud Audit Logs | Oui | Oui |
| Facturation Cloud: abonnement en ligne ou paiement à l'usage | Cloud Billing | Oui | Non |
| API Google Security Operations: accès général, émission et gestion des identifiants à l'aide d'un IdP tiers | API Google Cloud | Oui | Oui |
| API Google Security Operations: accès général, émission et gestion des identifiants à l'aide de Cloud Identity | API Google Cloud, Cloud Identity | Oui | Oui |
| Contrôles de conformité: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Oui | Non |
| Contrôles de conformité: niveau d'impact élevé du FedRAMP ou supérieur | Assured Workloads | Oui | Oui |
| Contrôles de conformité: service de règles d'administration | Service de règles d'administration | Oui | Non |
| Contrôles conformes: VPC Service Controls | VPC Service Controls | Oui | Non |
| Gestion des contacts: mentions légales | Contacts essentiels | Oui | Non |
| Surveillance de l'état: indisponibilités du pipeline d'ingestion | Cloud Monitoring | Oui | Non |
| Ingestion: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Oui | Non |
| Contrôles des accès basés sur les rôles: données | Identity and Access Management | Oui | Oui |
| Contrôles d'accès basés sur les rôles: fonctionnalités ou ressources | Identity and Access Management | Oui | Oui |
| Accès à l'assistance: envoi des demandes, suivi | Cloud Customer Care | Oui | Non |
| Authentification SecOps unifiée | Fédération des identités des employés Google | Non | Oui |