Intégration ou migration d'une instance Opérations de sécurité Google
La suite Opérations de sécurité de Google est associée à un projet Google Cloud fourni par le client pour une intégration plus étroite aux services Google Cloud, tels que Identity and Access Management, Cloud Monitoring et Cloud Audit Logs. Les clients peuvent utiliser IAM et la fédération des identités des employés pour s'authentifier à l'aide de leur fournisseur d'identité existant.
Les documents suivants vous guident tout au long du processus d'intégration d'une nouvelle instance Opérations de sécurité Google ou de migration d'une instance Opérations de sécurité Google existante.
- Configurer un projet Google Cloud pour la suite Opérations de sécurité Google
- Configurer un fournisseur d'identité tiers pour les opérations de sécurité Google
- Associer la suite Opérations de sécurité Google aux services Google Cloud
- Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Rôles requis
Les sections suivantes décrivent les autorisations dont vous avez besoin pour chaque phase du processus d'intégration, mentionnées dans la section précédente.
Configurer un projet Google Cloud pour la suite Opérations de sécurité Google
Pour suivre la procédure décrite dans Configurer un projet Google Cloud pour les opérations de sécurité Google, vous devez disposer des autorisations IAM suivantes.
Si vous disposez de l'autorisation Créateur de projet (resourcemanager.projects.create) au niveau de l'organisation, aucune autorisation supplémentaire n'est requise pour créer un projet et activer l'API Chronicle.
Si vous ne disposez pas de cette autorisation, vous devez disposer des autorisations suivantes au niveau du projet:
- Administrateur du service Chronicle (
roles/chroniclesm.admin) - Éditeur (
roles/editor) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) - Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurer les opérations de sécurité Google d'un fournisseur d'identité tiers
Pour suivre la procédure décrite dans Configurer un fournisseur d'identité tiers pour les opérations de sécurité Google, vous devez disposer des autorisations IAM suivantes.
Autorisations Éditeur de projet pour le projet lié aux opérations de sécurité Google que vous avez créé précédemment.
Autorisation IAM d'administrateur de pool d'employés (
roles/iam.workforcePoolAdmin) au niveau de l'organisation.Utilisez la commande suivante comme exemple pour définir le rôle
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.USER_EMAIL: adresse e-mail de l'administrateur.
Associer une instance Google Security Operations aux services Google Cloud
Pour suivre la procédure décrite dans Associer les opérations de sécurité Google aux services Google Cloud, vous devez disposer des mêmes autorisations que celles définies dans la section Configurer un projet Google Cloud pour les opérations de sécurité Google.
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Pour suivre la procédure décrite dans la section Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM, vous devez disposer de l'autorisation IAM suivante au niveau du projet afin d'attribuer et de modifier les liaisons de rôles IAM du projet:
Pour savoir comment procéder, consultez Attribuer des rôles à des utilisateurs et à des groupes.
Si vous envisagez de migrer une instance Opérations de sécurité Google vers IAM, vous devez disposer des mêmes autorisations que celles définies dans la section Configurer les opérations de sécurité Google d'un fournisseur d'identité tiers.
Exigences liées aux fonctionnalités avancées de Google Security Operations
Le tableau suivant répertorie les fonctionnalités avancées de la suite Opérations de sécurité de Google, ainsi que leurs dépendances sur un projet Google Cloud fourni par le client et la fédération des identités des employés de Google.
| Capacité | Éléments de base de Google Cloud | Nécessite un projet Google Cloud ? | Nécessite la fédération des identités des employés ? |
|---|---|---|---|
| Cloud Audit Logs: activités d'administration | Cloud Audit Logs | Oui | Oui |
| Cloud Audit Logs: accès aux données | Cloud Audit Logs | Oui | Oui |
| Cloud Billing: abonnement en ligne ou paiement à l'usage | Cloud Billing | Oui | Non |
| API Google Security Operations: accès général, génération et gestion des identifiants à l'aide d'un IdP tiers | API Google Cloud | Oui | Oui |
| API Google Security Operations: accès général, génération et gestion des identifiants à l'aide de Cloud Identity | API Google Cloud, Cloud Identity | Oui | Oui |
| Contrôles de conformité: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Oui | Non |
| Contrôles conformes: niveau d'impact élevé ou supérieur du FedRAMP | Assured Workloads | Oui | Oui |
| Contrôles de conformité: service de règles d'administration | Service de règles d'administration | Oui | Non |
| Conforme Controls: VPC Service Controls | VPC Service Controls | Oui | Non |
| Gestion des contacts: mentions légales | Contacts essentiels | Oui | Non |
| Surveillance de l'état: indisponibilités du pipeline d'ingestion | Cloud Monitoring | Oui | Non |
| Ingestion: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Oui | Non |
| Contrôles des accès basés sur les rôles: données | Identity and Access Management | Oui | Oui |
| Contrôles d'accès basés sur les rôles: fonctionnalités ou ressources | Identity and Access Management | Oui | Oui |
| Accès à l'assistance: envoi de demandes, suivi | Cloud Customer Care | Oui | Non |
| Authentification SecOps unifiée | Fédération des identités des employés Google | Non | Oui |