Integrar ou migrar uma instância do Google Security Operations
O Google Security Operations se vincula a um projeto do Google Cloud fornecido pelo cliente para se integrar mais de perto aos serviços do Google Cloud, como o Identity and Access Management, o Cloud Monitoring e os Registros de auditoria do Cloud. Os clientes podem usar o IAM e a federação de identidade da força de trabalho para fazer a autenticação usando o provedor de identidade atual.
Os documentos a seguir orientam você no processo de integração de uma nova instância do Google Security Operations ou migração de uma instância existente.
- Configurar um projeto do Google Cloud para as operações de segurança do Google
- Configurar um provedor de identidade de terceiros para as Operações de segurança do Google
- Vincular o Google Security Operations aos serviços do Google Cloud
- Configurar o controle de acesso a recursos usando o IAM
- Configurar o controle de acesso a dados
- Concluir a lista de verificação de configuração do Google Cloud
Funções exigidas
As seções a seguir descrevem as permissões necessárias para cada fase do processo de integração, mencionado na seção anterior.
Configurar um projeto do Google Cloud para o Google Security Operations
Para concluir as etapas em Configurar um projeto do Google Cloud para as Operações de segurança do Google, você precisa das seguintes permissões do IAM.
Se você tiver a permissão Criador de projeto (resourcemanager.projects.create)
no nível da organização, nenhuma permissão adicional
será necessária para criar um projeto e ativar a API Chronicle.
Se você não tiver essa permissão, precisará das seguintes permissões no nível do projeto:
- Administrador de serviço do Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) - Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurar um provedor de identidade
É possível usar o Cloud Identity, o Google Workspace ou um provedor de identidade de terceiros (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Permissões para configurar o Cloud Identity ou o Google Workspace
Se você estiver usando o Cloud Identity, precisará ter as funções e permissões descritas em Gerenciar o acesso a projetos, pastas e organizações.
Se você estiver usando o Google Workspace, precisará ter uma conta de administrador do Cloud Identity e fazer login no Admin Console.
Consulte Configurar o provedor de identidade do Google Cloud para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor de identidade.
Permissões para configurar um provedor de identidade de terceiros
Se você usar um provedor de identidade de terceiros, configure a Federação de identidade de colaboradores e um pool de identidade de colaboradores.
Para concluir as etapas em Configurar um provedor de identidade de terceiros para as Operações de segurança do Google, você precisa das seguintes permissões do IAM.
Permissões de Editor do projeto no projeto vinculado ao Google Security Operations que você criou anteriormente.
Administrador de pool de colaboradores do IAM (
roles/iam.workforcePoolAdmin) no nível da organização.Use o comando a seguir como exemplo para definir o papel
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSubstitua:
ORGANIZATION_ID: o ID numérico da organização.USER_EMAIL: o endereço de e-mail do usuário administrador.
Permissões de Leitor da organização (
resourcemanager.organizations.get) no nível da organização.
Para mais informações, consulte Configurar um provedor de identidade de terceiros.
Vincular uma instância do Google Security Operations aos serviços do Google Cloud
Para concluir as etapas em Vincular o Google Security Operations aos serviços do Google Cloud, você precisa das mesmas permissões definidas na seção Configurar um projeto do Google Cloud para o Google Security Operations.
Se você planeja migrar uma instância do Google SecOps, é necessário ter permissões para acessar o Google SecOps. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM.
Configurar o controle de acesso a recursos usando o IAM
Para concluir as etapas em Configurar o controle de acesso a recursos usando o IAM, você precisa da seguinte permissão do IAM no nível do projeto para conceder e modificar as vinculações de função do IAM do projeto:
Consulte Atribuir funções a usuários e grupos para conferir um exemplo de como fazer isso.
Se você planeja migrar uma instância do Google Security Operations para o IAM, vai precisar das mesmas permissões definidas na seção Configurar um provedor de identidade de terceiros do Google Security Operations.
Configurar o controle de acesso a dados
Para configurar o RBAC de dados para usuários,
você precisa ter os papéis de administrador da API Chronicle (roles/chronicle.admin) e leitor de
papéis (roles/iam.roleViewer). Para atribuir os escopos aos usuários, você precisa ter
o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ou
de administrador de segurança (roles/iam.securityAdmin).
Se você não tiver as funções necessárias, atribua as funções no IAM.
Requisitos dos recursos avançados do Google Security Operations
A tabela a seguir lista os recursos avançados das Operações de segurança do Google e as dependências deles em um projeto do Google Cloud fornecido pelo cliente e na federação de identidade da força de trabalho do Google.
| Capacidade | Base do Google Cloud | Requer um projeto do Google Cloud? | Requer integração com o IAM? |
|---|---|---|---|
| Registros de auditoria do Cloud: atividades administrativas | Registros de auditoria do Cloud | Sim | Sim |
| Registros de auditoria do Cloud: acesso a dados | Registros de auditoria do Cloud | Sim | Sim |
| Cloud Billing: assinatura on-line ou pagamento por uso | Cloud Billing | Sim | Não |
| APIs do Chronicle: acesso geral, criação e gerenciamento de credenciais usando um IdP de terceiros | APIs Google Cloud | Sim | Sim |
| APIs do Chronicle: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity | APIs do Google Cloud e Cloud Identity | Sim | Sim |
| Controles em compliance: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Sim | Não |
| Controles em conformidade: FedRAMP High ou superior | Assured Workloads | Sim | Sim |
| Controles em conformidade: serviço de política da organização | Serviço de política da organização | Sim | Não |
| Controles em conformidade: VPC Service Controls | VPC Service Controls | Sim | Não |
| Gerenciamento de contatos: declarações legais | Contatos essenciais | Sim | Não |
| Monitoramento de integridade: interrupções do pipeline de transferência | Cloud Monitoring | Sim | Não |
| Ingestão: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sim | Não |
| Controles de acesso baseados em função: dados | Identity and Access Management | Sim | Sim |
| Controles de acesso baseados em função: recursos ou recursos | Identity and Access Management | Sim | Sim |
| Acesso ao suporte: envio de casos, acompanhamento | Cloud Customer Care | Sim | Não |
| Autenticação unificada do SecOps | Federação de identidade de colaboradores do Google | Não | Sim |