Como integrar ou migrar uma instância do Google Security Operations
O Google Security Operations se vincula a um projeto do Google Cloud fornecido pelo cliente para uma integração mais próxima com os serviços do Google Cloud, como o Identity and Access Management, o Cloud Monitoring e os Registros de auditoria do Cloud. Os clientes podem usar o IAM e a federação de identidade de colaboradores para fazer a autenticação usando o provedor de identidade atual deles.
Os documentos a seguir orientam você no processo de integração de uma nova instância do Google Security Operations ou da migração de uma instância existente.
- Configure um projeto do Google Cloud para o Google Security Operations
- Configurar um provedor de identidade terceirizado para as Operações de segurança do Google
- Vincular as Operações de segurança do Google aos serviços do Google Cloud
- Configurar o controle de acesso a recursos usando o IAM
- Configurar o controle de acesso aos dados
- Conclua a lista de verificação de configuração do Google Cloud
Funções exigidas
As seções a seguir descrevem as permissões necessárias para cada fase do processo de integração, mencionada na seção anterior.
Configurar um projeto do Google Cloud para o Google Security Operations
Para concluir as etapas em Configurar um projeto do Google Cloud para o Google Security Operations, você precisa das seguintes permissões do IAM.
Se você tiver a permissão Criador de projetos (resourcemanager.projects.create)
no nível da organização, nenhuma outra permissão
será necessária para criar um projeto e ativar a API Chronicle.
Se você não tiver essa permissão, serão necessárias as seguintes permissões no nível do projeto:
- Administrador de serviços do Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) - Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configurar um provedor de identidade
É possível usar o Cloud Identity, o Google Workspace ou um provedor de identidade de terceiros (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Permissões para configurar o Cloud Identity ou o Google Workspace
Se você estiver usando o Cloud Identity, precisará ter os papéis e as permissões descritos em Gerenciar o acesso a projetos, pastas e organizações.
Se você estiver usando o Google Workspace, é necessário ter uma conta de administrador do Cloud Identity e conseguir fazer login no Admin Console.
Consulte Configurar o provedor de identidade do Google Cloud para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor.
Permissões para configurar um provedor de identidade de terceiros
Se você usar um provedor de identidade de terceiros, vai configurar a federação de identidade de colaboradores e um pool de identidades de colaboradores.
Para concluir as etapas em Configurar um provedor de identidade terceirizado para as Operações de segurança do Google, você precisa das seguintes permissões do IAM.
Permissões de editor do projeto para o projeto vinculado às Operações de segurança do Google que você criou anteriormente.
Permissão de Administrador de pool de força de trabalho do IAM (
roles/iam.workforcePoolAdmin) no nível da organização.Use o seguinte comando como exemplo para definir o papel
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSubstitua:
ORGANIZATION_ID: o ID numérico da organização.USER_EMAIL: o endereço de e-mail do usuário administrador.
Saiba mais em Configurar um provedor de identidade de terceiros.
Vincular uma instância do Google Security Operations aos serviços do Google Cloud
Para concluir as etapas em Vincular as operações de segurança do Google aos serviços do Google Cloud, você precisa das mesmas permissões definidas na seção Configurar um projeto do Google Cloud para as Operações de segurança do Google.
Se você planeja migrar uma instância atual do Google SecOps, precisa de permissões para acessá-lo. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM
Configurar o controle de acesso a recursos usando o IAM
Para concluir as etapas em Configurar o controle de acesso a recursos usando o IAM, você precisa da seguinte permissão do IAM no projeto para conceder e modificar as vinculações de papéis do IAM do projeto:
Consulte Atribuir papéis a usuários e grupos para ver um exemplo de como fazer isso.
Se você planeja migrar uma instância atual das Operações de segurança do Google para o IAM, precisa das mesmas permissões definidas na seção Configurar um provedor de identidade terceirizado para Operações de segurança do Google.
Configurar o controle de acesso aos dados
Para configurar o RBAC de dados para usuários,
é necessário ter os papéis de Administrador da API Chronicle (roles/chronicle.admin) e de Leitor
de papéis (roles/iam.roleViewer). Para atribuir os escopos aos usuários, é necessário ter o papel de Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ou de Administrador de segurança (roles/iam.securityAdmin).
Se você não tiver os papéis necessários, atribua-os no IAM.
Requisitos dos recursos avançados do Google Security Operations
A tabela a seguir lista os recursos avançados do Google Security Operations e as dependências deles em um projeto do Google Cloud fornecido pelo cliente e na federação de identidade de colaboradores do Google.
| Capacidade | Base do Google Cloud | Requer um projeto do Google Cloud? | Requer integração com o IAM? |
|---|---|---|---|
| Registros de auditoria do Cloud: atividades administrativas | Registros de auditoria do Cloud | Sim | Sim |
| Registros de auditoria do Cloud: acesso a dados | Registros de auditoria do Cloud | Sim | Sim |
| Cloud Billing: assinatura on-line ou pagamento por uso | Cloud Billing | Sim | No |
| APIs Google Security Operations: acesso geral, criação e gerenciamento de credenciais usando IdP de terceiros | APIs Google Cloud | Sim | Sim |
| APIs Google Security Operations: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity | APIs do Google Cloud e Cloud Identity | Sim | Sim |
| Controles em compliance: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Sim | No |
| Controles de compliance: FedRAMP de nível alto ou superior | Assured Workloads | Sim | Sim |
| Controles em compliance: serviço de políticas da organização | Serviço de política da organização | Sim | No |
| Controles de conformidade: VPC Service Controls | VPC Service Controls | Sim | No |
| Gerenciamento de contatos: declarações legais | Contatos essenciais | Sim | No |
| Monitoramento da integridade: interrupções do pipeline de ingestão | Cloud Monitoring | Sim | No |
| Ingestão: webhook, Pub/Sub, Azure Event Hub e Amazon Kinesis Data Firehose | Identity and Access Management | Sim | No |
| Controles de acesso com base em papéis: dados | Identity and Access Management | Sim | Sim |
| Controles de acesso baseados em funções: funcionalidades ou recursos | Identity and Access Management | Sim | Sim |
| Acesso ao suporte: envio e rastreamento de casos | Cloud Customer Care | Sim | No |
| Autenticação unificada de SecOps | Federação de identidade de colaboradores do Google | No | Sim |