启用或迁移 Google Security Operations 实例
Google Security Operations 可关联到客户提供的 Google Cloud 项目,以便与 Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs 等 Google Cloud 服务更紧密地集成。客户可以使用 IAM 和员工身份联合,通过其现有身份提供方进行身份验证。
以下文档将指导您完成新的 Google Security Operations 实例或迁移现有 Google Security Operations 实例的过程。
- 为 Google Security Operations 配置 Google Cloud 项目
- 为 Google Security Operations 配置第三方身份提供方
- 将 Google 安全运维套件与 Google Cloud 服务相关联
- 使用 IAM 配置功能访问权限控制
所需的角色
以下各部分介绍了上一部分提到的新手入门流程各个阶段所需的权限。
为 Google 安全运维套件配置 Google Cloud 项目
如需完成为 Google 安全运维套件配置 Google Cloud 项目中的步骤,您需要以下 IAM 权限。
如果您在组织级层拥有 Project Creator(resourcemanager.projects.create 权限),则无需其他权限即可创建项目和启用 Chronicle API。
如果您没有此权限,则需要项目级别的以下权限:
- Chronicle Service Admin (
roles/chroniclesm.admin) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
配置第三方身份提供方 Google 安全运维套件
如需完成为 Google 安全运维套件配置第三方身份提供方中的步骤,您需要以下 IAM 权限。
项目编辑者权限。
组织级别的 IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) 权限。使用以下命令设置
roles/iam.workforcePoolAdmin角色的示例:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin请替换以下内容:
ORGANIZATION_ID:数字形式的组织 ID。USER_EMAIL:管理员用户的电子邮件地址。
将 Google 安全运维实例关联到 Google Cloud 服务
如需完成将 Google 安全运维套件与 Google Cloud 服务相关联中的步骤,您需要为 Google 安全运维套件配置 Google Cloud 项目部分中定义的相同权限。
使用 IAM 配置功能访问权限控制
如需完成使用 IAM 配置功能访问权限控制中的步骤,您需要项目级别的以下 IAM 权限,以授予和修改项目的 IAM 角色绑定:
请参阅为用户和群组分配角色,查看有关如何执行此操作的示例。
如果您计划将现有 Google 安全操作实例迁移到 IAM,则需要配置第三方身份提供方 Google 安全操作部分中定义的相同权限。
Google 安全运营高级功能要求
下表列出了 Google Security Operations 高级功能及其对客户提供的 Google Cloud 项目和 Google 员工身份联合的依赖关系。
| 能力 | Google Cloud 基础 | 是否需要 Google Cloud 项目? | 是否需要员工身份联合? |
|---|---|---|---|
| Cloud Audit Logs:管理活动 | Cloud Audit Logs | 是 | 是 |
| Cloud Audit Logs:数据访问 | Cloud Audit Logs | 是 | 是 |
| Cloud Billing:在线订阅或随用随付 | Cloud Billing | 是 | 否 |
| Google Security Operations API:使用第三方 IdP 对凭据进行常规访问、创建和管理 | Google Cloud API | 是 | 是 |
| Google Security Operations API:使用 Cloud Identity 对凭据进行常规访问、创建和管理凭据 | Google Cloud API、Cloud Identity | 是 | 是 |
| 合规控制措施:CMEK | Cloud Key Management Service 或 Cloud External Key Manager | 是 | 否 |
| 合规控制措施:FedRAMP High 或更高 | Assured Workloads | 是 | 是 |
| 合规控制措施:组织政策服务 | 组织政策服务 | 是 | 否 |
| 合规控制措施:VPC Service Controls | VPC Service Controls | 是 | 否 |
| 联系人管理:法律信息披露 | 重要联系人 | 是 | 否 |
| 运行状况监控:注入流水线中断 | Cloud Monitoring | 是 | 否 |
| 提取:webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | 是 | 否 |
| 基于角色的访问控制:数据 | Identity and Access Management | 是 | 是 |
| 基于角色的访问权限控制:功能或资源 | Identity and Access Management | 是 | 是 |
| 支持服务访问权限:支持请求提交、跟踪 | Cloud Customer Care | 是 | 否 |
| 统一的 SecOps 身份验证 | Google 员工身份联合 | 否 | 是 |