Recoger datos de acceso contextual de Chrome Enterprise Premium

En este documento se explica cómo puedes conectar tu organización a Google Security Operations, habilitar la API Identity-Aware Proxy (IAP) y configurar feeds para ingerir los siguientes datos en Google Security Operations. Los feeds incluyen contenido de Chrome Enterprise Premium específico de IAP y datos de acceso contextual.

• Registros de Google Cloud
• Dispositivos de Cloud Identity
• Usuarios de dispositivos de Cloud Identity

Antes de empezar

Antes de configurar feeds para ingerir datos de Chrome Enterprise Premium, completa las siguientes tareas:

• Conecta tu Google Cloud organización a Google Security Operations completando las siguientes secciones:
  1. Habilita la ingestión de telemetría en Google Security Operations.
  2. Habilita la exportación de Google Cloud registros a Google Security Operations.
• Habilita la API Cloud Identity y crea una cuenta de servicio para autenticar la API.
• Crea una delegación de todo el dominio.
• Crea un usuario para la suplantación de identidad.

Habilitar la API Cloud Identity y crear una cuenta de servicio

1. En la Google Cloud consola, selecciona el Google Cloud proyecto en el que quieras habilitar la API y, a continuación, ve a la página APIs & Services (APIs y servicios):

   Ve a APIs y servicios.

2. Haz clic en Habilitar APIs y servicios.

3. Busca "API de Cloud Identity".

4. En los resultados de búsqueda, haz clic en API de Cloud Identity.

5. Haz clic en Enable (Habilitar).

6. Crea una cuenta de servicio:

   1. En la Google Cloud consola, selecciona IAM y administración > Cuentas de servicio.
   2. Haz clic en Crear cuenta de servicio.
   3. En la página Crear cuenta de servicio, dale un nombre a la cuenta de servicio.
   4. Haz clic en Listo.

7. Selecciona la cuenta de servicio que has creado.

8. Copia y guarda el ID que aparece en el campo ID único. Este ID se usa al crear una delegación de todo el dominio.

9. Seleccione la pestaña Claves.

10. Haz clic en Añadir clave > Crear clave.

11. Selecciona JSON como Tipo de clave.

12. Haz clic en Crear.

13. Copia y guarda la clave JSON. Esta clave se usa al configurar feeds.

Para obtener más información, consulta el artículo sobre cómo habilitar la API Cloud Identity y crear una cuenta de servicio para autenticar la API.

Crear una delegación de todo el dominio

Para controlar el acceso a las APIs de la cuenta de servicio mediante la delegación de todo el dominio, haz lo siguiente:

1. En la página principal de la consola de administración de Google, selecciona Seguridad > Control de acceso y de datos > Controles de APIs.
2. Selecciona Delegación de todo el dominio > Gestionar delegación de todo el dominio.
3. Haz clic en Añadir nuevo.
4. Introduce el ID de cliente de la cuenta de servicio. El ID de cliente de la cuenta de servicio es el ID único que obtuviste al crear una cuenta de servicio.
5. En Permisos de OAuth, introduce https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Haz clic en Autorizar.

Para obtener más información, consulta el artículo Controlar el acceso a las APIs con la delegación de todo el dominio.

Crear un usuario para la suplantación

1. En la página principal de la consola de administración de Google, selecciona Directorio > Usuarios.
2. Para añadir un usuario nuevo, sigue estos pasos:
   1. Haz clic en Añadir usuario nuevo.
   2. Introduce un nombre para el usuario.
   3. Introduce la dirección de correo asociada al usuario.
   4. Haz clic en Crear y, a continuación, en Hecho.
3. Para crear un rol y asignarle un privilegio, sigue estos pasos:
   1. Selecciona el nombre de usuario que acabas de crear.
   2. Haz clic en Privilegios y funciones de administrador.
   3. Haz clic en Crear función personalizada.
   4. Haz clic en Crear rol.
   5. Introduce un nombre para el rol.
   6. Selecciona Servicios > Gestión de dispositivos móviles y, a continuación, el privilegio Gestionar dispositivos y configuración.
   7. Haz clic en Continuar.
4. Para asignar el rol al usuario, sigue estos pasos:
   1. Haz clic en Asignar usuarios.
   2. Desplázate hasta el usuario que has creado y haz clic en Asignar rol.

Configurar feeds

Para configurar un feed, sigue estos pasos:

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Añadir feed.
3. En la página siguiente, haga clic en Configurar un solo feed.
4. Introduce un nombre único en el campo Nombre del campo (por ejemplo, Registros de Chrome Enterprise Premium).
5. Seleccione API de terceros como Tipo de fuente.
6. En la lista Tipo de registro, selecciona Dispositivos de Cloud Identity de GCP o Usuarios de dispositivos de Cloud Identity de GCP.
7. Haz clic en Siguiente.

8. En la pestaña Parámetros de entrada, especifica los siguientes detalles:

   • Endpoint JWT de OAuth. Introduce https://oauth2.googleapis.com/token.
   • Emisor de las reclamaciones de JWT. Especifica <insert_service_account@project.iam.gserviceaccount.com>. Esta es la cuenta de servicio que has creado en la sección Habilita la API Cloud Identity y crea una cuenta de servicio.
   • Asunto de las reclamaciones de JWT. Introduce el correo del usuario que has creado en la sección Crear un usuario para la suplantación de identidad.
   • Audiencia de las reclamaciones de JWT. Introduce https://oauth2.googleapis.com/token.
   • Clave privada RSA. Introduce la clave JSON que se creó al crear una cuenta de servicio para autenticar la API.
   • Versión de la API. Opcional. Puedes dejar este campo en blanco.

9. Haz clic en Siguiente.

10. En la pestaña Finalizar, revise los valores que ha introducido y haga clic en Enviar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.