Recopila datos de acceso adaptado al contexto de Chrome Enterprise Premium

En este documento, se explica cómo puedes conectar tu organización a Google Security Operations, habilitar la API de Identity-Aware Proxy (IAP) y configurar feeds para transferir los siguientes datos a Google Security Operations. Los feeds incluyen contenido de Chrome Enterprise Premium específico para IAP y datos que tienen en cuenta el acceso contextual.

• Registros de Google Cloud
• Dispositivos de Cloud Identity
• Usuarios de dispositivos de Cloud Identity

Antes de comenzar

Antes de configurar feeds para transferir datos de Chrome Enterprise Premium, completa las siguientes tareas:

• Para conectar tu organización Google Cloud a Google Security Operations, completa las siguientes secciones:
  1. Habilita la transferencia de datos de telemetría a Google Security Operations.
  2. Habilita la exportación de Google Cloud registros a Google Security Operations.
• Habilita la API de Cloud Identity y crea una cuenta de servicio para autenticar la API.
• Crea una delegación de todo el dominio.
• Crea un usuario para la suplantación.

Habilita la API de Cloud Identity y crea una cuenta de servicio

1. En la consola de Google Cloud , selecciona el proyecto de Google Cloud para el que deseas habilitar la API y, luego, ve a la página APIs & Services:

   Ir a APIs & Services

2. Haz clic en Habilitar APIs y servicios.

3. Busca “API de Cloud Identity”.

4. En los resultados de la búsqueda, haz clic en API de Cloud Identity.

5. Haz clic en Habilitar.

6. Crear una cuenta de servicio:

   1. En la consola de Google Cloud , selecciona IAM y administración > Cuentas de servicio.
   2. Haga clic en Crear cuenta de servicio.
   3. En la página Crear cuenta de servicio, ingresa un nombre para la cuenta de servicio.
   4. Haz clic en Listo.

7. Selecciona la cuenta de servicio que creaste.

8. Copia y guarda el ID que aparece en el campo ID único. Usas este ID cuando creas una delegación para todo el dominio.

9. Selecciona la pestaña Keys.

10. Haz clic en Agregar clave > Crear clave nueva.

11. Selecciona JSON como el Tipo de clave.

12. Haz clic en Crear.

13. Copia y guarda la clave JSON. Usarás esta clave cuando configures feeds.

Para obtener más información, consulta Habilita la API de Cloud Identity y crea una cuenta de servicio para autenticar la API.

Crea una delegación de todo el dominio

Para controlar el acceso a la API de la cuenta de servicio con la delegación para todo el dominio, haz lo siguiente:

1. En la página principal de la Consola del administrador de Google, selecciona Seguridad > Control de acceso y datos > Controles de API.
2. Selecciona Delegación de todo el dominio > Administrar la delegación de todo el dominio.
3. Haz clic en Agregar nueva.
4. Ingresa el ID de cliente de la cuenta de servicio. El ID de cliente de la cuenta de servicio es el ID único que obtuviste cuando creaste una cuenta de servicio.
5. En OAuth scopes, ingresa https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Haz clic en Autorizar.

Para obtener más información, consulta Controla el acceso a la API con la delegación para todo el dominio.

Crea un usuario para la suplantación

1. En la página principal de la Consola del administrador de Google, selecciona Directorio > Usuarios.
2. Para agregar un usuario nuevo, haz lo siguiente:
   1. Haz clic en Agregar un usuario nuevo.
   2. Ingresa un nombre para el usuario.
   3. Ingresa la dirección de correo electrónico asociada al usuario.
   4. Haz clic en Crear y, luego, en Listo.
3. Para crear un rol nuevo y asignarle un privilegio, haz lo siguiente:
   1. Selecciona el nombre de usuario recién creado.
   2. Haz clic en Roles y privilegios de administrador.
   3. Haz clic en Crear rol personalizado.
   4. Haz clic en Crear rol nuevo.
   5. Ingresa un nombre para el rol.
   6. Selecciona Servicios > Administración de dispositivos móviles y, luego, el privilegio Administrar dispositivos y configuración.
   7. Haz clic en Continuar.
4. Para asignar el rol al usuario, haz lo siguiente:
   1. Haz clic en Asignar usuarios.
   2. Navega al usuario recién creado y haz clic en Asignar rol.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds
• Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

1. Ve a Configuración del SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. Ingresa un nombre único para el Nombre del campo (por ejemplo, Registros de Chrome Enterprise Premium).
5. Selecciona API de terceros como el Tipo de origen.
6. En la lista Tipo de registro, selecciona Dispositivos de Cloud Identity de GCP o Usuarios de dispositivos de Cloud Identity de GCP.
7. Haz clic en Siguiente.

8. En la pestaña Input parameters, especifica los siguientes detalles:

   • Extremo de JWT de OAuth. Ingresa https://oauth2.googleapis.com/token.
   • Emisor de reclamaciones de JWT. Especifica <insert_service_account@project.iam.gserviceaccount.com>. Esta es la cuenta de servicio que creaste en la sección Habilita la API de Cloud Identity y crea una cuenta de servicio.
   • Asunto de las reclamaciones de JWT. Ingresa el correo electrónico del usuario que creaste en la sección Crea un usuario para la suplantación.
   • Público de las reclamaciones del JWT. Ingresa https://oauth2.googleapis.com/token.
   • Clave privada de RSA. Ingresa la clave JSON que se creó cuando creaste una cuenta de servicio para autenticar la API.
   • Versión de la API Opcional. Puedes dejar este campo en blanco.

9. Haz clic en Siguiente.

10. En la pestaña Finalizar, revisa los valores que ingresaste y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

• Extremo de JWT de OAuth. Ingresa https://oauth2.googleapis.com/token.
• Emisor de reclamaciones de JWT. Especifica <insert_service_account@project.iam.gserviceaccount.com>. Esta es la cuenta de servicio que creaste en la sección Habilita la API de Cloud Identity y crea una cuenta de servicio.
• Asunto de las reclamaciones de JWT. Ingresa el correo electrónico del usuario que creaste en la sección Crea un usuario para la suplantación.
• Público de las reclamaciones del JWT. Ingresa https://oauth2.googleapis.com/token.
• Clave privada de RSA. Ingresa la clave JSON que se creó cuando creaste una cuenta de servicio para autenticar la API.
• Versión de la API Opcional. Puedes dejar este campo en blanco.

Opciones avanzadas

• Nombre del feed: Es un valor completado previamente que identifica el feed.
• Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
• Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
• Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.