Collecter les données d'accès contextuel Chrome Enterprise Premium

Ce document explique comment connecter votre organisation à Google Security Operations, activer l'API Identity-Aware Proxy (IAP) et configurer des flux pour ingérer les données suivantes dans Google Security Operations. Les flux incluent du contenu Chrome Enterprise Premium spécifique à IAP et des données contextuelles sur l'accès.

• Journaux Google Cloud
• Appareils Cloud Identity
• Utilisateurs d'appareils Cloud Identity

Avant de commencer

Avant de configurer des flux pour ingérer des données Chrome Enterprise Premium, effectuez les tâches suivantes :

• Connectez votre organisation Google Cloud à Google Security Operations en suivant les sections ci-dessous :
  1. Activez l'ingestion de données de télémétrie dans Google Security Operations.
  2. Activez l'exportation des journaux Google Cloud vers Google Security Operations.
• Activez l'API Cloud Identity et créez un compte de service pour authentifier l'API.
• Créez une délégation au niveau du domaine.
• Créez un utilisateur pour l'usurpation d'identité.

Activer l'API Cloud Identity et créer un compte de service

1. Dans la console Google Cloud , sélectionnez le projet Google Cloud pour lequel vous souhaitez activer l'API, puis accédez à la page API et services :

   Accéder à API et services

2. Cliquez sur Activer les API et les services.

3. Recherchez "API Cloud Identity".

4. Dans les résultats de recherche, cliquez sur API Cloud Identity.

5. Cliquez sur Activer.

6. Créez un compte de service :

   1. Dans la console Google Cloud , sélectionnez IAM et administration > Comptes de service.
   2. Cliquez sur Créer un compte de service.
   3. Sur la page Créer un compte de service, saisissez un nom pour le compte de service.
   4. Cliquez sur OK.

7. Sélectionnez le compte de service que vous avez créé.

8. Copiez et enregistrez l'ID qui s'affiche dans le champ ID unique. Vous utiliserez cet ID lorsque vous créerez une délégation au niveau du domaine.

9. Sélectionnez l'onglet Keys (clés).

10. Cliquez sur Ajouter une clé > Créer une clé.

11. Sélectionnez JSON comme type de clé.

12. Cliquez sur Créer.

13. Copiez et enregistrez la clé JSON. Vous utiliserez cette clé lorsque vous configurerez des flux.

Pour en savoir plus, consultez Activer l'API Cloud Identity et créer un compte de service pour authentifier l'API.

Créer une délégation au niveau du domaine

Pour contrôler l'accès à l'API pour le compte de service à l'aide de la délégation au niveau du domaine, procédez comme suit :

1. Sur la page d'accueil de la console d'administration Google, sélectionnez Sécurité > Contrôle des accès et des données > Commandes des API.
2. Sélectionnez Délégation au niveau du domaine > Gérer la délégation au niveau du domaine.
3. Cliquez sur Ajouter.
4. Saisissez l'ID client du compte de service. L'ID client du compte de service est l'ID unique que vous avez obtenu lorsque vous avez créé un compte de service.
5. Dans Champs d'application OAuth, saisissez https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Cliquez sur Autoriser.

Pour en savoir plus, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.

Créer un utilisateur pour l'usurpation d'identité

1. Sur la page d'accueil de la console d'administration Google, sélectionnez Annuaire> Utilisateurs.
2. Pour ajouter un utilisateur :
   1. Cliquez sur Ajouter un utilisateur.
   2. Saisissez le nom de l'utilisateur.
   3. Saisissez l'adresse e-mail associée à l'utilisateur.
   4. Cliquez sur Créer, puis sur OK.
3. Pour créer un rôle et attribuer un droit, procédez comme suit :
   1. Sélectionnez le nom d'utilisateur que vous venez de créer.
   2. Cliquez sur Rôles d'administrateur et autorisations.
   3. Cliquez sur Créer un rôle personnalisé.
   4. Cliquez sur Créer un rôle.
   5. Saisissez un nom pour le rôle.
   6. Sélectionnez Services> Gestion des appareils mobiles, puis le droit Gérer les appareils et les paramètres.
   7. Cliquez sur Continuer.
4. Pour attribuer le rôle à l'utilisateur, procédez comme suit :
   1. Cliquez sur Attribuer aux utilisateurs.
   2. Accédez à l'utilisateur que vous venez de créer, puis cliquez sur Attribuer un rôle.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

• Paramètres SIEM> Flux
• Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

1. Accédez à Paramètres SIEM > Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux.
4. Saisissez un nom unique pour le Nom du champ (par exemple, Journaux Chrome Enterprise Premium).
5. Sélectionnez API tierce comme type de source.
6. Dans la liste Type de journal, sélectionnez Appareils GCP Cloud Identity ou Utilisateurs d'appareils GCP Cloud Identity.
7. Cliquez sur Suivant.

8. Dans l'onglet Paramètres d'entrée, spécifiez les informations suivantes :

   • Point de terminaison OAuth JWT. Saisissez https://oauth2.googleapis.com/token.
   • Émetteur des revendications JWT. Spécifiez <insert_service_account@project.iam.gserviceaccount.com>. Il s'agit du compte de service que vous avez créé dans la section Activer l'API Cloud Identity et créer un compte de service.
   • Objet des revendications JWT. Saisissez l'adresse e-mail de l'utilisateur que vous avez créé dans la section Créer un utilisateur pour l'usurpation d'identité.
   • Audience des revendications JWT. Saisissez https://oauth2.googleapis.com/token.
   • Clé privée RSA Saisissez la clé JSON créée lors de la création d'un compte de service pour authentifier l'API.
   • Version de l'API Facultatif. Vous pouvez laisser ce champ vide.

9. Cliquez sur Suivant.

10. Dans l'onglet Finaliser, vérifiez les valeurs que vous avez saisies, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

• Point de terminaison OAuth JWT. Saisissez https://oauth2.googleapis.com/token.
• Émetteur des revendications JWT. Spécifiez <insert_service_account@project.iam.gserviceaccount.com>. Il s'agit du compte de service que vous avez créé dans la section Activer l'API Cloud Identity et créer un compte de service.
• Objet des revendications JWT. Saisissez l'adresse e-mail de l'utilisateur que vous avez créé dans la section Créer un utilisateur pour l'usurpation d'identité.
• Audience des revendications JWT. Saisissez https://oauth2.googleapis.com/token.
• Clé privée RSA Saisissez la clé JSON créée lors de la création d'un compte de service pour authentifier l'API.
• Version de l'API Facultatif. Vous pouvez laisser ce champ vide.

Options avancées

• Nom du flux : valeur préremplie qui identifie le flux.
• Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
• Espace de noms de l'élément : espace de noms associé au flux.
• Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.