Raccogliere i dati di accesso sensibile al contesto di Chrome Enterprise Premium

Questo documento spiega come collegare la tua organizzazione a Google Security Operations, attivare l'API Identity-Aware Proxy (IAP) e configurare i feed per importare i seguenti dati in Google Security Operations. I feed includono contenuti di Chrome Enterprise Premium specifici per IAP e dati sensibili all'accesso contestuale.

• Log di Google Cloud
• Cloud Identity Devices
• Utenti dei dispositivi Cloud Identity

Prima di iniziare

Prima di configurare i feed per importare i dati di Chrome Enterprise Premium, completa le seguenti attività:

• Collega la tua organizzazione Google Cloud a Google Security Operations completando le seguenti sezioni:
  1. Attiva l'importazione della telemetria in Google Security Operations.
  2. Abilita l'esportazione dei Google Cloud log in Google Security Operations.
• Attiva l'API Cloud Identity e crea un account di servizio per autenticare l'API.
• Crea una delega a livello di dominio.
• Crea un utente per la rappresentazione.

Attiva l'API Cloud Identity e crea un account di servizio

1. Nella console Google Cloud , seleziona il progetto Google Cloud per cui vuoi abilitare l'API, quindi vai alla pagina API e servizi:

   Vai ad API e servizi

2. Fai clic su Abilita API e servizi.

3. Cerca "API Cloud Identity".

4. Nei risultati di ricerca, fai clic su API Cloud Identity.

5. Fai clic su Attiva.

6. Crea un account di servizio:

   1. Nella Google Cloud console, seleziona IAM e amministrazione > Service Accounts.
   2. Fai clic su Crea account di servizio.
   3. Nella pagina account di servizio account, inserisci un nome per il account di servizio.
   4. Fai clic su Fine.

7. Seleziona il account di servizio che hai creato.

8. Copia e salva l'ID visualizzato nel campo ID univoco. Utilizzi questo ID quando crei una delega a livello di dominio.

9. Seleziona la scheda Chiavi.

10. Fai clic su Aggiungi chiave > Crea nuova chiave.

11. Seleziona JSON come Tipo di chiave.

12. Fai clic su Crea.

13. Copia e salva la chiave JSON. Utilizzi questa chiave quando configuri i feed.

Per ulteriori informazioni, vedi Abilitare l'API Cloud Identity e creare un account di servizio per autenticare l'API.

Crea una delega a livello di dominio

Per controllare l'accesso all'API per l'account di servizio utilizzando la delega a livello di dominio, procedi nel seguente modo:

1. Nella home page della Console di amministrazione Google, seleziona Sicurezza > Accesso e controllo dei dati > Controlli API.
2. Seleziona Delega a livello di dominio > Gestisci delega a livello di dominio.
3. Fai clic su Aggiungi nuovo.
4. Inserisci l'ID client del account di servizio. L'ID client del account di servizio è l'ID univoco che hai ottenuto quando hai creato unaccount di serviziot.
5. In Ambiti OAuth, inserisci https://www.googleapis.com/auth/cloud-identity.devices.readonly.
6. Fai clic su Autorizza.

Per saperne di più, vedi Controllare l'accesso all'API con la delega a livello di dominio.

Creare un utente per l'impersonificazione

1. Nella home page della Console di amministrazione Google, seleziona Directory > Utenti.
2. Per aggiungere un nuovo utente:
   1. Fai clic su Aggiungi nuovo utente.
   2. Inserisci un nome per l'utente.
   3. Inserisci l'indirizzo email associato all'utente.
   4. Fai clic su Crea e poi su Fine.
3. Per creare un nuovo ruolo e assegnare un privilegio, segui questi passaggi:
   1. Seleziona il nome utente appena creato.
   2. Fai clic su Ruoli e privilegi di amministratore.
   3. Fai clic su Crea ruolo personalizzato.
   4. Fai clic su Crea nuovo ruolo.
   5. Inserisci un nome per il ruolo.
   6. Seleziona Servizi > Gestione dei dispositivi mobili, quindi seleziona il privilegio Gestisci dispositivi e impostazioni.
   7. Fai clic su Continua.
4. Per assegnare il ruolo all'utente, procedi nel seguente modo:
   1. Fai clic su Assegna utenti.
   2. Vai all'utente appena creato e fai clic su Assegna ruolo.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed
• Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Inserisci un nome univoco per il Nome campo (ad esempio, Log di Chrome Enterprise Premium).
5. Seleziona API di terze parti come Tipo di origine.
6. Nell'elenco Tipo di log, seleziona Dispositivi GCP Cloud Identity o Utenti di dispositivi GCP Cloud Identity.
7. Fai clic su Avanti.

8. Nella scheda Parametri di input, specifica i seguenti dettagli:

   • Endpoint JWT OAuth. Inserisci https://oauth2.googleapis.com/token.
   • Emittente delle attestazioni JWT. Specifica <insert_service_account@project.iam.gserviceaccount.com>. Questo è il account di servizio che hai creato nella sezione Attivare l'API Cloud Identity e creare un service account.
   • Oggetto delle attestazioni JWT. Inserisci l'email dell'utente che hai creato nella sezione Crea un utente per la rappresentazione.
   • Pubblico delle rivendicazioni JWT. Inserisci https://oauth2.googleapis.com/token.
   • Chiave privata RSA. Inserisci la chiave JSON creata durante la creazione di un account di serviziot per autenticare l'API.
   • Versione dell'API. Facoltativo. Puoi lasciare vuoto questo campo.

9. Fai clic su Avanti.

10. Nella scheda Finalizza, controlla i valori che hai inserito e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

• Endpoint JWT OAuth. Inserisci https://oauth2.googleapis.com/token.
• Emittente delle attestazioni JWT. Specifica <insert_service_account@project.iam.gserviceaccount.com>. Questo è il account di servizio che hai creato nella sezione Attivare l'API Cloud Identity e creare un service account.
• Oggetto delle attestazioni JWT. Inserisci l'email dell'utente che hai creato nella sezione Crea un utente per la rappresentazione.
• Pubblico delle rivendicazioni JWT. Inserisci https://oauth2.googleapis.com/token.
• Chiave privata RSA. Inserisci la chiave JSON creata durante la creazione di un account di serviziot per autenticare l'API.
• Versione dell'API. Facoltativo. Puoi lasciare vuoto questo campo.

Opzioni avanzate

• Nome feed: un valore precompilato che identifica il feed.
• Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
• Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
• Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.