Coletar dados de acesso baseado no contexto do Chrome Enterprise Premium
Neste documento, explicamos como conectar sua organização ao Google Security Operations, ativar a API Identity-Aware Proxy (IAP) e configurar feeds para ingerir os seguintes dados no Google Security Operations. Os feeds incluem conteúdo do Chrome Enterprise Premium específico para IAP e dados de acesso baseados no contexto.
Antes de começar
Antes de configurar feeds para ingerir dados do Chrome Enterprise Premium, conclua as seguintes tarefas:
- Conecte sua organização Google Cloud ao Google Security Operations concluindo as seguintes seções:
- Ative a API Cloud Identity e crie uma conta de serviço para autenticar a API.
- Crie uma delegação em todo o domínio.
- Crie um usuário para representação.
Ativar a API Cloud Identity e criar uma conta de serviço
No console Google Cloud , selecione o projeto Google Cloud em que você quer ativar a API e acesse a página APIs e serviços:
Clique em Ativar APIs e serviços.
Pesquise "API Cloud Identity".
Nos resultados da pesquisa, clique em API Cloud Identity.
Clique em Ativar.
Crie uma conta de serviço:
- No console Google Cloud , selecione IAM e administrador > Contas de serviço.
- Clique em Criar conta de serviço.
- Na página Criar conta de serviço, insira um nome para a conta.
- Clique em Concluído.
Selecione a conta de serviço que você criou.
Copie e salve o ID que aparece no campo ID exclusivo. Você usa esse ID ao criar uma delegação em todo o domínio.
Selecione a guia Chaves.
Clique em Adicionar chave > Criar nova chave.
Selecione JSON como o tipo de chave.
Clique em Criar.
Copie e salve a chave JSON. Você usa essa chave ao configurar feeds.
Para mais informações, consulte Ativar a API Cloud Identity e criar uma conta de serviço para autenticar a API.
Criar uma delegação em todo o domínio
Para controlar o acesso à API da conta de serviço usando a delegação em todo o domínio, faça o seguinte:
- Na página inicial do Google Admin Console, selecione Segurança > Controles de acesso e dados > Controles de API.
- Selecione Delegação em todo o domínio > Gerenciar a delegação em todo o domínio.
- Clique em Adicionar novo.
- Insira o ID do cliente da conta de serviço. O ID do cliente da conta de serviço é o ID exclusivo que você recebeu ao criar uma conta de serviço.
- Em Escopos do OAuth, insira
https://www.googleapis.com/auth/cloud-identity.devices.readonly. - Clique em Autorizar.
Para mais informações, consulte Controlar o acesso às APIs com a delegação em todo o domínio.
Criar um usuário para representação
- Na página inicial do Google Admin Console, selecione Diretório > Usuários.
- Para adicionar um novo usuário, faça o seguinte:
- Clique em Adicionar novo usuário.
- Insira um nome para o usuário.
- Digite o endereço de e-mail associado ao usuário.
- Clique em Criar e em Concluído.
- Para criar uma função e atribuir um privilégio, faça o seguinte:
- Selecione o nome de usuário recém-criado.
- Clique em Funções e privilégios do administrador.
- Clique em Criar função personalizada.
- Clique em Criar nova função.
- Insira um nome para a função.
- Selecione Serviços > Gerenciamento de dispositivos móveis e escolha o privilégio Gerenciar dispositivos e configurações.
- Clique em Continuar.
- Para atribuir a função ao usuário, faça o seguinte:
- Clique em Atribuir usuários.
- Acesse o usuário recém-criado e clique em Atribuir função.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em "Configurações do SIEM" > "Feeds".
Para configurar um feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- Insira um nome exclusivo para o Nome do campo (por exemplo, Registros do Chrome Enterprise Premium).
- Selecione API de terceiros como o Tipo de origem.
- Na lista Tipo de registro, selecione Dispositivos do Cloud Identity do GCP ou Usuários de dispositivos do Cloud Identity do GCP.
- Clique em Próxima.
Na guia Parâmetros de entrada, especifique os seguintes detalhes:
- Endpoint JWT do OAuth. Insira
https://oauth2.googleapis.com/token. - Emissor de declarações do JWT. Especifique <insert_service_account@project.iam.gserviceaccount.com>. Essa é a conta de serviço que você criou na seção Ativar a API Cloud Identity e criar uma conta de serviço.
- Assunto das declarações do JWT. Insira o e-mail do usuário criado na seção Criar um usuário para representação.
- Público-alvo das declarações do JWT. Insira
https://oauth2.googleapis.com/token. - Chave privada RSA. Insira a chave JSON criada quando você criou uma conta de serviço para autenticar a API.
- Versão da API. Opcional. Você pode deixar esse campo em branco.
- Endpoint JWT do OAuth. Insira
Clique em Próxima.
Na guia Finalizar, revise os valores inseridos e clique em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Endpoint JWT do OAuth. Insira
https://oauth2.googleapis.com/token. - Emissor de declarações do JWT. Especifique <insert_service_account@project.iam.gserviceaccount.com>. Essa é a conta de serviço que você criou na seção Ativar a API Cloud Identity e criar uma conta de serviço.
- Assunto das declarações do JWT. Insira o e-mail do usuário criado na seção Criar um usuário para representação.
- Público-alvo das declarações do JWT. Insira
https://oauth2.googleapis.com/token. - Chave privada RSA. Insira a chave JSON criada quando você criou uma conta de serviço para autenticar a API.
- Versão da API. Opcional. Você pode deixar esse campo em branco.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.