Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Instanz mit Google Cloud -Diensten verknüpfen

Unterstützt in:

Google SecOps SIEM

Eine Google Security Operations-Instanz benötigt Google Cloud Dienste für bestimmte wichtige Funktionen, z. B. die Authentifizierung.

In diesem Dokument wird beschrieben, wie Sie Ihre Instanz so konfigurieren, dass eine Verknüpfung mit diesen Diensten hergestellt wird. Dabei spielt es keine Rolle, ob Sie eine neue Bereitstellung einrichten oder eine vorhandene Google SecOps-Instanz migrieren.

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

Prüfen Sie die Berechtigungen. Sie benötigen die erforderlichen Berechtigungen, um die Schritte in diesem Dokument auszuführen. Informationen zu den erforderlichen Berechtigungen für jede Phase des Onboarding-Prozesses finden Sie unter Erforderliche Rollen und Berechtigungen.
Projekteinrichtung auswählen: Sie können entweder ein neues Google Cloud-Projekt für Ihre Google SecOps-Instanz erstellen oder eine Verknüpfung mit einem vorhandenen Google Cloud -Projekt herstellen.

Wenn Sie ein neues Google Cloud -Projekt erstellen und die Chronicle API aktivieren möchten, folgen Sie der Anleitung unter Google Cloud Projekt erstellen.
SSO-Anbieter für die Google SecOps-Instanz konfigurieren: Sie können Cloud Identity, Google Workspace oder einen Identitätsanbieter (IdP) eines Drittanbieters verwenden. Gehen Sie dazu so vor:
- Wenn Sie einen externen Identitätsanbieter verwenden, führen Sie die Schritte unter
  
  Konfigurieren Sie einen externen Identitätsanbieter für Google SecOps.
- Wenn Sie Cloud Identity oder Google Workspace verwenden, führen Sie die Schritte unter
  
  Konfigurieren Sie einen Google Cloud Identitätsanbieter für Google SecOps.

Wenn Sie eine Google SecOps-Instanz verknüpfen möchten, die für einen Managed Security Services Provider (MSSP) erstellt wurde, wenden Sie sich an Ihren Google SecOps-Kundenbetreuer. Für die Einrichtung ist die Unterstützung eines Google SecOps-Mitarbeiters erforderlich.

Nachdem Sie eine Google SecOps-Instanz mit einem Google Cloud -Projekt verknüpft haben, kann die Google SecOps-Instanz jetzt weiter konfiguriert werden. Sie können jetzt aufgenommene Daten prüfen und das Projekt auf potenzielle Sicherheitsbedrohungen überwachen.

Neue Google SecOps-Instanz konfigurieren

Wenn Sie Ihre neue Instanz mit einem Projekt verknüpfen, werden Authentifizierungs- und Monitoring-Funktionen aktiviert, darunter:

Cloud Identity-Integration für den Zugriff auf eine Reihe von Google Cloud Diensten, z. B. Authentifizierung, Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs.
IAM- und Workforce Identity-Föderationsunterstützung für die Authentifizierung über Ihren bestehenden externen Identitätsanbieter.

So verknüpfen Sie eine Google SecOps-Instanz mit einem Google Cloud Projekt:

Nachdem Ihre Organisation den Google SecOps-Kundenvertrag unterzeichnet hat, erhält der SME für das Onboarding eine E-Mail-Einladung mit einem Aktivierungslink. Der Aktivierungslink kann nur einmal verwendet werden.

Klicken Sie in der E-Mail mit der Einladung zum Onboarding auf den Aktivierungslink Google Cloud, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
Klicken Sie auf Projekt auswählen, um die Seite Ressource auswählen zu öffnen.
Wählen Sie auf der Seite Ressource auswählen ein Google Cloud Projekt aus, um Ihre neue Google SecOps-Instanz zu verknüpfen. Sie haben zwei Möglichkeiten zur Auswahl:
- Option 1: Neues Projekt erstellen Google Cloud :
  
  Klicken Sie auf Neues Projekt und folgen Sie der Anleitung unter Projekt erstellen Google Cloud .
- Möglichkeit 2: Wählen Sie ein vorhandenes Projekt aus der Liste aus:
  
  Folgen Sie der Anleitung unter Vorhandenes Projekt auswählen.
Klicken Sie auf Weiter.

Auf der Seite Onboarding werden die vorausgefüllten Informationen zum Onboarding angezeigt. Die Bereitstellung kann bis zu 15 Minuten dauern.

Sobald die Bereitstellung abgeschlossen ist, erhalten Sie eine Benachrichtigung. Wenn die Bereitstellung fehlschlägt, wenden Sie sich an den Support.
So prüfen Sie, ob die Bereitstellung korrekt ist:
- Informationen zu Instanzen finden Sie unter https://console.cloud.google.com/security/chronicle/settings.
- Wenn Sie Informationen aktualisieren möchten, wenden Sie sich an den Support.

Vorhandenes Projekt auswählen

Wählen Sie auf der Seite Ressource auswählen Ihre Organisation aus der Liste aus.

Eine Liste der Google Cloud Projekte und Ordner wird angezeigt.
- Sie gehören zurselben Organisation wie die Google SecOps-Instanz und haben dasselbe Rechnungskonto.
- Wenn neben einem Projekt oder Ordner das Warnsymbol Warnung angezeigt wird, kann das Projekt nicht ausgewählt werden. Bewegen Sie den Mauszeiger auf das Symbol, um den Grund zu sehen, z. B. fehlende Berechtigungen oder Abweichungen bei der Abrechnung.
Wählen Sie ein Projekt anhand der folgenden Kriterien aus:
- Kriterien für die Verknüpfung einer Instanz mit einem Google Cloud Projekt:
  - Das Google Cloud Projekt darf nicht bereits mit einer anderen Google SecOps-Instanz verknüpft sein.
  - Sie haben die erforderlichen IAM-Berechtigungen, um auf das Projekt zuzugreifen und es zu verwenden. Weitere Informationen finden Sie unter Berechtigungen zum Hinzufügen eines Projekts Google Cloud .
  - Bei einem Compliance-kontrollierten Mandanten (Instanz) muss sich das Projekt in einem Assured Workloads-Ordner befinden. Weitere Informationen finden Sie unter Workforce Identity-Föderation.
  Ein compliance-kontrollierter Tenant (Instanz) entspricht einem der folgenden Standards für Compliance-Kontrollen: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 oder DRZ_ADVANCED.
- So wählen Sie ein Google Cloud Projekt für einen Compliance-kontrollierten Mandanten (Instanz) aus:
  1. Wählen Sie einen Assured Workloads-Ordner aus, um ihn zu öffnen.
  2. Klicken Sie im Ordner „Assured Workloads“ auf den Namen einesGoogle Cloud -Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
  3. Führen Sie die unter IdP konfigurieren beschriebene Konfiguration aus.
- So wählen Sie ein Google Cloud Projekt für einen nicht durch Compliance gesteuerten Mandanten (Instanz) aus:
  1. Klicken Sie auf den Namen eines gültigen Google Cloud Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
  2. Wählen Sie auf der Seite SecOps mit einem Projekt verknüpfen bei Bedarf ein anderes Projekt aus. Klicken Sie dazu auf das Projekt, um die Seite Ressource auswählen noch einmal aufzurufen.
Klicken Sie auf Weiter, um Ihre Google SecOps-Instanz mit dem ausgewählten Projekt zu verknüpfen und die Seite Bereitstellung zu öffnen.

Auf der Seite Bereitstellung werden die endgültigen Details der Instanz und des Dienstes angezeigt. Außerdem ist Ihre Einwilligung erforderlich, bevor die endgültige DDX-Datei ausgeführt wird.

Die Seite besteht aus den folgenden Abschnitten mit vorausgefüllten, nicht bearbeitbaren Feldern. Derzeit können diese Details nur geändert werden, wenn Sie sich an einen Google-Kundenservicemitarbeiter wenden:
1. Instanzdetails
  
  Die in Ihrem Vertrag festgelegten Instanzdetails werden angezeigt, z. B. Unternehmen, Region, Paketstufe und Dauer der Datenaufbewahrung.
  
  Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
2. Dienstkonto überprüfen
  
  Details zum zu erstellenden Dienstkonto werden angezeigt.
  
  Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
3. Einmalanmeldung (SSO) konfigurieren
  
  Wählen Sie einen konfigurierten SSO-Anbieter aus. Wählen Sie eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:
  - Google Cloud Identity:
    
    Wählen Sie diese Option aus, wenn Sie Cloud Identity oder Google Workspace verwenden.
  - Workforce Identity-Föderation:
    
    Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie in der Liste Ihren Mitarbeiteranbieter aus.
    
    Wenn Ihr Identitätsanbieter nicht aufgeführt ist, konfigurieren Sie ihn und wählen Sie ihn dann aus der Liste aus. Weitere Informationen finden Sie unter Identitätsanbieter von Drittanbietern konfigurieren.
    
    Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
4. Nutzungsbedingungen
  1. Klicken Sie das Kästchen I agree to... (Ich stimme zu) an, um den Nutzungsbedingungen zuzustimmen.
  2. Klicken Sie auf Einrichtung starten, um die Google SecOps-Instanz gemäß den angezeigten Details bereitzustellen.
Klicken Sie hier, um mit dem nächsten Schritt fortzufahren.

Vorhandene Google SecOps-Instanz migrieren

In den folgenden Abschnitten wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz migrieren, um sie mit einem Google Cloud -Projekt zu verknüpfen und IAM für die Zugriffssteuerung von Funktionen zu verwenden.

Verknüpfung mit einem Projekt und einem Personaldienstleister

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz mit einem Google Cloud -Projekt verbinden und SSO mithilfe von IAM-Diensten zur Identitätsfederation für Mitarbeiter konfigurieren.

Melden Sie sich in Google SecOps an.
Wählen Sie Einstellungen > SIEM-Einstellungen aus.
Klicken Sie auf Google Cloud Platform.
Geben Sie die Google Cloud Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.
Klicken Sie auf Link generieren.
Klicken Sie auf Mit Google Cloud Platform verbinden. Die Google Cloud Console wird geöffnet. Wenn Sie in der Google SecOps-Anwendung eine falsche Google Cloud Projekt-ID eingegeben haben, kehren Sie in Google SecOps zur Seite Google Cloud zurück und geben Sie die richtige Projekt-ID ein.
Gehen Sie in der Google Cloud -Konsole zu Sicherheit > Google SecOps.
Prüfen Sie das Dienstkonto, das für das Projekt Google Cloud erstellt wurde.
Wählen Sie unter Einmalanmeldung konfigurieren eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:
- Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity aus.
- Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie Workforce Identity-Föderation und dann den gewünschten Workforce-Anbieter aus. Sie richten dies beim Konfigurieren der Workforce Identity-Föderation ein.
Wenn Sie Workforce Identity Federation ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Link Test SSO setup (Einrichtung der SSO-Testumgebung) und öffnen Sie ihn in einem privaten oder Inkognitofenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.
Fahren Sie mit dem nächsten Abschnitt fort: Vorhandene Berechtigungen zu IAM migrieren.

Vorhandene Berechtigungen zu IAM migrieren

Nachdem Sie eine vorhandene Google SecOps-Instanz migriert haben, können Sie vorhandene Berechtigungen und Rollen mithilfe automatisch generierter Befehle zu IAM migrieren. Google SecOps erstellt diese Befehle anhand der RBAC-Konfiguration für die Funktion vor der Migration. Beim Ausführen werden neue IAM-Richtlinien erstellt, die Ihrer vorhandenen Konfiguration entsprechen, wie in Google SecOps auf der Seite SIEM-Einstellungen > Nutzer und Gruppen definiert.

Nachdem Sie diese Befehle ausgeführt haben, können Sie nicht mehr zur vorherigen Zugriffssteuerungsfunktion Feature RBAC zurückkehren. Wenn ein Problem auftritt, wenden Sie sich an den technischen Support.

Gehen Sie in der Google Cloud -Konsole zu Sicherheit > Google SecOps > Tab Zugriffsverwaltung.
Unter Rollenbindungen migrieren sehen Sie eine Reihe automatisch generierter Google Cloud CLI-Befehle.
Prüfen Sie, ob die Befehle die erwarteten Berechtigungen erstellen. Informationen zu Google SecOps-Rollen und ‑Berechtigungen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen RBAC-Rollen für Funktionen.
Starten Sie eine Cloud Shell-Sitzung.
Kopieren Sie die automatisch generierten Befehle, fügen Sie sie in die gcloud CLI ein und führen Sie sie aus.
Nachdem Sie alle Befehle ausgeführt haben, klicken Sie auf Zugriff prüfen. Wenn der Vorgang erfolgreich war, wird in der Zugriffsverwaltung von Google SecOps die Meldung Zugriff bestätigt angezeigt. Andernfalls wird die Meldung Zugriff verweigert angezeigt. Das kann ein bis zwei Minuten dauern.
Um die Migration abzuschließen, kehren Sie zum Tab Sicherheit > Google SecOps > Zugriffsverwaltung zurück und klicken Sie auf IAM aktivieren.
Prüfen Sie, ob Sie als Nutzer mit der Rolle „Chronicle API Admin“ auf Google SecOps zugreifen können.
1. Melden Sie sich in Google SecOps als Nutzer mit der vordefinierten Rolle „Chronicle API Admin“ an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
2. Öffnen Sie die Seite Anwendungsmenü > Einstellungen > Nutzer und Gruppen. Sie sollten die Meldung Zum Verwalten von Nutzern und Gruppen rufen Sie in der Konsole Identity Access Management (IAM) auf Google Cloud sehen. Weitere Informationen zum Verwalten von Nutzern und Gruppen.
Melden Sie sich in Google SecOps als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
Prüfen Sie, ob die verfügbaren Funktionen in der Anwendung mit den in IAM definierten Berechtigungen übereinstimmen.

SSO-Konfiguration ändern

In den folgenden Abschnitten wird beschrieben, wie Sie Identitätsanbieter ändern:

Drittanbieter-Identitätsanbieter ändern
Von einem Identitätsanbieter von Drittanbietern zu Cloud Identity migrieren

Externen Identitätsanbieter ändern

Richten Sie den neuen Drittanbieter-Identitätsanbieter und Workforce Identity-Pool ein.
Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IDP-Gruppenzuordnung in Gruppen im neuen Identitätsanbieter.

Wichtig :Wenn Sie diese Konfiguration nicht ändern, bevor Sie in den folgenden Schritten den Identitätsanbieter ändern, erhalten Sie beim Zugriff auf Google SecOps einen HTTP-403-Fehler. Wenden Sie sich in diesem Fall an den Support.

SSO-Einstellungen aktualisieren

So ändern Sie die SSO-Konfiguration für Google SecOps:

Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das mit Google SecOps verknüpft ist.
Gehen Sie zu Sicherheit > Google SecOps.
Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On (Einmalanmeldung). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.
Über das Menü Einmalanmeldung können Sie den SSO-Anbieter ändern.
Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.
Kehren Sie zur Google Cloud -Konsole zurück, klicken Sie auf die Seite Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung.
Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.
Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von einem externen Identitätsanbieter zu Google Cloud Identity zu ändern:

Konfigurieren Sie entweder Cloud Identity oder Google Workspace als Identitätsanbieter.
Weisen Sie Nutzern und Gruppen im Google SecOps-gebundenen Projekt die vordefinierten Chronicle IAM-Rollen und benutzerdefinierten Rollen zu.
Weisen Sie den entsprechenden Nutzern oder Gruppen die Rolle Chronicle SOAR Admin zu.
Fügen Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung den Chronicle SOAR Admin hinzu. Weitere Informationen finden Sie unter IdP-Gruppenzuordnung.

Wichtig :Sie müssen diese Konfiguration aktualisieren, bevor Sie in den folgenden Schritten den Identitätsanbieter ändern. Wenn Sie diesen Schritt überspringen, führt dies beim Zugriff auf Google SecOps zu einem HTTP-Fehler 403. Wenden Sie sich in diesem Fall an den Support.
Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das mit Google SecOps verknüpft ist.
Gehen Sie zu Sicherheit > Chronicle SecOps.
Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On (Einmalanmeldung). Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.
Klicken Sie das Kästchen Google Cloud Identity an.
Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates oder Inkognitofenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die SSO-Einrichtung erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters.
Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Übersicht > Tab Einmalanmeldung.
Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.
Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten