Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Instanz mit Google Cloud -Diensten verknüpfen

Unterstützt in:

Google SecOps SIEM

Eine Google Security Operations-Instanz ist für bestimmte wichtige Funktionen wie die Authentifizierung von Google Cloud -Diensten abhängig.

In diesem Dokument wird beschrieben, wie Sie Ihre Instanz so konfigurieren, dass sie mit diesen Diensten verknüpft wird. Dies gilt sowohl für die Einrichtung einer neuen Bereitstellung als auch für die Migration einer vorhandenen Google SecOps-Instanz.

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

Berechtigungen prüfen Sie müssen die erforderlichen Berechtigungen haben, um die Schritte in diesem Dokument auszuführen. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses finden Sie unter Erforderliche Rollen und Berechtigungen.
Projekteinrichtung auswählen: Sie können entweder ein neues Google Cloud-Projekt für Ihre Google SecOps-Instanz erstellen oder es mit einem vorhandenen Google Cloud -Projekt verknüpfen.

Wenn Sie ein neues Google Cloud -Projekt erstellen und die Chronicle API aktivieren möchten, folgen Sie der Anleitung unter Google Cloud -Projekt erstellen.
SSO-Anbieter für die Google SecOps-Instanz konfigurieren: Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter verwenden:
- Wenn Sie einen externen Identitätsanbieter verwenden, führen Sie die Schritte unter
  
  Konfigurieren Sie einen externen Identitätsanbieter für Google SecOps.
- Wenn Sie Cloud Identity oder Google Workspace verwenden, führen Sie die Schritte unter
  
  Konfigurieren Sie einen Google Cloud Identitätsanbieter für Google SecOps.

Wenn Sie eine Google SecOps-Instanz verknüpfen möchten, die für einen MSSP (Manage Security Services Provider) erstellt wurde, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Die Einrichtung erfordert Unterstützung durch einen Google SecOps-Mitarbeiter.

Nachdem Sie eine Google SecOps-Instanz mit einem Google Cloud -Projekt verknüpft haben, kann sie weiter konfiguriert werden. Sie können jetzt aufgenommene Daten untersuchen und das Projekt auf potenzielle Sicherheitsbedrohungen überwachen.

Neue Google SecOps-Instanz konfigurieren

Wenn Sie Ihre neue Instanz mit einem Projekt verknüpfen, werden Authentifizierungs- und Monitoringfunktionen aktiviert, darunter:

Cloud Identity-Integration für den Zugriff auf eine Reihe von Google Cloud -Diensten, z. B. Authentifizierung, Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs.
IAM- und Workforce Identity-Föderationsunterstützung für die Authentifizierung mit Ihrem bestehenden Drittanbieter-IdP.

So verknüpfen Sie eine Google SecOps-Instanz mit einem Google Cloud -Projekt:

Nachdem Ihre Organisation den Google SecOps-Kundenvertrag unterzeichnet hat, erhält der Onboarding-Experte eine E‑Mail mit einer Onboarding-Einladung und einem Aktivierungslink. Der Aktivierungslink kann nur einmal verwendet werden.

Klicken Sie in der E‑Mail mit der Einladung zum Onboarding auf den Aktivierungslink Go to Google Cloud, um die Seite Link SecOps to a project (SecOps mit einem Projekt verknüpfen) zu öffnen.
Klicken Sie auf Projekt auswählen, um die Seite Ressource auswählen zu öffnen.
Wählen Sie auf der Seite Ressource auswählen ein Google Cloud Projekt aus, mit dem Sie Ihre neue Google SecOps-Instanz verknüpfen möchten. Sie haben zwei Möglichkeiten zur Auswahl:
- Option 1: Neues Google Cloud Projekt erstellen:
  
  Klicken Sie auf Neues Projekt und folgen Sie der Anleitung unter Projekt erstellen Google Cloud .
- Option 2: Vorhandenes Projekt auswählen:
  
  Folgen Sie der Anleitung unter Vorhandenes Projekt auswählen.
Klicken Sie auf Weiter.

Auf der Seite Onboarding werden die vorausgefüllten Onboarding-Informationen angezeigt. Die Bereitstellung kann bis zu 15 Minuten dauern.

Wenn die Bereitstellung erfolgreich abgeschlossen ist, erhalten Sie eine Benachrichtigung. Wenn die Bereitstellung fehlschlägt, wenden Sie sich an den Support.
So prüfen Sie, ob die Bereitstellung korrekt ist:
- Rufen Sie https://console.cloud.google.com/security/chronicle/settings auf, um Informationen zu Instanzen aufzurufen.
- Wenn Sie Informationen aktualisieren möchten, wenden Sie sich an den Support.

Vorhandenes Projekt auswählen

Wählen Sie auf der Seite Ressource auswählen Ihre Organisation aus der Liste aus.

Eine Liste der Google Cloud Projekte und ‑Ordner wird angezeigt.
- Sie gehören zur selben Organisation wie die Google SecOps-Instanz und haben dasselbe Rechnungskonto.
- Wenn neben einem Projekt oder Ordner das Warnsymbol Warnung angezeigt wird, kann das Projekt nicht ausgewählt werden. Bewegen Sie den Mauszeiger auf das Symbol, um den Grund dafür zu sehen, z. B. fehlende Berechtigungen oder Abrechnungsfehler.
Wählen Sie ein Projekt anhand der folgenden Kriterien aus:
- Kriterien für die Verknüpfung einer Instanz mit einem Google Cloud -Projekt:
  - Das Google Cloud -Projekt darf nicht bereits mit einer anderen Google SecOps-Instanz verknüpft sein.
  - Sie haben die erforderlichen IAM-Berechtigungen, um auf das Projekt zuzugreifen und damit zu arbeiten. Weitere Informationen finden Sie unter Berechtigungen zum Hinzufügen eines Google Cloud -Projekts.
  - Bei einem konformitätskontrollierten Mandanten (Instanz) muss sich das Projekt in einem Assured Workloads-Ordner befinden. Weitere Informationen finden Sie unter Workforce Identity-Föderation.
  Ein Compliance-kontrollierter Mandant (Instanz) entspricht einem der folgenden Compliance-Kontrollstandards: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 oder DRZ_ADVANCED.
- So wählen Sie ein Google Cloud Projekt für einen Compliance-konformen-Mandanten (Instanz) aus:
  1. Wählen Sie einen Assured Workloads-Ordner aus, um ihn zu öffnen.
  2. Klicken Sie im Ordner „Assured Workloads“ auf den Namen einesGoogle Cloud -Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
  3. Führen Sie die Konfiguration wie unter IdP konfigurieren beschrieben durch.
- So wählen Sie ein Google Cloud Projekt für einen nicht konformitätskontrollierten Mandanten (Instanz) aus:
  1. Klicken Sie auf den Namen eines gültigen Google Cloud Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
  2. Wählen Sie auf der Seite SecOps mit einem Projekt verknüpfen bei Bedarf ein anderes Projekt aus. Klicken Sie dazu auf das Projekt, um die Seite Ressource auswählen wieder aufzurufen.
Klicken Sie auf Weiter, um Ihre Google SecOps-Instanz mit dem ausgewählten Projekt zu verknüpfen und die Seite Bereitstellung zu öffnen.

Auf der Seite Bereitstellung werden die endgültigen Details der Instanz und des Dienstes angezeigt. Ihre Einwilligung ist erforderlich, bevor die endgültige DDX durchgeführt wird.

Die Seite besteht aus den folgenden Abschnitten, in denen vorausgefüllte, nicht bearbeitbare Felder angezeigt werden. Zu diesem Zeitpunkt können diese Details nur geändert werden, indem Sie sich gegebenenfalls an einen Google-Vertreter wenden:
1. Instanzdetails
  
  Es werden die in Ihrem Vertrag festgelegten Instanzdetails angezeigt, z. B. Unternehmen, Region, Paketstufe und Dauer der Datenaufbewahrung.
  
  Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
2. Dienstkonto überprüfen
  
  Details des zu erstellenden Dienstkontos werden angezeigt.
  
  Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
3. Einmalanmeldung (SSO) konfigurieren
  
  Wählen Sie einen konfigurierten SSO-Anbieter aus. Wählen Sie eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:
  - Google Cloud Identity:
    
    Wählen Sie diese Option aus, wenn Sie Cloud Identity oder Google Workspace verwenden.
  - Workforce Identity-Föderation:
    
    Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie Ihren Mitarbeiteranbieter aus der Liste aus.
    
    Wenn Ihr Identitätsanbieter nicht aufgeführt ist, konfigurieren Sie ihn und wählen Sie ihn dann aus der Liste aus. Weitere Informationen finden Sie unter Identitätsanbieter eines Drittanbieters konfigurieren.
    
    Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.
4. Nutzungsbedingungen
  1. Klicken Sie das Kästchen Ich stimme zu... an, um den Nutzungsbedingungen zuzustimmen.
  2. Klicken Sie auf Einrichtung starten, um Ihre Google SecOps-Instanz gemäß den angezeigten Details bereitzustellen.
Klicken Sie hier, um mit dem nächsten Schritt fortzufahren.

Vorhandene Google SecOps-Instanz migrieren

In den folgenden Abschnitten wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz migrieren, um sie mit einem Google Cloud -Projekt zu verknüpfen und IAM für die Zugriffssteuerung für Funktionen zu verwenden.

Projekt und Personalpoolanbieter verknüpfen

Im Folgenden wird beschrieben, wie Sie eine vorhandene Google SecOps-Instanz mit einem Google Cloud -Projekt verbinden und SSO mit IAM-Diensten für die Workforce Identity-Föderation konfigurieren.

Melden Sie sich in Google SecOps an.
Wählen Sie Einstellungen > SIEM-Einstellungen aus.
Klicken Sie auf Google Cloud Platform.
Geben Sie die Google Cloud Projekt-ID ein, um das Projekt mit der Google SecOps-Instanz zu verknüpfen.
Klicken Sie auf Link generieren.
Klicken Sie auf Mit Google Cloud -Plattform verbinden. Die Google Cloud Console wird geöffnet. Wenn Sie in der Google SecOps-Anwendung eine falsche Google Cloud Projekt-ID eingegeben haben, kehren Sie in Google SecOps zur Seite Google Cloud Platform zurück und geben Sie die richtige Projekt-ID ein.
Gehen Sie in der Google Cloud -Konsole zu Sicherheit > Google SecOps.
Prüfen Sie das Dienstkonto, das für das Google Cloud -Projekt erstellt wurde.
Wählen Sie unter Einmalanmeldung konfigurieren eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:
- Wenn Sie Cloud Identity oder Google Workspace verwenden, wählen Sie Google Cloud Identity aus.
- Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie Workforce Identity-Föderation und dann den gewünschten Workforce-Anbieter aus. Sie richten dies beim Konfigurieren der Mitarbeiteridentitätsföderation ein.
Wenn Sie Workforce Identity Federation (Workforce Identity Federation) ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie ihn in einem privaten oder Inkognitofenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die Einrichtung von SSO erfolgreich.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.
Fahren Sie mit dem nächsten Abschnitt fort: Vorhandene Berechtigungen zu IAM migrieren.

Vorhandene Berechtigungen zu IAM migrieren

Nachdem Sie eine vorhandene Google SecOps-Instanz migriert haben, können Sie automatisch generierte Befehle verwenden, um vorhandene Berechtigungen und Rollen zu IAM zu migrieren. Google SecOps erstellt diese Befehle anhand Ihrer Funktions-RBAC-Zugriffssteuerungs-Konfiguration vor der Migration. Wenn sie ausgeführt werden, werden neue IAM-Richtlinien erstellt, die Ihrer vorhandenen Konfiguration entsprechen, wie sie in Google SecOps auf der Seite SIEM Settings > Users and Groups (SIEM-Einstellungen > Nutzer und Gruppen) definiert ist.

Nachdem Sie diese Befehle ausgeführt haben, können Sie nicht mehr zur vorherigen rollenbasierten Zugriffssteuerung zurückkehren. Wenn ein Problem auftritt, wenden Sie sich an den technischen Support.

Gehen Sie in der Google Cloud -Konsole zum Tab Sicherheit > Google SecOps > Zugriffsverwaltung.
Unter Migrate role bindings (Rollenbindungen migrieren) sehen Sie eine Reihe automatisch generierter Google Cloud CLI-Befehle.
Prüfen Sie, ob mit den Befehlen die erwarteten Berechtigungen erstellt werden. Informationen zu Google SecOps-Rollen und -Berechtigungen finden Sie unter IAM-Berechtigungen für die einzelnen RBAC-Rollen für Funktionen.
Starten Sie eine Cloud Shell-Sitzung.
Kopieren Sie die automatisch generierten Befehle und fügen Sie sie in die gcloud CLI ein, um sie auszuführen.
Klicken Sie nach Ausführung aller Befehle auf Zugriff bestätigen. Wenn der Vorgang erfolgreich ist, wird in Google SecOps unter Access Management die Meldung Access verified (Zugriff bestätigt) angezeigt. Andernfalls wird die Meldung Zugriff verweigert angezeigt. Es kann 1–2 Minuten dauern, bis die Änderungen angezeigt werden.
Um die Migration abzuschließen, kehren Sie zum Tab Sicherheit > Google SecOps > Zugriffsverwaltung zurück und klicken Sie dann auf IAM aktivieren.
Prüfen Sie, ob Sie als Nutzer mit der Rolle „Chronicle API Admin“ auf Google SecOps zugreifen können.
1. Melden Sie sich in Google SecOps als Nutzer mit der vordefinierten Rolle „Chronicle API Admin“ an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
2. Öffnen Sie die Seite SIEM-Einstellungen > Nutzer und Gruppen. Sie sollten die folgende Meldung sehen: Wenn Sie Nutzer und Gruppen verwalten möchten, rufen Sie in der Google Cloud -Konsole Identity and Access Management (IAM) auf. Weitere Informationen zum Verwalten von Nutzern und Gruppen
Melden Sie sich in Google SecOps als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
Prüfen Sie, ob die in der Anwendung verfügbaren Funktionen mit den in IAM definierten Berechtigungen übereinstimmen.

SSO-Konfiguration ändern

In den folgenden Abschnitten wird beschrieben, wie Sie Identitätsanbieter ändern:

Drittanbieter-Identitätsanbieter ändern
Von einem Drittanbieter-Identitätsanbieter zu Cloud Identity migrieren

Externen Identitätsanbieter ändern

Richten Sie den neuen Drittanbieter-Identitätsanbieter und Workforce Identity-Pool ein.
Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IdP-Gruppenzuordnung so, dass auf Gruppen im neuen Identitätsanbieter verwiesen wird.

Wichtig :Wenn Sie diese Konfiguration nicht ändern, bevor Sie den Identitätsanbieter in den folgenden Schritten ändern, erhalten Sie beim Zugriff auf Google SecOps einen HTTP-Fehler 403. Wenden Sie sich in diesem Fall an den Support.

SSO-Einstellungen aktualisieren

So ändern Sie die SSO-Konfiguration für Google SecOps:

Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das an Google SecOps gebunden ist.
Gehen Sie zu Sicherheit > Google SecOps.
Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On. Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.
Über das Menü Single Sign-On (Einmalanmeldung) können Sie den SSO-Anbieter ändern.
Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates bzw. Inkognito-Fenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die Einrichtung von SSO erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.
Kehren Sie zur Google Cloud -Konsole zurück, klicken Sie auf die Seite Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung.
Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.
Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von einem externen Identitätsanbieter auf Google Cloud Identity umzustellen:

Konfigurieren Sie entweder Cloud Identity oder Google Workspace als Identitätsanbieter.
Weisen Sie Nutzern und Gruppen im Google SecOps-gebundenen Projekt die vordefinierten Chronicle IAM-Rollen und benutzerdefinierten Rollen zu.
Weisen Sie den relevanten Nutzern oder Gruppen die Rolle Chronicle SOAR Admin zu.
Fügen Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung den Chronicle SOAR-Administrator hinzu. Weitere Informationen finden Sie unter IdP-Gruppenzuordnung.

Wichtig :Sie müssen diese Konfiguration aktualisieren, bevor Sie den IdP in den folgenden Schritten ändern. Wenn Sie diesen Schritt überspringen, führt dies zu einem HTTP-Fehler 403 beim Zugriff auf Google SecOps. Wenn dieser Fehler auftritt, wenden Sie sich an den Support.
Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das an Google SecOps gebunden ist.
Gehen Sie zu Sicherheit > Chronicle SecOps.
Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On. Auf dieser Seite werden die Identitätsanbieter angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.
Klicken Sie das Kästchen Google Cloud Identity an.
Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates bzw. Inkognito-Fenster.
- Wenn ein Anmeldebildschirm angezeigt wird, war die Einrichtung von SSO erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
- Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters.
Kehren Sie zur Google Cloud -Konsole zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Übersicht > Einmalanmeldung.
Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.
Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten