Vincular una instancia de Google SecOps a Google Cloud servicios

Disponible en:

Una instancia de Google Security Operations depende de Google Cloud servicios para determinadas funciones clave, como la autenticación.

En este documento se explica cómo configurar tu instancia para que se vincule a estos servicios, tanto si vas a configurar una implementación nueva como si vas a migrar una instancia de Google SecOps.

Antes de empezar

Antes de configurar una instancia de Google SecOps con Google Cloud servicios, debes hacer lo siguiente:

  • Verifica los permisos. Asegúrate de que tienes los permisos necesarios para completar los pasos de este documento. Para obtener información sobre los permisos necesarios para cada fase del proceso de incorporación, consulta Roles y permisos necesarios.

  • Elige la configuración del proyecto: puedes crear un proyecto Google Cloud para tu instancia de Google SecOps o vincularla a un proyecto Google Cloud .

    Para crear un proyecto Google Cloud y habilitar la API Chronicle, sigue los pasos que se indican en Crear un proyecto Google Cloud .

  • Configura un proveedor de SSO para la instancia de Google SecOps: puedes usar Cloud Identity, Google Workspace o un proveedor de identidades (IdP) de terceros, como se indica a continuación:

Para vincular una instancia de Google SecOps creada para un proveedor de servicios de seguridad gestionados (MSSP), ponte en contacto con tu representante de Google SecOps. La configuración requiere la asistencia de un representante de SecOps de Google.

Una vez que hayas vinculado una instancia de Google SecOps a un proyecto de Google Cloud , podrás configurarla más a fondo. Ahora puede examinar los datos ingeridos y monitorizar el proyecto para detectar posibles amenazas de seguridad.

Configurar una instancia de Google SecOps

Al vincular tu nueva instancia a un proyecto, se habilitan las funciones de autenticación y monitorización, entre las que se incluyen las siguientes:

  • Integración de Cloud Identity para acceder a una serie de Google Cloud servicios, como autenticación, Gestión de Identidades y Accesos, Cloud Monitoring y Registros de auditoría de Cloud.

  • Compatibilidad con IAM y la federación de identidades de Workforce para autenticarte con tu proveedor de identidades externo.

Para vincular una instancia de Google SecOps a un Google Cloud proyecto, sigue estos pasos:

  1. Una vez que tu organización haya firmado el contrato de cliente de SecOps de Google, el experto en la materia de la incorporación recibirá un correo de invitación con un enlace de activación. El enlace de activación solo se puede usar una vez.

    En el correo de invitación para completar la configuración inicial, haz clic en el enlace de activación Ir a Google Cloud para abrir la página Vincular SecOps a un proyecto.

  2. Haga clic en Seleccionar un proyecto para abrir la página Seleccionar un recurso.

  3. En la página Seleccionar un recurso, selecciona un Google Cloud proyecto para vincular tu nueva instancia de Google SecOps. Tienes dos opciones:

    • Opción 1: crear un proyecto Google Cloud

      Haz clic en Nuevo proyecto y sigue los pasos que se describen en el artículo sobre cómo crear un proyecto Google Cloud .

    • Opción 2: Seleccionar un proyecto disponible de la lista:

      Sigue los pasos que se indican en Seleccionar un proyecto.

  4. Después de seleccionar un proyecto, el sistema habilita el botón Añadir contactos y, en la sección Añadir contactos esenciales, se muestra la tabla Contactos esenciales. En esta tabla se muestran las categorías de las notificaciones y la dirección de correo del contacto asignado a cada una.

    Asigna una persona de contacto a al menos las cuatro categorías de notificación obligatorias siguientes: técnica, seguridad, legal y facturación.

    Asigna un contacto a una o varias categorías de notificaciones de la siguiente manera:

    1. Para abrir la ventana Editar contacto, haz clic en Añadir contacto o en editar Editar en una notificación de categoría con un contacto.

    2. Introduce la dirección de correo electrónico de la persona de contacto y selecciona una o varias categorías de notificación.

    3. Haz clic en Guardar.

  5. Haz clic en Siguiente.

    El sistema comprueba si la API de Chronicle está habilitada. Si se habilita, la página Incorporación muestra la información de incorporación rellenada automáticamente y ejecuta el proceso de implementación. Este proceso puede tardar hasta 15 minutos.

    Cuando la implementación se complete correctamente, recibirás una notificación. Si la implementación falla, ponte en contacto con el equipo de Asistencia de SecOps de Google.

  6. Verifica que la implementación sea correcta de la siguiente manera:

    • Para ver la información de la instancia, ve a https://console.cloud.google.com/security/chronicle/settings.

    • Para actualizar cualquier información, ponte en contacto con el equipo de Asistencia de Google SecOps.

Seleccionar proyecto

  1. En la página Seleccionar un recurso, selecciona tu organización de la lista.

    En la página se muestra una lista de los Google Cloud proyectos y carpetas.

    • Pertenecen a la misma organización que la instancia de Google SecOps y tienen la misma cuenta de facturación.

    • Si un proyecto o una carpeta tiene el icono de advertencia Warning junto a él, no podrás seleccionarlo. Mantén el puntero sobre el icono para ver el motivo, por ejemplo, si faltan permisos o si hay una discrepancia en la facturación.

  2. Selecciona un proyecto en función de los siguientes criterios:

    • Criterios para vincular una instancia a un proyecto de Google Cloud :

      • El proyecto Google Cloud no debe estar vinculado a otra instancia de Google SecOps.

      • Tienes los permisos de gestión de identidades y accesos necesarios para acceder al proyecto y trabajar con él. Consulta la sección Permisos para añadir un proyecto de Google Cloud .

      • En un arrendatario (instancia) controlado por cumplimiento, el proyecto debe estar en una carpeta de Assured Workloads. Consulta más información en Federación de Identidades de Workforce.

        Un arrendatario (instancia) controlado por cumplimiento se ajusta a uno de los siguientes estándares de control de cumplimiento: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.

    • Para seleccionar un Google Cloud proyecto de un tenant (instancia) controlado por cumplimiento, sigue estos pasos:

      1. Selecciona una carpeta de Assured Workloads para abrirla.
      2. En la carpeta de Assured Workloads, haz clic en el nombre de unGoogle Cloud proyecto para abrir la página Vincular SecOps a un proyecto.
      3. Completa la configuración que se describe en el artículo Configurar el proveedor de identidades.

    • Para seleccionar un Google Cloud proyecto para un inquilino (instancia) controlado por incumplimiento, sigue estos pasos:

      1. Haga clic en el nombre de un proyecto válido Google Cloud para abrir la página Vincular SecOps a un proyecto.

      2. En la página Vincular SecOps a un proyecto, selecciona otro proyecto si es necesario. Para ello, haz clic en el proyecto para que se muestre de nuevo la página Seleccionar un recurso.

  3. Haz clic en Siguiente para vincular tu instancia de Google SecOps al proyecto seleccionado y abrir la página Implementación.

    En la página Implementación se muestran los detalles finales de tu instancia y tu servicio, y se requiere tu consentimiento antes de realizar el ddx final. La página consta de secciones que muestran campos rellenados automáticamente que no se pueden editar. Solo un representante de Google puede cambiar estos detalles.

    Consulta los detalles de cada una de las siguientes secciones. Haz clic en Siguiente para ir a la siguiente sección:

    1. Detalles de la instancia

      En la página se muestran los detalles de la instancia definidos en el contrato, como la empresa, la región, el nivel del paquete y la duración de la conservación de datos.

      Haz clic en Siguiente para ver la siguiente sección.

    2. Revisar la cuenta de servicio

      En la página se muestran los detalles de la cuenta de servicio que se va a crear.

      Haz clic en Siguiente para ver la siguiente sección.

    3. Configurar el inicio de sesión único (SSO)

      Elige un proveedor de SSO configurado. Selecciona una de las siguientes opciones en función del proveedor de identidad que utilices para gestionar el acceso de usuarios y grupos a Google SecOps:

      • Google Cloud Identity:

        Selecciona esta opción si usas Cloud Identity o Google Workspace.

      • Federación de identidades para los trabajadores:

        Si usas un proveedor de identidades externo, selecciona tu proveedor de la plantilla en la lista.

        Si no ves tu proveedor de identidades en la lista, configúralo y, a continuación, selecciónalo. Para obtener más información, consulta Configurar un proveedor de identidades de terceros.

        Haz clic en Siguiente para ver la siguiente sección.

    4. Términos del servicio

      1. Marca la casilla Acepto... para aceptar los términos.
      2. Haz clic en Iniciar configuración para implementar tu instancia de Google SecOps según los detalles que se muestran.

  4. Haz clic aquí para ir al paso Siguiente.

Migrar una instancia de Google SecOps

En las siguientes secciones se explica cómo migrar una instancia de Google SecOps para vincularla a un proyecto y usar Gestión de identidades y accesos para controlar el acceso a las funciones. Google Cloud

Vincular un proyecto y un proveedor de mano de obra

En el siguiente procedimiento se describe cómo conectar una instancia de Google SecOps con un proyecto y configurar el inicio de sesión único (SSO) mediante los servicios de federación de identidades de la plantilla de IAM. Google Cloud

  1. Inicia sesión en Google SecOps.

  2. Selecciona Configuración > Configuración de SIEM.

  3. Haz clic en Google Cloud Platform.

  4. Introduce el Google Cloud ID de proyecto para vincular el proyecto a la instancia de Google SecOps.

  5. Haz clic en Generar enlace.

  6. Haz clic en Conectar con Google Cloud Plataforma. Se abre la Google Cloud consola. Si introduces un ID de proyecto incorrecto Google Cloud en la aplicación Google SecOps, vuelve a la página Google Cloud Platform en Google SecOps e introduce el ID de proyecto correcto.

  7. En la Google Cloud consola, ve a Seguridad > Google SecOps.

  8. Verifica la cuenta de servicio que ha creado el sistema para el proyecto Google Cloud .

  9. En Configurar el inicio de sesión único, selecciona una de las siguientes opciones en función del proveedor de identidades que utilices para gestionar el acceso de usuarios y grupos a Google SecOps:

    • Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.

    • Si usas un proveedor de identidades externo, selecciona Workforce Identity Federation (Federación de identidades de la plantilla) y, a continuación, el proveedor que quieras usar. Se configura al configurar la federación de identidades para los trabajadores.

  10. Si seleccionas Federación de identidades de los empleados, haz clic con el botón derecho en el enlace Probar configuración de SSO y, a continuación, ábrelo en una ventana privada o de incógnito.

  11. Continúa con la siguiente sección: Migrar permisos a gestión de identidades y accesos.

Migrar permisos a gestión de identidades y accesos

Después de migrar una instancia de Google SecOps, puedes usar comandos generados automáticamente para migrar los permisos y los roles a IAM. Google SecOps crea estos comandos con tu configuración de control de acceso RBAC de funciones anterior a la migración. Cuando se ejecutan, crean políticas de IAM equivalentes a tu configuración, tal como se define en Google SecOps en la página SIEM Settings (Ajustes de SIEM) > Users and Groups (Usuarios y grupos).

Después de ejecutar estos comandos, no podrás volver a la función de control de acceso RBAC de funciones anterior. Si tienes algún problema, ponte en contacto con el equipo de Asistencia Técnica de SecOps de Google.

  1. En la consola, ve a Seguridad > Google SecOps > pestaña Gestión de acceso. Google Cloud
  2. En Migrate role bindings (Migrar enlaces de roles), verás un conjunto de comandos de la CLI de Google Cloud generados automáticamente.
  3. Revisa y verifica que los comandos creen los permisos esperados. Para obtener información sobre los roles y permisos de Google SecOps, consulta Cómo se asignan los permisos de gestión de identidades y accesos a cada rol de control de acceso basado en roles de las funciones.
  4. Inicia una sesión de Cloud Shell.
  5. Copia los comandos generados automáticamente, pégalos y ejecútalos en la CLI de gcloud.
  6. Después de ejecutar todos los comandos, haz clic en Verificar acceso. Si se verifica correctamente, verás el mensaje Acceso verificado en la sección Gestión de acceso de Google SecOps. De lo contrario, verás el mensaje Acceso denegado. Puede tardar entre 1 y 2 minutos en aparecer.
  7. Para completar la migración, vuelve a la pestaña Seguridad > Google SecOps > Gestión de acceso y, a continuación, haz clic en Habilitar IAM.
  8. Verifica que puedes acceder a Google SecOps como usuario con el rol Administrador de API de Chronicle.
    1. Inicia sesión en Google SecOps como usuario con el rol predefinido Administrador de APIs de Chronicle. Para obtener más información, consulta Iniciar sesión en Google SecOps.
    2. Abre la página Configuración de SIEM > Usuarios y grupos. Debería ver el siguiente mensaje: Para gestionar usuarios y grupos, vaya a Gestión de Identidades y Accesos (IAM) en la consola de Google Cloud . Consulta más información sobre cómo gestionar usuarios y grupos.
  9. Inicia sesión en Google SecOps como usuario con otro rol. Para obtener más información, consulta el artículo sobre cómo iniciar sesión en Google SecOps.
  10. Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en Gestión de identidades y accesos.

Cambiar la configuración de SSO

En las siguientes secciones se describe cómo cambiar de proveedor de identidades:

Cambiar el proveedor de identidades externo

  1. Configura el nuevo proveedor de identidades externo y el grupo de identidades de empleados.

  2. En Google SecOps, vaya a Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP. Cambie la asignación de grupos de IdP para hacer referencia a los grupos del nuevo proveedor de identidades.

Actualizar la configuración de SSO

Sigue estos pasos para cambiar la configuración del SSO de Google SecOps:

  1. Abre la consola Google Cloud y, a continuación, selecciona el proyecto Google Cloud que esté vinculado a Google SecOps.

  2. Ve a Seguridad > Google SecOps.

  3. En la página Resumen, haz clic en la pestaña Inicio de sesión único. En esta página se muestran los proveedores de identidades que configuraste en Configurar un proveedor de identidades externo para Google SecOps.

  4. Usa el menú Inicio de sesión único para cambiar de proveedor de SSO.

  5. Haz clic con el botón derecho en el enlace Probar configuración del SSO y, a continuación, abre una ventana privada o de incógnito.

    • Si ves una pantalla de inicio de sesión, significa que la configuración del SSO se ha completado correctamente. Continúa con el siguiente paso.
    • Si no ves una pantalla de inicio de sesión, comprueba la configuración del proveedor de identidades externo. Consulta Configurar un proveedor de identidades externo para Google SecOps.

  6. Vuelve a la Google Cloud consola, haz clic en la página Seguridad > Google SecOps > Información general y, a continuación, en la pestaña Inicio de sesión único.

  7. En la parte inferior de la página, haz clic en Guardar para actualizar el nuevo proveedor.

  8. Verifica que puedes iniciar sesión en Google SecOps.

Migrar de un proveedor de identidades de terceros a Cloud Identity

Sigue estos pasos para cambiar la configuración del inicio de sesión único (SSO) de un proveedor de identidades externo a Google Cloud Identity:

  1. Asegúrate de configurar Cloud Identity o Google Workspace como proveedor de identidades.
  2. Concede los roles predefinidos de gestión de identidades y accesos de Chronicle y los roles personalizados a los usuarios y grupos del proyecto de Google SecOps.
  3. Concede el rol Administrador de Chronicle SOAR a los usuarios o grupos correspondientes.

  4. En Google SecOps, vaya a Settings (Configuración) > SOAR settings (Configuración de SOAR) > Advanced (Avanzado) > IDP group mapping (Asignación de grupos de IDP). Añada el administrador de Chronicle SOAR. Para obtener más información, consulta Asignación de grupos de IdP.

  5. Abre la consola Google Cloud y, a continuación, selecciona el proyecto Google Cloud que esté vinculado a Google SecOps.

  6. Ve a Seguridad > Chronicle SecOps.

  7. En la página Resumen, haz clic en la pestaña Inicio de sesión único. En esta página se muestran los proveedores de identidades que configuraste en Configurar un proveedor de identidades externo para Google SecOps.

  8. Marca la casilla Google Cloud Identity.

  9. Haz clic con el botón derecho en el enlace Probar configuración del SSO y, a continuación, abre una ventana privada o de incógnito.

    • Si ves una pantalla de inicio de sesión, significa que la configuración del SSO se ha completado correctamente. Continúa con el siguiente paso.
    • Si no ves una pantalla de inicio de sesión, comprueba la configuración del proveedor de identidades.

  10. Vuelve a la consola de Google Cloud y haz clic en Seguridad > Chronicle SecOps > página Información general > pestaña Inicio de sesión único.

  11. En la parte inferior de la página, haz clic en Guardar para actualizar el nuevo proveedor.

  12. Verifica que puedes iniciar sesión en Google SecOps.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.