Se usó la API de Cloud Translation para traducir esta página.

Vincula una instancia de Google SecOps a los servicios de Google Cloud

Compatible con:

Google SecOps SIEM

Una instancia de Google Security Operations depende de los Google Cloud servicios para ciertas capacidades clave, como la autenticación.

En este documento, se explica cómo configurar tu instancia para que se vincule a estos servicios, ya sea que estés configurando una implementación nueva o migrando una instancia existente de Google SecOps.

Antes de comenzar

Antes de configurar una instancia de Google SecOps con servicios de Google Cloud, debes hacer lo siguiente:

Verifica los permisos. Asegúrate de tener los permisos necesarios para completar los pasos de este documento. Para obtener información sobre los permisos necesarios para cada fase del proceso de incorporación, consulta Roles y permisos necesarios.
Elige la configuración de tu proyecto: Puedes crear un proyecto Google Cloudnuevo para tu instancia de Google SecOps o vincularlo a un proyecto Google Cloud existente.

Para crear un proyecto Google Cloud nuevo y habilitar la API de Chronicle, sigue los pasos que se indican en Crea un proyecto Google Cloud .
Configura un proveedor de SSO para la instancia de SecOps de Google: Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad (IdP) externo, de la siguiente manera:
- Si usas un IdP externo, sigue los pasos que se indican en
  
  Configura un proveedor de identidad de terceros para Google SecOps.
- Si usas Cloud Identity o Google Workspace, sigue los pasos que se indican en
  
  Configura un proveedor de identidad para Google SecOps. Google Cloud

Para vincular una instancia de Google SecOps creada para un proveedor de servicios de seguridad administrados (MSSP), comunícate con tu representante de Google SecOps. La configuración requiere la asistencia de un representante de SecOps de Google.

Después de vincular una instancia de Google SecOps a un proyecto de Google Cloud , la instancia de Google SecOps ya está lista para una mayor configuración. Ahora puedes examinar los datos transferidos y supervisar el proyecto para detectar posibles amenazas de seguridad.

Configura una nueva instancia de Google SecOps

Vincular tu instancia nueva a un proyecto habilita las funciones de autenticación y supervisión, incluidas las siguientes:

Integración de Cloud Identity para acceder a una variedad de servicios de Google Cloud , como autenticación, Identity and Access Management, Cloud Monitoring y Registros de auditoría de Cloud
Compatibilidad con IAM y la federación de identidades de personal para la autenticación con tu IdP externo existente

Para vincular una instancia de Google SecOps a un proyecto Google Cloud , sigue estos pasos:

Después de que tu organización firme el contrato de cliente de Google SecOps, el SME de incorporación recibirá un correo electrónico de invitación para la incorporación con un vínculo de activación. El vínculo de activación solo se puede usar una vez.

En el correo electrónico de invitación a la incorporación, haz clic en el vínculo de activación Ir a Google Cloud para abrir la página Vincula SecOps a un proyecto.
Haz clic en Seleccionar un proyecto para abrir la página Seleccionar un recurso.
En la página Selecciona un recurso, selecciona un proyecto Google Cloud para vincular tu nueva instancia de Google SecOps. Existen dos opciones:
- Opción 1: Crea un proyecto Google Cloud nuevo:
  
  Haz clic en New Project y sigue los pasos que se describen en Cómo crear un proyecto Google Cloud .
- Opción 2: Selecciona un proyecto existente de la lista:
  
  Sigue los pasos que se describen en Selecciona un proyecto existente.
Haz clic en Siguiente.

En la página Integración, se muestra la información de integración completada previamente. El proceso de implementación puede tardar hasta 15 minutos en completarse.

Cuando la implementación se complete correctamente, recibirás una notificación. Si falla la implementación, comunícate con el equipo de asistencia.
Verifica que la implementación sea correcta de la siguiente manera:
- Para ver la información de la instancia, ve a https://console.cloud.google.com/security/chronicle/settings.
- Para actualizar cualquier información, comunícate con el equipo de asistencia.

Seleccionar un proyecto existente

En la página Selecciona un recurso, selecciona tu organización en la lista.

Se muestra una lista de los Google Cloud proyectos y las carpetas.
- Pertenecen a la misma organización que la instancia de Google SecOps y tienen la misma cuenta de facturación.
- Si ves el ícono de advertencia Advertencia junto a un proyecto o una carpeta, significa que no se puede seleccionar el proyecto. Mantén el puntero sobre el ícono para ver el motivo, por ejemplo, falta de permisos o discrepancia en la facturación.
Selecciona un proyecto según los siguientes criterios:
- Criterios para vincular una instancia a un proyecto de Google Cloud :
  - El proyecto Google Cloud no debe estar vinculado a otra instancia de Google SecOps.
  - Tienes los permisos de IAM necesarios para acceder al proyecto y trabajar con él. Consulta Permisos para agregar un proyecto de Google Cloud .
  - En el caso de un inquilino (instancia) controlado por cumplimiento, el proyecto debe estar en una carpeta de Assured Workloads. Consulta Federación de identidades de personal para obtener más detalles.
  Un arrendatario (instancia) controlado por cumplimiento se ajusta a uno de los siguientes estándares de control de cumplimiento: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.
- Para seleccionar un proyecto Google Cloud para un usuario (instancia) controlado por cumplimiento, haz lo siguiente:
  1. Selecciona una carpeta de Assured Workloads para abrirla.
  2. Dentro de la carpeta de Assured Workloads, haz clic en el nombre de un proyectoGoogle Cloud para abrir la página Vincula SecOps a un proyecto.
  3. Completa la configuración que se describe en Configura el IdP.
- Para seleccionar un proyecto Google Cloud para un inquilino (instancia) controlado por incumplimiento, haz lo siguiente:
  1. Haz clic en el nombre de un proyecto Google Cloud válido para abrir la página Vincular SecOps a un proyecto.
  2. En la página Vincula SecOps a un proyecto, selecciona un proyecto diferente, si es necesario. Para ello, haz clic en el proyecto para que se vuelva a mostrar la página Select a resource.
Haz clic en Siguiente para vincular tu instancia de Google SecOps al proyecto seleccionado y abrir la página Implementación.

En la página Deployment, se muestran los detalles finales de la instancia y el servicio, y se requiere tu consentimiento antes de realizar la DDX final.

La página consta de las siguientes secciones que muestran campos precompletados no editables. En este punto, solo se pueden cambiar los siguientes detalles comunicándose con un representante de Google, si es necesario:
1. Detalles de la instancia
  
  Se muestran los detalles de la instancia establecidos en tu contrato, por ejemplo, la empresa, la región, el nivel del paquete y la duración de la retención de datos.
  
  Haz clic en Siguiente para mostrar la siguiente sección.
2. Revisa la cuenta de servicio
  
  Se muestran los detalles de la cuenta de servicio que se creará.
  
  Haz clic en Siguiente para mostrar la siguiente sección.
3. Configura el inicio de sesión único (SSO)
  
  Elige un proveedor de SSO configurado. Selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:
  - Google Cloud Identity:
    
    Selecciona esta opción si usas Cloud Identity o Google Workspace.
  - Federación de Workforce Identity:
    
    Si usas un proveedor de identidad externo, selecciona tu proveedor de personal en la lista.
    
    Si no ves tu proveedor de identidad en la lista, configúralo y, luego, selecciónalo. Para obtener más información, consulta Configura un proveedor de identidad externo.
    
    Haz clic en Siguiente para mostrar la siguiente sección.
4. Condiciones del Servicio
  1. Selecciona la casilla de verificación Acepto… para aceptar las condiciones.
  2. Haz clic en Iniciar configuración para implementar tu instancia de Google SecOps según los detalles que se muestran.
Haz clic aquí para continuar con el paso Siguiente.

Migra una instancia existente de Google SecOps

En las siguientes secciones, se explica cómo migrar una instancia existente de Google SecOps para vincularla a un proyecto Google Cloud y usar IAM para controlar el acceso a las funciones.

Cómo vincular un proyecto y un proveedor de personal

En el siguiente procedimiento, se describe cómo conectar una instancia existente de Google SecOps a un proyecto Google Cloud y configurar el SSO con los servicios de federación de identidades de personal de IAM.

Accede a Google SecOps.
Selecciona Configuración > Configuración del SIEM.
Haz clic en Google Cloud Platform.
Ingresa el Google Cloud ID del proyecto para vincularlo a la instancia de Google SecOps.
Haz clic en Generar vínculo.
Haz clic en Conectar a Google Cloud Platform. Se abrirá la consola de Google Cloud . Si ingresaste un ID de proyecto Google Cloud incorrecto en la aplicación de Google SecOps, vuelve a la página de Google Cloud Platform en Google SecOps y, luego, ingresa el ID del proyecto correcto.
En la consola de Google Cloud , ve a Seguridad > Google SecOps.
Verifica la cuenta de servicio que se creó para el proyecto Google Cloud .
En Configurar el inicio de sesión único, selecciona una de las siguientes opciones según el proveedor de identidad que uses para administrar el acceso de usuarios y grupos a Google SecOps:
- Si usas Cloud Identity o Google Workspace, selecciona Google Cloud Identity.
- Si usas un proveedor de identidad de terceros, selecciona Federación de identidades de personal y, luego, el proveedor de personal que deseas usar. Configuras esto cuando configuras la federación de identidades de personal.
Si seleccionaste Federación de identidades de la fuerza laboral, haz clic con el botón derecho en el vínculo Probar la configuración del SSO y, luego, ábrelo en una ventana privada o de incógnito.
- Si ves una pantalla de acceso, la configuración del SSO se realizó correctamente.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad de terceros. Consulta Cómo configurar un proveedor de identidad de terceros para Google SecOps.
Continúa con la siguiente sección: Migra los permisos existentes a IAM.

Migra los permisos existentes a IAM

Después de migrar una instancia existente de Google SecOps, puedes usar comandos generados automáticamente para migrar los permisos y roles existentes a IAM. Google SecOps crea estos comandos con la configuración de control de acceso de RBAC de funciones previa a la migración. Cuando se ejecutan, crean políticas de IAM nuevas equivalentes a tu configuración existente, tal como se define en Google SecOps en la página Configuración del SIEM > Usuarios y grupos.

Después de ejecutar estos comandos, no podrás volver a la función anterior de control de acceso RBAC de funciones. Si tienes algún problema, comunícate con el equipo de asistencia técnica.

En la consola de Google Cloud , ve a Seguridad > Google SecOps > pestaña Administración de acceso.
En Migrate role bindings, verás un conjunto de comandos de Google Cloud CLI generados automáticamente.
Revisa y verifica que los comandos creen los permisos esperados. Para obtener información sobre los roles y permisos de Google SecOps, consulta Cómo se asignan los permisos de IAM a cada rol de RBAC de la función.
Inicia una sesión de Cloud Shell.
Copia los comandos generados automáticamente, pégalos y ejecútalos en la gcloud CLI.
Después de ejecutar todos los comandos, haz clic en Verificar acceso. Si se realiza correctamente, verás el mensaje Access verified en Access Management de Google SecOps. De lo contrario, verás el mensaje Acceso denegado. Es posible que tarde entre 1 y 2 minutos en aparecer.
Para completar la migración, regresa a la pestaña Seguridad > Google SecOps > Administración de acceso y, luego, haz clic en Habilitar IAM.
Verifica que puedas acceder a Google SecOps como usuario con el rol de administrador de la API de Chronicle.
1. Accede a Google SecOps como un usuario con el rol predefinido de administrador de la API de Chronicle. Para obtener más detalles, consulta Accede a Google SecOps.
2. Abre la página Configuración del SIEM > Usuarios y grupos. Deberías ver el mensaje: Para administrar usuarios y grupos, ve a Identity and Access Management (IAM) en la consola de Google Cloud . Obtén más información para administrar usuarios y grupos.
Accede a Google SecOps como un usuario con un rol diferente. Para obtener más detalles, consulta Accede a Google SecOps.
Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en IAM.

Cambia la configuración de SSO

En las siguientes secciones, se describe cómo cambiar los proveedores de identidad:

Cómo cambiar el proveedor de identidad externo
Migra de un proveedor de identidad externo a Cloud Identity

Cómo cambiar el proveedor de identidad externo

Configura el nuevo proveedor de identidad externo y el grupo de identidades para la fuerza laboral.
En Google SecOps, en Configuración > Configuración de SOAR > Avanzada > Asignación de grupos de IDP, cambia la asignación de grupos de IDP para hacer referencia a los grupos en el nuevo proveedor de identidad.

Importante: Si no cambias esta configuración antes de cambiar el proveedor de identidad en los siguientes pasos, recibirás un error HTTP 403 cuando accedas a Google SecOps. Si esto sucede, comunícate con el equipo de asistencia.

Actualiza la configuración del SSO

Completa los siguientes pasos para cambiar la configuración del SSO de Google SecOps:

Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud vinculado a Google SecOps.
Ve a Seguridad > Google SecOps.
En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los IdP que configuraste cuando configuraste un proveedor de identidad externo para Google SecOps.
Usa el menú Single Sign-On para cambiar de proveedor de SSO.
Haz clic con el botón derecho en el vínculo Test SSO setup y, luego, abre una ventana privada o de incógnito.
- Si ves una pantalla de acceso, la configuración del SSO se realizó correctamente. Continúa con el siguiente paso.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad externo. Consulta Cómo configurar un proveedor de identidad de terceros para Google SecOps.
Regresa a la Google Cloud consola, haz clic en la página Seguridad > Google SecOps > Descripción general y, luego, en la pestaña Single Sign-On.
Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.
Verifica que puedas acceder a Google SecOps.

Migra de un proveedor de identidad externo a Cloud Identity

Completa los siguientes pasos para cambiar la configuración del SSO de modo que use un proveedor de identidad externo en lugar de Google Cloud Identity:

Asegúrate de configurar Cloud Identity o Google Workspace como proveedor de identidad.
Otorga los roles predefinidos de IAM de Chronicle y los roles personalizados a los usuarios y grupos del proyecto vinculado a Google SecOps.
Otorga el rol de administrador de Chronicle SOAR a los usuarios o grupos pertinentes.
En Google SecOps, en Configuración > Configuración de SOAR > Avanzada > Asignación de grupos de IDP, agrega el administrador de Chronicle SOAR. Para obtener más información, consulta Asignación de grupos de IdP.

Importante: Debes actualizar esta configuración antes de cambiar el IdP en los siguientes pasos. Si omites este paso, se generará un error HTTP 403 cuando accedas a Google SecOps. Si te encuentras con este error, comunícate con el equipo de asistencia.
Abre la consola de Google Cloud y, luego, selecciona el proyecto de Google Cloud vinculado a Google SecOps.
Ve a Seguridad > Chronicle SecOps.
En la página Descripción general, haz clic en la pestaña Inicio de sesión único. En esta página, se muestran los IdP que configuraste cuando configuraste un proveedor de identidad externo para Google SecOps.
Selecciona la casilla de verificación Google Cloud Identity.
Haz clic con el botón derecho en el vínculo Test SSO setup y, luego, abre una ventana privada o de incógnito.
- Si ves una pantalla de acceso, la configuración del SSO se realizó correctamente. Continúa con el siguiente paso.
- Si no ves una pantalla de acceso, verifica la configuración del proveedor de identidad.
Vuelve a la consola de Google Cloud y, luego, haz clic en la página Seguridad > Chronicle SecOps > Descripción general > pestaña Single Sign-On.
Haz clic en Guardar en la parte inferior de la página para actualizar el proveedor nuevo.
Verifica que puedas acceder a Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.