Associer une instance Google SecOps à des services Google Cloud

Compatible avec :

Une instance Google Security Operations dépend des services Google Cloud pour certaines fonctionnalités clés, telles que l'authentification.

Ce document explique comment configurer votre instance pour l'associer à ces services, que vous configuriez un nouveau déploiement ou que vous migriez une instance Google SecOps existante.

Avant de commencer

Avant de configurer une instance Google SecOps avec des services Google Cloud, vous devez effectuer les opérations suivantes :

  • Vérifiez les autorisations. Assurez-vous de disposer des autorisations nécessaires pour effectuer les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d'intégration, consultez Rôles et autorisations requis.

  • Choisissez la configuration de votre projet : vous pouvez créer un projet Google Cloudpour votre instance Google SecOps ou l'associer à un projet Google Cloud existant.

    Pour créer un projet Google Cloud et activer l'API Chronicle, suivez les étapes décrites dans Créer un projet Google Cloud .

  • Configurez un fournisseur d'authentification unique pour l'instance Google SecOps : Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité (IdP) tiers, comme suit :

Pour associer une instance Google SecOps créée pour un fournisseur de services de sécurité gérés (MSSP), contactez votre représentant Google SecOps. La configuration nécessite l'aide d'un représentant Google SecOps.

Une fois une instance Google SecOps associée à un projet Google Cloud , elle est prête à être configurée. Vous pouvez désormais examiner les données ingérées et surveiller le projet pour détecter les menaces de sécurité potentielles.

Configurer une instance Google SecOps

Associer votre nouvelle instance à un projet permet d'activer les fonctionnalités d'authentification et de surveillance, y compris :

  • Intégration de Cloud Identity pour accéder à une gamme de services Google Cloud , tels que l'authentification, Identity and Access Management, Cloud Monitoring et Cloud Audit Logs.

  • IAM et la fédération des identités des employés sont compatibles avec l'authentification avec votre IdP tiers existant.

Pour associer une instance Google SecOps à un projet Google Cloud , procédez comme suit :

  1. Une fois que votre organisation a signé le contrat client Google SecOps, l'expert en intégration reçoit un e-mail d'invitation à l'intégration contenant un lien d'activation. Le lien d'activation n'est valide qu'une seule fois.

    Dans l'e-mail d'invitation à l'intégration, cliquez sur le lien d'activation Accéder à Google Cloud pour ouvrir la page Associer SecOps à un projet.

  2. Cliquez sur Sélectionner un projet pour ouvrir la page Sélectionner une ressource.

  3. Sur la page Sélectionner une ressource, sélectionnez un projet Google Cloud pour associer votre nouvelle instance Google SecOps. Vous disposez de deux options :

  4. Cliquez sur Suivant.

    La page Intégration affiche les informations préremplies. Le processus de déploiement peut prendre jusqu'à 15 minutes.

    Une fois le déploiement terminé, vous recevez une notification. Si le déploiement échoue, contactez l'assistance.

  5. Vérifiez que le déploiement est correct comme suit :

    • Pour afficher les informations sur l'instance, accédez à https://console.cloud.google.com/security/chronicle/settings.

    • Pour modifier des informations, contactez l'assistance.

Sélectionner un projet existant

  1. Sur la page Sélectionner une ressource, sélectionnez votre organisation dans la liste.

    La liste des projets et des dossiers Google Cloud s'affiche.

    • Ils appartiennent à la même organisation que l'instance Google SecOps et sont associés au même compte de facturation.

    • Si l'icône Avertissement s'affiche à côté d'un projet ou d'un dossier, cela signifie que le projet ne peut pas être sélectionné. Pointez sur l'icône pour afficher le motif, par exemple des autorisations manquantes ou une différence de facturation.

  2. Sélectionnez un projet en fonction des critères suivants :

    • Critères pour associer une instance à un projet Google Cloud  :

      • Le projet Google Cloud ne doit pas déjà être associé à une autre instance Google SecOps.

      • Vous disposez des autorisations IAM requises pour accéder au projet et l'utiliser. Pour en savoir plus, consultez Autorisations pour ajouter un projet Google Cloud .

      • Pour un locataire (instance) contrôlé par la conformité, le projet doit se trouver dans un dossier Assured Workloads. Pour en savoir plus, consultez Fédération des identités des employés.

      Un locataire (instance) contrôlé par la conformité est conforme à l'une des normes de contrôle de la conformité suivantes : FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.

    • Pour sélectionner un projet Google Cloud pour un locataire (instance) contrôlé par la conformité :

      1. Sélectionnez un dossier Assured Workloads pour l'ouvrir.
      2. Dans le dossier Assured Workloads, cliquez sur le nom d'un projet Google Cloud pour ouvrir la page Associer SecOps à un projet.
      3. Effectuez la configuration décrite dans Configurer l'IdP.

    • Pour sélectionner un projet Google Cloud pour un locataire (instance) contrôlé pour la non-conformité :

      1. Cliquez sur le nom d'un projet Google Cloud valide pour ouvrir la page Associer SecOps à un projet.

      2. Sur la page Associer SecOps à un projet, sélectionnez un autre projet si nécessaire. Pour ce faire, cliquez sur le projet afin d'afficher à nouveau la page Sélectionner une ressource.

  3. Cliquez sur Suivant pour associer votre instance Google SecOps au projet sélectionné et ouvrir la page Déploiement.

    La page Déploiement affiche les informations finales sur l'instance et le service, et nécessite votre consentement avant d'effectuer le ddx final.

    La page se compose des sections suivantes, qui affichent des champs préremplis non modifiables. À ce stade, ces informations ne peuvent être modifiées qu'en contactant un représentant Google, si nécessaire :

    1. Détails de l'instance

      Les détails de l'instance définis dans votre contrat s'affichent, par exemple l'entreprise, la région, le niveau du forfait et la durée de conservation des données.

      Cliquez sur Suivant pour afficher la section suivante.

    2. Examiner le compte de service

      Les détails du compte de service à créer s'affichent.

      Cliquez sur Suivant pour afficher la section suivante.

    3. Configurer l'authentification unique (SSO)

      Choisissez un fournisseur SSO configuré. Sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps :

      • Google Cloud Identity :

        Sélectionnez cette option si vous utilisez Cloud Identity ou Google Workspace.

      • Fédération d'identité de personnel :

        Si vous utilisez un fournisseur d'identité tiers, sélectionnez votre fournisseur de personnel dans la liste.

        Si votre fournisseur d'identité ne figure pas dans la liste, configurez-le, puis sélectionnez-le. Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.

        Cliquez sur Suivant pour afficher la section suivante.

    4. Conditions d'utilisation

      1. Cochez la case J'accepte... pour accepter les conditions.
      2. Cliquez sur Démarrer la configuration pour déployer votre instance Google SecOps, en fonction des informations affichées.

  4. Cliquez ici pour passer à l'étape Suivant.

Migrer une instance Google SecOps existante

Les sections suivantes expliquent comment migrer une instance Google SecOps existante pour la lier à un projet Google Cloud et utiliser IAM pour contrôle des accès aux fonctionnalités.

Associer à un projet et à un fournisseur de pool d'employés

La procédure suivante explique comment associer une instance Google SecOps existante à un projet Google Cloud et configurer le SSO à l'aide des services de fédération d'identité du personnel IAM.

  1. Connectez-vous à Google SecOps.

  2. Sélectionnez Paramètres > Paramètres du SIEM.

  3. Cliquez sur Google Cloud Platform.

  4. Saisissez l'ID du projet Google Cloud pour l'associer à l'instance Google SecOps.

  5. Cliquez sur Générer un lien.

  6. Cliquez sur Se connecter à la plate-forme Google Cloud . La console Google Cloud s'ouvre. Si vous avez saisi un ID de projet Google Cloud incorrect dans l'application Google SecOps, revenez à la page Google Cloud Platform dans Google SecOps et saisissez l'ID de projet correct.

  7. Dans la console Google Cloud , accédez à Sécurité > Google SecOps.

  8. Vérifiez le compte de service créé pour le projet Google Cloud .

  9. Sous Configurer l'authentification unique, sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps :

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez Fédération d'identité de personnel, puis sélectionnez le fournisseur de personnel que vous souhaitez utiliser. Vous le configurez lorsque vous configurez la fédération d'identité de personnel.

  10. Si vous avez sélectionné Fédération d'identité du personnel, effectuez un clic droit sur le lien Tester la configuration SSO, puis ouvrez-le dans une fenêtre privée ou de navigation privée.

  11. Passez à la section suivante : Migrer les autorisations existantes vers IAM.

Migrer les autorisations existantes vers IAM

Après avoir migré une instance Google SecOps existante, vous pouvez utiliser des commandes générées automatiquement pour migrer les autorisations et les rôles existants vers IAM. Google SecOps crée ces commandes à l'aide de la configuration du contrôle des accès RBAC des fonctionnalités avant la migration. Lorsqu'ils sont exécutés, ils créent des règles IAM équivalentes à votre configuration existante, telles qu'elles sont définies dans Google SecOps sur la page Paramètres SIEM > Utilisateurs et groupes.

Une fois ces commandes exécutées, vous ne pourrez plus revenir à la fonctionnalité précédente de contrôle des accès RBAC des fonctionnalités. En cas de problème, contactez l'assistance technique.

  1. Dans la console Google Cloud , accédez à Sécurité > Google SecOps > onglet Gestion des accès.
  2. Sous Migrate role bindings (Migrer les liaisons de rôle), vous verrez un ensemble de commandes Google Cloud CLI générées automatiquement.
  3. Examinez et vérifiez que les commandes créent les autorisations attendues. Pour en savoir plus sur les rôles et autorisations Google SecOps, consultez Comment les autorisations IAM sont mappées à chaque rôle RBAC des fonctionnalités.
  4. Lancez une session Cloud Shell.
  5. Copiez les commandes générées automatiquement, puis collez-les et exécutez-les dans gcloud CLI.
  6. Une fois que vous avez exécuté toutes les commandes, cliquez sur Vérifier l'accès. Si l'opération réussit, le message Accès validé s'affiche dans la section Gestion des accès de Google SecOps. Sinon, le message Accès refusé s'affichera. L'opération peut prendre une à deux minutes.
  7. Pour terminer la migration, revenez à l'onglet Sécurité > Google SecOps > Gestion des accès, puis cliquez sur Activer IAM.
  8. Vérifiez que vous pouvez accéder à Google SecOps en tant qu'utilisateur disposant du rôle "Administrateur de l'API Chronicle".
    1. Connectez-vous à Google SecOps en tant qu'utilisateur disposant du rôle prédéfini d'administrateur de l'API Chronicle. Pour en savoir plus, consultez Se connecter à Google SecOps.
    2. Ouvrez la page Paramètres SIEM > Utilisateurs et groupes. Le message suivant devrait s'afficher : Pour gérer les utilisateurs et les groupes, accédez à Identity and Access Management (IAM) dans la console Google Cloud . En savoir plus sur la gestion des utilisateurs et des groupes
  9. Connectez-vous à Google SecOps en tant qu'utilisateur disposant d'un autre rôle. Pour en savoir plus, consultez Se connecter à Google SecOps.
  10. Vérifiez que les fonctionnalités disponibles dans l'application correspondent aux autorisations définies dans IAM.

Modifier la configuration de l'authentification unique

Les sections suivantes décrivent comment changer de fournisseur d'identité :

Changer de fournisseur d'identité tiers

  1. Configurez le nouveau fournisseur d'identité tiers et le pool d'identités de personnel.

  2. Dans Google SecOps, sous Paramètres > Paramètres SOAR > Avancé > Mappage des groupes IdP, modifiez le mappage des groupes IdP pour faire référence aux groupes du nouveau fournisseur d'identité.

Modifier les paramètres SSO

Pour modifier la configuration SSO de Google SecOps, procédez comme suit :

  1. Ouvrez la console Google Cloud , puis sélectionnez le projet Google Cloud lié à Google SecOps.

  2. Accédez à Sécurité > Google SecOps.

  3. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les IdP que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

  4. Utilisez le menu Single Sign-On (Authentification unique) pour changer de fournisseur d'authentification unique.

  5. Effectuez un clic droit sur le lien Tester la configuration du SSO, puis ouvrez une fenêtre privée ou de navigation privée.

  6. Revenez à la console Google Cloud , cliquez sur la page Sécurité > Google SecOps > Aperçu, puis sur l'onglet Authentification unique.

  7. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

  8. Vérifiez que vous pouvez vous connecter à Google SecOps.

Migrer d'un fournisseur d'identité tiers vers Cloud Identity

Procédez comme suit pour remplacer un fournisseur d'identité tiers par Google Cloud Identity dans la configuration de l'authentification unique :

  1. Assurez-vous de configurer Cloud Identity ou Google Workspace comme fournisseur d'identité.
  2. Attribuez les rôles IAM Chronicle prédéfinis et les rôles personnalisés aux utilisateurs et aux groupes dans le projet Google SecOps.
  3. Attribuez le rôle Administrateur Chronicle SOAR aux utilisateurs ou groupes concernés.

  4. Dans Google SecOps, sous Paramètres > Paramètres SOAR > Avancé > Mappage des groupes IdP, ajoutez Administrateur Chronicle SOAR. Pour en savoir plus, consultez Mappage des groupes IdP.

  5. Ouvrez la console Google Cloud , puis sélectionnez le projet Google Cloud lié à Google SecOps.

  6. Accédez à Sécurité > Chronicle SecOps.

  7. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les IdP que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

  8. Cochez la case Google Cloud Identity.

  9. Effectuez un clic droit sur le lien Tester la configuration du SSO, puis ouvrez une fenêtre privée ou de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration du SSO a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité.

  10. Revenez à la console Google Cloud , puis cliquez sur la page Sécurité > Chronicle SecOps > Vue d'ensemble > onglet Authentification unique.

  11. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

  12. Vérifiez que vous pouvez vous connecter à Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.