Menautkan instance Google SecOps ke layanan Google Cloud

Didukung di:

Instance Operasi Keamanan Google bergantung pada Google Cloud layanan untuk kemampuan utama tertentu, seperti autentikasi.

Dokumen ini menjelaskan cara mengonfigurasi instance Anda untuk ditautkan ke layanan ini, baik Anda menyiapkan deployment baru atau memigrasikan instance Google SecOps yang ada.

Sebelum memulai

Sebelum mengonfigurasi instance Google SecOps dengan layanan Google Cloud, Anda harus melakukan hal berikut:

  • Verifikasi izin. Pastikan Anda memiliki izin yang diperlukan untuk menyelesaikan langkah-langkah dalam dokumen ini. Untuk mengetahui informasi tentang izin yang diperlukan untuk setiap tahap proses aktivasi, lihat Peran dan izin yang diperlukan.

  • Pilih penyiapan project Anda: Anda dapat membuat project baru Google Cloud untuk instance Google SecOps atau menautkannya ke project Google Cloud yang sudah ada.

    Untuk membuat project Google Cloud baru dan mengaktifkan Chronicle API, ikuti langkah-langkah di Membuat project Google Cloud .

  • Konfigurasi penyedia SSO untuk instance Google SecOps: Anda dapat menggunakan Cloud Identity, Google Workspace, atau penyedia identitas (IdP) pihak ketiga, sebagai berikut:

Untuk menautkan instance Google SecOps yang dibuat untuk Penyedia Layanan Keamanan Terkelola (MSSP), hubungi perwakilan Google SecOps Anda. Penyiapan memerlukan bantuan dari perwakilan SecOps Google.

Setelah menautkan instance Google SecOps ke project Google Cloud , instance Google SecOps kini siap untuk konfigurasi lebih lanjut. Sekarang Anda dapat memeriksa data yang di-ingest dan memantau project untuk potensi ancaman keamanan.

Mengonfigurasi instance Google SecOps baru

Menautkan instance baru ke project akan mengaktifkan fitur autentikasi dan pemantauan, termasuk:

  • Integrasi Cloud Identity untuk mengakses berbagai Google Cloud layanan, seperti autentikasi, Identity and Access Management, Cloud Monitoring, dan Cloud Audit Logs.

  • Dukungan IAM dan Workforce Identity Federation untuk mengautentikasi dengan IdP pihak ketiga yang sudah ada.

Untuk menautkan instance Google SecOps ke project Google Cloud , lakukan langkah-langkah berikut:

  1. Setelah organisasi Anda menandatangani kontrak pelanggan Google SecOps, SME orientasi akan menerima email undangan orientasi dengan link aktivasi. Link aktivasi hanya valid untuk satu kali penggunaan.

    Di email undangan aktivasi, klik link aktivasi Buka Google Cloud untuk membuka halaman Tautkan SecOps ke project.

  2. Klik Pilih project untuk membuka halaman Pilih resource.

  3. Di halaman Select a resource, pilih project Google Cloud untuk menautkan instance Google SecOps baru Anda. Ada dua opsi:

  4. Klik Berikutnya.

    Halaman Aktivasi menampilkan informasi aktivasi yang telah diisi otomatis. Proses deployment dapat memakan waktu hingga 15 menit hingga selesai.

    Saat deployment berhasil diselesaikan, Anda akan menerima notifikasi. Jika deployment gagal, hubungi Dukungan.

  5. Pastikan deployment sudah benar seperti berikut:

    • Untuk melihat informasi instance, buka https://console.cloud.google.com/security/chronicle/settings.

    • Untuk memperbarui informasi apa pun, hubungi Dukungan.

Pilih project yang ada

  1. Di halaman Pilih resource, pilih Organisasi Anda dari daftar.

    Daftar Google Cloud project dan folder akan ditampilkan.

    • Instance ini termasuk dalam organisasi yang sama dengan instance Google SecOps dan memiliki akun penagihan yang sama.

    • Jika Anda melihat ikon peringatan Peringatan di samping project atau folder, berarti project tersebut tidak dapat dipilih. Arahkan kursor ke ikon untuk melihat alasannya, misalnya, izin tidak ada atau ketidakcocokan penagihan.

  2. Pilih project berdasarkan kriteria berikut:

    • Kriteria untuk menautkan instance ke project Google Cloud :

      • Project Google Cloud tidak boleh sudah ditautkan ke instance Google SecOps lain.

      • Anda memiliki izin IAM yang diperlukan untuk mengakses dan menggunakan project, lihat Izin untuk menambahkan project Google Cloud .

      • Untuk tenant (instance) yang dikontrol kepatuhan, project harus berada di folder Assured Workloads. Lihat Workforce Identity Federation untuk mengetahui detailnya.

      Tenant (instance) yang dikontrol kepatuhannya sesuai dengan salah satu standar kontrol kepatuhan berikut: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1, atau DRZ_ADVANCED.

    • Untuk memilih Google Cloud project untuk tenant (instance) yang dikontrol kepatuhannya:

      1. Pilih folder Assured Workloads untuk membukanya.
      2. Di dalam folder Assured Workloads, klik nama Google Cloud project untuk membuka halaman Link SecOps to a project.
      3. Selesaikan konfigurasi yang dijelaskan di Mengonfigurasi IdP.

    • Untuk memilih Google Cloud project bagi tenant (instance) yang dikontrol ketidakpatuhannya:

      1. Klik nama project yang valid Google Cloud untuk membuka halaman Tautkan SecOps ke project.

      2. Di halaman Tautkan SecOps ke project, pilih project lain, jika perlu. Untuk melakukannya, Anda mengklik project untuk menampilkan halaman Pilih resource lagi.

  3. Klik Next untuk menautkan instance Google SecOps Anda ke project yang dipilih, dan buka halaman Deployment.

    Halaman Deployment menampilkan detail akhir instance dan layanan serta memerlukan izin Anda sebelum melakukan ddx akhir.

    Halaman ini terdiri dari bagian berikut yang menampilkan kolom yang telah diisi otomatis dan tidak dapat diedit. Pada tahap ini, detail tersebut hanya dapat diubah dengan menghubungi perwakilan Google, jika diperlukan:

    1. Detail instance

      Detail instance yang ditetapkan dalam kontrak Anda ditampilkan, misalnya perusahaan, region, tingkat paket, dan durasi retensi data.

      Klik Berikutnya untuk menampilkan bagian berikutnya.

    2. Tinjau akun layanan

      Detail akun layanan yang akan dibuat ditampilkan.

      Klik Berikutnya untuk menampilkan bagian berikutnya.

    3. Mengonfigurasi single sign-on (SSO)

      Pilih penyedia SSO yang dikonfigurasi. Pilih salah satu opsi berikut berdasarkan penyedia identitas yang Anda gunakan untuk mengelola akses pengguna dan grup ke Google SecOps:

      • Google Cloud Identity:

        Pilih opsi ini jika Anda menggunakan Cloud Identity atau Google Workspace.

      • Workforce Identity Federation:

        Jika Anda menggunakan penyedia identitas pihak ketiga, pilih penyedia tenaga kerja dari daftar.

        Jika Anda tidak melihat penyedia identitas Anda tercantum, konfigurasi penyedia Anda, lalu pilih penyedia Anda dari daftar. Untuk mengetahui detailnya, lihat Mengonfigurasi penyedia identitas pihak ketiga.

        Klik Berikutnya untuk menampilkan bagian berikutnya.

    4. Persyaratan layanan

      1. Centang kotak Saya setuju dengan... untuk Menyetujui persyaratan.
      2. Klik Start setup untuk men-deploy instance Google SecOps Anda, sesuai dengan detail yang ditampilkan.

  4. Klik di sini untuk melanjutkan ke langkah Berikutnya.

Memigrasikan instance Google SecOps yang ada

Bagian berikut menjelaskan cara memigrasikan instance Google SecOps yang ada untuk menautkannya ke project Google Cloud dan menggunakan IAM untuk kontrol akses fitur.

Menautkan ke project dan penyedia tenaga kerja

Prosedur berikut menjelaskan cara menghubungkan instance Google SecOps yang ada dengan project Google Cloud dan mengonfigurasi SSO menggunakan layanan workforce identity federation IAM.

  1. Login ke Google SecOps.

  2. Pilih Setelan > Setelan SIEM.

  3. Klik Google Cloud Platform.

  4. Masukkan ID project Google Cloud untuk menautkan project ke instance Google SecOps.

  5. Klik Buat Tautan.

  6. Klik Connect to Google Cloud Platform. Konsol Google Cloud akan terbuka. Jika Anda memasukkan Google Cloud project ID yang salah di aplikasi Google SecOps, kembali ke halaman Google Cloud Platform di Google SecOps dan masukkan project ID yang benar.

  7. Di konsol Google Cloud , buka Security > Google SecOps.

  8. Verifikasi akun layanan yang dibuat untuk Google Cloud project.

  9. Di bagian Konfigurasi single sign-on, pilih salah satu opsi berikut berdasarkan penyedia identitas yang Anda gunakan untuk mengelola akses pengguna dan grup ke Google SecOps:

    • Jika Anda menggunakan Cloud Identity atau Google Workspace, pilih Google Cloud Identity.

    • Jika Anda menggunakan penyedia identitas pihak ketiga, pilih Workforce Identity Federation, lalu pilih penyedia tenaga kerja yang ingin Anda gunakan. Anda menyiapkannya saat mengonfigurasi workforce identity federation.

  10. Jika Anda memilih Workforce Identity Federation, klik kanan link Test SSO setup, lalu buka di jendela pribadi atau samaran.

  11. Lanjutkan ke bagian berikutnya: Memigrasikan izin yang ada ke IAM.

Memigrasikan izin yang ada ke IAM

Setelah memigrasikan instance Google SecOps yang ada, Anda dapat menggunakan perintah yang dibuat secara otomatis untuk memigrasikan izin dan peran yang ada ke IAM. Google SecOps membuat perintah ini menggunakan konfigurasi kontrol akses RBAC Fitur pra-migrasi Anda. Saat dijalankan, kebijakan tersebut akan membuat kebijakan IAM baru yang setara dengan konfigurasi yang ada, sebagaimana ditentukan di Google SecOps pada halaman Setelan SIEM > Pengguna dan Grup.

Setelah menjalankan perintah ini, Anda tidak dapat kembali ke fitur kontrol akses RBAC Fitur sebelumnya. Jika Anda mengalami masalah, hubungi Dukungan Teknis.

  1. Di konsol Google Cloud , buka Keamanan > Google SecOps > tab Pengelolaan akses.
  2. Di bagian Migrasikan pengikatan peran, Anda akan melihat serangkaian perintah Google Cloud CLI yang dibuat secara otomatis.
  3. Tinjau dan verifikasi bahwa perintah membuat izin yang diharapkan. Untuk mengetahui informasi tentang peran dan izin Google SecOps, lihat Cara izin IAM dipetakan ke setiap peran RBAC Fitur.
  4. Luncurkan sesi Cloud Shell.
  5. Salin perintah yang dibuat otomatis, lalu tempel dan jalankan di gcloud CLI.
  6. Setelah Anda menjalankan semua perintah, klik Verify Access. Jika berhasil, Anda akan melihat pesan Akses terverifikasi di Pengelolaan Akses Google SecOps. Jika tidak, Anda akan melihat pesan Akses ditolak. Mungkin perlu waktu 1-2 menit hingga muncul.
  7. Untuk menyelesaikan migrasi, kembali ke tab Security > Google SecOps > Access management, lalu klik Enable IAM.
  8. Pastikan Anda dapat mengakses Google SecOps sebagai pengguna dengan peran Admin Chronicle API.
    1. Login ke Google SecOps sebagai pengguna dengan peran bawaan Admin Chronicle API. Untuk mengetahui detail selengkapnya, lihat Login ke Google SecOps.
    2. Buka halaman Setelan SIEM > Pengguna & Grup. Anda akan melihat pesan: Untuk mengelola pengguna dan grup, buka Identity Access Management (IAM) di konsol Google Cloud . Pelajari lebih lanjut cara mengelola pengguna dan grup.
  9. Login ke Google SecOps sebagai pengguna dengan peran yang berbeda. Untuk mengetahui detail selengkapnya, lihat Login ke Google SecOps.
  10. Pastikan fitur yang tersedia di aplikasi sesuai dengan izin yang ditentukan di IAM.

Mengubah konfigurasi SSO

Bagian berikut menjelaskan cara mengubah penyedia identitas:

Mengubah penyedia identitas pihak ketiga

  1. Siapkan penyedia identitas pihak ketiga dan workforce identity pool yang baru.

  2. Di Google SecOps, di bagian Settings > SOAR settings > Advanced > IDP group mapping, ubah IdP group mapping untuk mereferensikan grup di penyedia identitas baru.

Memperbarui setelan SSO

Selesaikan langkah-langkah berikut untuk mengubah konfigurasi SSO untuk Google SecOps:

  1. Buka konsol Google Cloud , lalu pilih project Google Cloud yang terikat ke Google SecOps.

  2. Buka Keamanan > Google SecOps.

  3. Di halaman Ringkasan, klik tab Single Sign-On. Halaman ini menampilkan IdP yang Anda konfigurasi saat Mengonfigurasi penyedia identitas pihak ketiga untuk Google SecOps.

  4. Gunakan menu Single Sign-On untuk mengubah penyedia SSO.

  5. Klik kanan link Test SSO setup, lalu buka jendela pribadi atau samaran.

  6. Kembali ke konsol Google Cloud , klik halaman Security > Google SecOps > Overview, lalu klik tab Single Sign-On.

  7. Klik Simpan di bagian bawah halaman untuk memperbarui penyedia baru.

  8. Verifikasi bahwa Anda dapat login ke Google SecOps.

Bermigrasi dari penyedia identitas pihak ketiga ke Cloud Identity

Selesaikan langkah-langkah berikut untuk mengubah konfigurasi SSO dari menggunakan penyedia identitas pihak ketiga menjadi Google Cloud Identity:

  1. Pastikan Anda mengonfigurasi Cloud Identity atau Google Workspace sebagai penyedia identitas.
  2. Berikan peran IAM Chronicle bawaan dan peran kustom kepada pengguna dan grup dalam project yang terikat dengan Google SecOps.
  3. Berikan peran Admin Chronicle SOAR kepada pengguna atau grup yang relevan.

  4. Di Google SecOps, di bagian Settings > SOAR settings > Advanced > IDP group mapping, tambahkan Chronicle SOAR Admin. Untuk mengetahui informasi selengkapnya, lihat Pemetaan grup IdP.

  5. Buka konsol Google Cloud , lalu pilih project Google Cloud yang terikat ke Google SecOps.

  6. Buka Keamanan > Chronicle SecOps.

  7. Di halaman Ringkasan, klik tab Single Sign-On. Halaman ini menampilkan IdP yang Anda konfigurasi saat Mengonfigurasi penyedia identitas pihak ketiga untuk Google SecOps.

  8. Pilih kotak centang Google Cloud Identity.

  9. Klik kanan link Test SSO setup, lalu buka jendela pribadi atau samaran.

    • Jika Anda melihat layar login, berarti penyiapan SSO berhasil. Lanjutkan dengan langkah berikutnya.
    • Jika Anda tidak melihat layar login, periksa konfigurasi penyedia identitas.

  10. Kembali ke konsol Google Cloud , lalu klik halaman Security > Chronicle SecOps > Overview > tab Single Sign-On.

  11. Klik Simpan di bagian bawah halaman untuk memperbarui penyedia baru.

  12. Verifikasi bahwa Anda dapat login ke Google SecOps.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.