Collegare un'istanza Google SecOps ai servizi Google Cloud

Supportato in:

Un'istanza di Google Security Operations dipende dai servizi Google Cloud per determinate funzionalità chiave, come l'autenticazione.

Questo documento spiega come configurare l'istanza per il collegamento a questi servizi, sia che tu stia configurando un nuovo deployment sia che tu stia eseguendo la migrazione di un'istanza Google SecOps esistente.

Prima di iniziare

Prima di configurare un'istanza Google SecOps con i servizi Google Cloud, devi:

  • Verifica le autorizzazioni. Assicurati di disporre delle autorizzazioni necessarie per completare i passaggi descritti in questo documento. Per informazioni sulle autorizzazioni richieste per ogni fase della procedura di onboarding, consulta Ruoli e autorizzazioni richiesti.

  • Scegli la configurazione del progetto: puoi creare un nuovo progetto Google Cloudper la tua istanza Google SecOps o collegarlo a un progetto Google Cloud esistente.

    Per creare un nuovo progetto Google Cloud e abilitare l'API Chronicle, segui i passaggi descritti in Creare un progetto Google Cloud .

  • Configura un provider SSO per l'istanza Google SecOps: puoi utilizzare Cloud Identity, Google Workspace o un provider di identità (IdP) di terze parti, come segue:

Per collegare un'istanza Google SecOps creata per un fornitore di servizi di sicurezza gestiti (MSSP), contatta il tuo rappresentante Google SecOps. La configurazione richiede l'assistenza di un rappresentante di Google SecOps.

Dopo aver collegato un'istanza Google SecOps a un progetto Google Cloud , l'istanza Google SecOps è ora pronta per un'ulteriore configurazione. Ora puoi esaminare i dati importati e monitorare il progetto per potenziali minacce alla sicurezza.

Configura una nuova istanza Google SecOps

Il collegamento della nuova istanza a un progetto attiva le funzionalità di autenticazione e monitoraggio, tra cui:

  • Integrazione di Cloud Identity per accedere a una serie di Google Cloud servizi, come autenticazione, Identity and Access Management, Cloud Monitoring e Cloud Audit Logs.

  • Supporto di IAM e della federazione delle identità per la forza lavoro per l'autenticazione con il tuo IdP di terze parti esistente.

Per collegare un'istanza di Google SecOps a un progetto Google Cloud :

  1. Dopo che la tua organizzazione ha firmato il contratto con il cliente Google SecOps, l'esperto in materia di onboarding riceve un'email di invito all'onboarding con un link di attivazione. Il link di attivazione è valido per un solo utilizzo.

    Nell'email di invito all'onboarding, fai clic sul link di attivazione Vai a Google Cloud per aprire la pagina Collega SecOps a un progetto.

  2. Fai clic su Seleziona un progetto per aprire la pagina Seleziona una risorsa.

  3. Nella pagina Seleziona una risorsa, seleziona un progetto Google Cloud a cui collegare la nuova istanza di Google SecOps. Le opzioni disponibili sono due:

  4. Fai clic su Avanti.

    La pagina Onboarding mostra le informazioni di onboarding precompilate. Il processo di deployment può richiedere fino a 15 minuti.

    Al termine del deployment, riceverai una notifica. Se il deployment non va a buon fine, contatta l'assistenza.

  5. Verifica che il deployment sia corretto nel seguente modo:

    • Per visualizzare le informazioni sull'istanza, vai alla pagina https://console.cloud.google.com/security/chronicle/settings.

    • Per aggiornare le informazioni, contatta l'assistenza.

Seleziona un progetto esistente

  1. Nella pagina Seleziona una risorsa, seleziona la tua Organizzazione dall'elenco.

    Viene visualizzato un elenco dei progetti e delle cartelle Google Cloud .

    • Appartengono alla stessa organizzazione dell'istanza Google SecOps e hanno lo stesso account di fatturazione.

    • Se vedi l' avviso Avviso accanto a un progetto o a una cartella, significa che il progetto non può essere selezionato. Tieni il puntatore sopra l'icona per visualizzare il motivo, ad esempio autorizzazioni mancanti o mancata corrispondenza della fatturazione.

  2. Seleziona un progetto in base ai seguenti criteri:

    • Criteri per collegare un'istanza a un progetto Google Cloud :

      Un tenant (istanza) controllato per la conformità è conforme a uno dei seguenti standard di controllo della conformità: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.

    • Per selezionare un Google Cloud progetto per un tenant (istanza) controllato per la conformità:

      1. Seleziona una cartella Assured Workloads per aprirla.
      2. All'interno della cartella Assured Workloads, fai clic sul nome di un progettoGoogle Cloud per aprire la pagina Collega SecOps a un progetto.
      3. Completa la configurazione descritta in Configurare l'IdP.

    • Per selezionare un Google Cloud progetto per un tenant (istanza) controllato per la non conformità:

      1. Fai clic sul nome di un progetto Google Cloud valido per aprire la pagina Collega SecOps a un progetto.

      2. Nella pagina Collega SecOps a un progetto, seleziona un progetto diverso, se necessario. Per farlo, fai clic sul progetto per visualizzare di nuovo la pagina Seleziona una risorsa.

  3. Fai clic su Avanti per collegare l'istanza di Google SecOps al progetto selezionato e aprire la pagina Deployment.

    La pagina Deployment mostra i dettagli finali dell'istanza e del servizio e richiede il tuo consenso prima di eseguire il ddx finale.

    La pagina è composta dalle seguenti sezioni che mostrano campi precompilati non modificabili. A questo punto, questi dettagli possono essere modificati solo contattando un rappresentante di Google, se necessario:

    1. Dettagli istanza

      Vengono visualizzati i dettagli dell'istanza impostati nel contratto, ad esempio azienda, regione, livello del pacchetto e durata della conservazione dei dati.

      Fai clic su Avanti per visualizzare la sezione successiva.

    2. Rivedi il service account

      Vengono visualizzati i dettagli del account di servizio da creare.

      Fai clic su Avanti per visualizzare la sezione successiva.

    3. Configurare il Single Sign-On (SSO)

      Scegli un provider SSO configurato. Seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

      • Google Cloud Identity:

        Seleziona questa opzione se utilizzi Cloud Identity o Google Workspace.

      • Federazione delle identità della forza lavoro:

        Se utilizzi un provider di identità di terze parti, seleziona il tuo provider di forza lavoro dall'elenco.

        Se non vedi il tuo provider di identità nell'elenco, configuralo e poi selezionalo dall'elenco. Per i dettagli, vedi Configurare un provider di identità di terze parti.

        Fai clic su Avanti per visualizzare la sezione successiva.

    4. Termini di servizio

      1. Seleziona la casella di controllo Accetto... per accettare i termini.
      2. Fai clic su Avvia configurazione per eseguire il deployment dell'istanza di Google SecOps in base ai dettagli visualizzati.

  4. Fai clic qui per continuare con il passaggio Avanti.

Esegui la migrazione di un'istanza Google SecOps esistente

Le sezioni seguenti spiegano come eseguire la migrazione di un'istanza Google SecOps esistente per collegarla a un progetto Google Cloud e utilizzare IAM per controllo dell'accesso dell'accesso alle funzionalità.

Link a un progetto e a un fornitore di forza lavoro

La seguente procedura descrive come connettere un'istanza Google SecOps esistente a un progetto Google Cloud e configurare il servizio SSO utilizzando i servizi di federazione delle identità della forza lavoro IAM.

  1. Accedi a Google SecOps.

  2. Seleziona Impostazioni > Impostazioni SIEM.

  3. Fai clic su Google Cloud Platform.

  4. Inserisci l'ID progetto Google Cloud per collegare il progetto all'istanza di Google SecOps.

  5. Fai clic su Genera link.

  6. Fai clic su Connetti a Google Cloud Platform. Si apre la console Google Cloud . Se hai inserito un ID progetto errato nell'applicazione Google SecOps, torna alla pagina Google Cloud Platform in Google SecOps e inserisci l'ID progetto corretto. Google Cloud

  7. Nella console Google Cloud , vai a Sicurezza > Google SecOps.

  8. Verifica l'account di servizio creato per il progetto Google Cloud .

  9. In Configura Single Sign-On (SSO), seleziona una delle seguenti opzioni in base al provider di identità che utilizzi per gestire l'accesso di utenti e gruppi a Google SecOps:

    • Se utilizzi Cloud Identity o Google Workspace, seleziona Google Cloud Identity.

    • Se utilizzi un provider di identità di terze parti, seleziona Federazione delle identità per la forza lavoro, quindi seleziona il provider della forza lavoro che vuoi utilizzare. Hai configurato questo elemento durante la configurazione della federazione delle identità per la forza lavoro.

  10. Se hai selezionato Federazione delle identità della forza lavoro, fai clic con il tasto destro del mouse sul link Testa configurazione SSO e poi aprilo in una finestra privata o di navigazione in incognito.

  11. Continua con la sezione successiva: Migra le autorizzazioni esistenti a IAM.

Esegui la migrazione delle autorizzazioni esistenti a IAM

Dopo aver eseguito la migrazione di un'istanza Google SecOps esistente, puoi utilizzare i comandi generati automaticamente per eseguire la migrazione di ruoli e autorizzazioni esistenti a IAM. Google SecOps crea questi comandi utilizzando la configurazione controllo dell'accesso RBAC delle funzionalità pre-migrazione. Quando vengono eseguiti, creano nuove policy IAM equivalenti alla configurazione esistente, come definito in Google SecOps nella pagina Impostazioni SIEM > Utenti e gruppi.

Dopo aver eseguito questi comandi, non puoi ripristinare la funzionalità di controllo dell'accesso RBAC delle funzionalità precedente. Se riscontri un problema, contatta l'assistenza tecnica.

  1. Nella console Google Cloud , vai a Sicurezza > Google SecOps > scheda Gestione dell'accesso.
  2. In Migra associazioni di ruoli, vedrai un insieme di comandi Google Cloud CLI generati automaticamente.
  3. Esamina e verifica che i comandi creino le autorizzazioni previste. Per informazioni su ruoli e autorizzazioni di Google SecOps, consulta Come vengono mappate le autorizzazioni IAM a ogni ruolo RBAC delle funzionalità.
  4. Avvia una sessione di Cloud Shell.
  5. Copia i comandi generati automaticamente, poi incollali ed eseguili in gcloud CLI.
  6. Dopo aver eseguito tutti i comandi, fai clic su Verifica accesso. In caso di esito positivo, vedrai il messaggio Accesso verificato in Gestione accessi di Google SecOps. In caso contrario, visualizzerai il messaggio Accesso negato. Potrebbero essere necessari un paio di minuti prima che venga visualizzato.
  7. Per completare la migrazione, torna alla scheda Sicurezza > Google SecOps > Gestione dell'accesso e poi fai clic su Attiva IAM.
  8. Verifica di poter accedere a Google SecOps come utente con il ruolo Amministratore API Chronicle.
    1. Accedi a Google SecOps come utente con il ruolo predefinito Amministratore API Chronicle. Per maggiori dettagli, vedi Accedere a Google SecOps.
    2. Apri la pagina Impostazioni SIEM > Utenti e gruppi. Dovresti visualizzare il messaggio: Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud . Scopri di più sulla gestione di utenti e gruppi.
  9. Accedi a Google SecOps come utente con un ruolo diverso. Per maggiori dettagli, vedi Accedere a Google SecOps.
  10. Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definite in IAM.

Modificare la configurazione SSO

Le sezioni seguenti descrivono come cambiare i provider di identità:

Modificare il provider di identità di terze parti

  1. Configura il nuovo provider di identità di terze parti e il pool di identità per la forza lavoro.

  2. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi IDP, modifica la Mappatura dei gruppi IDP in modo che faccia riferimento ai gruppi nel nuovo identity provider.

Aggiornare le impostazioni SSO

Per modificare la configurazione SSO per Google SecOps:

  1. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  2. Vai a Sicurezza > Google SecOps.

  3. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. Questa pagina mostra gli IdP che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  4. Utilizza il menu Single Sign-On per cambiare i provider SSO.

  5. Fai clic con il tasto destro del mouse sul link Test SSO setup (Testa configurazione SSO), quindi apri una finestra privata o di navigazione in incognito.

  6. Torna alla console Google Cloud , fai clic sulla pagina Sicurezza > Google SecOps > Panoramica e poi sulla scheda Single Sign-On.

  7. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  8. Verifica di poter accedere a Google SecOps.

Esegui la migrazione dal provider di identità di terze parti a Cloud Identity

Completa i seguenti passaggi per modificare la configurazione SSO in modo da utilizzare Google Cloud Identity anziché un provider di identità di terze parti:

  1. Assicurati di configurare Cloud Identity o Google Workspace come provider di identità.
  2. Concedi i ruoli IAM predefiniti di Chronicle e i ruoli personalizzati a utenti e gruppi nel progetto associato a Google SecOps.
  3. Concedi il ruolo Amministratore Chronicle SOAR agli utenti o ai gruppi pertinenti.

  4. In Google SecOps, in Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi IDP, aggiungi Amministratore SOAR di Chronicle. Per maggiori informazioni, vedi Mappatura dei gruppi IdP.

  5. Apri la console Google Cloud e seleziona il progetto Google Cloud associato a Google SecOps.

  6. Vai a Sicurezza > Chronicle SecOps.

  7. Nella pagina Panoramica, fai clic sulla scheda Single Sign-On. Questa pagina mostra gli IdP che hai configurato durante la configurazione di un provider di identità di terze parti per Google SecOps.

  8. Seleziona la casella di controllo Google Cloud Identity.

  9. Fai clic con il tasto destro del mouse sul link Test SSO setup (Testa configurazione SSO), quindi apri una finestra privata o di navigazione in incognito.

    • Se vedi una schermata di accesso, la configurazione SSO è riuscita. Continua con il passaggio successivo.
    • Se non vedi una schermata di accesso, controlla la configurazione del provider di identità.

  10. Torna alla console Google Cloud , quindi fai clic su Sicurezza > Chronicle SecOps > pagina Panoramica > scheda Single Sign-On.

  11. Fai clic su Salva nella parte inferiore della pagina per aggiornare il nuovo fornitore.

  12. Verifica di poter accedere a Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.