Google SecOps インスタンスを Google Cloud サービスにリンクする

Google Security Operations インスタンスは、認証などの特定の主要機能について Google Cloud サービスに依存しています。

このドキュメントでは、新しいデプロイを設定する場合でも、既存の Google SecOps インスタンスを移行する場合でも、これらのサービスにリンクするようにインスタンスを構成する方法について説明します。

始める前に

Google Cloudサービスで Google SecOps インスタンスを構成する前に、次の操作を行う必要があります。

• 権限を確認します。このドキュメントの手順を完了するために必要な権限があることを確認します。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールと権限をご覧ください。

• プロジェクトの設定を選択する: Google SecOps インスタンス用に新しい Google Cloudプロジェクトを作成するか、既存の Google Cloud プロジェクトにリンクできます。

  新しい Google Cloud プロジェクトを作成して Chronicle API を有効にするには、 Google Cloud プロジェクトを作成するの手順に沿って操作します。

• Google SecOps インスタンスの SSO プロバイダを構成する: Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ（IdP）を次のように使用できます。

  • サードパーティの IdP を使用している場合は、

    Google SecOps 用にサードパーティ ID プロバイダを構成する。

  • Cloud Identity または Google Workspace を使用している場合は、

    Google SecOps 用に Google Cloud ID プロバイダを構成する。

マネージド セキュリティ サービス プロバイダ（MSSP）用に作成された Google SecOps インスタンスをリンクするには、Google SecOps の担当者にお問い合わせください。セットアップには、Google SecOps 担当者のサポートが必要です。

Google SecOps インスタンスを Google Cloud プロジェクトにリンクすると、Google SecOps インスタンスは構成の準備が整います。取り込んだデータを調べ、潜在的なセキュリティ脅威がないかプロジェクトをモニタリングできるようになりました。

新しい Google SecOps インスタンスを構成する

新しいインスタンスをプロジェクトにリンクすると、次のような認証機能とモニタリング機能が有効になります。

• 認証、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などのさまざまな Google Cloud サービスにアクセスするための Cloud Identity の統合。

• 既存のサードパーティ IdP での認証をサポートする IAM と Workforce Identity 連携。

Google SecOps インスタンスを Google Cloud プロジェクトにリンクする手順は次のとおりです。

1. 組織が Google SecOps の顧客契約に署名すると、オンボーディング担当者に有効化リンクを含むオンボーディング招待メールが届きます。有効化リンクは 1 回のみ有効です。

   オンボーディングの招待メールで、 Google Cloudに移動の有効化リンクをクリックして、[SecOps をプロジェクトにリンク] ページを開きます。

2. [プロジェクトを選択] をクリックして、[リソースを選択] ページを開きます。

3. [リソースを選択] ページで、新しい Google SecOps インスタンスをリンクする Google Cloud プロジェクトを選択します。移行には次の 2 つの方法がございます。

   • オプション 1: 新しい Google Cloud プロジェクトを作成する:

     [新しいプロジェクト] をクリックし、 Google Cloud プロジェクトを作成するで説明されている手順に沿って操作します。

   • オプション 2: リストから既存のプロジェクトを選択します。

     既存のプロジェクトを選択するで説明されている手順に沿って操作します。

4. [次へ] をクリックします。

   [オンボーディング] ページに、事前入力されたオンボーディング情報が表示されます。デプロイ プロセスが完了するまでに 最大 15 分かかることがあります。

   デプロイが正常に完了すると、通知が届きます。デプロイが失敗した場合は、サポートにお問い合わせください。

5. デプロイが正しいことを確認します。

   • インスタンス情報を表示するには、https://console.cloud.google.com/security/chronicle/settings に移動します。

   • 情報を更新するには、サポートにお問い合わせください。

既存のプロジェクトを選択

1. [リソースを選択] ページで、リストから組織を選択します。

   Google Cloud プロジェクトとフォルダのリストが表示されます。

   • これらは Google SecOps インスタンスと同じ組織に属し、同じ請求先アカウントを持っています。

   • プロジェクトまたはフォルダの横に 警告 警告アイコンが表示されている場合は、そのプロジェクトを選択できません。アイコンの上にポインタを置くと、権限がない、請求先が一致しないなどの理由が表示されます。

2. 次の基準に基づいてプロジェクトを選択します。

   • インスタンスを Google Cloud プロジェクトにリンクするための条件:

     • Google Cloud プロジェクトが別の Google SecOps インスタンスにリンクされていない必要があります。

     • プロジェクトにアクセスして操作するために必要な IAM 権限がある。 Google Cloud プロジェクトを追加する権限をご覧ください。

     • コンプライアンス制御テナント（インスタンス）の場合、プロジェクトは Assured Workloads フォルダに存在する必要があります。詳細については、Workforce Identity 連携をご覧ください。

     コンプライアンス制御テナント（インスタンス）は、FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1、DRZ_ADVANCED のいずれかのコンプライアンス制御基準に準拠しています。

   • コンプライアンス制御テナント（インスタンス）の Google Cloud プロジェクトを選択するには:

     1. Assured Workloads フォルダを選択して開きます。
     2. Assured Workloads フォルダ内で、Google Cloud プロジェクトの名前をクリックして、[SecOps をプロジェクトにリンク] ページを開きます。
     3. IdP を構成するの説明に沿って構成を完了します。

   • 非準拠制御テナント（インスタンス）の Google Cloud プロジェクトを選択するには:

     1. 有効な Google Cloud プロジェクトの名前をクリックして、[SecOps をプロジェクトにリンク] ページを開きます。

     2. [SecOps をプロジェクトにリンク] ページで、必要に応じて別のプロジェクトを選択します。そのためには、プロジェクトをクリックして、[リソースを選択] ページを再度表示します。

3. [次へ] をクリックして、Google SecOps インスタンスを選択したプロジェクトにリンクし、[デプロイ] ページを開きます。

   [Deployment] ページには、インスタンスとサービスの詳細が表示されます。最終的な ddx を実行する前に、同意が必要です。

   このページは、事前入力された編集不可のフィールドを表示する次のセクションで構成されています。現時点では、必要に応じて Google の担当者に連絡することで、以下の詳細のみを変更できます。

   1. インスタンスの詳細

      契約で設定されたインスタンスの詳細（会社、リージョン、パッケージ階層、データ保持期間など）が表示されます。

      [次へ] をクリックして、次のセクションを表示します。

   2. サービス アカウントを確認する

      作成するサービス アカウントの詳細が表示されます。

      [次へ] をクリックして、次のセクションを表示します。

   3. シングル サインオン（SSO）を設定する

      構成済みの SSO プロバイダを選択します。Google SecOps へのユーザーとグループのアクセス権の管理に使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。

      • Google Cloud Identity:

        Cloud Identity または Google Workspace を使用している場合は、これを選択します。

      • Workforce Identity 連携:

        サードパーティの ID プロバイダを使用している場合は、リストからワークフォース プロバイダを選択します。

        ID プロバイダが表示されない場合は、プロバイダを構成してから、リストからプロバイダを選択します。詳細については、サードパーティの ID プロバイダを構成するをご覧ください。

        [次へ] をクリックして、次のセクションを表示します。

   4. 利用規約

      1. [I agree to...] チェックボックスをオンにして、利用規約に同意します。
      2. [設定を開始] をクリックして、表示された詳細に従って Google SecOps インスタンスをデプロイします。

4. ここをクリックして、次のステップに進みます。

既存の Google SecOps インスタンスを移行する

以降のセクションでは、既存の Google SecOps インスタンスを移行して、 Google Cloud プロジェクトにリンクし、IAM を使用して機能アクセス制御を行う方法について説明します。

プロジェクトと人材派遣会社へのリンク

次の手順では、既存の Google SecOps インスタンスを Google Cloud プロジェクトに接続し、IAM Workforce Identity 連携サービスを使用して SSO を構成する方法について説明します。

1. Google SecOps にログインします。

2. [設定] > [SIEM の設定] を選択します。

3. [Google Cloud Platform] をクリックします。

4. プロジェクト ID を入力して、 Google Cloud プロジェクトを Google SecOps インスタンスにリンクします。

5. [リンクを生成] をクリックします。

6. [ Google Cloud Platform に接続] をクリックします。 Google Cloud コンソールが開きます。Google SecOps アプリケーションに間違った Google Cloud プロジェクト ID を入力した場合は、Google SecOps の [Google Cloud Platform] ページに戻り、正しいプロジェクト ID を入力します。

7. Google Cloud コンソールで、[セキュリティ] > [Google SecOps] に移動します。

8. Google Cloud プロジェクト用に作成されたサービス アカウントを確認します。

9. [シングル サインオンを構成する] で、Google SecOps へのユーザーとグループのアクセス権の管理に使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。

   • Cloud Identity または Google Workspace を使用している場合は、[Google Cloud Identity] を選択します。

   • サードパーティの ID プロバイダを使用している場合は、[Workforce Identity 連携] を選択し、使用する Workforce プロバイダを選択します。これは、Workforce Identity 連携を構成するときに設定します。

10. [Workforce Identity 連携] を選択した場合は、[SSO のセットアップのテスト] リンクを右クリックして、プライベート ウィンドウまたはシークレット ウィンドウで開きます。

    • ログイン画面が表示されたら、SSO の設定は成功しています。
    • ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。

11. 次のセクション（既存の権限を IAM に移行する）に進みます。

既存の権限を IAM に移行する

既存の Google SecOps インスタンスを移行したら、自動生成されたコマンドを使用して、既存の権限とロールを IAM に移行できます。Google SecOps は、移行前の機能 RBAC アクセス制御構成を使用してこれらのコマンドを作成します。実行すると、Google SecOps の [SIEM 設定] > [ユーザーとグループ] ページで定義されている既存の構成と同等の新しい IAM ポリシーが作成されます。

これらのコマンドを実行すると、前の機能 RBAC アクセス制御機能に戻すことはできません。問題が発生した場合は、テクニカル サポートにお問い合わせください。

1. Google Cloud コンソールで、[セキュリティ] > [Google SecOps] > [アクセス管理] タブに移動します。
2. [ロール バインディングを移行する] に、自動生成された一連の Google Cloud CLI コマンドが表示されます。
3. コマンドが想定どおりの権限を作成することを確認します。Google SecOps のロールと権限の詳細については、IAM 権限が各機能 RBAC ロールをマッピングする方法をご覧ください。
4. Cloud Shell セッションを開始する
5. 自動生成されたコマンドをコピーし、gcloud CLI に貼り付けて実行します。
6. すべてのコマンドを実行したら、[アクセス権を確認する] をクリックします。成功すると、Google SecOps [アクセス管理] に「アクセスが確認されました」というメッセージが表示されます。それ以外の場合は、「アクセスが拒否されました」というメッセージが表示されます。表示されるまでに 1～2 分かかることがあります。
7. 移行を完了するには、[セキュリティ] > [Google SecOps] > [アクセス管理] タブに戻り、[IAM を有効にする] をクリックします。
8. Chronicle API 管理者ロールを持つユーザーとして Google SecOps にアクセスできることを確認します。
   1. Chronicle API 管理者の事前定義ロールを持つユーザーとして Google SecOps にログインします。詳細については、Google SecOps にログインするをご覧ください。
   2. [SIEM 設定] > [ユーザーとグループ] ページを開きます。「ユーザーとグループを管理するには、 Google Cloud コンソールで Identity Access Management（IAM）に移動します」というメッセージが表示されます。ユーザーとグループの管理についての詳細
9. 別のロールを持つユーザーとして Google SecOps にログインします。詳細については、Google SecOps にログインするをご覧ください。
10. アプリケーションで利用可能な機能が、IAM で定義されている権限と一致していることを確認します。

SSO 構成を変更する

以降のセクションでは、ID プロバイダを変更する方法について説明します。

• サードパーティの ID プロバイダを変更する
• サードパーティの ID プロバイダから Cloud Identity に移行する

サードパーティの ID プロバイダを変更する

1. 新しいサードパーティ ID プロバイダと Workforce Identity プールを設定します。

2. Google SecOps で [設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、IdP グループ マッピングを新しい ID プロバイダの参照グループに変更します。

SSO 設定を更新する

Google SecOps の SSO 構成を変更するには、次の手順を行います。

1. Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。

2. [セキュリティ] > [Google SecOps] に移動します。

3. [概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するで構成した IdP が表示されます。

4. [シングル サインオン] メニューを使用して SSO プロバイダを変更します。

5. [SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。

   • ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
   • ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。

6. Google Cloud コンソールに戻り、[セキュリティ] > [Google SecOps] > [概要] ページをクリックして、[シングル サインオン] タブをクリックします。

7. ページ下部の [保存] をクリックして、新しいプロバイダに更新します。

8. Google SecOps にログインできることを確認します。

サードパーティの ID プロバイダから Cloud Identity に移行する

次の手順で、SSO の構成をサードパーティの ID プロバイダを使用する状態から Google Cloud Identity を使用するように変更します。

1. ID プロバイダとして Cloud Identity または Google Workspace を構成します。
2. Google SecOps にバインドされたプロジェクトのユーザーとグループに、事前定義された Chronicle IAM のロールとカスタムロールを付与します。
3. 関連するユーザーまたはグループに Chronicle SOAR 管理者ロールを付与します。

4. Google SecOps で、[設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、Chronicle SOAR 管理者を追加します。詳細については、IdP グループのマッピングをご覧ください。

5. Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。

6. [セキュリティ] > [Chronicle SecOps] に移動します。

7. [概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するで構成した IdP が表示されます。

8. [Google Cloud Identity] チェックボックスをオンにします。

9. [SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。

   • ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
   • ログイン画面が表示されない場合は、ID プロバイダの構成を確認してください。

10. Google Cloud コンソールに戻り、[セキュリティ] > [Chronicle SecOps] > [概要] ページ > [シングル サインオン] タブの順にクリックします。

11. ページ下部の [保存] をクリックして、新しいプロバイダに更新します。

12. Google SecOps にログインできることを確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。