Google SecOps 인스턴스를 Google Cloud 서비스에 연결

Google Security Operations 인스턴스는 인증과 같은 특정 주요 기능에 Google Cloud 서비스를 사용합니다.

이 문서에서는 새 배포를 설정하든 기존 Google SecOps 인스턴스를 마이그레이션하든 이러한 서비스에 연결하도록 인스턴스를 구성하는 방법을 설명합니다.

시작하기 전에

Google Cloud서비스로 Google SecOps 인스턴스를 구성하기 전에 다음을 수행해야 합니다.

• 권한 확인 이 문서의 단계를 완료하는 데 필요한 권한이 있는지 확인합니다. 온보딩 프로세스의 각 단계에 필요한 권한에 대한 자세한 내용은 필수 역할 및 권한을 참고하세요.

• 프로젝트 설정 선택: Google SecOps 인스턴스용 새 Google Cloud프로젝트를 만들거나 기존 Google Cloud 프로젝트에 연결할 수 있습니다.

  새 Google Cloud 프로젝트를 만들고 Chronicle API를 사용 설정하려면 Google Cloud 프로젝트 만들기의 단계를 따르세요.

• Google SecOps 인스턴스의 SSO 공급업체 구성: 다음과 같이 Cloud ID, Google Workspace 또는 서드 파티 ID 공급업체 (IdP)를 사용할 수 있습니다.

  • 서드 파티 IdP를 사용하는 경우

    Google SecOps의 서드 파티 ID 공급업체 구성

  • Cloud ID 또는 Google Workspace를 사용하는 경우

    Google SecOps의 Google Cloud ID 공급업체 구성

관리형 보안 서비스 제공업체 (MSSP)용으로 만든 Google SecOps 인스턴스를 연결하려면 Google SecOps 담당자에게 문의하세요. 설정에는 Google SecOps 담당자의 지원이 필요합니다.

Google SecOps 인스턴스를 Google Cloud 프로젝트에 연결하면 Google SecOps 인스턴스를 추가로 구성할 수 있습니다. 이제 처리된 데이터를 검사하고 프로젝트에서 잠재적인 보안 위협을 모니터링할 수 있습니다.

새 Google SecOps 인스턴스 구성

새 인스턴스를 프로젝트에 연결하면 다음과 같은 인증 및 모니터링 기능을 사용할 수 있습니다.

• 인증, Identity and Access Management, Cloud Monitoring, Cloud 감사 로그와 같은 다양한 Google Cloud 서비스에 액세스하기 위한 Cloud Identity 통합

• 기존 서드 파티 IdP로 인증하기 위한 IAM 및 직원 ID 제휴 지원

Google SecOps 인스턴스를 Google Cloud 프로젝트에 연결하려면 다음 단계를 따르세요.

1. 조직에서 Google SecOps 고객 계약에 서명하면 온보딩 SME가 활성화 링크가 포함된 온보딩 초대 이메일을 받습니다. 활성화 링크는 한 번만 사용할 수 있습니다.

   온보딩 초대 이메일에서 Google Cloud로 이동 활성화 링크를 클릭하여 SecOps를 프로젝트에 연결 페이지를 엽니다.

2. 프로젝트 선택을 클릭하여 리소스 선택 페이지를 엽니다.

3. 리소스 선택 페이지에서 새 Google SecOps 인스턴스를 연결할 Google Cloud 프로젝트를 선택합니다. 다음의 2가지 옵션이 있습니다.

   • 옵션 1: 새 Google Cloud 프로젝트 만들기

     새 프로젝트를 클릭하고 프로젝트 만들기 Google Cloud 에 설명된 단계를 따릅니다.

   • 옵션 2: 목록에서 기존 프로젝트 선택

     기존 프로젝트 선택에 설명된 단계를 따릅니다.

4. 프로젝트를 선택하면 시스템에서 연락처 추가 버튼이 사용 설정되고 필수 연락처 추가 섹션에 필수 연락처 표가 표시됩니다. 이 표에는 알림 카테고리와 각 카테고리에 할당된 담당자의 이메일 주소가 표시됩니다.

   기술, 보안, 법무, 결제 등 최소한 다음 네 가지 필수 알림 카테고리에 담당자를 할당합니다.

   다음과 같이 하나 이상의 알림 카테고리에 연락처를 할당합니다.

   1. 연락처 수정 창을 열려면 연락처 추가를 클릭하거나 기존 연락처가 있는 알림 카테고리에서 수정 수정을 클릭합니다.

   2. 담당자의 이메일 주소를 입력하고 알림 카테고리를 하나 이상 선택합니다.

   3. 저장을 클릭합니다.

5. 다음을 클릭합니다.

   시스템에서 Chronicle API가 사용 설정되어 있는지 확인합니다. 사용 설정하면 온보딩 페이지에 미리 채워진 온보딩 정보가 표시되고 배포 프로세스가 실행됩니다. 이 프로세스를 완료하는 데 최대 15분이 걸릴 수 있습니다.

   배포가 완료되면 알림이 전송됩니다. 배포가 실패하면 Google SecOps 지원팀에 문의하세요.

6. 다음과 같이 배포가 올바른지 확인합니다.

   • 인스턴스 정보를 보려면https://console.cloud.google.com/security/chronicle/settings로 이동하세요.

   • 정보를 업데이트하려면 Google SecOps 지원팀에 문의하세요.

기존 프로젝트 선택

1. 리소스 선택 페이지의 목록에서 조직을 선택합니다.

   페이지에 Google Cloud 프로젝트 및 폴더 목록이 표시됩니다.

   • 이러한 프로젝트는 Google SecOps 인스턴스와 동일한 조직에 속하며 동일한 결제 계정을 사용합니다.

   • 프로젝트 또는 폴더 옆에 경고 경고 아이콘이 있으면 선택할 수 없습니다. 아이콘 위로 포인터를 가져가면 권한 누락 또는 결제 불일치와 같은 이유가 표시됩니다.

2. 다음 기준에 따라 프로젝트를 선택합니다.

   • 인스턴스를 Google Cloud 프로젝트에 연결하기 위한 기준:

     • Google Cloud 프로젝트가 이미 다른 Google SecOps 인스턴스에 연결되어 있으면 안 됩니다.

     • 프로젝트에 액세스하고 작업하는 데 필요한 IAM 권한이 있습니다( Google Cloud 프로젝트 추가 권한 참고).

     • 규정 준수 제어 테넌트 (인스턴스)의 경우 프로젝트가 Assured Workloads 폴더에 있어야 합니다. 자세한 내용은 직원 ID 제휴를 참고하세요.

       규정 준수 제어 테넌트 (인스턴스)는 FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 또는 DRZ_ADVANCED 규정 준수 제어 표준 중 하나를 준수합니다.

   • 규정 준수 제어 테넌트 (인스턴스)의 Google Cloud 프로젝트를 선택하려면 다음 단계를 따르세요.

     1. Assured Workloads 폴더를 선택하여 엽니다.
     2. Assured Workloads 폴더 내에서Google Cloud 프로젝트의 이름을 클릭하여 SecOps를 프로젝트에 연결 페이지를 엽니다.
     3. IdP 구성에 설명된 구성을 완료합니다.

   • 규정 미준수 제어 테넌트 (인스턴스)의 Google Cloud 프로젝트를 선택하려면 다음 단계를 따르세요.

     1. 유효한 Google Cloud 프로젝트의 이름을 클릭하여 SecOps를 프로젝트에 연결 페이지를 엽니다.

     2. SecOps를 프로젝트에 연결 페이지에서 필요한 경우 다른 프로젝트를 선택합니다. 이렇게 하려면 프로젝트를 클릭하여 리소스 선택 페이지를 다시 표시합니다.

3. 다음을 클릭하여 Google SecOps 인스턴스를 선택한 프로젝트에 연결하고 배포 페이지를 엽니다.

   배포 페이지에는 인스턴스 및 서비스의 최종 세부정보가 표시되며 최종 ddx를 실행하기 전에 동의가 필요합니다. 페이지는 미리 채워져 있고 수정할 수 없는 필드를 표시하는 섹션으로 구성됩니다. Google 담당자만 이 세부정보를 변경할 수 있습니다.

   다음 각 섹션의 세부정보를 검토하세요. 다음을 클릭하여 다음 섹션으로 이동합니다.

   1. 인스턴스 세부정보

      이 페이지에는 계약에 설정된 인스턴스 세부정보(예: 회사, 지역, 패키지 등급, 데이터 보관 기간)가 표시됩니다.

      다음을 클릭하여 다음 섹션을 표시합니다.

   2. 서비스 계정 검토

      페이지에 생성할 서비스 계정의 세부정보가 표시됩니다.

      다음을 클릭하여 다음 섹션을 표시합니다.

   3. 싱글 사인온 (SSO) 구성하기

      구성된 SSO 제공업체를 선택합니다. Google SecOps에 대한 사용자 및 그룹 액세스를 관리하는 데 사용하는 ID 공급업체에 따라 다음 옵션 중 하나를 선택합니다.

      • Google Cloud ID:

        Cloud ID 또는 Google Workspace를 사용하는 경우 선택합니다.

      • 직원 ID 제휴:

        서드 파티 ID 공급업체를 사용하는 경우 목록에서 직원 제공업체를 선택합니다.

        ID 공급업체가 표시되지 않으면 공급업체를 구성한 다음 목록에서 공급업체를 선택합니다. 자세한 내용은 서드 파티 ID 공급업체 구성을 참고하세요.

        다음을 클릭하여 다음 섹션을 표시합니다.

   4. 서비스 약관

      1. 동의함... 체크박스를 선택하여 약관에 동의합니다.
      2. 표시된 세부정보에 따라 설정 시작을 클릭하여 Google SecOps 인스턴스를 배포합니다.

4. 여기를 클릭하여 다음 단계로 계속 진행하세요.

기존 Google SecOps 인스턴스 마이그레이션

다음 섹션에서는 기존 Google SecOps 인스턴스를 마이그레이션하여 Google Cloud 프로젝트에 연결하고 IAM을 사용하여 기능 액세스 제어를 관리하는 방법을 설명합니다.

프로젝트 및 직원 제공업체에 연결

다음 절차에서는 기존 Google SecOps 인스턴스를 Google Cloud 프로젝트와 연결하고 IAM 직원 ID 제휴 서비스를 사용하여 SSO를 구성하는 방법을 설명합니다.

1. Google SecOps에 로그인합니다.

2. 설정 > SIEM 설정을 선택합니다.

3. Google Cloud Platform을 클릭합니다.

4. Google Cloud 프로젝트 ID를 입력하여 프로젝트를 Google SecOps 인스턴스에 연결합니다.

5. 링크 생성을 클릭합니다.

6. Google Cloud 플랫폼에 연결을 클릭합니다. Google Cloud 콘솔이 열립니다. Google SecOps 애플리케이션에 잘못된 Google Cloud 프로젝트 ID를 입력한 경우 Google SecOps의 Google Cloud Platform 페이지로 돌아가서 올바른 프로젝트 ID를 입력합니다.

7. Google Cloud 콘솔에서 보안 > Google SecOps로 이동합니다.

8. 시스템에서 Google Cloud 프로젝트에 만든 서비스 계정을 확인합니다.

9. 싱글 사인온(SSO) 구성에서 Google SecOps에 대한 사용자 및 그룹 액세스를 관리하는 데 사용하는 ID 공급업체에 따라 다음 옵션 중 하나를 선택합니다.

   • Cloud ID 또는 Google Workspace를 사용하는 경우 Google Cloud ID를 선택합니다.

   • 서드 파티 ID 공급업체를 사용하는 경우 직원 ID 제휴를 선택한 후 사용할 직원 제공업체를 선택합니다. 직원 ID 제휴를 구성할 때 이를 설정합니다.

10. 직원 ID 제휴를 선택한 경우 SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창에서 엽니다.

    • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다.
    • 로그인 화면이 표시되지 않으면 서드 파티 ID 공급업체 구성을 확인합니다. Google SecOps의 서드 파티 ID 공급업체 구성을 참조하세요.

11. 다음 섹션인 기존 권한을 IAM으로 마이그레이션으로 계속 진행합니다.

기존 권한을 IAM으로 마이그레이션

기존 Google SecOps 인스턴스를 마이그레이션한 후에는 자동 생성된 명령어를 사용하여 기존 권한과 역할을 IAM으로 마이그레이션할 수 있습니다. Google SecOps는 마이그레이션 전 기능 RBAC 액세스 제어 구성을 사용하여 이러한 명령어를 만듭니다. 실행하면 Google SecOps의 SIEM 설정 > 사용자 및 그룹 페이지에 정의한 기존 구성과 동일한 새 IAM 정책이 생성됩니다.

이 명령어를 실행한 후에는 이전 기능 RBAC 액세스 제어 기능으로 되돌릴 수 없습니다. 문제가 발생하면 Google SecOps 기술 지원팀에 문의하세요.

1. Google Cloud 콘솔에서 보안 > Google SecOps > 액세스 관리 탭으로 이동합니다.
2. 역할 바인딩 마이그레이션 아래에 자동 생성된 Google Cloud CLI 명령어 집합이 표시됩니다.
3. 명령어에서 예상 권한을 만드는지 검토하고 확인합니다. Google SecOps 역할과 권한에 대한 자세한 내용은 IAM 권한이 각 기능 RBAC 역할에 매핑되는 방식을 참고하세요.
4. Cloud Shell 세션을 실행합니다.
5. 자동 생성된 명령어를 복사한 후 gcloud CLI에 붙여넣고 실행합니다.
6. 모든 명령어를 실행한 후 액세스 확인을 클릭합니다. 성공하면 Google SecOps 액세스 관리에 액세스 확인됨 메시지가 표시됩니다. 그렇지 않으면 액세스 거부됨 메시지가 표시됩니다. 표시되는 데 1~2분 정도 걸릴 수 있습니다.
7. 마이그레이션을 완료하려면 보안 > Google SecOps > 액세스 관리 탭으로 돌아간 후 IAM 사용 설정을 클릭합니다.
8. Chronicle API 관리자 역할이 있는 사용자로 Google SecOps에 액세스할 수 있는지 확인합니다.
   1. Chronicle API 관리자 사전 정의된 역할이 있는 사용자로 Google SecOps에 로그인합니다. 자세한 내용은 Google SecOps에 로그인을 참고하세요.
   2. SIEM 설정 > 사용자 및 그룹 페이지를 엽니다. 사용자와 그룹을 관리하려면 Google Cloud 콘솔에서 Identity Access Management (IAM)로 이동하세요. 사용자와 그룹을 관리하는 방법을 자세히 알아보세요. 메시지가 표시됩니다.
9. 다른 역할이 있는 사용자로 Google SecOps에 로그인합니다. 자세한 내용은 Google SecOps에 로그인을 참고하세요.
10. 애플리케이션에서 사용 가능한 기능이 IAM에 정의된 권한과 일치하는지 확인합니다.

SSO 구성 변경

다음 섹션에서는 ID 공급업체를 변경하는 방법을 설명합니다.

• 서드 파티 ID 공급업체 변경
• 서드 파티 ID 공급업체에서 Cloud ID로 마이그레이션

서드 파티 ID 공급업체 변경

1. 새 서드 파티 ID 공급업체 및 직원 ID 풀을 설정합니다.

2. Google SecOps의 설정 > SOAR 설정 > 고급 > IDP 그룹 매핑에서 IdP 그룹 매핑이 새 ID 공급업체의 그룹을 참조하도록 변경합니다.

SSO 설정 업데이트

Google SecOps의 SSO 구성을 변경하려면 다음 단계를 완료합니다.

1. Google Cloud 콘솔을 열고 Google SecOps에 바인딩된 Google Cloud 프로젝트를 선택합니다.

2. 보안 > Google SecOps로 이동합니다.

3. 개요 페이지에서 싱글 사인온(SSO) 탭을 클릭합니다. 이 페이지에는 Google SecOps에 서드 파티 ID 공급업체를 구성할 때 구성한 IdP가 표시됩니다.

4. 싱글 사인온(SSO) 메뉴를 사용하여 SSO 제공업체를 변경합니다.

5. SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창을 엽니다.

   • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다. 다음 단계로 계속 진행합니다.
   • 로그인 화면이 표시되지 않으면 서드 파티 ID 공급업체의 구성을 확인합니다. Google SecOps의 서드 파티 ID 공급업체 구성을 참조하세요.

6. Google Cloud 콘솔로 돌아가서 보안 > Google SecOps > 개요 페이지를 클릭한 다음 싱글 사인온(SSO) 탭을 클릭합니다.

7. 페이지 하단의 저장을 클릭하여 새 공급업체를 업데이트합니다.

8. Google SecOps에 로그인할 수 있는지 확인합니다.

서드 파티 ID 공급업체에서 Cloud ID로 마이그레이션

SSO 구성을 서드 파티 ID 공급업체 사용에서 Google Cloud ID 사용으로 변경하려면 다음 단계를 완료합니다.

1. Cloud ID 또는 Google Workspace를 ID 공급업체로 구성해야 합니다.
2. Google SecOps에 바인딩된 프로젝트의 사용자 및 그룹에 사전 정의된 Chronicle IAM 역할과 커스텀 역할을 부여합니다.
3. 관련 사용자 또는 그룹에 Chronicle SOAR 관리자 역할을 부여합니다.

4. Google SecOps의 설정 > SOAR 설정 > 고급 > IDP 그룹 매핑에서 Chronicle SOAR 관리자를 추가합니다. 자세한 내용은 IdP 그룹 매핑을 참고하세요.

5. Google Cloud 콘솔을 열고 Google SecOps에 바인딩된 Google Cloud 프로젝트를 선택합니다.

6. 보안 > Chronicle SecOps로 이동합니다.

7. 개요 페이지에서 싱글 사인온(SSO) 탭을 클릭합니다. 이 페이지에는 Google SecOps에 서드 파티 ID 공급업체를 구성할 때 구성한 IdP가 표시됩니다.

8. Google Cloud ID 체크박스를 선택합니다.

9. SSO 설정 테스트 링크를 마우스 오른쪽 버튼으로 클릭한 후 비공개 창이나 시크릿 창을 엽니다.

   • 로그인 화면이 표시되면 SSO 설정이 성공한 것입니다. 다음 단계로 계속 진행합니다.
   • 로그인 화면이 표시되지 않으면 ID 공급업체 구성을 확인합니다.

10. Google Cloud 콘솔로 돌아가서 보안 > Chronicle SecOps > 개요 페이지 > 싱글 사인온(SSO) 탭을 차례로 클릭합니다.

11. 페이지 하단의 저장을 클릭하여 새 공급업체를 업데이트합니다.

12. Google SecOps에 로그인할 수 있는지 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.