Esta página foi traduzida pela API Cloud Translation.

Vincular uma instância do Google SecOps aos serviços Google Cloud

Compatível com:

Google SecOps SIEM

Uma instância do Google Security Operations depende de serviços do Google Cloud para algumas funcionalidades importantes, como autenticação.

Este documento explica como configurar sua instância para vincular a esses serviços, seja ao configurar uma nova implantação ou migrar uma instância existente do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com serviços do Google Cloud, faça o seguinte:

Verifique as permissões. Verifique se você tem as permissões necessárias para concluir as etapas deste documento. Para informações sobre as permissões necessárias em cada fase do processo de integração, consulte Papéis e permissões necessários.
Escolha a configuração do projeto: você pode criar um novo projeto Google Cloudpara sua instância do Google SecOps ou vincular a um projeto Google Cloud existente.

Para criar um projeto Google Cloud e ativar a API Chronicle, siga as etapas em Criar um projeto Google Cloud .
Configure um provedor de SSO para a instância do Google SecOps: use o Cloud Identity, o Google Workspace ou um provedor de identidade (IdP) de terceiros, da seguinte forma:
- Se você usa um IdP de terceiros, siga as etapas em
  
  Configure um provedor de identidade terceirizado para o Google SecOps.
- Se você usa o Cloud Identity ou o Google Workspace, siga as etapas em
  
  Configure um provedor de identidade do Google Cloud para o Google SecOps.

Para vincular uma instância do Google SecOps criada para um provedor de serviços de segurança gerenciados (MSSP), entre em contato com seu representante do Google SecOps. A configuração requer a assistência de um representante do Google SecOps.

Depois de vincular uma instância do Google SecOps a um projeto Google Cloud , ela estará pronta para mais configurações. Agora é possível examinar os dados ingeridos e monitorar o projeto para identificar possíveis ameaças à segurança.

Configurar uma nova instância do Google SecOps

Ao vincular a nova instância a um projeto, você ativa recursos de autenticação e monitoramento, incluindo:

Integração do Cloud Identity para acessar uma variedade de serviços do Google Cloud , como autenticação, Identity and Access Management, Cloud Monitoring e Registros de auditoria do Cloud.
Suporte do IAM e da federação de identidade de colaboradores para autenticação com seu IdP de terceiros atual.

Para vincular uma instância do Google SecOps a um projeto Google Cloud , siga estas etapas:

Depois que sua organização assinar o contrato de cliente do Google SecOps, o PME de integração vai receber um e-mail de convite com um link de ativação. O link de ativação é válido para uso único.

No e-mail de convite para integração, clique no link de ativação Acessar Google Cloud para abrir a página Vincular o SecOps a um projeto.
Clique em Selecionar um projeto para abrir a página Selecionar um recurso.
Na página Selecionar um recurso, escolha um projeto Google Cloud para vincular sua nova instância do Google SecOps. Existem duas opções:
- Opção 1: Criar um novo Google Cloud projeto:
  
  Clique em Novo projeto e siga as etapas descritas em Criar um projeto do Google Cloud .
- Opção 2: Selecione um projeto na lista:
  
  Siga as etapas descritas em Selecionar um projeto atual.
Clique em Próxima.

A página Integração mostra as informações pré-preenchidas. O processo de implantação pode levar até 15 minutos para ser concluído.

Quando a implantação for concluída, você vai receber uma notificação. Se a implantação falhar, entre em contato com o suporte.
Verifique se a implantação está correta da seguinte maneira:
- Para ver informações da instância, acesse https://console.cloud.google.com/security/chronicle/settings.
- Para atualizar qualquer informação, entre em contato com o suporte.

Selecionar um projeto existente

Na página Selecionar um recurso, escolha sua Organização na lista.

Uma lista dos projetos e pastas Google Cloud é exibida.
- Elas pertencem à mesma organização da instância do Google SecOps e têm a mesma conta de faturamento.
- Se você vir o ícone de aviso Warning ao lado de um projeto ou pasta, isso significa que o projeto não pode ser selecionado. Mantenha o ponteiro sobre o ícone para ver o motivo, por exemplo, permissões ausentes ou incompatibilidade de faturamento.
Selecione um projeto com base nos seguintes critérios:
- Critérios para vincular uma instância a um Google Cloud projeto:
  - O projeto Google Cloud não pode estar vinculado a outra instância do Google SecOps.
  - Você tem as permissões do IAM necessárias para acessar e trabalhar com o projeto. Consulte Permissões para adicionar um projeto Google Cloud .
  - Para um locatário (instância) controlado por compliance, o projeto precisa estar em uma pasta do Assured Workloads. Consulte Federação de identidade de colaboradores para mais detalhes.
  Um locatário (instância) controlado por compliance obedece a um dos seguintes padrões de controle de compliance: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.
- Para selecionar um projeto Google Cloud para um locatário (instância) controlado por compliance:
  1. Selecione uma pasta do Assured Workloads para abrir.
  2. Na pasta do Assured Workloads, clique no nome de um projetoGoogle Cloud para abrir a página Vincular o SecOps a um projeto.
  3. Conclua a configuração descrita em Configurar o IdP.
- Para selecionar um projeto Google Cloud para um locatário (instância) controlado por não conformidade:
  1. Clique no nome de um projeto Google Cloud válido para abrir a página Vincular o SecOps a um projeto.
  2. Na página Vincular o SecOps a um projeto, selecione outro projeto, se necessário. Para fazer isso, clique no projeto para mostrar a página Selecionar um recurso novamente.
Clique em Próxima para vincular sua instância do Google SecOps ao projeto selecionado e abra a página Implantação.

A página Implantação mostra os detalhes finais da instância e do serviço e exige seu consentimento antes de realizar o ddx final.

A página consiste nas seguintes seções que mostram campos pré-preenchidos não editáveis. Neste momento, esses detalhes só podem ser alterados entrando em contato com um representante do Google, se necessário:
1. Detalhes da instância
  
  Os detalhes da instância definidos no seu contrato são exibidos, por exemplo, empresa, região, nível do pacote e duração da retenção de dados.
  
  Clique em Próxima para exibir a próxima seção.
2. Revisar a conta de serviço
  
  Os detalhes da conta de serviço a ser criada são exibidos.
  
  Clique em Próxima para exibir a próxima seção.
3. Configurar o logon único (SSO)
  
  Escolha um provedor de SSO configurado. Selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos ao Google SecOps:
  - Google Cloud Identity:
    
    Selecione essa opção se você estiver usando o Cloud Identity ou o Google Workspace.
  - Federação de identidade da força de trabalho:
    
    Se você estiver usando um provedor de identidade de terceiros, selecione seu provedor de força de trabalho na lista.
    
    Se o provedor de identidade não estiver listado, configure-o e selecione na lista. Para mais detalhes, consulte Configurar um provedor de identidade de terceiros.
    
    Clique em Próxima para exibir a próxima seção.
4. Termos de Serviço
  1. Marque a caixa de seleção Concordo com... para aceitar os termos.
  2. Clique em Iniciar configuração para implantar sua instância do Google SecOps, de acordo com os detalhes mostrados.
Clique aqui para continuar para a etapa Próxima.

Migrar uma instância do Google SecOps

As seções a seguir explicam como migrar uma instância atual do Google SecOps para vinculá-la a um projeto Google Cloud e usar o IAM para controle de acesso a recursos.

Vincular a um projeto e um provedor de força de trabalho

O procedimento a seguir descreve como conectar uma instância do Google SecOps a um projeto Google Cloud e configurar o SSO usando os serviços de federação de identidade da força de trabalho do IAM.

Faça login no Google SecOps.
Selecione Configurações > Configurações do SIEM.
Clique em Google Cloud Platform.
Insira o ID do projeto Google Cloud para vincular o projeto à instância do Google SecOps.
Clique em Gerar link.
Clique em Conectar ao Google Cloud Platform. O console Google Cloud é aberto. Se você inseriu um ID de projeto Google Cloud incorreto no aplicativo do Google SecOps, volte para a página Google Cloud Platform no Google SecOps e insira o ID do projeto correto.
No console Google Cloud , acesse Segurança > Google SecOps.
Verifique a conta de serviço criada para o projeto Google Cloud .
Em Configurar o Logon único, selecione uma das seguintes opções com base no provedor de identidade usado para gerenciar o acesso de usuários e grupos ao Google SecOps:
- Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.
- Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade de colaboradores e escolha o provedor que quer usar. Você configura isso ao configurar a federação de identidade de colaboradores.
Se você selecionou Federação de identidade da força de trabalho, clique com o botão direito do mouse no link Testar configuração do SSO e abra em uma janela anônima ou particular.
- Se uma tela de login aparecer, a configuração do SSO foi bem-sucedida.
- Se uma tela de login não aparecer, verifique a configuração do provedor de identidade terceirizado. Consulte Configurar um provedor de identidade de terceiros para o Google SecOps.
Continue com a próxima seção: Migrar permissões atuais para o IAM.

Migrar permissões atuais para o IAM

Depois de migrar uma instância do Google SecOps, use comandos gerados automaticamente para migrar permissões e papéis atuais para o IAM. O Google SecOps cria esses comandos usando sua configuração de controle de acesso RBAC de recursos pré-migração. Quando executados, eles criam novas políticas do IAM equivalentes à sua configuração atual, conforme definido no Google SecOps em Configurações do SIEM > Usuários e grupos.

Depois de executar esses comandos, não será possível reverter para o recurso anterior de controle de acesso RBAC de recursos. Se você tiver um problema, entre em contato com o suporte técnico.

No console Google Cloud , acesse a guia Segurança > Google SecOps > Gerenciamento de acesso.
Em Migrar vinculações de função, você vai encontrar um conjunto de comandos da Google Cloud CLI gerados automaticamente.
Analise e verifique se os comandos criam as permissões esperadas. Para informações sobre papéis e permissões do Google SecOps, consulte Como as permissões do IAM são mapeadas para cada papel do RBAC de recursos.
Inicie uma sessão do Cloud Shell.
Copie os comandos gerados automaticamente, cole e execute na CLI gcloud.
Depois de executar todos os comandos, clique em Verificar acesso. Se a operação for bem-sucedida, a mensagem Acesso verificado vai aparecer no Gerenciamento de acesso do Google SecOps. Caso contrário, a mensagem Acesso negado vai aparecer. Isso pode levar de um a dois minutos para aparecer.
Para concluir a migração, volte à guia Segurança > Google SecOps > Gerenciamento de acesso e clique em Ativar o IAM.
Verifique se você pode acessar o Google SecOps como um usuário com a função de administrador da API Chronicle.
1. Faça login no Google SecOps como um usuário com a função predefinida de administrador da API Chronicle. Para mais detalhes, consulte Fazer login no Google SecOps.
2. Abra a página Configurações do SIEM > Usuários e grupos. A mensagem Para gerenciar usuários e grupos, acesse Identity Access Management (IAM) no console do Google Cloud . Saiba como gerenciar usuários e grupos.
Faça login no Google SecOps como um usuário com uma função diferente. Para mais detalhes, consulte Fazer login no Google SecOps.
Verifique se os recursos disponíveis no aplicativo correspondem às permissões definidas no IAM.

Mudar a configuração do SSO

As seções a seguir descrevem como mudar provedores de identidade:

Mudar o provedor de identidade de terceiros
Migrar de um provedor de identidade de terceiros para o Cloud Identity

Mudar o provedor de identidade terceirizado

Configure o novo provedor de identidade terceirizado e o pool de identidades de colaboradores.
No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos do IdP, mude o Mapeamento de grupos do IdP para referenciar grupos no novo provedor de identidade.

Importante: se você não mudar essa configuração antes de alterar o provedor de identidade nas etapas a seguir, vai receber um erro HTTP 403 ao acessar o Google SecOps. Se isso acontecer, entre em contato com o suporte.

Atualizar configurações de SSO

Siga estas etapas para mudar a configuração de SSO do Google SecOps:

Abra o console Google Cloud e selecione o projeto Google Cloud vinculado ao Google SecOps.
Acesse Segurança > Google SecOps.
Na página Visão geral, clique na guia Single Sign-On. Esta página mostra os IdPs que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.
Use o menu Logon único para mudar os provedores de SSO.
Clique com o botão direito do mouse no link Test SSO setup e abra uma janela anônima ou privada.
- Se uma tela de login aparecer, a configuração do SSO foi bem-sucedida. Continue com a próxima etapa.
- Se uma tela de login não aparecer, verifique a configuração do provedor de identidade terceirizado. Consulte Configurar um provedor de identidade de terceiros para o Google SecOps.
Volte ao console Google Cloud , clique na página Segurança > Google SecOps > Visão geral e depois na guia Single Sign-On.
Clique em Salvar na parte de baixo da página para atualizar o novo provedor.
Verifique se é possível fazer login no Google SecOps.

Migrar de um provedor de identidade terceirizado para o Cloud Identity

Conclua as etapas a seguir para mudar a configuração de SSO de um provedor de identidade de terceiros para o Google Cloud Identity:

Configure o Cloud Identity ou o Google Workspace como provedor de identidade.
Conceda as funções predefinidas do IAM do Chronicle e as funções personalizadas a usuários e grupos no projeto vinculado ao Google SecOps.
Conceda a função Administrador do Chronicle SOAR aos usuários ou grupos relevantes.
No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos do IDP, adicione o Administrador do SOAR do Chronicle. Para mais informações, consulte Mapeamento de grupos do IdP.

Importante: atualize essa configuração antes de mudar o IdP nas etapas a seguir. Se você pular esta etapa, vai ocorrer um erro HTTP 403 ao acessar o Google SecOps. Se você encontrar esse erro, entre em contato com o suporte.
Abra o console Google Cloud e selecione o projeto Google Cloud vinculado ao Google SecOps.
Acesse Segurança > Chronicle SecOps.
Na página Visão geral, clique na guia Single Sign-On. Esta página mostra os IdPs que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.
Marque a caixa de seleção Google Cloud Identity.
Clique com o botão direito do mouse no link Test SSO setup e abra uma janela anônima ou privada.
- Se uma tela de login aparecer, a configuração do SSO foi bem-sucedida. Continue com a próxima etapa.
- Se uma tela de login não aparecer, verifique a configuração do provedor de identidade.
Volte ao console Google Cloud e clique em Segurança > Chronicle SecOps > página Visão geral > guia Single Sign-On.
Clique em Salvar na parte de baixo da página para atualizar o novo provedor.
Verifique se é possível fazer login no Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.