Associe uma instância do Google SecOps a Google Cloud serviços

Compatível com:

Uma instância do Google Security Operations depende de Google Cloud serviços para determinadas capacidades importantes, como a autenticação.

Este documento explica como configurar a sua instância para criar uma associação a estes serviços, quer esteja a configurar uma nova implementação ou a migrar uma instância existente do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com Google Cloud serviços, tem de fazer o seguinte:

Para associar uma instância do Google SecOps criada para um fornecedor de serviços de segurança geridos (MSSP), contacte o seu representante do Google SecOps. A configuração requer a assistência de um representante da Google SecOps.

Depois de associar uma instância do Google SecOps a um Google Cloud projeto, a instância do Google SecOps está agora pronta para configuração adicional. Agora, pode examinar os dados carregados e monitorizar o projeto para detetar potenciais ameaças de segurança.

Configure uma nova instância do Google SecOps

A associação da nova instância a um projeto ativa as funcionalidades de autenticação e monitorização, incluindo:

  • Integração do Cloud ID para aceder a uma variedade de Google Cloud serviços, como a autenticação, a gestão de identidade e de acesso, o Cloud Monitoring e os Cloud Audit Logs.

  • IAM e suporte da federação de identidade da força de trabalho para autenticação com o seu IdP de terceiros existente.

Para associar uma instância do Google SecOps a um Google Cloud projeto, siga estes passos:

  1. Depois de a sua organização assinar o contrato de cliente do Google SecOps, o especialista de integração recebe um email de convite para a integração com um link de ativação. O link de ativação é válido apenas para uma utilização.

    No email de convite de integração, clique no link de ativação Aceder a Google Cloud para abrir a página Associe o SecOps a um projeto.

  2. Clique em Selecionar um projeto para abrir a página Selecionar um recurso.

  3. Na página Selecionar um recurso, selecione um Google Cloud projeto para associar à sua nova instância do Google SecOps. Existem duas opções:

  4. Clicar em Seguinte.

    A página Integração apresenta as informações de integração pré-preenchidas. O processo de implementação pode demorar até 15 minutos a ser concluído.

    Quando a implementação for concluída com êxito, recebe uma notificação. Se a implementação falhar, contacte o apoio técnico.

  5. Confirme se a implementação está correta da seguinte forma:

    • Para ver informações da instância, aceda a https://console.cloud.google.com/security/chronicle/settings.

    • Para atualizar quaisquer informações, contacte o apoio técnico.

Selecione um projeto existente

  1. Na página Selecionar um recurso, selecione a sua organização na lista.

    É apresentada uma lista dos Google Cloud projetos e pastas.

    • Estes pertencem à mesma organização que a instância do Google SecOps e têm a mesma conta de faturação.

    • Se vir o aviso Aviso junto a um projeto ou uma pasta, significa que não é possível selecionar o projeto. Passe o ponteiro do rato sobre o ícone para ver o motivo, por exemplo, autorizações em falta ou incompatibilidade de faturação.

  2. Selecione um projeto com base nos seguintes critérios:

    • Critérios para associar uma instância a um Google Cloud projeto:

      Um inquilino (instância) controlado pela conformidade está em conformidade com uma das seguintes normas de controlo de conformidade: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.

    • Para selecionar um Google Cloud projeto para um inquilino (instância) controlado pela conformidade:

      1. Selecione uma pasta do Assured Workloads para a abrir.
      2. Na pasta Assured Workloads, clique no nome de um Google Cloud projeto para abrir a página Associe o SecOps a um projeto.
      3. Conclua a configuração descrita em Configure o IdP.

    • Para selecionar um Google Cloud projeto para um inquilino (instância) controlado por não conformidade:

      1. Clique no nome de um projeto Google Cloud válido para abrir a página Associe o SecOps a um projeto.

      2. Na página Associe o SecOps a um projeto, selecione um projeto diferente, se necessário. Para o fazer, clique no projeto para apresentar novamente a página Selecionar um recurso.

  3. Clique em Seguinte para associar a sua instância do Google SecOps ao projeto selecionado e abrir a página Implementação.

    A página Implementação apresenta os detalhes finais da instância e do serviço, e requer o seu consentimento antes de executar o DDX final.

    A página consiste nas seguintes secções que apresentam campos não editáveis pré-preenchidos. Neste momento, estes detalhes só podem ser alterados contactando um representante da Google, se necessário:

    1. Detalhes da instância

      São apresentados os detalhes da instância definidos no seu contrato, por exemplo, a empresa, a região, o nível do pacote e a duração da retenção de dados.

      Clique em Seguinte para apresentar a secção seguinte.

    2. Reveja a conta de serviço

      São apresentados os detalhes da conta de serviço a criar.

      Clique em Seguinte para apresentar a secção seguinte.

    3. Configure o Início de sessão único (SSO)

      Escolha um fornecedor de SSO configurado. Selecione uma das seguintes opções com base no fornecedor de identidade que usa para gerir o acesso de utilizadores e grupos ao Google SecOps:

      • Google Cloud Identity:

        Selecione esta opção se estiver a usar o Cloud ID ou o Google Workspace.

      • Federação de identidade da força de trabalho:

        Se estiver a usar um fornecedor de identidade de terceiros, selecione o seu fornecedor de força de trabalho na lista.

        Se não vir o seu fornecedor de identidade listado, configure o fornecedor e, de seguida, selecione-o na lista. Para ver detalhes, consulte o artigo Configure um fornecedor de identidade de terceiros.

        Clique em Seguinte para apresentar a secção seguinte.

    4. Termos de Utilização

      1. Selecione a caixa de verificação Aceito os... para aceitar os termos.
      2. Clique em Iniciar configuração para implementar a sua instância do Google SecOps, de acordo com os detalhes apresentados.

  4. Clique aqui para continuar para o passo Seguinte.

Migre uma instância do Google SecOps existente

As secções seguintes explicam como migrar uma instância do Google SecOps existente para a associar a um Google Cloud projeto e usar o IAM para o controlo de acesso a funcionalidades.

Associe a um projeto e a um fornecedor de mão de obra

O procedimento seguinte descreve como associar uma instância existente do Google SecOps a um projeto e configurar o SSO através dos serviços de federação de identidades da força de trabalho do IAM. Google Cloud

  1. Inicie sessão no Google SecOps.

  2. Selecione Definições > Definições do SIEM.

  3. Clique em Google Cloud Platform.

  4. Introduza o Google Cloud ID do projeto para associar o projeto à instância do Google SecOps.

  5. Clique em Gerar associação.

  6. Clique em Associar à Google Cloud plataforma. A Google Cloud consola é aberta. Se introduziu um ID do projeto incorreto na aplicação Google SecOps, regresse à página da Google Cloud Platform no Google SecOps e introduza o ID do projeto correto. Google Cloud

  7. Na Google Cloud consola, aceda a Segurança > Google SecOps.

  8. Valide a conta de serviço que foi criada para o Google Cloud projeto.

  9. Em Configurar Início de sessão único, selecione uma das seguintes opções com base no fornecedor de identidade que usa para gerir o acesso de utilizadores e grupos ao Google SecOps:

    • Se estiver a usar o Cloud ID ou o Google Workspace, selecione Google Cloud ID.

    • Se estiver a usar um fornecedor de identidade de terceiros, selecione Federação de identidade da força de trabalho e, de seguida, selecione o fornecedor da força de trabalho que quer usar. Configura esta opção quando configura a federação de identidade da força de trabalho.

  10. Se selecionou Workforce Identity Federation, clique com o botão direito do rato no link Testar configuração do SSO e, em seguida, abra-o numa janela privada ou de navegação anónima.

  11. Continue com a secção seguinte: Migre as autorizações existentes para o IAM.

Migre as autorizações existentes para o IAM

Depois de migrar uma instância do Google SecOps existente, pode usar comandos gerados automaticamente para migrar as autorizações e funções existentes para o IAM. O Google SecOps cria estes comandos usando a sua configuração de controlo de acesso RBAC de funcionalidades pré-migração. Quando executados, criam novas políticas de IAM equivalentes à sua configuração existente, conforme definido no Google SecOps na página Definições de SIEM > Utilizadores e grupos.

Depois de executar estes comandos, não pode reverter para a funcionalidade de controlo de acesso RBAC de funcionalidades anterior. Se encontrar um problema, contacte o apoio técnico.

  1. Na Google Cloud consola, aceda a Segurança > Google SecOps > separador Gestão de acesso.
  2. Em Migrar associações de funções, é apresentado um conjunto de comandos da Google Cloud CLI gerados automaticamente.
  3. Reveja e verifique se os comandos criam as autorizações esperadas. Para obter informações sobre as funções e as autorizações do Google SecOps, consulte o artigo Como as autorizações de IAM são mapeadas para cada função de CABF de funcionalidades.
  4. Inicie uma sessão do Cloud Shell.
  5. Copie os comandos gerados automaticamente e, em seguida, cole-os e execute-os na CLI gcloud.
  6. Depois de executar todos os comandos, clique em Validar acesso. Se tiver êxito, vê a mensagem Acesso validado na gestão de acesso do Google SecOps. Caso contrário, é apresentada a mensagem Acesso negado. Pode demorar entre 1 e 2 minutos a aparecer.
  7. Para concluir a migração, regresse ao separador Segurança > Google SecOps > Gestão de acesso e, de seguida, clique em Ativar IAM.
  8. Verifique se consegue aceder ao Google SecOps como utilizador com a função de administrador da API Chronicle.
    1. Inicie sessão no Google SecOps como um utilizador com a função predefinida de administrador da API Chronicle. Para mais detalhes, consulte o artigo Inicie sessão no Google SecOps.
    2. Abra a página Definições do SIEM > Utilizadores e grupos. Deve ver a mensagem: Para gerir utilizadores e grupos, aceda a Identity Access Management (IAM) na consola Google Cloud . Saiba mais sobre a gestão de utilizadores e grupos.
  9. Inicie sessão no Google SecOps como um utilizador com uma função diferente. Para mais detalhes, consulte o artigo Inicie sessão no Google SecOps.
  10. Verifique se as funcionalidades disponíveis na aplicação correspondem às autorizações definidas no IAM.

Altere a configuração do SSO

As secções seguintes descrevem como alterar os fornecedores de identidade:

Altere o Fornecedor de identidade de terceiros

  1. Configure o novo Fornecedor de identidade de terceiros e o Workforce Identity Pool.

  2. No Google SecOps, em Definições > Definições de SOAR > Avançadas > Mapeamento de grupos de IDP, altere o mapeamento de grupos de IDP para referenciar grupos no novo fornecedor de identidade.

Atualize as definições de SSO

Conclua os passos seguintes para alterar a configuração do SSO para o Google SecOps:

  1. Abra a Google Cloud consola e, de seguida, selecione o Google Cloud projeto associado ao Google SecOps.

  2. Aceda a Segurança > Google SecOps.

  3. Na página Vista geral, clique no separador Início de sessão único. Esta página apresenta os IdPs que configurou quando configurou um fornecedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Início de sessão único para alterar os fornecedores de SSO.

  5. Clique com o botão direito do rato no link Testar configuração do SSO e, de seguida, abra uma janela privada ou de navegação anónima.

  6. Regresse à Google Cloud consola, clique na página Segurança > Google SecOps > Vista geral e, de seguida, clique no separador Início de sessão único.

  7. Clique em Guardar na parte inferior da página para atualizar o novo fornecedor.

  8. Verifique se consegue iniciar sessão no Google SecOps.

Migre do fornecedor de identidade de terceiros para o Cloud ID

Conclua os passos seguintes para alterar a configuração do SSO de um fornecedor de identidade de terceiros para o Google Cloud Identity:

  1. Certifique-se de que configura o Cloud ID ou o Google Workspace como fornecedor de identidade.
  2. Conceda as funções predefinidas do IAM do Chronicle e as funções personalizadas a utilizadores e grupos no projeto associado ao Google SecOps.
  3. Conceda a função Administrador do Chronicle SOAR aos utilizadores ou grupos relevantes.

  4. No Google SecOps, em Definições > Definições de SOAR > Avançadas > Mapeamento de grupos de IDP, adicione o administrador do Chronicle SOAR. Para mais informações, consulte o artigo Mapeamento de grupos do IdP.

  5. Abra a Google Cloud consola e, de seguida, selecione o Google Cloud projeto associado ao Google SecOps.

  6. Aceda a Segurança > Chronicle SecOps.

  7. Na página Vista geral, clique no separador Início de sessão único. Esta página apresenta os IdPs que configurou quando configurou um fornecedor de identidade de terceiros para o Google SecOps.

  8. Selecione a caixa de verificação Google Cloud ID.

  9. Clique com o botão direito do rato no link Testar configuração do SSO e, de seguida, abra uma janela privada ou de navegação anónima.

    • Se vir um ecrã de início de sessão, a configuração do SSO foi bem-sucedida. Continue com o passo seguinte.
    • Se não vir um ecrã de início de sessão, verifique a configuração do fornecedor de identidade.

  10. Regresse à Google Cloud consola e, de seguida, clique em Segurança > Chronicle SecOps > página Vista geral > separador Início de sessão único.

  11. Clique em Guardar na parte inferior da página para atualizar o novo fornecedor.

  12. Verifique se consegue iniciar sessão no Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.