Vincular o Google SecOps aos serviços do Google Cloud

Compatível com:

O Google SecOps depende dos serviços do Google Cloud para determinados recursos, como a autenticação. Este documento descreve como configurar uma instância do Google SecOps para se vincular a esses serviços do Google Cloud. Ele fornece informações para usuários que estão configurando uma nova instância do Google SecOps e para aqueles que estão migrando uma instância do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com os serviços do Google Cloud, faça o seguinte:

Preencha uma das seções a seguir para clientes novos ou atuais.

Se você quiser vincular uma instância das Operações de segurança do Google criada para uma instância provedor de serviços de nuvem (MSSPs), entre em contato com seu Engenheiro de clientes do Google SecOps para receber ajuda. A configuração requer a assistência de um representante da Google Security Operations.

Depois de concluir as etapas para vincular o projeto do Google Cloud ao Google SecOps, é possível examinar os dados do projeto do Google Cloud no Google SecOps. Assim, você pode monitorar de perto seu projeto em busca de qualquer tipo de comprometimento de segurança.

Migrar uma instância atual do Google SecOps

As seções a seguir descrevem como migrar uma instância do Google SecOps para que ela seja vinculada a um projeto do Google Cloud e use o IAM para gerenciar o controle de acesso a recursos.

Vincular-se a um provedor de projeto e de força de trabalho

O procedimento a seguir descreve como conectar uma conta do Google SecOps instância a um projeto do Google Cloud e configurar o SSO usando o IAM serviços de federação de identidade de colaboradores.

  1. Faça login no Google SecOps.

  2. Na barra de navegação, selecione Configurações > Configurações do SIEM.

  3. Clique em Google Cloud Platform.

  4. Insira o ID do projeto do Google Cloud para vinculá-lo à instância do Google SecOps.

  5. Clique em Gerar link.

  6. Clique em Conectar ao Google Cloud Platform. O console do Google Cloud é aberto. Se você inseriu um ID de projeto do Google Cloud incorreto no aplicativo Google SecOps, volte à página Google Cloud Platform no Google SecOps e insira o ID correto.

  7. No console do Google Cloud, acesse Segurança > Google SecOps.

  8. Verifique a conta de serviço criada para o projeto do Google Cloud.

  9. Em Configurar logon único, selecione uma das seguintes opções com base no provedor de identidade usado para gerenciar o acesso de usuários e grupos ao Google SecOps:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade de colaboradores, e selecione o provedor de força de trabalho que você quer usar. Você configura isso ao configurar a federação de identidade da força de trabalho.

  10. Se você selecionou Workforce Identity Federation, clique com o botão direito do mouse em Test SSO setup. e abri-lo em uma janela privada ou anônima.

  11. Continue na próxima seção: Migre as permissões atuais para o IAM.

Migrar permissões atuais para o IAM

Depois de migrar uma instância do Google SecOps, use comandos gerados automaticamente para migrar as permissões e funções atuais para o IAM. O Google SecOps cria estes comandos usando sua configuração de controle de acesso RBAC de recurso pré-migração. Quando executados, eles criam novas políticas do IAM equivalentes às suas definida pelo Google SecOps na Configurações do SIEM > Usuários e grupos.

Depois de executar esses comandos, não será possível voltar para o RBAC de recurso anterior recurso de controle de acesso. Se você encontrar um problema, entre em contato com o suporte técnico.

  1. No console do Google Cloud, acesse a guia Security > Google SecOps > Gerenciamento de acesso.
  2. Em Migrar vinculações de papéis, você verá um conjunto de papéis comandos da Google Cloud CLI.
  3. Revise e verifique se os comandos criam as permissões esperadas. Para mais informações sobre os papéis e permissões do Google SecOps, consulte Como as permissões do IAM são mapeadas para cada papel do RBAC de recurso.
  4. Inicie uma sessão do Cloud Shell.
  5. Copie os comandos gerados automaticamente, cole e execute na CLI gcloud.
  6. Depois de executar todos os comandos, clique em Verificar acesso. Se tudo der certo, a mensagem Acesso verificado vai aparecer no Gerenciamento de acesso do Google SecOps. Caso contrário, você verá a mensagem Acesso negado. Isso pode levar de um a dois minutos para aparecer.
  7. Para concluir a migração, retorne ao painel Segurança > Google SecOps > Acesso Management e depois em Ativar IAM.
  8. Verifique se você tem acesso ao Google SecOps como usuário com o Administrador da API Chronicle.
    1. Faça login no Google SecOps como usuário com o administrador da API Chronicle predefinido. Consulte Fazer login nas Operações de segurança do Google para mais informações.
    2. Abra o menu do aplicativo > Configurações > Usuários e Grupos. A mensagem a seguir será exibida: Para gerenciar usuários e grupos, acesse Identity Access Management (IAM) no console do Google Cloud. Saiba mais sobre como gerenciar usuários e grupos.
  9. Faça login no Google SecOps como um usuário com uma função diferente. Consulte Fazer login no Google SecOps para mais informações.
  10. Verificar se os recursos disponíveis no aplicativo correspondem às permissões definidos no IAM.

Configurar uma nova instância do Google SecOps

O procedimento a seguir descreve como configurar um novo Google SecOps pela primeira vez, depois de configurar o projeto do Google Cloud e os serviços de federação de identidade de colaboradores do IAM para vincular ao Google SecOps.

Se você for um novo cliente do Google SecOps, conclua as seguintes etapas:

  1. Criar um projeto do Google Cloud e ativar a API Google SecOps. Consulte Configurar um projeto do Google Cloud para o Google SecOps para mais informações.

  2. Informe o ID do projeto ao Engenheiro de clientes do Google SecOps que você planeja vincular à instância do Google SecOps. Depois do Google SecOps o engenheiro de clientes iniciar o processo, e você receberá um e-mail de confirmação.

  3. Abra o console do Google Cloud e selecione o projeto do Google Cloud que você fornecido na etapa anterior.

  4. Acesse Segurança > Google SecOps.

  5. Se você não tiver ativado a API do Google SecOps, Botão Vamos começar. Clique no botão Primeiros passos e siga as etapas guiadas para ativar a API Google SecOps.

  6. Na seção Company Information, insira as informações da sua empresa e clique em Next.

  7. Analise as informações da conta de serviço e clique em Próxima. O Google SecOps cria uma conta de serviço no projeto e define os papéis e permissões necessários.

  8. Selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos às Operações de segurança do Google:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione a Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione a força de trabalho de nuvem que você quer usar. Isso é definido ao configurar a federação de identidade de colaboradores.

  9. Em Insira os grupos de administradores do IdP aqui, digite o nome comum de um ou mais grupos de IdP que incluem administradores que configuram o acesso dos usuários a recursos relacionados ao SOAR. Você identificou e criou esses grupos quando definiu atributos e grupos de usuários no IdP.

  10. Abra os Termos de Serviço. Se você concordar com os termos, clique em Iniciar configuração.

    Pode levar até 15 minutos para a instância do Google Security Operations ser provisionado. Você vai receber uma notificação quando o provisionamento da instância for concluído. Se a configuração falhar, entre em contato com o representante do cliente do Google Cloud.

  11. Se você selecionou Google Cloud Identity, conceda um papel do Google Security Operations a usuários e grupos que usam o IAM para que eles possam fazer login no Google Security Operations. Realize esta etapa usando o limite de operações de segurança do Google o projeto do Google Cloud criado anteriormente.

    O comando a seguir concede o papel de leitor da API Chronicle (roles/chronicle.viewer) a um único usuário usando gcloud.

    Para usar o console do Google Cloud, consulte Conceder um único papel.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--role roles/chronicle.viewer \
--member='EMAIL_ALIAS"

    Substitua:

    Para exemplos de como atribuir papéis a outros membros, como um grupo ou domínio, consulte documentação de referência do gcloud projects add-iam-policy-binding e identificadores principais.

Alterar a configuração de logon único (SSO)

As seções a seguir descrevem como alterar provedores de identidade:

Mudar o provedor de identidade terceirizado

  1. Configure o novo provedor de identidade de terceiros e o novo pool de identidades de colaboradores.

  2. No Google SecOps, em Configurações > Configurações de SOAR > Avançado > Mapeamento de grupo do IdP mude o mapeamento de grupo do IdP para fazer referência a grupos no novo provedor de identidade.

Conclua as etapas a seguir para alterar a configuração do SSO do Google SecOps:

  1. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculadas ao Google SecOps.

  2. Acesse Segurança > Google SecOps.

  3. Na página Visão geral, clique na guia Single Sign-On. Esta página mostra os provedores que você definiu ao configurar um provedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Logon único para alterar os provedores de SSO.

  5. Clique com o botão direito do mouse no link Test SSO setup e abra uma janela privada ou anônima.

  6. Volte ao console do Google Cloud e clique em Segurança > Google SecOps > Visão geral e, em seguida, clique na guia Logon único.

  7. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  8. Verifique se você consegue fazer login no Google SecOps.

Migrar do provedor de identidade terceirizado para o Cloud Identity

Conclua as etapas a seguir para alterar a configuração do SSO de usar um provedor de identidade de terceiros para o Google Cloud Identity:

  1. Configure o Cloud Identity ou o Google Workspace como o provedor de identidade.
  2. Conceda as permissões e os papéis predefinidos do IAM do Chronicle a usuários e grupos no projeto vinculado ao Google SecOps.

  3. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo de provedor de identidade, mude o Mapeamento de grupo de provedor de identidade para grupos de referência no novo provedor de identidade.

  4. Abra o console do Google Cloud e selecione o projeto do Google Cloud vinculadas ao Google SecOps.

  5. Acesse Segurança > Chronicle SecOps.

  6. Na página Overview, clique na guia Single Sign-On. Esta página mostra os provedores que você definiu ao configurar um provedor de identidade de terceiros para o Google SecOps.

  7. Marque a caixa de seleção Google Cloud Identity.

  8. Clique com o botão direito do mouse no link Test SSO setup e abra uma janela privada ou anônima.

    • Se uma tela de login aparecer, a configuração do SSO terá sido concluída. Continue para a próxima etapa.
    • Se você não vir uma tela de login, verifique a configuração do provedor de identidade.

  9. Volte ao console do Google Cloud e clique em Segurança > Chronicle SecOps > Página Visão geral > Guia Single Sign-On.

  10. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  11. Verifique se você consegue fazer login no Google SecOps.