Vincular uma instância do Google SecOps a Google Cloud serviços

Compatível com:

Uma instância do Google Security Operations depende de serviços Google Cloud para determinados recursos importantes, como a autenticação.

Neste documento, explicamos como configurar sua instância para vincular a esses serviços, seja para configurar uma nova implantação ou migrar uma instância do Google SecOps.

Antes de começar

Antes de configurar uma instância do Google SecOps com serviços Google Cloud, faça o seguinte:

Para vincular uma instância do Google SecOps criada para um provedor de serviços de segurança gerenciados (MSSP, na sigla em inglês), entre em contato com seu representante do Google SecOps. A configuração requer a assistência de um representante do Google SecOps.

Depois de vincular uma instância do Google SecOps a um Google Cloud projeto, ela estará pronta para mais configurações. Agora você pode examinar os dados ingeridos e monitorar o projeto em busca de possíveis ameaças à segurança.

Configurar uma nova instância do Google SecOps

Vincular a nova instância a um projeto ativa os recursos de autenticação e monitoramento, incluindo:

  • Integração do Cloud Identity para acessar diversos serviços do Google Cloud , como autenticação, Identity and Access Management, Cloud Monitoring e Registros de auditoria do Cloud.

  • O IAM e a federação de identidade de colaboradores oferecem suporte para autenticação com o IdP de terceiros.

Para vincular uma instância do Google SecOps a um Google Cloud projeto, siga estas etapas:

  1. Depois que sua organização assinar o contrato de cliente do Google SecOps, o SME de integração vai receber um e-mail de convite de integração com um link de ativação. O link de ativação é válido apenas para uso único.

    No e-mail de convite de integração, clique no link de ativação Go to Google Cloud para abrir a página Link SecOps to a project.

  2. Clique em Selecionar um projeto para abrir a página Selecionar um recurso.

  3. Na página Selecionar um recurso, selecione um Google Cloud projeto para vincular a nova instância do Google SecOps. Existem duas opções:

  4. Clique em Próxima.

    A página Integração mostra as informações de integração pré-preenchidas. O processo de implantação pode levar até 15 minutos para ser concluído.

    Quando a implantação for concluída, você vai receber uma notificação. Se a implantação falhar, entre em contato com o suporte.

  5. Verifique se a implantação está correta da seguinte maneira:

    • Para conferir as informações da instância, acesse https://console.cloud.google.com/security/chronicle/settings.

    • Para atualizar qualquer informação, entre em contato com o suporte.

Selecionar um projeto existente

  1. Na página Selecionar um recurso, selecione sua Organização na lista.

    Uma lista dos Google Cloud projetos e pastas é exibida.

    • Eles pertencem à mesma organização que a instância do Google SecOps e têm a mesma conta de faturamento.

    • Se o ícone aviso de aviso aparecer ao lado de um projeto ou pasta, significa que o projeto não pode ser selecionado. Mantenha o cursor sobre o ícone para conferir o motivo, como permissões ausentes ou incompatibilidade de faturamento.

  2. Selecione um projeto com base nos seguintes critérios:

    • Critérios para vincular uma instância a um Google Cloud projeto:

      Um locatário (instância) controlado por compliance está em conformidade com um dos seguintes padrões de controle de compliance: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.

    • Para selecionar um projeto Google Cloud para um locatário (instância) controlado por compliance:

      1. Selecione uma pasta do Assured Workloads para abri-la.
      2. Na pasta "Assured Workloads", clique no nome de um projetoGoogle Cloud para abrir a página Vincular a SecOps a um projeto.
      3. Conclua a configuração descrita em Configurar o IdP.

    • Para selecionar um projeto Google Cloud para um locatário (instância) sem conformidade controlada:

      1. Clique no nome de um projeto Google Cloud válido para abrir a página Vincular o SecOps a um projeto.

      2. Na página Vincular o SecOps a um projeto, selecione um projeto diferente, se necessário. Para fazer isso, clique no projeto para mostrar a página Selecionar um recurso novamente.

  3. Clique em Próxima para vincular sua instância do Google SecOps ao projeto selecionado e abrir a página Deployment.

    A página Deployment mostra os detalhes finais da instância e do serviço e exige seu consentimento antes de executar o ddx final.

    A página consiste nas seguintes seções que mostram campos pré-preenchidos não editáveis. Nesse ponto, esses detalhes só podem ser alterados entrando em contato com um representante do Google, se necessário:

    1. Detalhes da instância

      Os detalhes da instância definidos no seu contrato são exibidos, por exemplo, empresa, região, nível do pacote e duração da retenção de dados.

      Clique em Próxima para acessar a próxima seção.

    2. Analisar a conta de serviço

      Os detalhes da conta de serviço a ser criada são exibidos.

      Clique em Próxima para acessar a próxima seção.

    3. Configurar o logon único (SSO)

      Escolha um provedor de SSO configurado. Selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos ao Google SecOps:

      • Google Cloud Identity:

        Selecione esta opção se você estiver usando o Cloud Identity ou o Google Workspace.

      • Federação de identidade da força de trabalho:

        Se você estiver usando um provedor de identidade de terceiros, selecione o provedor de força de trabalho na lista.

        Se o provedor de identidade não estiver listado, configure-o e selecione-o na lista. Para mais detalhes, consulte Configurar um provedor de identidade de terceiros.

        Clique em Próxima para acessar a próxima seção.

    4. Termos de Serviço

      1. Marque a caixa de seleção Concordo com... para aceitar os termos.
      2. Clique em Iniciar a configuração para implantar sua instância do Google SecOps de acordo com os detalhes exibidos.

  4. Clique aqui para continuar para a etapa Próxima.

Migrar uma instância atual do Google SecOps

As seções a seguir explicam como migrar uma instância do Google SecOps para vinculá-la a um projeto Google Cloud e usar o IAM para controle de acesso a recursos.

Vincular a um projeto e um provedor de força de trabalho

O procedimento a seguir descreve como conectar uma instância do Google SecOps com um projeto Google Cloud e configurar o SSO usando os serviços de federação de identidade da força de trabalho do IAM.

  1. Faça login no Google SecOps.

  2. Selecione Configurações > Configurações do SIEM.

  3. Clique em Google Cloud Platform.

  4. Insira o ID do Google Cloud projeto para vincular o projeto à instância do Google SecOps.

  5. Clique em Gerar link.

  6. Clique em Connect to Google Cloud Platform. O console Google Cloud é aberto. Se você inseriu um ID de projeto Google Cloud incorreto no aplicativo Google SecOps, volte à página Google Cloud Platform no Google SecOps e insira o ID do projeto correto.

  7. No console Google Cloud , acesse Segurança > Google SecOps.

  8. Verifique a conta de serviço criada para o Google Cloud projeto.

  9. Em Configurar o Logon único, selecione uma das seguintes opções com base no provedor de identidade que você usa para gerenciar o acesso de usuários e grupos ao Google SecOps:

    • Se você estiver usando o Cloud Identity ou o Google Workspace, selecione Google Cloud Identity.

    • Se você estiver usando um provedor de identidade de terceiros, selecione Federação de identidade de colaboradores e, em seguida, selecione o provedor de força de trabalho que você quer usar. Você configura isso ao configurar a federação de identidade da força de trabalho.

  10. Se você selecionou Federação de identidade da força de trabalho, clique com o botão direito do mouse no link Testar configuração de SSO e abra-o em uma janela anônima ou particular.

  11. Continue com a próxima seção: Migrar as permissões atuais para o IAM.

Migrar permissões atuais para o IAM

Depois de migrar uma instância do Google SecOps, use comandos gerados automaticamente para migrar as permissões e funções atuais para o IAM. O Google SecOps cria esses comandos usando a configuração de controle de acesso do RBAC de recursos antes da migração. Quando executados, eles criam novas políticas do IAM equivalentes à sua configuração atual, conforme definido no Google SecOps na página Configurações do SIEM > Usuários e grupos.

Depois de executar esses comandos, não será possível reverter para o controle de acesso Feature RBAC anterior. Se você encontrar um problema, entre em contato com o suporte técnico.

  1. No console Google Cloud , acesse a guia Security > Google SecOps > Gerenciamento de acesso.
  2. Em Migre vinculações de função, você vai encontrar um conjunto de comandos da Google Cloud CLI gerados automaticamente.
  3. Revise e verifique se os comandos criam as permissões esperadas. Para informações sobre papéis e permissões do Google SecOps, consulte Como as permissões do IAM são mapeadas para cada função de RBAC de recurso.
  4. Inicie uma sessão do Cloud Shell.
  5. Copie os comandos gerados automaticamente, cole e execute na CLI gcloud.
  6. Depois de executar todos os comandos, clique em Verificar acesso. Se a operação for bem-sucedida, a mensagem Acesso verificado vai aparecer na página Gerenciamento de acesso do Google SecOps. Caso contrário, a mensagem Acesso negado vai aparecer. Isso pode levar de 1 a 2 minutos.
  7. Para concluir a migração, volte à guia Security > Google SecOps > Gerenciamento de acesso e clique em Ativar IAM.
  8. Verifique se você pode acessar o Google SecOps como um usuário com a função de administrador da API Chronicle.
    1. Faça login no Google SecOps como um usuário com a função predefinida de administrador da API Chronicle. Para mais detalhes, consulte Fazer login no Google SecOps.
    2. Abra a página Menu do aplicativo > Configurações > Usuários e grupos. A mensagem Para gerenciar usuários e grupos, acesse o Identity Access Management (IAM) no console Google Cloud vai aparecer. Saiba como gerenciar usuários e grupos.
  9. Faça login no Google SecOps como um usuário com uma função diferente. Para mais detalhes, consulte Fazer login no Google SecOps.
  10. Verifique se os recursos disponíveis no aplicativo correspondem às permissões definidas no IAM.

Mudar a configuração do SSO

As seções a seguir descrevem como mudar os provedores de identidade:

Mudar o provedor de identidade terceirizado

  1. Configure o novo provedor de identidade terceirizado e o pool de identidade de colaboradores.

  2. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo de provedor de identidade, mude o Mapeamento de grupo de provedor de identidade para grupos de referência no novo provedor de identidade.

Atualizar as configurações de SSO

Siga estas etapas para mudar a configuração de SSO do Google SecOps:

  1. Abra o console Google Cloud e selecione o projeto Google Cloud vinculado ao Google SecOps.

  2. Acesse Segurança > Google SecOps.

  3. Na página Visão geral, clique na guia Logon único. Esta página mostra os IdPs que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.

  4. Use o menu Logon único para mudar os provedores de SSO.

  5. Clique com o botão direito do mouse no link Testar configuração de SSO e abra uma janela anônima ou particular.

  6. Volte ao Google Cloud console, clique na página Segurança > Google SecOps > Visão geral e, em seguida, clique na guia Single Sign-On.

  7. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  8. Verifique se você consegue fazer login no Google SecOps.

Migrar de um provedor de identidade de terceiros para o Cloud Identity

Siga estas etapas para mudar a configuração do SSO de um provedor de identidade de terceiros para o Google Cloud Identity:

  1. Configure o Cloud Identity ou o Google Workspace como o provedor de identidade.
  2. Conceda os papéis predefinidos e personalizados do IAM do Chronicle a usuários e grupos no projeto vinculado ao Google SecOps.
  3. Conceda a função Administrador do Chronicle SOAR aos usuários ou grupos relevantes.

  4. No Google SecOps, em Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo do IDP, adicione o Administrador do Chronicle SOAR. Para mais informações, consulte Mapeamento de grupos de IdP.

  5. Abra o console Google Cloud e selecione o projeto Google Cloud vinculado ao Google SecOps.

  6. Acesse Segurança > Chronicle SecOps.

  7. Na página Visão geral, clique na guia Logon único. Esta página mostra os IdPs que você configurou em Configurar um provedor de identidade de terceiros para o Google SecOps.

  8. Marque a caixa de seleção Google Cloud Identity.

  9. Clique com o botão direito do mouse no link Testar configuração de SSO e abra uma janela anônima ou particular.

    • Se uma tela de login aparecer, a configuração do SSO foi concluída. Continue para a próxima etapa.
    • Se a tela de login não aparecer, verifique a configuração do provedor de identidade.

  10. Volte ao Google Cloud console e clique em Security > Chronicle SecOps > página Overview > guia Single Sign-On.

  11. Clique em Salvar na parte de baixo da página para atualizar o novo provedor.

  12. Verifique se você consegue fazer login no Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.