将 Google SecOps 实例与 Google Cloud 服务相关联
Google Security Operations 实例依赖于 Google Cloud 服务来实现某些关键功能,例如身份验证。
本文档介绍了如何配置实例以关联到这些服务,无论您是设置新的部署还是迁移现有的 Google SecOps 实例。
准备工作
在配置包含 Google Cloud服务的 Google SecOps 实例之前,您必须执行以下操作:
验证权限。确保您拥有完成本文档中的步骤所需的必要权限。如需了解在每个新手入门阶段所需的权限,请参阅所需的角色和权限。
选择项目设置:您可以为 Google SecOps 实例创建新的 Google Cloud项目,也可以将其与现有的 Google Cloud 项目相关联。
如需创建新的 Google Cloud 项目并启用 Chronicle API,请按照创建 Google Cloud 项目中的步骤操作。
为 Google SecOps 实例配置 SSO 提供方:您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方 (IdP),具体如下:
如果您使用的是第三方 IdP,请按照
如果您使用的是 Cloud Identity 或 Google Workspace,请按照以下步骤操作
如需关联为代管式安全服务提供商 (MSSP) 创建的 Google SecOps 实例,请与您的 Google SecOps 代表联系。设置需要 Google SecOps 代表的协助。
将 Google SecOps 实例与 Google Cloud 项目相关联后,该 Google SecOps 实例现在可以进行进一步配置了。现在,您可以检查提取的数据,并监控项目是否存在潜在的安全威胁。
配置新的 Google SecOps 实例
将新实例关联到项目后,您可以使用身份验证和监控功能,包括:
Cloud Identity 集成,用于访问各种 Google Cloud 服务,例如身份验证、Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs。
IAM 和员工身份联合支持通过现有的第三方 IdP 进行身份验证。
如需将 Google SecOps 实例与 Google Cloud 项目相关联,请执行以下步骤:
贵组织签署 Google SecOps 客户合同后,初始配置 SME 会收到一封包含激活链接的初始配置邀请电子邮件。激活链接只能使用一次。
在初始配置邀请电子邮件中,点击前往 Google Cloud激活链接,打开将 SecOps 关联到项目页面。
点击选择项目以打开选择资源页面。
在选择资源页面上,选择一个 Google Cloud 项目以关联您的新 Google SecOps 实例。具体有两种方案可供选择:
方式 1:创建新 Google Cloud 项目:
点击新项目,然后按照创建 Google Cloud 项目中所述的步骤操作。
方法 2:从列表中选择现有项目:
按照选择现有项目中所述的步骤操作。
点击下一步。
新手入门页面会显示预填充的新手入门信息。部署过程最多可能需要 15 分钟才能完成。
部署成功完成后,您会收到通知。如果部署失败,请与支持团队联系。
验证部署是否正确,如下所示:
如需查看实例信息,请访问 https://console.cloud.google.com/security/chronicle/settings。
如需更新任何信息,请与支持团队联系。
选择现有项目
在选择资源页面上,从列表中选择您的组织。
系统会显示 Google Cloud 项目和文件夹的列表。
这些项目与 Google SecOps 实例属于同一组织,并且具有相同的结算账号。
如果您在项目或文件夹旁边看到 警告 警告图标,则表示该项目无法选择。将鼠标指针悬停在该图标上,即可查看原因,例如缺少权限或结算不匹配。
根据以下条件选择项目:
将实例与 Google Cloud 项目相关联的条件:
Google Cloud 项目不得已关联到其他 Google SecOps 实例。
您拥有访问和处理项目所需的 IAM 权限,请参阅添加 Google Cloud 项目所需的权限。
对于受合规性控制的租户(实例),项目必须位于 Assured Workloads 文件夹中。如需了解详情,请参阅员工身份联合。
受合规性控制的租户(实例)符合以下合规性控制标准之一:FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。
如需为受合规性控制的租户(实例)选择 Google Cloud 项目,请执行以下操作:
- 选择一个 Assured Workloads 文件夹以将其打开。
- 在 Assured Workloads 文件夹中,点击Google Cloud 项目的名称以打开将 SecOps 关联到项目页面。
- 完成配置 IdP 中所述的配置。
为 Google Cloud 不受合规性控制的租户(实例)选择项目:
点击有效 Google Cloud 项目的名称,打开将 SecOps 与项目相关联页面。
在将 SecOps 关联到项目页面上,根据需要选择其他项目。为此,您需要点击相应项目,以再次显示选择资源页面。
点击下一步,将 Google SecOps 实例与所选项目相关联,然后打开部署页面。
部署页面会显示实例和服务的最终详细信息,并要求您在执行最终 ddx 之前征得您的同意。
该页面包含以下部分,其中显示了预填充的不可修改字段。目前,如果需要更改以下详细信息,只能通过联系 Google 代表来完成:
实例详情
系统会显示合同中设置的实例详细信息,例如公司、区域、套餐层级和数据保留时长。
点击下一步以显示下一部分。
查看服务账号
系统会显示要创建的服务账号的详细信息。
点击下一步以显示下一部分。
配置单点登录 (SSO)
选择已配置的单点登录提供方。根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供方,选择以下选项之一:
Google Cloud Identity:
如果您使用的是 Cloud Identity 或 Google Workspace,请选择此选项。
员工身份联合:
如果您使用的是第三方身份提供方,请从列表中选择您的员工提供方。
如果您没有看到自己的身份提供方,请配置您的提供方,然后从列表中选择您的提供方。如需了解详情,请参阅配置第三方身份提供方。
点击下一步以显示下一部分。
服务条款
- 选中我同意...复选框,以同意相关条款。
- 点击开始设置,根据显示的详细信息部署 Google SecOps 实例。
迁移现有的 Google SecOps 实例
以下部分介绍了如何迁移现有 Google SecOps 实例,以将其与 Google Cloud 项目相关联,并使用 IAM 控制功能访问权限。
关联到项目和员工池提供方
以下过程介绍了如何将现有 Google SecOps 实例与 Google Cloud 项目相关联,以及如何使用 IAM 员工身份联合服务配置 SSO。
登录 Google SecOps。
依次选择设置 > SIEM 设置。
点击 Google Cloud Platform。
输入 Google Cloud 项目 ID,将项目与 Google SecOps 实例相关联。
点击生成链接。
点击关联到 Google Cloud 平台。系统会打开 Google Cloud 控制台。 如果您在 Google SecOps 应用中输入了不正确的 Google Cloud 项目 ID,请返回 Google SecOps 中的 Google Cloud Platform 页面,然后输入正确的项目 ID。
在 Google Cloud 控制台中,依次前往安全性 > Google SecOps。
验证为 Google Cloud 项目创建的服务账号。
在配置单点登录下方,根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供商,选择以下选项之一:
如果您使用的是 Cloud Identity 或 Google Workspace,请选择 Google Cloud Identity。
如果您使用的是第三方身份提供方,请选择员工身份联合,然后选择要使用的员工身份提供方。您可以在配置员工身份联合时设置此项。
如果您选择了 Workforce Identity Federation,请右键点击测试 SSO 设置链接,然后在私密窗口或无痕式窗口中打开该链接。
- 如果您看到登录界面,则表示单点登录设置成功。
- 如果您没有看到登录界面,请检查第三方身份提供方的配置。 请参阅为 Google SecOps 配置第三方身份提供方。
继续执行下一部分:将现有权限迁移到 IAM。
将现有权限迁移到 IAM
迁移现有 Google SecOps 实例后,您可以使用自动生成的命令将现有权限和角色迁移到 IAM。Google SecOps 会使用迁移前的功能 RBAC 访问权限控制配置来创建这些命令。运行后,它们会创建与现有配置等效的新 IAM 政策,如 Google SecOps 中 SIEM 设置 > 用户和群组页面中所定义的那样。
运行这些命令后,您将无法恢复到之前的功能 RBAC 访问权限控制功能。如果您遇到问题,请与技术支持团队联系。
- 在 Google Cloud 控制台中,依次前往安全性 > Google SecOps > 访问权限管理标签页。
- 在迁移角色绑定下,您会看到一组自动生成的 Google Cloud CLI 命令。
- 查看并验证命令是否创建了预期权限。 如需了解 Google SecOps 角色和权限,请参阅 IAM 权限如何映射到每个功能 RBAC 角色。
- 启动 Cloud Shell 会话。
- 复制自动生成的命令,然后将其粘贴到 gcloud CLI 中并运行。
- 执行完所有命令后,点击验证访问权限。 如果验证成功,您会在 Google SecOps 访问管理中看到“访问权限已验证”消息。否则,您会看到“拒绝访问”消息 。此过程可能需要 1 到 2 分钟时间。
- 如需完成迁移,请依次返回安全 > Google SecOps > 访问权限管理标签页,然后点击启用 IAM。
- 验证您是否可以作为具有 Chronicle API 管理员角色的用户访问 Google SecOps。
- 以具有 Chronicle API Admin 预定义角色的用户身份登录 Google SecOps。如需了解详情,请参阅登录 Google SecOps。
- 打开 SIEM 设置 > 用户和群组页面。 您应该会看到以下消息:如需管理用户和群组,请前往 Google Cloud 控制台中的 Identity Access Management (IAM)。详细了解如何管理用户和群组。
- 以具有其他角色的用户身份登录 Google SecOps。 如需了解详情,请参阅登录 Google SecOps。
- 验证应用中的可用功能是否与 IAM 中定义的权限相匹配。
更改 SSO 配置
以下部分介绍了如何更改身份提供方:
更改第三方身份提供商
设置新的第三方身份提供方和员工身份池。
在 Google SecOps 中,依次前往设置 > SOAR 设置 > 高级 > IDP 群组映射,然后更改 IdP 群组映射以引用新身份提供方中的群组。
更新 SSO 设置
如需更改 Google SecOps 的 SSO 配置,请完成以下步骤:
打开 Google Cloud 控制台,然后选择与 Google SecOps 绑定的 Google Cloud 项目。
前往安全性 > Google SecOps。
在概览页面上,点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。
使用单点登录菜单更改 SSO 提供方。
右键点击测试单点登录设置链接,然后打开私密窗口或无痕式窗口。
- 如果您看到登录界面,则表示单点登录设置成功。继续执行下一步。
- 如果您没有看到登录界面,请检查第三方身份提供方的配置。 请参阅为 Google SecOps 配置第三方身份提供方。
返回 Google Cloud 控制台,依次点击安全 > Google SecOps > 概览页面,然后点击单点登录标签页。
点击页面底部的保存以更新新提供商。
验证您是否可以登录 Google SecOps。
从第三方身份提供商迁移到 Cloud Identity
请完成以下步骤,将 SSO 配置从使用第三方身份提供方更改为使用 Google Cloud Identity:
- 请务必将 Cloud Identity 或 Google Workspace 配置为身份提供商。
- 向 Google SecOps 绑定项目中的用户和群组授予预定义的 Chronicle IAM 角色和自定义角色。
- 向相关用户或群组授予 Chronicle SOAR 管理员角色。
在 Google SecOps 中,依次选择设置 > SOAR 设置 > 高级 > IDP 群组映射,然后添加 Chronicle SOAR 管理员。如需了解详情,请参阅 IdP 群组映射。
打开 Google Cloud 控制台,然后选择与 Google SecOps 绑定的 Google Cloud 项目。
前往安全性 > Chronicle SecOps。
在概览页面上,点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。
选中 Google Cloud Identity 复选框。
右键点击测试单点登录设置链接,然后打开私密窗口或无痕式窗口。
- 如果您看到登录界面,则表示单点登录设置成功。继续执行下一步。
- 如果您没有看到登录界面,请检查身份提供方的配置。
返回 Google Cloud 控制台,然后依次点击安全 > Chronicle SecOps > 概览页面 > 单点登录标签页。
点击页面底部的保存以更新新提供商。
验证您是否可以登录 Google SecOps。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。