将 Google SecOps 实例关联到 Google Cloud 服务
Google 安全运营实例依赖于 Google Cloud 服务来实现某些关键功能(例如身份验证)。
本文档介绍了如何配置实例以关联到这些服务,无论您是设置新的部署还是迁移现有的 Google SecOps 实例。
准备工作
在为 Google SecOps 实例配置 Google Cloud服务之前,您必须执行以下操作:
验证权限。确保您拥有完成本文档中步骤所需的权限。如需了解新手入门流程的每个阶段所需的权限,请参阅所需的角色和权限。
选择项目设置:您可以为 Google SecOps 实例创建新 Google Cloud项目,也可以将其关联到现有 Google Cloud 项目。
如需创建新的 Google Cloud 项目并启用 Chronicle API,请按照创建 Google Cloud 项目中的步骤操作。
为 Google SecOps 实例配置 SSO 提供程序:您可以使用 Cloud Identity、Google Workspace 或第三方身份提供程序 (IdP),具体方法如下:
如果您使用的是第三方 IdP,请执行
如果您使用的是 Cloud Identity 或 Google Workspace,请执行以下步骤:
如需关联为托管式安全服务提供商 (MSSP) 创建的 Google SecOps 实例,请与您的 Google SecOps 代表联系。设置需要 Google SecOps 代表的帮助。
将 Google SecOps 实例关联到 Google Cloud 项目后,Google SecOps 实例现在可以进行进一步配置了。现在,您可以检查提取的数据,并监控项目是否存在潜在的安全威胁。
配置新的 Google SecOps 实例
将新实例关联到项目后,您可以使用身份验证和监控功能,包括:
Cloud Identity 集成,用于访问一系列 Google Cloud 服务,例如身份验证、Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs。
IAM 和员工身份联合支持,可通过现有的第三方 IdP 进行身份验证。
如需将 Google SecOps 实例与 Google Cloud 项目相关联,请执行以下步骤:
贵组织签署 Google SecOps 客户合同后,初始配置 SME 会收到一封包含激活链接的初始配置邀请电子邮件。激活链接只能使用一次。
在初始配置邀请电子邮件中,点击前往 Google Cloud激活链接,打开将 SecOps 关联到项目页面。
点击选择项目以打开选择资源页面。
在选择资源页面上,选择一个 Google Cloud 项目以关联新的 Google SecOps 实例。具体有两种方案可供选择:
方式 1:创建新 Google Cloud 项目:
点击新建项目,然后按照创建 Google Cloud 项目中所述的步骤操作。
方法 2:从列表中选择现有项目:
请按照选择一个现有项目中所述的步骤操作。
点击下一步。
新手入门页面会显示预先填充的新手入门信息。部署过程最多可能需要 15 分钟才能完成。
部署成功完成后,您会收到通知。如果部署失败,请与支持团队联系。
请按如下方式验证部署是否正确:
如需查看实例信息,请前往 https://console.cloud.google.com/security/chronicle/settings。
如需更新任何信息,请与支持团队联系。
选择现有项目
在选择资源页面上,从列表中选择您的组织。
系统会显示 Google Cloud 项目和文件夹的列表。
这些账号与 Google SecOps 实例所属的组织相同,并且具有相同的结算账号。
如果项目或文件夹旁边显示 警告 警告图标,则表示无法选择该项目。将指针悬停在图标上即可查看原因,例如缺少权限或结算信息不匹配。
根据以下条件选择项目:
将实例与 Google Cloud 项目相关联的条件:
Google Cloud 项目不得已与其他 Google SecOps 实例相关联。
您拥有访问和使用该项目所需的 IAM 权限,请参阅添加 Google Cloud 项目的权限。
对于受合规性控制的租户(实例),项目必须位于 Assured Workloads 文件夹中。如需了解详情,请参阅员工身份联合。
受合规性控制的租户(实例)符合以下合规性控制标准之一:FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。
如需为受合规性控制的租户(实例)选择 Google Cloud 项目,请执行以下操作:
- 选择一个 Assured Workloads 文件夹,将其打开。
- 在 Assured Workloads 文件夹中,点击Google Cloud 项目的名称以打开将 SecOps 关联到项目页面。
- 完成配置 IdP 中所述的配置。
如需为不受合规性控制的租户(实例)选择 Google Cloud 项目,请执行以下操作:
点击有效 Google Cloud 项目的名称,打开将 SecOps 关联到项目页面。
在将 SecOps 关联到项目页面上,根据需要选择其他项目。为此,您可以点击该项目以再次显示选择资源页面。
点击下一步将您的 Google SecOps 实例关联到所选项目,然后打开部署页面。
部署页面会显示实例和服务的最终详细信息,并且在执行最终 ddx 之前需要征得您的同意。
该页面由以下部分组成,其中显示了预先填充的不可修改字段。目前,只有在必要时,您才能通过与 Google 代表联系来更改以下详细信息:
实例详情
系统会显示您在合同中设置的实例详细信息,例如公司、区域、套餐层级和数据保留期限。
点击下一步以显示下一部分。
查看服务账号
系统会显示要创建的服务账号的详细信息。
点击下一步以显示下一部分。
配置单点登录 (SSO)
选择已配置的单点登录提供方。根据您用于管理 Google SecOps 用户和群组访问权限的身份提供方,选择以下选项之一:
Google Cloud Identity:
如果您使用的是 Cloud Identity 或 Google Workspace,请选择此选项。
员工身份联合:
如果您使用的是第三方身份提供方,请从列表中选择您的员工队伍提供商。
如果您没有在列表中看到您的身份提供方,请配置您的提供方,然后从列表中选择您的提供方。如需了解详情,请参阅配置第三方身份提供方。
点击下一步以显示下一部分。
服务条款
- 选中 I agree to... 复选框以表示同意这些条款。
- 点击开始设置,按照显示的详细信息部署 Google SecOps 实例。
迁移现有 Google SecOps 实例
以下部分介绍了如何迁移现有的 Google SecOps 实例,将其关联到 Google Cloud 项目,以及如何使用 IAM 进行功能访问权限控制。
指向项目和员工队伍提供方的链接
以下过程介绍了如何将现有 Google SecOps 实例与 Google Cloud 项目相关联,以及如何使用 IAM 员工身份联合服务配置 SSO。
登录 Google SecOps。
依次选择设置 > SIEM 设置。
点击 Google Cloud Platform。
输入 Google Cloud 项目 ID 以将项目关联到 Google SecOps 实例。
点击生成链接。
点击 Connect to Google Cloud Platform(连接到平台)。 Google Cloud 控制台随即打开。 如果您在 Google Cloud Google SecOps 应用中输入的项目 ID 不正确,请返回 Google SecOps 中的 Google Cloud Platform 页面,然后输入正确的项目 ID。
在 Google Cloud 控制台中,依次前往安全 > Google SecOps。
验证为 Google Cloud 项目创建的服务账号。
在配置单点登录下,根据您用于管理用户和群组对 Google SecOps 的访问权限的身份提供商,选择以下选项之一:
如果您使用的是 Cloud Identity 或 Google Workspace,请选择 Google Cloud Identity。
如果您使用的是第三方身份提供方,请选择员工身份联合,然后选择要使用的员工提供方。您可以在配置员工身份联合时进行设置。
如果您选择了 Workforce Identity Federation,请右键点击 Test SSO setup(测试 SSO 设置)链接,然后在私密窗口或无痕式窗口中打开该链接。
- 如果您看到登录界面,则表示 SSO 设置成功。
- 如果您没有看到登录界面,请检查第三方身份提供方的配置。请参阅为 Google SecOps 配置第三方身份提供方。
继续阅读下一部分:将现有权限迁移到 IAM。
将现有权限迁移到 IAM
迁移现有 Google SecOps 实例后,您可以使用自动生成的命令将现有权限和角色迁移到 IAM。Google SecOps 会使用您在迁移前的功能 RBAC 访问权限配置创建这些命令。运行时,它们会创建与您现有配置等效的新 IAM 政策,如 Google SecOps 中的 SIEM 设置 > 用户和群组页面中所定义。
运行这些命令后,您将无法再恢复使用之前的功能 RBAC 访问权限控制功能。如果您遇到问题,请与技术支持团队联系。
- 在 Google Cloud 控制台中,依次前往安全 > Google SecOps > 访问权限管理标签页。
- 在迁移角色绑定下,您会看到一组自动生成的 Google Cloud CLI 命令。
- 查看并验证这些命令是否创建了预期的权限。 如需了解 Google SecOps 角色和权限,请参阅 IAM 权限如何映射到每个功能 RBAC 角色。
- 启动 Cloud Shell 会话。
- 复制自动生成的命令,然后在 gcloud CLI 中粘贴并运行这些命令。
- 执行完所有命令后,点击验证访问权限。如果成功,您会在 Google SecOps 的访问权限管理界面上看到访问权限已验证消息。否则,您会看到访问权限被拒消息。此过程可能需要 1 到 2 分钟。
- 如需完成迁移,请返回到安全 > Google SecOps > 访问权限管理标签页,然后点击启用 IAM。
- 验证您是否可以作为具有 Chronicle API 管理员角色的用户访问 Google SecOps。
- 以具有 Chronicle API Admin 预定义角色的用户身份登录 Google SecOps。如需了解详情,请参阅登录 Google SecOps。
- 依次打开应用菜单 > 设置 > 用户和群组页面。 您应该会看到以下消息:如需管理用户和群组,请前往 Google Cloud 控制台中的 Identity Access Management (IAM)。详细了解如何管理用户和群组。
- 以具有其他角色的用户身份登录 Google SecOps。 如需了解详情,请参阅登录 Google SecOps。
- 验证应用中的可用功能是否与 IAM 中定义的权限相符。
更改 SSO 配置
以下部分介绍了如何更改身份提供程序:
更改第三方身份提供商
设置新的第三方身份提供方和员工身份池。
在 Google SecOps 中,依次选择设置 > SOAR 设置 > 高级 > IDP 组映射,然后将 IdP 组映射更改为引用新身份提供程序中的组。
更新 SSO 设置
如需更改 Google SecOps 的 SSO 配置,请完成以下步骤:
打开 Google Cloud 控制台,然后选择绑定到 Google SecOps 的 Google Cloud 项目。
前往安全 > Google SecOps。
在概览页面上,点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。
使用单点登录菜单更改 SSO 提供程序。
右键点击测试单点登录设置链接,然后打开一个无痕式窗口或私密窗口。
- 如果您看到登录界面,则表示 SSO 设置成功。继续执行下一步。
- 如果您没有看到登录界面,请检查第三方身份提供方的配置。请参阅为 Google SecOps 配置第三方身份提供方。
返回 Google Cloud 控制台,依次点击安全 > Google SecOps > 概览页面,然后点击单点登录标签页。
点击页面底部的保存,以更新新的提供方。
验证您是否可以登录 Google SecOps。
从第三方身份提供商迁移到 Cloud Identity
请完成以下步骤,将 SSO 配置从使用第三方身份提供方更改为使用 Google Cloud Identity:
- 请务必将 Cloud Identity 或 Google Workspace 配置为身份提供程序。
- 向已绑定到 Google SecOps 的项目中的用户和群组授予预定义的 Chronicle IAM 角色和自定义角色。
- 向相关用户或群组授予 Chronicle SOAR Admin 角色。
在 Google SecOps 中,依次选择设置 > SOAR 设置 > 高级 > IDP 群组映射,然后添加 Chronicle SOAR 管理员。如需了解详情,请参阅身份提供程序群组映射。
打开 Google Cloud 控制台,然后选择绑定到 Google SecOps 的 Google Cloud 项目。
前往安全 > Chronicle SecOps。
在概览页面上,点击单点登录标签页。此页面会显示您在为 Google SecOps 配置第三方身份提供方时配置的 IdP。
选中 Google Cloud Identity 复选框。
右键点击测试单点登录设置链接,然后打开一个无痕式窗口或私密窗口。
- 如果您看到登录界面,则表示 SSO 设置成功。继续执行下一步。
- 如果您没有看到登录界面,请检查身份提供方的配置。
返回 Google Cloud 控制台,然后依次点击安全 > Chronicle SecOps > 概览页面 > 单点登录标签页。
点击页面底部的保存,以更新新的提供方。
验证您是否可以登录 Google SecOps。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。