Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Instanz einrichten

Unterstützt in:

Google SecOps

In diesem Dokument wird beschrieben, wie Sie eine Google SecOps-Instanz (SIEM und SOAR) einrichten (bereitstellen) und Google SecOps-Funktionen basierend auf Ihrer Google SecOps-Paketstufe und Ihren Berechtigungen aktivieren. Diese Einrichtungsschritte gelten für die folgenden Google SecOps-Pakete: Standard, Enterprise und Enterprise Plus.

Der von Ihnen benannte SME für die Einrichtung, auch Google SecOps-SME oder Abrechnungsadministrator genannt, führt die Einrichtung durch. Diese Person ist der Hauptansprechpartner Ihrer Organisation für Google SecOps.

Vorbereitung

Bevor Sie eine neue Google SecOps-Instanz einrichten können, muss Ihre Organisation die folgenden Voraussetzungen erfüllen:

Eine aktive Registrierung für eines der folgenden Google SecOps-Pakete: Standard, Enterprise oder Enterprise Plus.
Ein von Ihrer Organisation unterzeichneter Google SecOps-Vertrag. Dieser Vertrag berechtigt Sie, jede neue Google SecOps-Instanz bereitzustellen.

Neue Google SecOps-Instanz bereitstellen

So stellen Sie eine neue Google SecOps-Instanz bereit:

Unterzeichnen Sie den Google SecOps-Vertrag.

Die Bereitstellung einer neuen Google SecOps-Instanz beginnt, wenn Ihre Organisation einen Google SecOps-Vertrag unterzeichnet. Durch diese Aktion wird der interne Onboarding-Workflow von Google ausgelöst und die Vertragsdetails werden im System von Google registriert, einschließlich Ihres Abrechnungskontos und der E-Mail-Adresse des KMU, das Sie beim Onboarding unterstützt.
Umgebung für das Onboarding vorbereiten

Ihr Onboarding-Experte sollte Ihre Umgebung vorbereiten, bevor Sie eine neue Google SecOps-Instanz einrichten.
Neue Google SecOps-Instanz einrichten
Optional. Wenden Sie sich an den Support, um zusätzliche Instanzen bereitzustellen.

Umgebung für das Onboarding vorbereiten

Der Onboarding-Experte sollte Ihre Umgebung vorbereiten, bevor er eine Google SecOps-Instanz einrichtet. Das Vorgehen ist in den folgenden Abschnitten beschrieben:

Berechtigungen zum Ausführen des Onboardings gewähren
Assured Workloads-Ordner einrichten (optional)
Google Cloud Projekt erstellen (optional)
Google Cloud -Projekt konfigurieren
Identitätsanbieter konfigurieren

Berechtigungen zum Ausführen des Onboardings erteilen

Weisen Sie für jede neue Google SecOps-Instanz dem Onboarding-Experten die erforderlichen Onboarding-Rollen und -Berechtigungen zu, wie unter Erforderliche Rollen und Berechtigungen beschrieben.

Assured Workloads-Ordner einrichten (optional)

So erstellen Sie einen Assured Workloads-Ordner:

Rufen Sie die Seite Neuen Assured Workloads-Ordner erstellen auf.
Wählen Sie in der Liste den Typ des Kontrollpakets* aus, den Sie auf den Assured Workloads-Ordner anwenden möchten.
Prüfen Sie, ob Sie die im Abschnitt Erforderliche IAM-Rollen aufgeführten Berechtigungen haben.
Folgen Sie der Anleitung im Abschnitt Assured Workloads-Ordner erstellen für….

Hinweis :Wenn Sie mehrere Organisationen verwalten, wählen Sie die richtige Organisation aus, in der der Assured Workloads-Ordner erstellt werden soll. Wählen Sie für Region die Option USA aus, die der multiregionalen Region USA entspricht.

Beachten Sie beim Einrichten des Ordners die folgenden Richtlinien:

Ein Compliance-kontrollierter Mandant (Instanz) ist ein Mandant, der einem oder mehreren der folgenden Compliance-Kontrollstandards entsprechen muss: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 oder DRZ_ADVANCED.
Alle Dateien, die mit einem Compliance-konformen Mandanten verknüpft sind, müssen sich in einem Assured Workloads-Ordner befinden, der für den entsprechenden Compliance-Kontrollstandard konfiguriert ist.
Ein Assured Workloads-Ordner wird auf Organisationsebene erstellt.
Eine Organisation kann mehrere Assured Workloads-Ordner erstellen, die jeweils einem bestimmten Compliance-Kontrollpaket entsprechen. Ein Ordner kann beispielsweise FedRAMP_MODERATE-Instanzen unterstützen, ein anderer FedRAMP_HIGH-Instanzen.

Beachten Sie die folgenden Richtlinien, wenn Sie einen mandantenfähigen Dienst (eine Instanz) mit Compliance-Kontrolle bereitstellen:

Sie müssen den Compliance-konformen Mandanten (die Instanz) mit einem Google Cloud-Projekt verknüpfen, das sich in einem Assured Workloads-Ordner befindet.
Wenn Sie ein neues Google Cloud Projekt für Ihre Google SecOps-Instanz erstellen möchten, müssen Sie das Projekt in einem Assured Workloads-Ordner erstellen, der für das erforderliche Compliance-Kontrollpaket konfiguriert ist.
Wenn Ihre Organisation keinen Assured Workloads-Ordner hat, müssen Sie einen erstellen.

Google Cloud Projekt erstellen (optional)

Jede neue Google SecOps-Instanz sollte mit einemGoogle Cloud -Projekt verknüpft werden. Sie können ein vorhandenes Google Cloud Projekt verwenden oder ein neues erstellen.

So erstellen Sie ein neues Google Cloud Projekt:

Erstellen Sie für einen FedRAMP-konformen Mandanten (Instanz) das Projekt im Assured Workloads-Ordner Ihrer Organisation. Wenn Ihre Organisation keinen Assured Workloads-Ordner für das erforderliche Kontrollpaket hat, erstellen Sie einen.
Folgen Sie der Anleitung unter Projekt erstellen.

Hinweis :Wir empfehlen, die Namenskonvention \<CUSTOMER-name\>-chronicle zu verwenden und darauf zu achten, dass das Abrechnungskonto des Projekts mit dem Abrechnungskonto übereinstimmt, das mit der Google SecOps-Instanz verknüpft ist, die Sie bereitstellen.

Google Cloud -Projekt konfigurieren

Ein Google Cloud -Projekt fungiert als Steuerungsebene für die verknüpfte Google SecOps-Instanz.

Folgen Sie der Anleitung unter Google Cloud -Projekt für Google SecOps konfigurieren, um es richtig einzurichten.

Identitätsanbieter konfigurieren

Konfigurieren Sie einen Identitätsanbieter, um Nutzer, Gruppen und die Authentifizierung für Ihre Google SecOps-Instanz zu verwalten.

Es gibt zwei unterstützte Optionen:

Option 1: Google Cloud Identität:

Verwenden Sie diese Option, wenn Sie ein Google Workspace-Konto haben oder Identitäten von Ihrem IdP mit Google Cloudsynchronisieren.
1. Erstellen Sie verwaltete Nutzerkonten, um den Zugriff auf Google Cloud -Ressourcen und Ihre Google SecOps-Instanz zu steuern.
2. Sie können IAM-Richtlinien mit vordefinierten oder benutzerdefinierten Rollen definieren, um Nutzern und Gruppen Zugriff auf Funktionen zu gewähren.
Eine ausführliche Anleitung finden Sie unter Google Cloud -Identitätsanbieter konfigurieren.

Hinweis: Diese Option wird für Kunden mit FedRAMP-, IL4- oder IL5-Compliance nicht unterstützt.
Option 2: Mitarbeiteridentitätsföderation:

Diese Option bietet sich an, wenn Sie einen Drittanbieter-IdP wie Okta oder Azure AD verwenden.

Konfigurieren Sie die Workforce Identity-Föderation von Google und erstellen Sie einen Workforce Identity-Pool. Mit der Mitarbeiteridentitätsföderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud Ressourcen gewähren, ohne Dienstkontoschlüssel zu verwenden.

Eine ausführliche Anleitung finden Sie unter Drittanbieter-Identitätsanbieter konfigurieren.

Neue Google SecOps-Instanz einrichten

Das Google-System sendet eine E-Mail mit einer Einladung zum Onboarding von Google SecOps an Ihren Onboarding-SME. Diese E‑Mail enthält einen Aktivierungslink, mit dem Sie die Einrichtung starten können.

Nachdem Sie Ihre Umgebung für das Onboarding vorbereitet haben, sollte der Onboarding-Experte Folgendes tun:

Klicken Sie in der Einladungs-E‑Mail auf den Aktivierungslink.
Führen Sie die Schritte in den folgenden Abschnitten aus, um die Google SecOps-Instanz bereitzustellen:
1. Konfigurieren Sie eine neue Google SecOps-Instanz und verknüpfen Sie sie mit einem Google Cloud -Projekt.
2. Funktionszugriffssteuerung mit IAM konfigurieren
3. RBAC für Daten für Nutzer konfigurieren
4. IdP-Gruppen Zugriffsparametern zuordnen, um die Bereitstellung abzuschließen.

Erforderliche Rollen und Berechtigungen

In diesem Abschnitt werden die Rollen und Berechtigungen aufgeführt, die zum Bereitstellen einer Google SecOps-Instanz erforderlich sind. Erteilen Sie diese Berechtigungen für den Onboarding-Experten, der die Bereitstellungsaufgaben ausführt:

Alle Rollen und Berechtigungen müssen auf Projektebene gewährt werden. Diese Berechtigungen gelten nur für das angegebene Google Cloud -Projekt und die zugehörige Google SecOps-Instanz. Wenn Sie zusätzliche Instanzen bereitstellen möchten, wenden Sie sich an den Support.
Wenn Sie eine weitere Google SecOps-Instanz im Rahmen eines anderen Vertrags bereitstellen, müssen Sie für diese Bereitstellung neue Rollen und Berechtigungen zuweisen.

Weisen Sie dem Onboarding-Experten die in den folgenden Abschnitten aufgeführten Rollen und Berechtigungen zu:

Berechtigungen im Google-Rechnungskonto
Vordefinierte IAM-Rollen
Berechtigungen zum Erstellen eines Assured Workloads-Ordners
Berechtigungen zum Hinzufügen eines Google Cloud -Projekts
Berechtigungen zum Konfigurieren eines Identitätsanbieters
1. Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace
2. Berechtigungen zum Konfigurieren eines externen Identitätsanbieters
Berechtigungen zum Verknüpfen einer Google SecOps-Instanz mit Google Cloud -Diensten
Berechtigungen zum Konfigurieren der Funktionszugriffssteuerung mit IAM
Berechtigungen zum Konfigurieren der Datenzugriffssteuerung
Anforderungen für erweiterte Google SecOps-Funktionen

Berechtigungen im Google-Rechnungskonto

Gewähren Sie dem Onboarding-SME die Berechtigung billing.resourceAssociations.list für das im Vertrag angegebene Google-Rechnungskonto. Eine detaillierte Anleitung finden Sie unter Nutzerberechtigungen für ein Cloud Billing-Konto aktualisieren.

Vordefinierte IAM-Rollen

Weisen Sie dem Onboarding-SME die folgenden vordefinierten IAM-Rollen zu:

Chronicle API Admin
Administrator von Chronicle-Dienst
Chronicle SOAR Admin

Hinweis :Die IAM-Rolle sollte auch bei der Bereitstellung einer Nicht-SOAR-Instanz gewährt werden.

Berechtigungen zum Erstellen eines Assured Workloads-Ordners

Weisen Sie dem Onboarding-Experten die Rolle Assured Workloads-Administrator (roles/assuredworkloads.admin) zu. Diese enthält die minimalen IAM-Berechtigungen zum Erstellen und Verwalten von Assured Workloads-Ordnern.

Berechtigungen zum Hinzufügen eines Google Cloud -Projekts

Erteilen Sie dem Onboarding-Experten die Berechtigungen des Projekterstellers, die zum Erstellen eines Google Cloud -Projekts und zum Aktivieren der Chronicle API erforderlich sind:

Wenn der Onboarding-Experte auf Organisationsebene die Berechtigung Projektersteller (resourcemanager.projects.create) hat, sind keine zusätzlichen Berechtigungen erforderlich.
Wenn der Onboarding-Experte keine Berechtigungen zum Erstellen von Projekten auf Organisationsebene hat, weisen Sie ihm die folgenden IAM-Rollen auf Projektebene zu:
- Administrator von Chronicle-Dienst (roles/chroniclesm.admin) (falls diese Rolle nicht bereits zugewiesen wurde)
- Bearbeiter (roles/editor)
- Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
- Service Usage-Administrator (roles/serviceusage.serviceUsageAdmin)

Berechtigungen zum Konfigurieren eines Identitätsanbieters

Mit einem IdP können Sie Nutzer, Gruppen und die Authentifizierung verwalten.

Gewähren Sie dem Onboarding-Experten die folgenden Berechtigungen zum Konfigurieren eines IdP:

Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace

Bei Cloud Identity:

Wenn Sie Cloud Identity verwenden, weisen Sie dem Onboarding-Experten die Rollen und Berechtigungen zu, die unter Zugriff auf Projekte, Ordner und Organisationen verwalten beschrieben sind.
Für Google Workspace:

Wenn Sie Google Workspace verwenden, muss der Onboarding-Experte ein Cloud Identity-Administratorkonto haben und sich in der Admin-Konsole anmelden können.

Weitere Informationen zur Verwendung von Cloud Identity oder Google Workspace als Identitätsanbieter finden Sie unter Google Cloud -Identitätsanbieter konfigurieren.

Berechtigungen zum Konfigurieren eines Drittanbieter-IdP

Wenn Sie einen Drittanbieter-IdP wie Okta oder Azure AD verwenden, konfigurieren Sie die Workforce Identity-Föderation zusammen mit einem Workforce Identity-Pool, um eine sichere Authentifizierung zu ermöglichen.

Weisen Sie dem Onboarding-Experten die folgenden IAM-Rollen und ‑Berechtigungen zu:

Bearbeiter (roles/editor): Projektbearbeiter-Berechtigungen für das Google SecOps-Projekt.
Berechtigung IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) auf Organisationsebene.

Verwenden Sie das folgende Beispiel, um die Rolle roles/iam.workforcePoolAdmin festzulegen:
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: numerische Organisations-ID.
- USER_EMAIL: E-Mail-Adresse des Administrators.
Berechtigung Organisationsbetrachter (resourcemanager.organizations.get) auf Organisationsebene.

Berechtigungen zum Verknüpfen einer Google SecOps-Instanz mit Google Cloud -Diensten

Gewähren Sie dem Onboarding-Experten dieselben Berechtigungen wie für Berechtigungen zum Hinzufügen eines Google Cloud Projekts.

Wenn Sie eine vorhandene Google SecOps-Instanz migrieren möchten, benötigen Sie Berechtigungen für den Zugriff auf Google SecOps. Eine Liste der vordefinierten Rollen finden Sie unter Vordefinierte Google SecOps-Rollen in IAM.

Berechtigungen zum Konfigurieren der Funktionszugriffssteuerung mit IAM

Weisen Sie dem Onboarding-SME die Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) auf Projektebene zu. Diese Berechtigung ist erforderlich, um IAM-Rollenbindungen für das Projekt zuzuweisen und zu ändern.
Weisen Sie Nutzern IAM-Rollen basierend auf ihren Verantwortlichkeiten zu. Beispiele finden Sie unter Nutzern und Gruppen Rollen zuweisen.

Wenn Sie eine vorhandene Google SecOps-Instanz zu IAM migrieren möchten, gewähren Sie dem Onboarding-Experten dieselben Berechtigungen wie die Berechtigungen zum Konfigurieren eines Identitätsanbieters.

Berechtigungen zum Konfigurieren der Datenzugriffssteuerung

Weisen Sie dem Onboarding-SME die folgenden IAM-Rollen zu:

Die Rollen „Chronicle API Admin“ (roles/chronicle.admin) und „Role Viewer“ (roles/iam.roleViewer) zum Konfigurieren der Daten-RBAC für Nutzer.
Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) zum Zuweisen der Bereiche zu Nutzern.

Wenn Sie nicht die erforderlichen Rollen haben, weisen Sie die Rollen in IAM zu.

Anforderungen für erweiterte Funktionen von Google SecOps

In der folgenden Tabelle sind die erweiterten Funktionen von Google SecOps und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Google Cloud -Projekt und der Google-Mitarbeiteridentitätsföderation aufgeführt.

Leistungsvermögen	Google Cloud foundation	Erfordert Google Cloud Projekt?	Ist eine IAM-Integration erforderlich?
Cloud-Audit-Logs: Administratoraktivitäten	Cloud-Audit-Logs	Ja	Ja
Cloud-Audit-Logs: Datenzugriff	Cloud-Audit-Logs	Ja	Ja
Cloud-Abrechnung: Online-Abo oder „Pay as you go“	Cloud Billing	Ja	Nein
Chronicle-APIs: allgemeiner Zugriff, Anmeldedaten mit Drittanbieter-IdP erstellen und verwalten	Google Cloud APIs	Ja	Ja
Chronicle-APIs: allgemeiner Zugriff, Erstellen und Verwalten von Anmeldedaten mit Cloud Identity	Google Cloud APIs, Cloud Identity	Ja	Ja
Konforme Kontrollen: CMEK	Cloud Key Management Service oder Cloud External Key Manager	Ja	Nein
Konforme Kontrollen: FedRAMP High oder höher	Assured Workloads	Ja	Ja
Konforme Steuerelemente: Organisationsrichtliniendienst	Organisationsrichtliniendienst	Ja	Nein
Kontaktverwaltung: Rechtliche Offenlegungen	Wichtige Kontakte	Ja	Nein
Gesundheitsüberwachung: Ausfälle der Ingestionspipeline	Cloud Monitoring	Ja	Nein
Aufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Identity and Access Management	Ja	Nein
Rollenbasierte Zugriffssteuerung: Daten	Identity and Access Management	Ja	Ja
Rollenbasierte Zugriffssteuerung: Funktionen oder Ressourcen	Identity and Access Management	Ja	Ja
Supportzugriff: Fallübermittlung, ‑tracking	Cloud Customer Care	Ja	Nein
Vereinheitlichte SecOps-Authentifizierung	Google-Mitarbeiteridentitätsföderation	Nein	Ja

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten