Google SecOps-Instanz einrichten
In diesem Dokument wird beschrieben, wie Sie eine Google SecOps-Instanz (SIEM und SOAR) einrichten (bereitstellen) und Google SecOps-Funktionen basierend auf Ihrer Google SecOps-Paketstufe und Ihren Berechtigungen aktivieren. Diese Schritte gelten für die folgenden Google SecOps-Pakete: Standard, Enterprise und Enterprise Plus.
Ihr Onboarding-SME, auch Google SecOps SME oder Abrechnungsadministrator genannt, führt das Onboarding durch. Diese Person ist der Hauptkontakt Ihrer Organisation für Google SecOps.
Vorbereitung
Bevor Sie eine neue Google SecOps-Instanz einrichten können, müssen in Ihrer Organisation die folgenden Voraussetzungen erfüllt sein:
Eine aktive Registrierung für eines der folgenden Google SecOps-Pakete: Standard, Enterprise oder Enterprise Plus.
Einen unterzeichneten Google SecOps-Vertrag Ihrer Organisation. Mit diesem Vertrag erhalten Sie die Berechtigung, jede neue Google SecOps-Instanz bereitzustellen.
Neue Google SecOps-Instanz bereitstellen
Führen Sie die folgenden Schritte aus, um eine neue Google SecOps-Instanz bereitzustellen:
Unterzeichnen Sie den Google SecOps-Vertrag.
Die Bereitstellung einer neuen Google SecOps-Instanz beginnt, wenn Ihre Organisation einen Google SecOps-Vertrag unterzeichnet. Dadurch wird der interne Onboarding-Workflow von Google ausgelöst und die Vertragsdetails werden im Google-System registriert, einschließlich Ihres Abrechnungskontos und der E-Mail-Adresse Ihres SME für das Onboarding.
Umgebung für das Onboarding vorbereiten
Ihr SME für das Onboarding sollte Ihre Umgebung vorbereiten, bevor Sie eine neue Google SecOps-Instanz einrichten.
Optional. Wenden Sie sich an den Support, um zusätzliche Instanzen bereitzustellen.
Umgebung für das Onboarding vorbereiten
Der SME für das Onboarding sollte Ihre Umgebung vorbereiten, bevor eine Google SecOps-Instanz bereitgestellt wird. Weitere Informationen finden Sie in den folgenden Abschnitten:
- Gewähren Sie Berechtigungen für das Onboarding.
- Richten Sie einen Assured Workloads-Ordner ein (optional).
- Google Cloud Projekt erstellen (optional)
- Google Cloud Projekt konfigurieren
- Konfigurieren Sie einen Identitätsanbieter.
Berechtigungen zum Onboarding erteilen
Weisen Sie für jede neue Google SecOps-Instanz dem SME für das Onboarding die erforderlichen Onboarding-Rollen und -Berechtigungen zu, wie unter Erforderliche Rollen und Berechtigungen beschrieben.
Assured Workloads-Ordner einrichten (optional)
So erstellen Sie einen Assured Workloads-Ordner:
- Rufen Sie die Seite Neuen Assured Workloads-Ordner erstellen auf.
- Wählen Sie in der Liste den Typ des Steuerpakets* aus, den Sie auf den Ordner „Assured Workloads“ anwenden möchten.
- Sie benötigen die im Abschnitt Erforderliche IAM-Rollen aufgeführten Berechtigungen.
Folgen Sie der Anleitung im Abschnitt Assure Assured Workloads-Ordner für… erstellen.
Beachten Sie beim Einrichten des Ordners die folgenden Richtlinien:
Ein compliance-kontrollierter Tenant (Instanz) muss einem oder mehreren der folgenden Standards für Compliance-Kontrollen entsprechen: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 oder DRZ_ADVANCED.
Alle Dateien, die mit einem richtlinienkonformen Mandanten verknüpft sind, müssen sich in einem Assured Workloads-Ordner befinden, der für den entsprechenden Compliance-Kontrollstandard konfiguriert ist.
Ein Assured Workloads-Ordner wird auf Organisationsebene erstellt.
Eine Organisation kann mehrere Assured Workloads-Ordner erstellen, die jeweils einem bestimmten Compliance-Kontrollpaket entsprechend den Anforderungen gewidmet sind. Ein Ordner kann beispielsweise FedRAMP_MODERATE-Instanzen unterstützen, während ein anderer FedRAMP_HIGH-Instanzen unterstützt.
Beachten Sie die folgenden Richtlinien, wenn Sie einen richtlinienkontrollierten Tenant (Instanz) bereitstellen:
Sie müssen den richtlinienkonformen Mandanten (Instanz) mit einem Google CloudProjekt verknüpfen, das sich in einem Assured Workloads-Ordner befindet.
Wenn Sie ein neues Google Cloud Projekt für Ihre Google SecOps-Instanz erstellen möchten, müssen Sie es in einem Assured Workloads-Ordner erstellen, der für das erforderliche Compliance-Kontrollpaket konfiguriert ist.
Wenn Ihre Organisation keinen Assured Workloads-Ordner hat, müssen Sie einen erstellen.
Projekt erstellen Google Cloud (optional)
Jede neue Google SecOps-Instanz sollte mit einemGoogle Cloud -Projekt verknüpft sein. Sie können ein vorhandenes Google Cloud Projekt verwenden oder ein neues erstellen.
So erstellen Sie ein neues Google Cloud Projekt:
Erstellen Sie für einen FedRAMP-konformen Mandanten (Instanz) das Projekt im Assured Workloads-Ordner Ihrer Organisation. Wenn Ihre Organisation keinen Assured Workloads-Ordner für das erforderliche Kontrollpaket hat, erstellen Sie einen.
Folgen Sie der Anleitung unter Projekt erstellen.
Google Cloud -Projekt konfigurieren
Ein Google Cloud -Projekt dient als Steuerebene für die verknüpfte Google SecOps-Instanz.
Folgen Sie der Anleitung unter Projekt für Google SecOps konfigurieren Google Cloud , um es richtig einzurichten.
Identitätsanbieter konfigurieren
Konfigurieren Sie einen Identitätsanbieter, um Nutzer, Gruppen und die Authentifizierung für Ihre Google SecOps-Instanz zu verwalten.
Es gibt zwei unterstützte Optionen:
Option 1: Google Cloud Identity:
Verwenden Sie diese Option, wenn Sie ein Google Workspace-Konto haben oder Identitäten von Ihrem IdP mit Google Cloudsynchronisieren.
Erstellen Sie verwaltete Nutzerkonten, um den Zugriff auf Google Cloud Ressourcen und Ihre Google SecOps-Instanz zu steuern.
Definieren Sie IAM-Richtlinien mit vordefinierten oder benutzerdefinierten Rollen, um Nutzern und Gruppen Funktionszugriff zu gewähren.
Eine ausführliche Anleitung finden Sie unter Identitätsanbieter konfigurieren Google Cloud .
Option 2: Workforce Identity-Föderation:
Verwenden Sie diese Option, wenn Sie einen externen Identitätsanbieter wie Okta oder Azure AD verwenden.
Konfigurieren Sie die Workforce Identity-Föderation von Google und erstellen Sie einen Workforce Identity-Pool. Mit der Mitarbeiteridentitätsföderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud -Ressourcen gewähren, ohne Dienstkontoschlüssel verwenden zu müssen.
Eine ausführliche Anleitung finden Sie unter Identitätsanbieter von Drittanbietern konfigurieren.
Neue Google SecOps-Instanz einrichten
Das Google-System sendet eine Einladungs-E-Mail für das Onboarding in Google SecOps an Ihren SME für das Onboarding. Diese E-Mail enthält einen Aktivierungslink, über den Sie den Einrichtungsprozess starten können.
Nachdem der SME die Umgebung für das Onboarding vorbereitet hat, sollte er Folgendes tun:
- Klicken Sie in der Einladungs-E-Mail auf den Aktivierungslink.
Führen Sie die Schritte in den folgenden Abschnitten aus, um die Google SecOps-Instanz bereitzustellen:
- Konfigurieren Sie eine neue Google SecOps-Instanz und verknüpfen Sie sie mit einem Google Cloud Projekt.
- Funktionszugriffssteuerung mit IAM konfigurieren
- RBAC für Daten für Nutzer konfigurieren
- Ordnen Sie IdP-Gruppen Zugriffssteuerungsparameter zu, um die Bereitstellung abzuschließen.
Erforderliche Rollen und Berechtigungen
In diesem Abschnitt sind die Rollen und Berechtigungen aufgeführt, die zum Bereitstellen einer Google SecOps-Instanz erforderlich sind. Gewähren Sie dem SME, das die Bereitstellungsaufgaben ausführt, die folgenden Berechtigungen:
- Alle Rollen und Berechtigungen müssen auf Projektebene gewährt werden. Diese Berechtigungen gelten nur für das angegebene Google Cloud Projekt und die zugehörige Google SecOps-Instanz. Wenn Sie zusätzliche Instanzen bereitstellen möchten, wenden Sie sich an den Support.
- Wenn Sie eine weitere Google SecOps-Instanz im Rahmen eines anderen Vertrags bereitstellen, müssen Sie für diese Bereitstellung eine neue Reihe von Rollen und Berechtigungen gewähren.
Weisen Sie dem SME für das Onboarding die in den folgenden Abschnitten aufgeführten Rollen und Berechtigungen zu:
- Berechtigungen im Google-Rechnungskonto
- Vordefinierte IAM-Rollen
- Berechtigungen zum Erstellen eines Assured Workloads-Ordners
- Berechtigungen zum Hinzufügen eines Google Cloud -Projekts
- Berechtigungen zum Konfigurieren eines Identitätsanbieters
- Berechtigungen zum Verknüpfen einer Google SecOps-Instanz mit Google Cloud Diensten
- Berechtigungen zum Konfigurieren der Zugriffssteuerung für Funktionen mit IAM
- Berechtigungen zum Konfigurieren der Datenzugriffssteuerung
- Anforderungen an erweiterte Google SecOps-Funktionen
Berechtigungen im Google-Abrechnungskonto
Gewähren Sie dem SME für das Onboarding die Berechtigung billing.resourceAssociations.list für das im Vertrag angegebene Google-Rechnungskonto. Eine detaillierte Anleitung finden Sie unter Nutzerberechtigungen für ein Cloud Billing-Konto aktualisieren.
Vordefinierte IAM-Rollen
Weisen Sie dem SME für das Onboarding die folgenden vordefinierten IAM-Rollen zu:
Berechtigungen zum Erstellen eines Assured Workloads-Ordners
Weisen Sie dem SME für das Onboarding die Rolle Assured Workloads Administrator (roles/assuredworkloads.admin) zu. Diese enthält die minimalen IAM-Berechtigungen zum Erstellen und Verwalten von Assured Workloads-Ordnern.
Berechtigungen zum Hinzufügen eines Google Cloud -Projekts
Gewähren Sie dem SME für das Onboarding die Berechtigungen zum Erstellen von Projekten, die zum Erstellen eines Google Cloud -Projekts und zum Aktivieren der Chronicle API erforderlich sind:
Wenn der SME für das Onboarding die Berechtigungen eines Projekterstellers (
resourcemanager.projects.create) auf Organisationsebene hat, sind keine zusätzlichen Berechtigungen erforderlich.Wenn der SME für das Onboarding keine Berechtigungen zum Erstellen von Projekten auf Organisationsebene hat, gewähren Sie ihm die folgenden IAM-Rollen auf Projektebene:
Berechtigungen zum Konfigurieren eines Identitätsanbieters
Sie können einen Identitätsanbieter verwenden, um Nutzer, Gruppen und die Authentifizierung zu verwalten.
Gewähren Sie dem SME für das Onboarding die folgenden Berechtigungen zum Konfigurieren eines Identitätsanbieters:
Berechtigungen zum Konfigurieren von Cloud Identity oder Google Workspace
Bei Cloud Identity:
Wenn Sie Cloud Identity verwenden, gewähren Sie dem SME für das Onboarding die Rollen und Berechtigungen, die unter Zugriff auf Projekte, Ordner und Organisationen verwalten beschrieben sind.
Für Google Workspace:
Wenn Sie Google Workspace verwenden, muss der SME für das Onboarding ein Cloud Identity-Administratorkonto haben und sich in der Admin-Konsole anmelden können.
Weitere Informationen zur Verwendung von Cloud Identity oder Google Workspace als Identitätsanbieter finden Sie unter Identitätsanbieter konfigurieren Google Cloud .
Berechtigungen zum Konfigurieren eines Drittanbieter-IdP
Wenn Sie einen externen Identitätsanbieter wie Okta oder Azure AD verwenden, konfigurieren Sie die Workforce Identity-Föderation zusammen mit einem Workforce Identity-Pool, um eine sichere Authentifizierung zu ermöglichen.
Weisen Sie dem SME für das Onboarding die folgenden IAM-Rollen und -Berechtigungen zu:
Bearbeiter (
roles/editor): Berechtigungen für Projektbearbeiter für das Google SecOps-gebundene Projekt.Berechtigung IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) auf OrganisationsebeneIm folgenden Beispiel wird die Rolle
roles/iam.workforcePoolAdminfestgelegt:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.USER_EMAIL: E-Mail-Adresse des Administrators.
Berechtigung Organisationsbetrachter (
resourcemanager.organizations.get) auf Organisationsebene
Berechtigungen zum Verknüpfen einer Google SecOps-Instanz mit Google Cloud -Diensten
Gewähren Sie dem SME für das Onboarding dieselben Berechtigungen wie die Berechtigungen zum Hinzufügen eines Google Cloud Projekts.
Wenn Sie eine vorhandene Google SecOps-Instanz migrieren möchten, benötigen Sie Berechtigungen für den Zugriff auf Google SecOps. Eine Liste der vordefinierten Rollen finden Sie unter Vordefinierte Google SecOps-Rollen in IAM.
Berechtigungen zum Konfigurieren der Zugriffssteuerung für Funktionen mit IAM
Weisen Sie dem SME für das Onboarding die Rolle Project IAM Admin (
roles/resourcemanager.projectIamAdmin) auf Projektebene zu. Diese Berechtigung ist erforderlich, um IAM-Rollenzuweisungen für das Projekt zuzuweisen und zu ändern.Weisen Sie Nutzern IAM-Rollen zu, die ihren Aufgaben entsprechen. Beispiele finden Sie unter Nutzern und Gruppen Rollen zuweisen.
Wenn Sie eine vorhandene Google SecOps-Instanz zu IAM migrieren möchten, gewähren Sie dem SME für das Onboarding dieselben Berechtigungen wie die Berechtigungen zum Konfigurieren eines Identitätsanbieters.
Berechtigungen zum Konfigurieren der Datenzugriffssteuerung
Weisen Sie dem SME für die Einrichtung die folgenden IAM-Rollen zu:
- Die Rollen „Chronicle API Admin“ (
roles/chronicle.admin) und „Role Viewer“ (roles/iam.roleViewer) zum Konfigurieren der datenbasierten RBAC für Nutzer. - Die Rolle „IAM-Administrator für das Projekt“ (
roles/resourcemanager.projectIamAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin), um Nutzern die Berechtigungen zuzuweisen.
Wenn Sie nicht die erforderlichen Rollen haben, weisen Sie sie in IAM zu.
Anforderungen an erweiterte Funktionen von Google SecOps
In der folgenden Tabelle sind die erweiterten Funktionen von Google SecOps und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Projekt und der Identitätsfederation von Google aufgeführt. Google Cloud
| Leistungsvermögen | Google Cloud foundation | Erfordert das Projekt Google Cloud ? | Ist eine IAM-Integration erforderlich? |
|---|---|---|---|
| Cloud-Audit-Logs: Administratoraktivitäten | Cloud-Audit-Logs | Ja | Ja |
| Cloud-Audit-Logs: Datenzugriff | Cloud-Audit-Logs | Ja | Ja |
| Cloud Billing: Onlineabo oder Pay-as-you-go | Cloud Billing | Ja | Nein |
| Chronicle APIs: Allgemeiner Zugriff, Anmeldedaten mithilfe eines Drittanbieter-IdP erstellen und verwalten | Google Cloud APIs | Ja | Ja |
| Chronicle APIs: Allgemeiner Zugriff, Anmeldedaten mit Cloud Identity erstellen und verwalten | Google Cloud APIs, Cloud Identity | Ja | Ja |
| Konforme Steuerelemente: CMEK | Cloud Key Management Service oder Cloud External Key Manager | Ja | Nein |
| Konforme Kontrollen: FedRAMP High oder höher | Assured Workloads | Ja | Ja |
| Konforme Steuerelemente: Organisationsrichtliniendienst | Organisationsrichtliniendienst | Ja | Nein |
| Konforme Steuerelemente: VPC Service Controls | VPC Service Controls | Ja | Nein |
| Kontaktverwaltung: Rechtliche Hinweise | Wichtige Kontakte | Ja | Nein |
| Systemüberwachung: Ausfälle der Datenaufnahmepipeline | Cloud Monitoring | Ja | Nein |
| Datenaufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ja | Nein |
| Rollenbasierte Zugriffssteuerung: Daten | Identity and Access Management | Ja | Ja |
| Rollenbasierte Zugriffssteuerung: Funktionen oder Ressourcen | Identity and Access Management | Ja | Ja |
| Supportzugriff: Einreichen und Nachverfolgen von Supportanfragen | Cloud Customer Care | Ja | Nein |
| Unified SecOps-Authentifizierung | Mitarbeiteridentitätsföderation von Google | Nein | Ja |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten