Incorporar una instancia de Google SecOps
En este documento se describe cómo incorporar (desplegar) una instancia de Google SecOps (SIEM y SOAR) y habilitar las funciones de Google SecOps en función del nivel del paquete y los derechos de Google SecOps. Estos pasos de configuración se aplican a los siguientes paquetes de Google SecOps: Standard, Enterprise y Enterprise Plus.
El experto en la incorporación que hayas designado, también conocido como experto en SecOps de Google o administrador de facturación, lleva a cabo el proceso de incorporación. Esta persona será el punto de contacto principal de tu organización para Google SecOps.
Requisitos previos
Antes de incorporar una nueva instancia de Google SecOps, asegúrate de que tu organización cumpla estos requisitos previos:
Una suscripción activa a uno de los siguientes paquetes de Google SecOps: Standard, Enterprise o Enterprise Plus.
Un contrato de Google SecOps firmado por tu organización. Este contrato te da permiso para aprovisionar cada nueva instancia de Google SecOps.
Desplegar una instancia de Google SecOps
Sigue estos pasos para implementar una nueva instancia de Google SecOps:
Firma el contrato de Google SecOps.
El aprovisionamiento de una nueva instancia de Google SecOps empieza cuando tu organización firma un contrato de Google SecOps. Esta acción activa el flujo de trabajo interno de incorporación de Google y registra los detalles del contrato en el sistema de Google, incluida tu cuenta de facturación y la dirección de correo de tu pyme de incorporación.
Prepara tu entorno para la incorporación.
El experto en la materia de la incorporación debe preparar tu entorno antes de incorporar una nueva instancia de Google SecOps.
Opcional. Ponte en contacto con el equipo de Asistencia para implementar más instancias.
Preparar el entorno para la incorporación
El experto en la materia de la incorporación debe preparar tu entorno antes de incorporar una instancia de Google SecOps, tal como se describe en estas secciones:
- Concede permisos para completar la configuración inicial.
- Configura una carpeta de Assured Workloads (opcional).
- Crea un proyecto Google Cloud (opcional).
- Configura un Google Cloud proyecto.
- Configura un proveedor de identidades.
Conceder permisos para completar la configuración inicial
En cada nueva instancia de Google SecOps, concede los roles y permisos de incorporación necesarios al experto en la materia de incorporación, tal como se describe en Roles y permisos necesarios.
Configurar una carpeta de Assured Workloads (opcional)
Para crear una carpeta de Assured Workloads, sigue estos pasos:
- Ve a la página Crear una carpeta de Assured Workloads.
- En la lista, selecciona el tipo de paquete de control* que quieras aplicar a la carpeta de Assured Workloads.
- Asegúrate de que tienes los permisos necesarios que se indican en la sección Roles de gestión de identidades y accesos necesarios.
Sigue los pasos que se indican en la sección Crear una carpeta de Assured Workloads para....
Cuando configures la carpeta, ten en cuenta estas directrices:
Un arrendatario (instancia) controlado por cumplimiento es aquel que debe cumplir uno o varios de los siguientes estándares de control de cumplimiento: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.
Todos los archivos asociados a un arrendatario controlado por cumplimiento deben residir en una carpeta de Assured Workloads configurada para el estándar de control de cumplimiento adecuado.
Se crea una carpeta de Assured Workloads a nivel de organización.
Una organización puede crear varias carpetas de Assured Workloads, cada una de ellas dedicada a un paquete de control de cumplimiento específico en función de sus requisitos. Por ejemplo, una carpeta puede admitir instancias de FedRAMP_MODERATE, mientras que otra puede admitir instancias de FedRAMP_HIGH.
Ten en cuenta estas directrices al implementar un inquilino (instancia) controlado por cumplimiento:
Debes vincular el tenant (instancia) controlado por cumplimiento a un Google Cloud proyecto que se encuentre en una carpeta de Assured Workloads.
Si tienes previsto crear un proyecto para tu instancia de Google SecOps, debes hacerlo en una carpeta de Assured Workloads configurada para el paquete de controles de cumplimiento necesario. Google Cloud
Si tu organización no tiene una carpeta de Assured Workloads, debes crear una.
Crea un Google Cloud proyecto (opcional)
Cada nueva instancia de Google SecOps debe estar vinculada a un Google Cloud proyecto. Puedes usar un Google Cloud proyecto que ya tengas o crear uno.
Para crear un proyecto, Google Cloud sigue estos pasos:
Para crear un proyecto en un tenant (instancia) que cumpla los requisitos de FedRAMP, hazlo en la carpeta Assured Workloads de tu organización. Si tu organización no tiene una carpeta de Assured Workloads para el paquete de control requerido, crea una.
Sigue los pasos que se indican en Crear un proyecto.
Configurar un Google Cloud proyecto
Un proyecto actúa como capa de control de la instancia de Google SecOps vinculada. Google Cloud
Para configurarlo correctamente, sigue los pasos que se indican en Configurar un proyecto para Google SecOps. Google Cloud
Configurar un proveedor de identidades
Configura un proveedor de identidades para gestionar los usuarios, los grupos y la autenticación de tu instancia de Google SecOps.
Hay dos opciones admitidas:
Opción 1: Google Cloud Identidad:
Usa esta opción si tienes una cuenta de Google Workspace o si sincronizas identidades de tu proveedor de identidades con Google Cloud.
Crea cuentas de usuario gestionadas para controlar el acceso a los recursos y a tu instancia de Google SecOps. Google Cloud
Define políticas de gestión de identidades y accesos con roles predefinidos o personalizados para conceder acceso a funciones a usuarios y grupos.
Para obtener instrucciones detalladas, consulta Configurar un proveedor de identidades. Google Cloud
Opción 2: Federación de identidades para los trabajadores
Usa esta opción si utilizas un proveedor de identidades de terceros (como Okta o Azure AD).
Configura la federación de identidades de Workforce de Google y crea un grupo de identidades de Workforce. La federación de identidades de Workforce de Google te permite conceder a las cargas de trabajo on-premise o multinube acceso a los recursos Google Cloud sin usar claves de cuenta de servicio.
Para obtener instrucciones detalladas, consulta el artículo Configurar un proveedor de identidades de terceros.
Incorporar una nueva instancia de Google SecOps
El sistema de Google envía un correo de invitación a Google SecOps a tu experto en la materia de incorporación. Este correo incluye un enlace de activación para iniciar el proceso de configuración.
Una vez que haya preparado el entorno para la incorporación, el experto en la materia de la incorporación debe hacer lo siguiente:
- Haz clic en el enlace de activación del correo de invitación.
Sigue los pasos que se indican en las siguientes secciones para implementar la instancia de Google SecOps:
- Configura una instancia de Google SecOps y vincúlala a un Google Cloud proyecto.
- Configurar el control de acceso a funciones con la gestión de identidades y accesos
- Configurar el control de acceso basado en roles de datos para los usuarios.
- Asigna grupos de IdP a parámetros de control de acceso para completar la implementación.
Roles y permisos necesarios
En esta sección se enumeran los roles y permisos necesarios para implementar una instancia de Google SecOps. Concede estos permisos al experto en la materia que realice las tareas de implementación:
- Todos los roles y permisos deben concederse a nivel de proyecto. Estos permisos solo se aplican al proyecto Google Cloud especificado y a la instancia de Google SecOps asociada. Para implementar instancias adicionales, póngase en contacto con el equipo de Asistencia.
- Si implementas otra instancia de Google SecOps con otro contrato, debes conceder un nuevo conjunto de roles y permisos para esa implementación.
Concede al experto en la materia de la incorporación los roles y permisos que se indican en las siguientes secciones:
- Permisos de la cuenta de facturación de Google
- Roles de gestión de identidades y accesos predefinidos
- Permisos para crear una carpeta de Assured Workloads
- Permisos para añadir un Google Cloud proyecto
- Permisos para configurar un proveedor de identidades
- Permisos para vincular una instancia de Google SecOps a servicios de Google Cloud
- Permisos para configurar el control de acceso a funciones con la gestión de identidades y accesos
- Permisos para configurar el control de acceso a los datos
- Requisitos de las funciones avanzadas de Google SecOps
Permisos de la cuenta de facturación de Google
Concede al experto la billing.resourceAssociations.list para la cuenta de facturación de Google especificada en el contrato. Para ver los pasos detallados, consulta Actualizar los permisos de usuario de una cuenta de facturación de Cloud.
Roles de gestión de identidades y accesos predefinidos
Concede al experto en la materia de la incorporación los siguientes roles predefinidos de gestión de identidades y accesos:
Permisos para crear una carpeta de Assured Workloads
Concede al experto en la materia de la incorporación el rol
Administrador de Assured Workloads (roles/assuredworkloads.admin), que contiene los permisos mínimos de gestión de identidades y accesos
para crear y gestionar carpetas de Assured Workloads.
Permisos para añadir un proyecto Google Cloud
Concede al experto en la materia de la incorporación los permisos de creador de proyectos necesarios para crear un proyecto de Google Cloud y habilitar la API Chronicle:
Si el experto en la materia de la incorporación tiene permisos de creador de proyectos
resourcemanager.projects.create() a nivel de organización, no se necesitan permisos adicionales.Si el experto en la materia de la incorporación no tiene permisos de creador de proyectos a nivel de organización, otórgale los siguientes roles de gestión de identidades y accesos a nivel de proyecto:
Permisos para configurar un proveedor de identidades
Puedes usar un IdP para gestionar usuarios, grupos y la autenticación.
Concede los siguientes permisos al experto en la materia de la incorporación para configurar un proveedor de identidades:
Permisos para configurar Cloud Identity o Google Workspace
En Cloud Identity:
Si usas Cloud Identity, concede al experto los roles y permisos que se describen en el artículo Administra el acceso a proyectos, carpetas y organizaciones.
Para Google Workspace:
Si utilizas Google Workspace, el experto en la materia de la incorporación debe tener una cuenta de administrador de Cloud Identity y poder iniciar sesión en la consola de administración.
Para obtener más información sobre cómo usar Cloud Identity o Google Workspace como proveedor de identidades, consulta el artículo Configurar proveedor de identidades Google Cloud .
Permisos para configurar un proveedor de identidades externo
Si usas un IdP de terceros (como Okta o Azure AD), configura Workforce Identity Federation junto con un grupo de identidades de Workforce para habilitar la autenticación segura.
Concede al experto en la materia de la incorporación los siguientes roles y permisos de gestión de identidades y accesos:
Editor (
roles/editor): Permisos de Editor de proyecto para el proyecto vinculado a Google SecOps.Permiso Administrador de grupos de usuarios de IAM (
roles/iam.workforcePoolAdmin) a nivel de organización.Usa el siguiente ejemplo para asignar el rol
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminHaz los cambios siguientes:
ORGANIZATION_ID: ID de organización numérico.USER_EMAIL: dirección de correo del administrador.
Lector de organización (
resourcemanager.organizations.get) a nivel de organización.
Permisos para vincular una instancia de Google SecOps a servicios de Google Cloud
Concede al experto en la incorporación los mismos permisos que los permisos para añadir un Google Cloud proyecto.
Si tienes previsto migrar una instancia de Google SecOps, necesitas permisos para acceder a Google SecOps. Para ver una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM.
Permisos para configurar el control de acceso a funciones con la gestión de identidades y accesos
Asigna el rol Administrador de gestión de identidades y accesos de proyectos (
roles/resourcemanager.projectIamAdmin) a nivel de proyecto al experto en la materia de la incorporación. Este permiso es necesario para asignar y modificar las vinculaciones de roles de gestión de identidades y accesos del proyecto.Asigna roles de gestión de identidades y accesos a los usuarios en función de sus responsabilidades. Para ver algunos ejemplos, consulta Asignar roles a usuarios y grupos.
Si tienes previsto migrar una instancia de Google SecOps a IAM, concede al experto en la materia de la incorporación los mismos permisos que los permisos para configurar un proveedor de identidades.
Permisos para configurar el control de acceso a los datos
Concede los siguientes roles de gestión de identidades y accesos al SME de incorporación:
- Roles de administrador (
roles/chronicle.admin) y lector (roles/iam.roleViewer) de la API de Chronicle para configurar el control de acceso basado en roles de datos para los usuarios. - Rol Administrador de gestión de identidades y accesos de proyecto (
roles/resourcemanager.projectIamAdmin) o Administrador de seguridad (roles/iam.securityAdmin) para asignar los ámbitos a los usuarios.
Si no tienes los roles necesarios, asígnatelos en Gestión de identidades y accesos.
Requisitos de las funciones avanzadas de Google SecOps
En la siguiente tabla se indican las funciones avanzadas de Google SecOps y sus dependencias de un proyecto proporcionado por el cliente y de la federación de identidades de los empleados de Google. Google Cloud
| Competencia | Google Cloud foundation | ¿Requiere Google Cloud proyecto? | ¿Requiere integración con IAM? |
|---|---|---|---|
| Registros de auditoría de Cloud: actividades administrativas | Registros de auditoría de Cloud | Sí | Sí |
| Registros de auditoría de Cloud: acceso a datos | Registros de auditoría de Cloud | Sí | Sí |
| Facturación de Cloud: suscripción online o pago por uso | Facturación de Google Cloud | Sí | No |
| APIs de Chronicle: acceso general, emisión y gestión de credenciales mediante un IdP de terceros | Google Cloud APIs | Sí | Sí |
| APIs de Chronicle: acceso general, creación y gestión de credenciales con Cloud Identity | Google Cloud APIs de Cloud Identity | Sí | Sí |
| Controles de cumplimiento: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
| Controles que cumplen los requisitos: FedRAMP High o superior | Assured Workloads | Sí | Sí |
| Controles conformes: servicio de políticas de organización | Servicio de política de organización | Sí | No |
| Gestión de contactos: avisos legales | Contactos esenciales | Sí | No |
| Monitorización del estado: interrupciones de la canalización de ingestión | Cloud Monitoring | Sí | No |
| Ingestión: webhook, Pub/Sub, Azure Event Hub y Amazon Kinesis Data Firehose | Gestión de Identidades y Accesos | Sí | No |
| Controles de acceso basados en roles: datos | Gestión de Identidades y Accesos | Sí | Sí |
| Controles de acceso basados en roles: funciones o recursos | Gestión de Identidades y Accesos | Sí | Sí |
| Acceso al servicio de asistencia: envío y seguimiento de casos | Cloud Customer Care | Sí | No |
| Autenticación unificada de SecOps | Federación de identidades para los trabajadores de Google | No | Sí |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.