Integrar o migrar una instancia de Google Security Operations
Google Security Operations se vincula a un proyecto de Google Cloud proporcionado por el cliente para integrarlo de forma más estrecha con los servicios de Google Cloud, como Identity and Access Management, Cloud Monitoring y Registros de auditoría de Cloud. Los clientes pueden usar IAM y la federación de identidades de personal para autenticarse con su proveedor de identidad existente.
En los siguientes documentos, se te guiará a través del proceso para integrar una instancia nueva de Google Security Operations o migrar una existente.
- Configura un proyecto de Google Cloud para Google Security Operations
- Configura un proveedor de identidad de terceros para Google Security Operations
- Vincula Google Security Operations a los servicios de Google Cloud
- Cómo configurar el control de acceso a las funciones con IAM
- Configura el control de acceso a los datos
- Completa la lista de tareas para la configuración de Google Cloud
Roles obligatorios
En las siguientes secciones, se describen los permisos que necesitas para cada fase del proceso de integración, que se mencionó en la sección anterior.
Configura un proyecto de Google Cloud para las Operaciones de seguridad de Google
Para completar los pasos de Configura un proyecto de Google Cloud para Google Security Operations, necesitas los siguientes permisos de IAM.
Si tienes el permiso Creador de proyectos (resourcemanager.projects.create) a nivel de la organización, no se requieren permisos adicionales para crear un proyecto y habilitar la API de Chronicle.
Si no tienes este permiso, necesitas los siguientes permisos a nivel del proyecto:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin) - Administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configura un proveedor de identidad
Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros (como Okta o Azure AD) para administrar usuarios, grupos y autenticación.
Permisos para configurar Cloud Identity o Google Workspace
Si usas Cloud Identity, debes tener los roles y permisos que se describen en Administra accesos a proyectos, carpetas y organizaciones.
Si usas Google Workspace, debes tener una cuenta de administrador de Cloud Identity y poder acceder a la Consola del administrador.
Consulta Configura el proveedor de identidad de Google Cloud para obtener más información sobre cómo usar Cloud Identity o Google Workspace como proveedor de identidad.
Permisos para configurar un proveedor de identidad de terceros
Si usas un proveedor de identidad de terceros, configurarás la federación de Workforce Identity y un grupo de identidad del personal.
Para completar los pasos que se indican en Cómo configurar un proveedor de identidad de terceros para Google Security Operations, necesitas los siguientes permisos de IAM.
Permisos de Editor de proyecto en el proyecto vinculado a Google Security Operations que creaste anteriormente.
Permiso Administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin) a nivel de la organización.Usa el siguiente comando como ejemplo para configurar el rol
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminReemplaza lo siguiente:
ORGANIZATION_ID: El ID numérico de la organización.USER_EMAIL: La dirección de correo electrónico del usuario administrador.
Permisos de Visualizador de la organización (
resourcemanager.organizations.get) a nivel de la organización
Para obtener más información, consulta Configura un proveedor de identidad externo.
Vincula una instancia de Google Security Operations a los servicios de Google Cloud
Para completar los pasos de Vincula Google Security Operations a los servicios de Google Cloud, necesitarás los mismos permisos que se definen en la sección Configura un proyecto de Google Cloud para Google Security Operations.
Si planeas migrar una instancia existente de Google SecOps, necesitarás permisos para acceder a Google SecOps. Para obtener una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM.
Configura el control de acceso a las funciones con IAM
Para completar los pasos de Configurar el control de acceso a las funciones con IAM, necesitas el siguiente permiso de IAM a nivel del proyecto para otorgar y modificar las vinculaciones de roles de IAM del proyecto:
Consulta Cómo asignar roles a usuarios y grupos para ver un ejemplo de cómo hacerlo.
Si planeas migrar una instancia existente de Google Security Operations a IAM, necesitarás los mismos permisos que se definen en la sección Configura un proveedor de identidad de terceros en Google Security Operations.
Configura el control de acceso a los datos
Para configurar el RBAC de datos para los usuarios, necesitas los roles de administrador de la API de Chronicle (roles/chronicle.admin) y de visualizador de roles (roles/iam.roleViewer). Para asignar los permisos a los usuarios, necesitas el rol Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o Administrador de seguridad (roles/iam.securityAdmin).
Si no tienes los roles necesarios, asígnales en IAM.
Requisitos de las funciones avanzadas de Google Security Operations
En la siguiente tabla, se enumeran las funciones avanzadas de Google Security Operations y sus dependencias en un proyecto de Google Cloud proporcionado por el cliente y la integración de identidades de la fuerza de trabajo de Google.
| Función | Configuración inicial de Google Cloud | ¿Se requiere un proyecto de Google Cloud? | ¿Requiere integración de IAM? |
|---|---|---|---|
| Registros de auditoría de Cloud: actividades administrativas | Cloud Audit Logs | Sí | Sí |
| Registros de auditoría de Cloud: acceso a los datos | Cloud Audit Logs | Sí | Sí |
| Facturación de Cloud: suscripción en línea o pago por uso | Facturación de Cloud | Sí | No |
| APIs de Chronicle: Acceso general, creación y administración de credenciales con un IdP externo | APIs de Google Cloud | Sí | Sí |
| APIs de Chronicle: Acceso general, creación y administración de credenciales con Cloud Identity | APIs de Google Cloud, Cloud Identity | Sí | Sí |
| Controles de cumplimiento: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
| Controles de cumplimiento: FedRAMP High o superior | Assured Workloads | Sí | Sí |
| Controles de cumplimiento: Servicio de políticas de la organización | Servicio de políticas de la organización | Sí | No |
| Controles conformes: Controles del servicio de VPC | Controles del servicio de VPC | Sí | No |
| Administración de contactos: Divulgaciones legales | Contactos esenciales | Sí | No |
| Supervisión del estado: interrupciones de la canalización de transferencia | Cloud Monitoring | Sí | No |
| Transferencia: webhook, Pub/Sub, Azure Event Hub y Amazon Kinesis Data Firehose | Administración de identidades y accesos | Sí | No |
| Controles de acceso basados en roles: datos | Administración de identidades y accesos | Sí | Sí |
| Controles de acceso basados en roles: funciones o recursos | Administración de identidades y accesos | Sí | Sí |
| Acceso a la asistencia: envío y seguimiento de casos | Atención al cliente de Cloud | Sí | No |
| Autenticación unificada de SecOps | Federación de identidades de personal de Google | No | Sí |