Se usó la API de Cloud Translation para traducir esta página.

Integra una instancia de Google SecOps

Compatible con:

Google secops

En este documento, se describe cómo incorporar (implementar) una instancia de Google SecOps (SIEM y SOAR) y habilitar las funciones de Google SecOps según el nivel y los derechos de tu paquete de Google SecOps. Estos pasos de integración se aplican a los siguientes paquetes de SecOps de Google: Estándar, Enterprise y Enterprise Plus.

El PYME de integración designado, también conocido como PYME de SecOps de Google o administrador de facturación, realiza el proceso de integración. Esta persona será el punto de contacto principal de tu organización para las SecOps de Google.

Requisitos previos

Antes de incorporar una nueva instancia de Google SecOps, asegúrate de que tu organización cumpla con los siguientes requisitos previos:

Un registro activo para uno de los siguientes paquetes de SecOps de Google: Estándar, Enterprise o Enterprise Plus
Un contrato de Google SecOps firmado por tu organización Este contrato te otorga permiso para aprovisionar cada instancia nueva de Google SecOps.

Implementa una nueva instancia de Google SecOps

Sigue estos pasos para implementar una instancia nueva de Google SecOps:

Firma el contrato de Google SecOps.

El aprovisionamiento de una nueva instancia de Google SecOps comienza cuando tu organización firma un contrato de Google SecOps. Esta acción activa el flujo de trabajo interno de incorporación de Google y registra los detalles del contrato en el sistema de Google, incluida tu cuenta de facturación y la dirección de correo electrónico del SME de incorporación.
Prepara tu entorno para la integración.

Tu SME de integración debe preparar tu entorno antes de que incorpores una nueva instancia de Google SecOps.
Integra una nueva instancia de Google SecOps.
Opcional. Comunícate con el equipo de asistencia para implementar instancias adicionales.

Prepara tu entorno para la incorporación

El SME de integración debe preparar tu entorno antes de integrar una instancia de Google SecOps, como se describe en estas secciones:

Otorga permisos para realizar la integración.
Configura una carpeta de Assured Workloads (opcional).
Crea un proyecto Google Cloud (opcional).
Configura un Google Cloud proyecto.
Configura un proveedor de identidad.

Otorga permisos para realizar la incorporación

Para cada instancia nueva de Google SecOps, otorga los roles y permisos de integración necesarios al SME de integración, como se describe en Roles y permisos obligatorios.

Configura una carpeta de Assured Workloads (opcional)

Para crear una carpeta de Assured Workloads, haz lo siguiente:

Ve a la página Crea una carpeta nueva de Assured Workloads.
En la lista, selecciona el tipo de paquete de control* que deseas aplicar a la carpeta de Assured Workloads.
Asegúrate de tener los permisos necesarios que se indican en la sección Roles de IAM requeridos.
Sigue los pasos de la sección Crea una carpeta de Assured Workloads para….

Nota: Si administras varias organizaciones, selecciona la organización correcta en la que se debe crear la carpeta de Assured Workloads. En región, selecciona US, que corresponde a la multirregión de EE.UU..

Cuando configures tu carpeta, ten en cuenta estos lineamientos:

Un arrendatario (instancia) controlado por cumplimiento es aquel que debe cumplir con uno o más de los siguientes estándares de control de cumplimiento: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.
Todos los archivos asociados con un arrendatario controlado por cumplimiento deben residir en una carpeta de Assured Workloads configurada para el estándar de control de cumplimiento adecuado.
Se crea una carpeta de Assured Workloads a nivel de la organización.
Una organización puede crear varias carpetas de Assured Workloads, cada una dedicada a un paquete de controles de cumplimiento específico según sus requisitos. Por ejemplo, una carpeta puede admitir instancias de FedRAMP_MODERATE, mientras que otra, instancias de FedRAMP_HIGH.

Ten en cuenta estos lineamientos cuando implementes un arrendatario (instancia) controlado por cumplimiento:

Debes vincular el inquilino (instancia) controlado por cumplimiento a un proyecto Google Cloudque se encuentre dentro de una carpeta de Assured Workloads.
Si planeas crear un proyecto Google Cloud nuevo para tu instancia de Google SecOps, debes crearlo dentro de una carpeta de Assured Workloads configurada para el paquete de controles de cumplimiento requerido.
Si tu organización no tiene una carpeta de Assured Workloads, debes crear una.

Crea un Google Cloud proyecto (opcional)

Cada instancia nueva de Google SecOps debe vincularse a un proyecto deGoogle Cloud . Puedes usar un proyecto Google Cloud existente o crear uno nuevo.

Para crear un proyecto Google Cloud nuevo, sigue estos pasos:

Para un inquilino (instancia) que cumpla con FedRAMP, crea el proyecto dentro de la carpeta de Assured Workloads de tu organización. Si tu organización no tiene una carpeta de Assured Workloads para el paquete de controles requerido, crea una.
Sigue los pasos que se indican en Crea un proyecto.

Nota: Te recomendamos que uses la convención de nomenclatura \<CUSTOMER-name\>-chronicle y que te asegures de que la cuenta de facturación del proyecto coincida con la cuenta de facturación asociada a la instancia de Google SecOps que implementas.

Configura un proyecto de Google Cloud

Un proyecto de Google Cloud actúa como la capa de control de la instancia de Google SecOps vinculada.

Para configurarlo correctamente, sigue los pasos que se indican en Configura un proyecto de Google Cloud para Google SecOps.

Configura un proveedor de identidad

Configura un proveedor de identidad para administrar usuarios, grupos y autenticación para tu instancia de Google SecOps.

Existen dos opciones compatibles:

Opción 1: Google Cloud Identidad:

Usa esta opción si tienes una cuenta de Google Workspace o si sincronizas identidades desde tu IdP a Google Cloud.
1. Crea cuentas de usuario administradas para controlar el acceso a los recursos y a tu instancia de Google SecOps. Google Cloud
2. Define políticas de IAM con roles predefinidos o personalizados para otorgar acceso a funciones a usuarios y grupos.
Para obtener instrucciones detalladas, consulta Cómo configurar un proveedor de identidad de Google Cloud .

Nota: Esta opción no es compatible con los clientes que cumplen con los requisitos de FedRAMP, IL4 o IL5.
Opción 2: Federación de Workforce Identity:

Usa esta opción si utilizas un IdP externo (como Okta o Azure AD).

Configura la federación de identidades de personal de Google y crea un grupo de identidades de personal. La federación de identidades de personal de Google te permite otorgar a las cargas de trabajo locales o de múltiples nubes acceso a los recursos de Google Cloud sin usar claves de cuentas de servicio.

Para obtener instrucciones detalladas, consulta Configura un proveedor de identidad de terceros.

Integra una instancia nueva de Google SecOps

El sistema de Google envía un correo electrónico de invitación a la incorporación de Google SecOps a tu SME de incorporación. Este correo electrónico incluye un vínculo de activación para iniciar el proceso de configuración.

Después de preparar tu entorno para la incorporación, el SME de incorporación debe hacer lo siguiente:

Haz clic en el vínculo de activación que se incluye en el correo electrónico de invitación.
Sigue los pasos que se indican en las siguientes secciones para implementar la instancia de Google SecOps:
1. Configura una nueva instancia de Google SecOps y vincúlala a un proyecto Google Cloud .
2. Configura el control de acceso a funciones con IAM.
3. Configura el RBAC de datos para los usuarios.
4. Asigna grupos del IdP a parámetros de control de acceso para completar la implementación.

Roles y permisos requeridos

En esta sección, se enumeran los roles y permisos necesarios para implementar una instancia de Google SecOps. Otorga los siguientes permisos al SME de incorporación que realiza las tareas de implementación:

Todos los roles y permisos deben otorgarse a nivel del proyecto. Estos permisos solo se aplican al proyecto Google Cloud especificado y a la instancia de Google SecOps asociada. Para implementar instancias adicionales, comunícate con el equipo de asistencia.
Si implementas otra instancia de Google SecOps en virtud de un contrato diferente, debes otorgar un nuevo conjunto de roles y permisos para esa implementación.

Otorga al SME de incorporación los roles y permisos que se indican en las siguientes secciones:

Permisos en la cuenta de facturación de Google
Roles de IAM predefinidos
Permisos para crear una carpeta de Assured Workloads
Permisos para agregar un proyecto Google Cloud
Permisos para configurar un proveedor de identidad
1. Permisos para configurar Cloud Identity o Google Workspace
2. Permisos para configurar un proveedor de identidad externo
Permisos para vincular una instancia de Google SecOps a los servicios de Google Cloud
Permisos para configurar el control de acceso a funciones con IAM
Permisos para configurar el control de acceso a los datos
Requisitos de las capacidades avanzadas de Google SecOps

Permisos en la cuenta de facturación de Google

Otorga al PYME de incorporación el permiso billing.resourceAssociations.list para la cuenta de facturación de Google especificada en el contrato. Para conocer los pasos detallados, consulta Actualiza los permisos del usuario para una cuenta de Facturación de Cloud.

Funciones predefinidas de IAM

Otorga al SME de incorporación los siguientes roles predefinidos de IAM:

Administrador de la API de Chronicle
Administrador del servicio de Chronicle
Administrador de Chronicle SOAR

Nota: El rol de IAM se debe otorgar incluso cuando se implementa una instancia que no es de SOAR.

Permisos para crear una carpeta de Assured Workloads

Otorga al SME de incorporación el rol de administrador de Assured Workloads (roles/assuredworkloads.admin), que contiene los permisos de IAM mínimos para crear y administrar carpetas de Assured Workloads.

Permisos para agregar un proyecto Google Cloud

Otorga al SME de incorporación los permisos de creador de proyectos necesarios para crear un Google Cloud proyecto y habilitar la API de Chronicle:

Si el SME de incorporación tiene permisos de creador de proyectos (resourcemanager.projects.create) a nivel de la organización, no se requieren permisos adicionales.
Si el SME de incorporación no tiene permisos de creador de proyectos a nivel de la organización, otórgale los siguientes roles de IAM a nivel del proyecto:

Permisos para configurar un proveedor de identidad

Puedes usar un IdP para administrar usuarios, grupos y la autenticación.

Otorga los siguientes permisos al SME de incorporación para configurar un IdP:

Permisos para configurar Cloud Identity o Google Workspace

Para Cloud Identity, sigue estos pasos:

Si usas Cloud Identity, otorga al SME de incorporación los roles y permisos que se describen en Administra el acceso a proyectos, carpetas y organizaciones.
Para Google Workspace, haz lo siguiente:

Si usas Google Workspace, el SME de incorporación debe tener una cuenta de administrador de Cloud Identity y poder acceder a la Consola del administrador.

Para obtener más información sobre el uso de Cloud Identity o Google Workspace como proveedor de identidad, consulta Configura el proveedor de identidad Google Cloud .

Permisos para configurar un IdP externo

Si usas un IdP externo (como Okta o Azure AD), configura la federación de identidades de personal junto con un grupo de identidades de personal para habilitar la autenticación segura.

Otorga al SME de incorporación los siguientes roles y permisos de IAM:

Editor (roles/editor): Permisos de Editor del proyecto para el proyecto vinculado a Google SecOps.
Permiso de Administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) a nivel de la organización.

Usa el siguiente ejemplo para establecer el rol roles/iam.workforcePoolAdmin:
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Reemplaza lo siguiente:
- ORGANIZATION_ID: ID numérico de la organización.
- USER_EMAIL: Dirección de correo electrónico del administrador.
Permiso de Visualizador de la organización (resourcemanager.organizations.get) a nivel de la organización

Permisos para vincular una instancia de Google SecOps a los servicios de Google Cloud

Otorga al SME de incorporación los mismos permisos que los permisos para agregar un proyecto de Google Cloud .

Si planeas migrar una instancia existente de Google SecOps, necesitas permisos para acceder a Google SecOps. Para obtener una lista de los roles predefinidos, consulta Roles predefinidos de Google SecOps en IAM.

Permisos para configurar el control de acceso a funciones con IAM

Otorga el rol de Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin) a nivel del proyecto al SME de incorporación. Este permiso es necesario para asignar y modificar las vinculaciones de roles de IAM para el proyecto.
Asigna roles de IAM a los usuarios según sus responsabilidades. Para ver ejemplos, consulta Cómo asignar roles a usuarios y grupos.

Si planeas migrar una instancia existente de Google SecOps a IAM, otorga al SME de incorporación los mismos permisos que los permisos para configurar un proveedor de identidad.

Permisos para configurar el control de acceso a los datos

Otorga al SME de incorporación los siguientes roles de IAM:

Roles de administrador de la API de Chronicle (roles/chronicle.admin) y visualizador de roles (roles/iam.roleViewer) para configurar el RBAC de datos para los usuarios
Rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o administrador de seguridad (roles/iam.securityAdmin) para asignar los permisos a los usuarios

Si no tienes los roles necesarios, asigna los roles en IAM.

Requisitos de las capacidades avanzadas de Google SecOps

En la siguiente tabla, se enumeran las capacidades avanzadas de Google SecOps y sus dependencias en un proyecto Google Cloud proporcionado por el cliente y la federación de identidades de la fuerza laboral de Google.

Función	Google Cloud foundation	¿Se requiere un proyecto? Google Cloud	¿Requiere integración en IAM?
Registros de auditoría de Cloud: actividades administrativas	Registros de auditoría de Cloud	Sí	Sí
Registros de auditoría de Cloud: acceso a los datos	Registros de auditoría de Cloud	Sí	Sí
Facturación de Cloud: Suscripción en línea o pago por uso	Facturación de Cloud	Sí	No
APIs de Chronicle: acceso general, generación y administración de credenciales con un IdP externo	APIs deGoogle Cloud	Sí	Sí
APIs de Chronicle: acceso general, generación y administración de credenciales con Cloud Identity	Google Cloud APIs, Cloud Identity	Sí	Sí
Controles de cumplimiento: CMEK	Cloud Key Management Service o Cloud External Key Manager	Sí	No
Controles que cumplen con los requisitos: FedRAMP High o superior	Assured Workloads	Sí	Sí
Controles de cumplimiento: Servicio de políticas de la organización	Servicio de políticas de la organización	Sí	No
Administración de contactos: Divulgaciones legales	Contactos esenciales	Sí	No
Supervisión del estado: interrupciones de la canalización de transferencia	Cloud Monitoring	Sí	No
Transferencia: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Identity and Access Management	Sí	No
Controles de acceso basados en roles: datos	Identity and Access Management	Sí	Sí
Controles de acceso basados en roles: funciones o recursos	Identity and Access Management	Sí	Sí
Acceso a la asistencia: envío y seguimiento de casos	Atención al cliente de Cloud	Sí	No
Autenticación unificada de SecOps	Federación de identidades de personal de Google	No	Sí

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.