Cette page a été traduite par l'API Cloud Translation.

Intégrer une instance Google SecOps

Compatible avec :

SecOps Google

Ce document explique comment intégrer (déployer) une instance Google SecOps (SIEM et SOAR) et activer les fonctionnalités Google SecOps en fonction de votre niveau de forfait et de vos droits Google SecOps. Ces étapes d'intégration s'appliquent aux packages Google SecOps suivants : Standard, Enterprise et Enterprise Plus.

Votre expert en intégration désigné, également appelé expert Google SecOps ou administrateur de la facturation, effectue le processus d'intégration. Cette personne sera le contact principal de votre organisation pour Google SecOps.

Prérequis

Avant d'intégrer une nouvelle instance Google SecOps, assurez-vous que votre organisation remplit les conditions préalables suivantes :

Vous devez être inscrit à l'un des packages Google SecOps suivants : Standard, Enterprise ou Enterprise Plus.
Un contrat Google SecOps signé par votre organisation. Ce contrat vous autorise à provisionner chaque nouvelle instance Google SecOps.

Déployer une nouvelle instance Google SecOps

Pour déployer une instance Google SecOps, procédez comme suit :

Signez le contrat Google SecOps.

Le provisionnement d'une nouvelle instance Google SecOps commence lorsque votre organisation signe un contrat Google SecOps. Cette action déclenche le workflow d'intégration interne de Google et enregistre les détails du contrat dans le système de Google, y compris votre compte de facturation et l'adresse e-mail de votre expert en intégration.
Préparez votre environnement pour l'intégration.

Votre expert en intégration doit préparer votre environnement avant que vous n'intégriez une nouvelle instance Google SecOps.
Intégrer une nouvelle instance Google SecOps
Facultatif. Contactez l'assistance pour déployer des instances supplémentaires.

Préparer votre environnement pour l'intégration

L'expert en intégration doit préparer votre environnement avant d'intégrer une instance Google SecOps, comme décrit dans les sections suivantes :

Accordez les autorisations nécessaires pour effectuer l'intégration.
Configurez un dossier Assured Workloads (facultatif).
Créez un projet Google Cloud (facultatif).
Configurer un projet Google Cloud
Configurez un fournisseur d'identité.

Accorder les autorisations pour effectuer l'intégration

Pour chaque nouvelle instance Google SecOps, accordez les rôles et autorisations d'intégration requis à l'expert en la matière, comme décrit dans Rôles et autorisations requis.

Configurer un dossier Assured Workloads (facultatif)

Pour créer un dossier Assured Workloads :

Accédez à la page Créer un dossier Assured Workloads.
Dans la liste, sélectionnez le type de package de contrôles* que vous souhaitez appliquer au dossier Assured Workloads.
Assurez-vous de disposer des autorisations requises listées dans la section Rôles IAM requis.
Suivez la procédure décrite dans la section Créer un dossier Assured Workloads pour….

Remarque : Si vous gérez plusieurs organisations, sélectionnez celle où le dossier Assured Workloads doit être créé. Pour Région, sélectionnez États-Unis, qui correspond à la région multirégionale États-Unis.

Lorsque vous configurez votre dossier, tenez compte des consignes suivantes :

Un locataire (instance) contrôlé par la conformité est un locataire qui doit se conformer à une ou plusieurs des normes de contrôle de la conformité suivantes : FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.
Tous les fichiers associés à un locataire soumis à un contrôle de conformité doivent résider dans un dossier Assured Workloads configuré pour la norme de contrôle de conformité appropriée.
Un dossier Assured Workloads est créé au niveau de l'organisation.
Une organisation peut créer plusieurs dossiers Assured Workloads, chacun dédié à un package de contrôles de conformité spécifique en fonction de ses exigences. Par exemple, un dossier peut être compatible avec les instances FedRAMP_MODERATE, tandis qu'un autre peut l'être avec les instances FedRAMP_HIGH.

Tenez compte de ces consignes lorsque vous déployez un locataire (instance) contrôlé par la conformité :

Vous devez associer le locataire (instance) contrôlé par la conformité à un projet Google Cloudsitué dans un dossier Assured Workloads.
Si vous prévoyez de créer un projet Google Cloud pour votre instance Google SecOps, vous devez le créer dans un dossier Assured Workloads configuré pour le package de contrôles de conformité requis.
Si votre organisation ne dispose pas d'un dossier Assured Workloads, vous devez en créer un.

Créer un projet Google Cloud (facultatif)

Chaque nouvelle instance Google SecOps doit être associée à un projetGoogle Cloud . Vous pouvez utiliser un projet Google Cloud existant ou en créer un.

Pour créer un projet Google Cloud :

Pour un locataire (instance) conforme à FedRAMP, créez le projet dans le dossier Assured Workloads de votre organisation. Si votre organisation ne dispose pas d'un dossier Assured Workloads pour le package de contrôles requis, créez-en un.
Suivez la procédure Créer un projet.

Remarque : Nous vous recommandons d'utiliser la convention de dénomination \<CUSTOMER-name\>-chronicle et de vous assurer que le compte de facturation du projet correspond à celui associé à l'instance Google SecOps que vous déployez.

Configurer un projet Google Cloud

Un projet Google Cloud sert de couche de contrôle pour l'instance Google SecOps associée.

Pour le configurer correctement, suivez les étapes décrites dans Configurer un projet Google Cloud pour Google SecOps.

Configurer un fournisseur d'identité

Configurez un fournisseur d'identité pour gérer les utilisateurs, les groupes et l'authentification de votre instance Google SecOps.

Deux options sont disponibles :

Option 1 : Google Cloud Identité :

Utilisez cette option si vous disposez d'un compte Google Workspace ou si vous synchronisez les identités de votre IdP avec Google Cloud.
1. Créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à votre instance Google SecOps.
2. Définissez des stratégies IAM à l'aide de rôles prédéfinis ou personnalisés pour accorder l'accès aux fonctionnalités aux utilisateurs et aux groupes.
Pour obtenir des instructions détaillées, consultez Configurer un fournisseur d'identité. Google Cloud

Remarque : Cette option n'est pas disponible pour les clients conformes aux normes FedRAMP, IL4 ou IL5.
Option 2 : Fédération des identités des employés :

Utilisez cette option si vous utilisez un IdP tiers (tel qu'Okta ou Azure AD).

Configurez la fédération d'identité de personnel de Google et créez un pool d'identités de personnel. La fédération d'identité du personnel de Google vous permet d'accorder aux charges de travail sur site ou multicloud un accès aux ressources Google Cloud sans utiliser de clés de compte de service.

Pour obtenir des instructions détaillées, consultez Configurer un fournisseur d'identité tiers.

Intégrer une nouvelle instance Google SecOps

Le système Google envoie un e-mail d'invitation à l'intégration de Google SecOps à votre expert en la matière. Cet e-mail inclut un lien d'activation pour lancer la procédure de configuration.

Une fois votre environnement préparé à l'intégration, l'expert en la matière de l'intégration doit effectuer les opérations suivantes :

Cliquez sur le lien d'activation dans l'e-mail d'invitation.
Suivez les étapes décrites dans les sections suivantes pour déployer l'instance Google SecOps :
1. Configurez une instance Google SecOps et associez-la à un projet Google Cloud .
2. Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
3. Configurer le RBAC des données pour les utilisateurs
4. Mappez les groupes IdP aux paramètres de contrôle des accès pour finaliser le déploiement.

Rôles et autorisations requis

Cette section liste les rôles et les autorisations nécessaires pour déployer une instance Google SecOps. Accordez les autorisations suivantes à l'expert en la matière chargé de l'intégration et des tâches de déploiement :

Tous les rôles et autorisations doivent être accordés au niveau du projet. Ces autorisations ne s'appliquent qu'au projet Google Cloud spécifié et à l'instance Google SecOps associée. Pour déployer des instances supplémentaires, contactez l'assistance.
Si vous déployez une autre instance Google SecOps sous un autre contrat, vous devez accorder un nouvel ensemble de rôles et d'autorisations pour ce déploiement.

Attribuez à l'expert en intégration les rôles et autorisations listés dans les sections suivantes :

Autorisations dans le compte de facturation Google
Rôles IAM prédéfinis
Autorisations pour créer un dossier Assured Workloads
Autorisations pour ajouter un projet Google Cloud
Autorisations permettant de configurer un fournisseur d'identité
1. Autorisations pour configurer Cloud Identity ou Google Workspace
2. Autorisations requises pour configurer un fournisseur d'identité tiers
Autorisations permettant d'associer une instance Google SecOps à des services Google Cloud
Autorisations permettant de configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Autorisations pour configurer le contrôle de l'accès aux données
Exigences concernant les fonctionnalités avancées de Google SecOps

Autorisations dans le compte de facturation Google

Accordez à l'expert en intégration l'autorisation billing.resourceAssociations.list pour le compte de facturation Google spécifié dans le contrat. Pour obtenir des instructions détaillées, consultez Mettre à jour les autorisations d'un utilisateur pour un compte de facturation Cloud.

Rôles IAM prédéfinis

Accordez les rôles IAM prédéfinis suivants à l'expert en intégration :

Administrateur de l'API Chronicle
Administrateur du service Chronicle
Administrateur Chronicle SOAR

Remarque : Le rôle IAM doit être accordé même lors du déploiement d'une instance non SOAR.

Autorisations pour créer un dossier Assured Workloads

Attribuez au responsable de l'intégration le rôle Administrateur Assured Workloads (roles/assuredworkloads.admin), qui contient les autorisations IAM minimales pour créer et gérer les dossiers Assured Workloads.

Autorisations d'ajout d'un projet Google Cloud

Accordez à l'expert en intégration les autorisations de créateur de projet requises pour créer un projet Google Cloud et activer l'API Chronicle :

Si le responsable de l'intégration dispose des autorisations Créateur de projet (resourcemanager.projects.create) au niveau de l'organisation, aucune autorisation supplémentaire n'est requise.
Si le spécialiste de l'intégration ne dispose pas des autorisations de créateur de projet au niveau de l'organisation, accordez-lui les rôles IAM suivants au niveau du projet :
- Administrateur du service Chronicle (roles/chroniclesm.admin) (si ce rôle n'a pas été attribué précédemment)
- Éditeur (roles/editor)
- Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin)
- Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin)

Autorisations permettant de configurer un fournisseur d'identité

Vous pouvez utiliser un IdP pour gérer les utilisateurs, les groupes et l'authentification.

Accordez les autorisations suivantes à l'expert en la matière chargé de la configuration d'un IdP :

Autorisations pour configurer Cloud Identity ou Google Workspace

Google Cloud

Avec Cloud Identity :

Si vous utilisez Cloud Identity, accordez à l'expert en la matière les rôles et autorisations décrits dans Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour Google Workspace :

Si vous utilisez Google Workspace, l'expert en intégration doit disposer d'un compte administrateur Cloud Identity et pouvoir se connecter à la console d'administration.

Pour en savoir plus sur l'utilisation de Cloud Identity ou Google Workspace comme fournisseur d'identité, consultez Configurer le fournisseur d'identité Google Cloud .

Autorisations permettant de configurer un fournisseur d'identité tiers

Si vous utilisez un IdP tiers (tel qu'Okta ou Azure AD), configurez la fédération d'identité de personnel avec un pool d'identités de personnel pour activer l'authentification sécurisée.

Accordez à l'expert en intégration les rôles et autorisations IAM suivants :

Éditeur (roles/editor) : Autorisations Éditeur de projet pour le projet lié à Google SecOps.
Autorisation Administrateur de pools d'employés IAM (roles/iam.workforcePoolAdmin) au niveau de l'organisation.

Utilisez l'exemple suivant pour définir le rôle roles/iam.workforcePoolAdmin :
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID numérique de l'organisation.
- USER_EMAIL : adresse e-mail de l'administrateur.
L'autorisation Lecteur de l'organisation (resourcemanager.organizations.get) au niveau de l'organisation.

Autorisations permettant d'associer une instance Google SecOps à des services Google Cloud

Accordez à l'expert en intégration les mêmes autorisations que celles requises pour ajouter un projet. Google Cloud

Si vous prévoyez de migrer une instance Google SecOps existante, vous devez disposer des autorisations nécessaires pour accéder à Google SecOps. Pour obtenir la liste des rôles prédéfinis, consultez Rôles prédéfinis Google SecOps dans IAM.

Autorisations permettant de configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM

Attribuez le rôle Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) au niveau du projet à l'expert en intégration. Cette autorisation est requise pour attribuer et modifier les liaisons de rôle IAM pour le projet.
Attribuez des rôles IAM aux utilisateurs en fonction de leurs responsabilités. Pour obtenir des exemples, consultez Attribuer des rôles aux utilisateurs et aux groupes.

Si vous prévoyez de migrer une instance Google SecOps existante vers IAM, accordez à l'expert en la matière chargé de l'intégration les mêmes autorisations que celles décrites dans Autorisations pour configurer un fournisseur d'identité.

Autorisations permettant de configurer le contrôle des accès aux données

Attribuez les rôles IAM suivants à l'expert en intégration :

Rôles d'administrateur de l'API Chronicle (roles/chronicle.admin) et de lecteur de rôle (roles/iam.roleViewer) pour configurer le contrôle des accès basé sur les rôles pour les données des utilisateurs.
Rôle Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin), pour attribuer les autorisations aux utilisateurs.

Si vous ne disposez pas des rôles requis, attribuez-les dans IAM.

Conditions requises pour les fonctionnalités avancées de Google SecOps

Le tableau suivant liste les fonctionnalités avancées de Google SecOps et leurs dépendances sur un projet Google Cloud fourni par le client et la fédération d'identité des employés Google.

Capacité	Google Cloud foundation	Le projet Google Cloud est-il requis ?	Nécessite une intégration IAM ?
Cloud Audit Logs : activités d'administration	Cloud Audit Logs	Oui	Oui
Cloud Audit Logs : accès aux données	Cloud Audit Logs	Oui	Oui
Facturation Cloud : abonnement en ligne ou paiement à l'usage	Cloud Billing	Oui	Non
API Chronicle : accès général, création et gestion des identifiants à l'aide d'un IdP tiers	APIGoogle Cloud	Oui	Oui
API Chronicle : accès général, création et gestion des identifiants avec Cloud Identity	Google Cloud API, Cloud Identity	Oui	Oui
Contrôles conformes : CMEK	Cloud Key Management Service ou Cloud External Key Manager	Oui	Non
Contrôles conformes : FedRAMP élevé ou supérieur	Assured Workloads	Oui	Oui
Commandes conformes : service de règles d'administration	Service de règles d'administration	Oui	Non
Gestion des contacts : mentions légales	Contacts essentiels	Oui	Non
Surveillance de l'état de santé : pannes du pipeline d'ingestion	Cloud Monitoring	Oui	Non
Ingestion : webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Identity and Access Management	Oui	Non
Contrôle des accès basé sur les rôles : données	Identity and Access Management	Oui	Oui
Contrôles d'accès basés sur les rôles : fonctionnalités ou ressources	Identity and Access Management	Oui	Oui
Accès à l'assistance : envoi et suivi des demandes	Cloud Customer Care	Oui	Non
Authentification SecOps unifiée	Fédération d'identité de personnel Google	Non	Oui

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.