Melakukan aktivasi instance Google SecOps
Dokumen ini menjelaskan cara melakukan aktivasi (men-deploy) instance Google SecOps (SIEM dan SOAR), serta mengaktifkan fitur Google SecOps berdasarkan tingkat paket dan hak Google SecOps Anda. Langkah aktivasi ini berlaku untuk paket Google SecOps berikut: Standard, Enterprise, dan Enterprise Plus.
SME orientasi yang ditunjuk, yang juga disebut sebagai SME Google SecOps atau administrator penagihan, akan melakukan proses orientasi. Orang ini berfungsi sebagai kontak utama organisasi Anda untuk Google SecOps.
Prasyarat
Sebelum Anda dapat melakukan aktivasi instance Google SecOps baru, pastikan organisasi Anda telah memenuhi prasyarat berikut:
Pendaftaran aktif untuk salah satu paket Google SecOps berikut: Standard, Enterprise, atau Enterprise Plus.
Kontrak Google SecOps yang ditandatangani dari organisasi Anda. Kontrak ini memberi Anda izin untuk menyediakan setiap instance Google SecOps baru.
Men-deploy instance Google SecOps baru
Lakukan langkah-langkah berikut untuk men-deploy instance Google SecOps baru:
Tanda tangani kontrak Google SecOps.
Penyediaan instance Google SecOps baru dimulai saat organisasi Anda menandatangani kontrak Google SecOps. Tindakan ini memicu alur kerja orientasi internal Google dan mendaftarkan detail kontrak di sistem Google, termasuk akun penagihan dan alamat email SME orientasi Anda.
Menyiapkan lingkungan Anda untuk orientasi.
SME orientasi Anda harus menyiapkan lingkungan sebelum Anda melakukan orientasi pada instance Google SecOps baru.
Opsional. Hubungi Dukungan untuk men-deploy instance tambahan.
Menyiapkan lingkungan Anda untuk orientasi
SME aktivasi harus menyiapkan lingkungan Anda sebelum mengaktifkan instance Google SecOps, seperti yang dijelaskan di bagian ini:
- Berikan izin untuk melakukan orientasi.
- Siapkan folder Assured Workloads (opsional).
- Buat Google Cloud project (opsional).
- Konfigurasikan Google Cloud project.
- Mengonfigurasi penyedia identitas.
Memberikan izin untuk melakukan orientasi
Untuk setiap instance Google SecOps baru, berikan peran dan izin orientasi yang diperlukan kepada SME orientasi, seperti yang dijelaskan dalam Peran dan izin yang diperlukan.
Menyiapkan folder Assured Workloads (opsional)
Untuk membuat folder Assured Workloads:
- Buka halaman Create a new Assured Workloads folder.
- Dalam daftar, pilih jenis control package* yang ingin Anda terapkan ke folder Assured Workloads.
- Pastikan Anda memiliki izin yang diperlukan yang tercantum di bagian Peran IAM yang diperlukan.
Ikuti langkah-langkah di bagian Membuat folder Assured Workloads untuk....
Saat menyiapkan folder, pertimbangkan panduan berikut:
Tenant (instance) yang dikontrol kepatuhan adalah tenant yang harus mematuhi satu atau beberapa standar kontrol kepatuhan berikut: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1, atau DRZ_ADVANCED.
Semua file yang terkait dengan tenant yang dikontrol kepatuhan harus berada di folder Assured Workloads yang dikonfigurasi untuk standar kontrol kepatuhan yang sesuai.
Folder Assured Workloads dibuat di tingkat organisasi.
Organisasi dapat membuat beberapa folder Assured Workloads, yang masing-masing didedikasikan untuk paket kontrol kepatuhan tertentu berdasarkan persyaratannya. Misalnya, satu folder dapat mendukung instance FedRAMP_MODERATE, sementara instance FedRAMP_HIGH lainnya.
Pertimbangkan panduan berikut saat Anda men-deploy tenant (instance) yang dikontrol kepatuhan:
Anda harus menautkan tenant (instance) yang dikontrol kepatuhan ke project Google Cloud yang terletak dalam folder Assured Workloads.
Jika berencana membuat project Google Cloud baru untuk instance Google SecOps, Anda harus membuat project dalam folder Assured Workloads yang dikonfigurasi untuk paket kontrol kepatuhan yang diperlukan.
Jika organisasi Anda tidak memiliki folder Assured Workloads, Anda harus membuatnya.
Membuat Google Cloud project (opsional)
Setiap instance Google SecOps baru harus ditautkan ke projectGoogle Cloud . Anda dapat menggunakan project Google Cloud yang ada atau membuat project baru.
Untuk membuat project Google Cloud baru:
Untuk tenant (instance) yang mematuhi FedRAMP, buat project dalam folder Assured Workloads organisasi Anda. Jika organisasi Anda tidak memiliki folder Assured Workloads untuk paket kontrol yang diperlukan, buat folder tersebut.
Ikuti langkah-langkah di Membuat project.
Mengonfigurasi project Google Cloud
Project Google Cloud bertindak sebagai lapisan kontrol untuk instance Google SecOps yang ditautkan.
Untuk menyiapkannya dengan benar, ikuti langkah-langkah dalam Mengonfigurasi project Google Cloud untuk Google SecOps.
Mengonfigurasi penyedia identitas
Konfigurasikan penyedia identitas untuk mengelola pengguna, grup, dan autentikasi untuk instance Google SecOps Anda.
Ada dua opsi yang didukung:
Opsi 1: Google Cloud Identitas:
Gunakan opsi ini jika Anda memiliki akun Google Workspace, atau menyinkronkan identitas dari IdP ke Google Cloud.
Buat akun pengguna terkelola untuk mengontrol akses ke Google Cloud resource dan instance Google SecOps Anda.
Tentukan kebijakan IAM menggunakan peran standar atau kustom untuk memberikan akses fitur kepada pengguna dan grup.
Untuk petunjuk mendetail, lihat Mengonfigurasi penyedia identitas Google Cloud .
Opsi 2: Workforce Identity Federation:
Gunakan opsi ini jika Anda menggunakan IdP pihak ketiga (seperti Okta atau Azure AD).
Konfigurasikan Workforce Identity Federation Google dan buat kumpulan identitas tenaga kerja. Workforce Identity Federation Google memungkinkan Anda memberikan akses beban kerja lokal atau multi-cloud ke resource Google Cloud , tanpa menggunakan kunci akun layanan.
Untuk petunjuk mendetail, lihat Mengonfigurasi penyedia identitas pihak ketiga.
Melakukan aktivasi instance Google SecOps baru
Sistem Google akan mengirimkan email undangan orientasi Google SecOps ke SME orientasi Anda. Email ini menyertakan link aktivasi untuk memulai proses penyiapan.
Setelah menyiapkan lingkungan Anda untuk orientasi, SME orientasi harus melakukan hal berikut:
- Klik link aktivasi di email undangan.
Lakukan langkah-langkah di bagian berikut untuk men-deploy instance Google SecOps:
- Konfigurasikan instance Google SecOps baru dan tautkan ke project Google Cloud .
- Mengonfigurasi kontrol akses fitur menggunakan IAM.
- Mengonfigurasi RBAC data untuk pengguna.
- Petakan grup IdP ke parameter kontrol akses untuk menyelesaikan deployment.
Peran dan izin yang diperlukan
Bagian ini mencantumkan peran dan izin yang diperlukan untuk men-deploy instance Google SecOps. Berikan izin ini kepada SME orientasi yang melakukan tugas deployment:
- Semua peran dan izin harus diberikan di tingkat project. Izin ini hanya berlaku untuk project Google Cloud yang ditentukan dan instance Google SecOps terkait. Untuk men-deploy instance tambahan, hubungi Dukungan.
- Jika Anda men-deploy instance Google SecOps lain berdasarkan kontrak yang berbeda, Anda harus memberikan kumpulan peran dan izin baru untuk deployment tersebut.
Berikan peran dan izin yang tercantum di bagian berikut kepada SME orientasi:
- Izin di akun penagihan Google
- Peran IAM bawaan
- Izin untuk membuat folder Assured Workloads
- Izin untuk menambahkan Google Cloud project
- Izin untuk mengonfigurasi penyedia identitas
- Izin untuk menautkan instance Google SecOps ke Google Cloud layanan
- Izin untuk mengonfigurasi kontrol akses fitur menggunakan IAM
- Izin untuk mengonfigurasi kontrol akses data
- Persyaratan kemampuan lanjutan Google SecOps
Izin di akun penagihan Google
Berikan SME orientasi izin billing.resourceAssociations.list untuk akun penagihan Google yang ditentukan dalam kontrak. Untuk mengetahui langkah-langkah mendetail, lihat Memperbarui izin pengguna untuk akun Penagihan Cloud.
Peran IAM yang telah ditetapkan
Berikan peran IAM bawaan berikut kepada SME orientasi:
Izin untuk membuat folder Assured Workloads
Berikan SME orientasi peran
Assured Workloads Administrator (roles/assuredworkloads.admin), yang berisi izin IAM minimum
untuk membuat dan mengelola folder Assured Workloads.
Izin untuk menambahkan project Google Cloud
Berikan SME orientasi izin project creator yang diperlukan untuk membuat project Google Cloud dan mengaktifkan Chronicle API:
Jika SME orientasi memiliki izin project creator (
resourcemanager.projects.create) di tingkat organisasi, tidak diperlukan izin tambahan.Jika SME orientasi tidak memiliki izin pembuat project di tingkat organisasi, berikan peran IAM level project berikut:
- Chronicle Service Admin (
roles/chroniclesm.admin) (jika peran ini tidak diberikan sebelumnya) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
- Chronicle Service Admin (
Izin untuk mengonfigurasi penyedia identitas
Anda dapat menggunakan IdP untuk mengelola pengguna, grup, dan autentikasi.
Berikan izin berikut kepada SME orientasi untuk mengonfigurasi IdP:
Izin untuk mengonfigurasi Cloud Identity atau Google Workspace
Untuk Cloud Identity:
Jika Anda menggunakan Cloud Identity, berikan peran dan izin yang dijelaskan di bagian Mengelola akses ke project, folder, dan organisasi kepada SME orientasi.
Untuk Google Workspace:
Jika Anda menggunakan Google Workspace, SME orientasi harus memiliki akun administrator Cloud Identity dan dapat login ke konsol Admin.
Untuk informasi selengkapnya tentang cara menggunakan Cloud Identity atau Google Workspace sebagai penyedia identitas, lihat Mengonfigurasi penyedia identitas Google Cloud .
Izin untuk mengonfigurasi IdP pihak ketiga
Jika Anda menggunakan IdP pihak ketiga (seperti Okta atau Azure AD), konfigurasikan Workforce Identity Federation bersama dengan kumpulan identitas tenaga kerja untuk mengaktifkan autentikasi yang aman.
Berikan peran dan izin IAM berikut kepada SME orientasi:
Editor (
roles/editor): Izin Project Editor ke project yang terikat dengan Google SecOps.Izin IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) di tingkat organisasi.Gunakan contoh berikut untuk menetapkan peran
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminGanti kode berikut:
ORGANIZATION_ID: ID organisasi numerik.USER_EMAIL: alamat email administrator.
Izin Organization Viewer (
resourcemanager.organizations.get) di tingkat organisasi.
Izin untuk menautkan instance Google SecOps ke layanan Google Cloud
Berikan SME orientasi izin yang sama dengan Izin untuk menambahkan Google Cloud project.
Jika berencana untuk memigrasikan instance Google SecOps yang ada, Anda memerlukan izin untuk mengakses Google SecOps. Untuk mengetahui daftar peran bawaan, lihat Peran bawaan Google SecOps di IAM.
Izin untuk mengonfigurasi kontrol akses fitur menggunakan IAM
Berikan peran Project IAM Admin (
roles/resourcemanager.projectIamAdmin) di tingkat project kepada SME orientasi. Izin ini diperlukan untuk menetapkan dan mengubah binding peran IAM untuk project.Tetapkan peran IAM kepada pengguna berdasarkan tanggung jawab mereka. Untuk mengetahui contohnya, lihat Menetapkan peran kepada pengguna dan grup.
Jika Anda berencana memigrasikan instance Google SecOps yang ada ke IAM, berikan SME orientasi izin yang sama dengan Izin untuk mengonfigurasi penyedia identitas.
Izin untuk mengonfigurasi kontrol akses data
Berikan peran IAM berikut kepada SME orientasi:
- Peran Chronicle API Admin (
roles/chronicle.admin) dan Role Viewer (roles/iam.roleViewer), untuk mengonfigurasi RBAC data bagi pengguna. - Peran Project IAM Admin (
roles/resourcemanager.projectIamAdmin) atau Security Admin (roles/iam.securityAdmin), untuk menetapkan cakupan kepada pengguna.
Jika Anda tidak memiliki peran yang diperlukan, tetapkan peran di IAM.
Persyaratan kemampuan lanjutan Google SecOps
Tabel berikut mencantumkan kemampuan lanjutan Google SecOps dan dependensinya pada project Google Cloud yang disediakan pelanggan dan federasi identitas tenaga kerja Google.
| Kemampuan | Google Cloud foundation | Memerlukan Google Cloud project? | Memerlukan integrasi IAM? |
|---|---|---|---|
| Cloud Audit Logs: aktivitas administratif | Cloud Audit Logs | Ya | Ya |
| Cloud Audit Logs: akses data | Cloud Audit Logs | Ya | Ya |
| Penagihan Cloud: langganan online atau bayar sesuai penggunaan | Penagihan Cloud | Ya | Tidak |
| Chronicle API: akses umum, membuat, dan mengelola kredensial menggunakan IdP pihak ketiga | Google Cloud API | Ya | Ya |
| Chronicle API: akses umum, membuat, dan mengelola kredensial menggunakan Cloud Identity | Google Cloud API, Cloud Identity | Ya | Ya |
| Kontrol yang mematuhi kebijakan: CMEK | Cloud Key Management Service atau Cloud External Key Manager | Ya | Tidak |
| Kontrol yang mematuhi: FedRAMP High atau yang lebih tinggi | Assured Workloads | Ya | Ya |
| Kontrol yang mematuhi kebijakan: Layanan Kebijakan Organisasi | Organization Policy Service | Ya | Tidak |
| Kontrol yang mematuhi kebijakan: Kontrol Layanan VPC | Kontrol Layanan VPC | Ya | Tidak |
| Pengelolaan kontak: pengungkapan informasi berdasarkan hukum | Kontak Penting | Ya | Tidak |
| Pemantauan kesehatan: pemadaman pipeline proses transfer | Cloud Monitoring | Ya | Tidak |
| Penyerapan: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ya | Tidak |
| Kontrol akses berbasis peran: data | Identity and Access Management | Ya | Ya |
| Kontrol akses berbasis peran: fitur atau resource | Identity and Access Management | Ya | Ya |
| Akses dukungan: pengiriman kasus, pelacakan | Layanan Pelanggan Cloud | Ya | Tidak |
| Autentikasi SecOps terpadu | Workforce identity federation Google | Tidak | Ya |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.