Mengaktifkan instance Google SecOps
Dokumen ini menjelaskan cara mengaktifkan (men-deploy) instance Google SecOps (SIEM dan SOAR), serta mengaktifkan fitur Google SecOps berdasarkan tingkat paket dan hak Google SecOps Anda. Langkah-langkah aktivasi ini berlaku untuk paket Google SecOps berikut: Standard, Enterprise, dan Enterprise Plus.
UKM orientasi yang Anda tunjuk, yang juga disebut sebagai UKM Google SecOps atau administrator penagihan, akan melakukan proses orientasi. Orang ini berfungsi sebagai kontak utama organisasi Anda untuk Google SecOps.
Prasyarat
Sebelum Anda dapat mengaktifkan instance Google SecOps baru, pastikan organisasi Anda telah memenuhi prasyarat berikut:
Pendaftaran aktif untuk salah satu paket Google SecOps berikut: Standard, Enterprise, atau Enterprise Plus.
Kontrak Google SecOps yang ditandatangani dari organisasi Anda. Kontrak ini memberi Anda izin untuk menyediakan setiap instance Google SecOps baru.
Men-deploy instance Google SecOps baru
Lakukan langkah-langkah berikut untuk men-deploy instance Google SecOps baru:
Menandatangani kontrak Google SecOps.
Penyediaan instance Google SecOps baru dimulai saat organisasi Anda menandatangani kontrak Google SecOps. Tindakan ini akan memicu alur kerja aktivasi internal Google dan mendaftarkan detail kontrak dalam sistem Google, termasuk akun penagihan dan alamat email pakar aktivasi Anda.
Siapkan lingkungan Anda untuk aktivasi.
SME aktivasi Anda harus menyiapkan lingkungan Anda sebelum Anda mengaktifkan instance Google SecOps baru.
Opsional. Hubungi Dukungan untuk men-deploy instance tambahan.
Menyiapkan lingkungan Anda untuk aktivasi
SME aktivasi harus menyiapkan lingkungan Anda sebelum mengaktifkan instance Google SecOps, seperti yang dijelaskan di bagian berikut:
- Berikan izin untuk melakukan proses aktivasi.
- Siapkan folder Assured Workloads (opsional).
- Buat project Google Cloud (opsional).
- Konfigurasi Google Cloud project.
- Mengonfigurasi penyedia identitas.
Memberikan izin untuk melakukan aktivasi
Untuk setiap instance Google SecOps baru, berikan peran dan izin orientasi yang diperlukan kepada SME orientasi, seperti yang dijelaskan dalam Peran dan izin yang diperlukan.
Menyiapkan folder Assured Workloads (opsional)
Untuk membuat folder Assured Workloads:
- Buka halaman Create a new Assured Workloads folder.
- Dalam daftar, pilih jenis paket kontrol* yang ingin Anda terapkan ke folder Assured Workloads.
- Pastikan Anda memiliki izin yang diperlukan yang tercantum di bagian Peran IAM yang diperlukan.
Ikuti langkah-langkah di bagian Membuat folder Assured Workloads untuk....
Saat menyiapkan folder, pertimbangkan panduan berikut:
Tenant (instance) yang dikontrol kepatuhannya adalah tenant yang harus mematuhi satu atau beberapa standar kontrol kepatuhan berikut: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1, atau DRZ_ADVANCED.
Semua file yang terkait dengan tenant yang dikontrol kepatuhannya harus berada di folder Assured Workloads yang dikonfigurasi untuk standar kontrol kepatuhan yang sesuai.
Folder Assured Workloads dibuat di tingkat organisasi.
Organisasi dapat membuat beberapa folder Assured Workloads, yang masing-masing dikhususkan untuk paket kontrol kepatuhan tertentu berdasarkan persyaratannya. Misalnya, satu folder dapat mendukung instance FedRAMP_MODERATE, sedangkan folder lain mendukung instance FedRAMP_HIGH.
Pertimbangkan panduan berikut saat Anda men-deploy tenant (instance) yang dikontrol kepatuhannya:
Anda harus menautkan tenant (instance) yang dikontrol kepatuhannya ke Google Cloud project yang berada dalam folder Assured Workloads.
Jika Anda berencana membuat project Google Cloud baru untuk instance Google SecOps, Anda harus membuat project dalam folder Assured Workloads yang dikonfigurasi untuk paket kontrol kepatuhan yang diperlukan.
Jika organisasi Anda tidak memiliki folder Assured Workloads, Anda harus membuatnya.
Buat Google Cloud project (opsional)
Setiap instance Google SecOps baru harus ditautkan ke projectGoogle Cloud . Anda dapat menggunakan project Google Cloud yang sudah ada atau membuat project baru.
Untuk membuat project Google Cloud baru:
Untuk tenant (instance) yang mematuhi FedRAMP, buat project dalam folder Assured Workloads organisasi Anda. Jika organisasi Anda tidak memiliki folder Assured Workloads untuk paket kontrol yang diperlukan, buat folder tersebut.
Ikuti langkah-langkah di Membuat project.
Mengonfigurasi Google Cloud project
Project Google Cloud bertindak sebagai lapisan kontrol untuk instance Google SecOps yang ditautkan.
Untuk menyiapkannya dengan benar, ikuti langkah-langkah dalam Mengonfigurasi project Google Cloud untuk Google SecOps.
Mengonfigurasi penyedia identitas
Konfigurasi penyedia identitas untuk mengelola pengguna, grup, dan autentikasi untuk instance Google SecOps Anda.
Ada dua opsi yang didukung:
Opsi 1: Google Cloud Identitas:
Gunakan opsi ini jika Anda memiliki akun Google Workspace, atau Anda menyinkronkan identitas dari IdP ke Google Cloud.
Buat akun pengguna terkelola untuk mengontrol akses ke Google Cloud resource dan instance Google SecOps Anda.
Tentukan kebijakan IAM menggunakan peran standar atau kustom untuk memberikan akses fitur kepada pengguna dan grup.
Untuk mengetahui petunjuk mendetail, lihat Mengonfigurasi Google Cloud penyedia identitas.
Opsi 2: Workforce Identity Federation:
Gunakan opsi ini jika Anda menggunakan IdP pihak ketiga (seperti Okta atau Azure AD).
Konfigurasi Workforce Identity Federation Google dan buat workforce identity pool. Workforce Identity Federation Google memungkinkan Anda memberikan akses beban kerja lokal atau multi-cloud ke resource, tanpa menggunakan kunci akun layanan. Google Cloud
Untuk mengetahui petunjuk mendetail, lihat Mengonfigurasi penyedia identitas pihak ketiga.
Mengaktifkan instance Google SecOps baru
Sistem Google akan mengirimkan email undangan orientasi Google SecOps kepada pakar materi orientasi Anda. Email ini menyertakan link aktivasi untuk memulai proses penyiapan.
Setelah menyiapkan lingkungan untuk orientasi, SME orientasi harus melakukan hal berikut:
- Klik link aktivasi di email undangan.
Lakukan langkah-langkah di bagian berikut untuk men-deploy instance Google SecOps:
- Konfigurasi instance Google SecOps baru dan tautkan ke project Google Cloud .
- Konfigurasi kontrol akses fitur menggunakan IAM.
- Konfigurasi RBAC data untuk pengguna.
- Petakan grup IdP ke parameter kontrol akses untuk menyelesaikan deployment.
Peran dan izin yang diperlukan
Bagian ini mencantumkan peran dan izin yang diperlukan untuk men-deploy instance Google SecOps. Berikan izin ini kepada pakar materi pembelajaran yang melakukan tugas deployment:
- Semua peran dan izin harus diberikan di tingkat project. Izin ini hanya berlaku untuk project Google Cloud yang ditentukan dan instance Google SecOps terkait. Untuk men-deploy instance tambahan, hubungi Dukungan.
- Jika Anda men-deploy instance Google SecOps lain berdasarkan kontrak yang berbeda, Anda harus memberikan serangkaian peran dan izin baru untuk deployment tersebut.
Berikan peran dan izin yang tercantum di bagian berikut kepada pakar materi pembelajaran:
- Izin di akun penagihan Google
- Peran IAM bawaan
- Izin untuk membuat folder Assured Workloads
- Izin untuk menambahkan project Google Cloud
- Izin untuk mengonfigurasi penyedia identitas
- Izin untuk menautkan instance Google SecOps ke layanan Google Cloud
- Izin untuk mengonfigurasi kontrol akses fitur menggunakan IAM
- Izin untuk mengonfigurasi kontrol akses data
- Persyaratan kemampuan lanjutan Google SecOps
Izin di akun penagihan Google
Berikan izin billing.resourceAssociations.list kepada pakar materi pembelajaran untuk
akun penagihan Google yang ditentukan dalam kontrak. Untuk mengetahui langkah-langkah mendetail, lihat
Memperbarui izin pengguna untuk akun Penagihan Cloud.
Peran IAM yang telah ditetapkan
Berikan peran IAM bawaan berikut kepada SME aktivasi:
Izin untuk membuat folder Assured Workloads
Berikan peran
Administrator Assured Workloads (roles/assuredworkloads.admin)
kepada pakar materi pembelajaran, yang berisi izin IAM minimum
untuk membuat dan mengelola folder Assured Workloads.
Izin untuk menambahkan project Google Cloud
Berikan izin pembuat project yang diperlukan kepada SME aktivasi untuk membuat project dan mengaktifkan Chronicle API: Google Cloud
Jika SME aktivasi memiliki izin project creator (
resourcemanager.projects.create) di tingkat organisasi, tidak ada izin tambahan yang diperlukan.Jika SME aktivasi tidak memiliki izin pembuat project di tingkat organisasi, berikan peran IAM tingkat project berikut:
- Admin Layanan Chronicle (
roles/chroniclesm.admin) (jika peran ini belum diberikan sebelumnya) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
- Admin Layanan Chronicle (
Izin untuk mengonfigurasi penyedia identitas
Anda dapat menggunakan IdP untuk mengelola pengguna, grup, dan autentikasi.
Berikan izin berikut kepada SME aktivasi untuk mengonfigurasi IdP:
Izin untuk mengonfigurasi Cloud Identity atau Google Workspace
Untuk Cloud Identity:
Jika Anda menggunakan Cloud Identity, berikan peran dan izin kepada SME aktivasi yang dijelaskan dalam Mengelola akses ke project, folder, dan organisasi.
Untuk Google Workspace:
Jika Anda menggunakan Google Workspace, pakar materi pembelajaran harus memiliki akun administrator Cloud Identity dan dapat login ke konsol Admin.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan Cloud Identity atau Google Workspace sebagai penyedia identitas, lihat Mengonfigurasi penyedia identitas Google Cloud .
Izin untuk mengonfigurasi IdP pihak ketiga
Jika Anda menggunakan IdP pihak ketiga (seperti Okta atau Azure AD), konfigurasikan Workforce Identity Federation bersama dengan workforce identity pool untuk mengaktifkan autentikasi yang aman.
Berikan peran dan izin IAM berikut kepada SME aktivasi:
Editor (
roles/editor): Izin Project Editor ke project yang terikat dengan Google SecOps.Izin IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) di tingkat organisasi.Gunakan contoh berikut untuk menetapkan peran
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminGanti kode berikut:
ORGANIZATION_ID: ID organisasi numerik.USER_EMAIL: alamat email administrator.
Izin Organization Viewer (
resourcemanager.organizations.get) di tingkat organisasi.
Izin untuk menautkan instance Google SecOps ke layanan Google Cloud
Berikan izin yang sama kepada SME aktivasi seperti Izin untuk menambahkan project Google Cloud .
Jika Anda berencana untuk memigrasikan instance Google SecOps yang ada, Anda memerlukan izin untuk mengakses Google SecOps. Untuk mengetahui daftar peran bawaan, lihat Peran bawaan Google SecOps di IAM.
Izin untuk mengonfigurasi kontrol akses fitur menggunakan IAM
Berikan peran Project IAM Admin (
roles/resourcemanager.projectIamAdmin) di tingkat project kepada SME aktivasi. Izin ini diperlukan untuk menetapkan dan mengubah pengikatan peran IAM untuk project.Tetapkan peran IAM kepada pengguna berdasarkan tanggung jawab mereka. Untuk melihat contohnya, lihat Menetapkan peran kepada pengguna dan grup.
Jika Anda berencana memigrasikan instance Google SecOps yang ada ke IAM, berikan SME aktivasi izin yang sama dengan Izin untuk mengonfigurasi penyedia identitas.
Izin untuk mengonfigurasi kontrol akses data
Berikan peran IAM berikut kepada SME aktivasi:
- Peran Admin (
roles/chronicle.admin) dan Pelihat Peran (roles/iam.roleViewer) Chronicle API, untuk mengonfigurasi RBAC data bagi pengguna. - Peran Project IAM Admin (
roles/resourcemanager.projectIamAdmin) atau Security Admin (roles/iam.securityAdmin), untuk menetapkan cakupan kepada pengguna.
Jika Anda tidak memiliki peran yang diperlukan, tetapkan peran di IAM.
Persyaratan kemampuan lanjutan Google SecOps
Tabel berikut mencantumkan kemampuan lanjutan Google SecOps dan dependensinya pada project yang disediakan pelanggan dan federasi identitas tenaga kerja Google. Google Cloud
| Kemampuan | Google Cloud dasar | Memerlukan Google Cloud project? | Memerlukan integrasi IAM? |
|---|---|---|---|
| Cloud Audit Logs: aktivitas administratif | Cloud Audit Logs | Ya | Ya |
| Cloud Audit Logs: akses data | Cloud Audit Logs | Ya | Ya |
| Penagihan Cloud: langganan online atau bayar sesuai penggunaan | Penagihan Cloud | Ya | Tidak |
| Chronicle API: akses umum, buat dan kelola kredensial menggunakan IdP pihak ketiga | Google Cloud API | Ya | Ya |
| Chronicle API: akses umum, buat dan kelola kredensial menggunakan Cloud Identity | Google Cloud API, Cloud Identity | Ya | Ya |
| Kontrol yang sesuai: CMEK | Cloud Key Management Service atau Cloud External Key Manager | Ya | Tidak |
| Kontrol yang mematuhi: FedRAMP High atau yang lebih tinggi | Assured Workloads | Ya | Ya |
| Kontrol yang sesuai: Organization Policy Service | Organization Policy Service | Ya | Tidak |
| Pengelolaan kontak: pengungkapan informasi berdasarkan hukum | Kontak Penting | Ya | Tidak |
| Pemantauan kesehatan: gangguan pipeline penyerapan | Cloud Monitoring | Ya | Tidak |
| Penyerapan: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ya | Tidak |
| Kontrol akses berbasis peran: data | Identity and Access Management | Ya | Ya |
| Kontrol akses berbasis peran: fitur atau resource | Identity and Access Management | Ya | Ya |
| Akses dukungan: pengiriman kasus, pelacakan | Layanan Pelanggan Cloud | Ya | Tidak |
| Autentikasi SecOps terpadu | Federasi identitas tenaga kerja Google | Tidak | Ya |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.