Google SecOps インスタンスをオンボーディングする
このドキュメントでは、Google SecOps(SIEM と SOAR)インスタンスをオンボーディング(デプロイ)し、Google SecOps パッケージの階層と利用資格に基づいて Google SecOps 機能を有効にする方法について説明します。このオンボーディング手順は、Google SecOps パッケージ(Standard、Enterprise、Enterprise Plus)に適用されます。
指定されたオンボーディング SME(Google SecOps SME または請求管理者とも呼ばれます)が、オンボーディング プロセスを実行します。このユーザーは、Google SecOps の組織の主な連絡窓口となります。
前提条件
新しい Google SecOps インスタンスをオンボーディングする前に、組織が次の前提条件を満たしていることを確認してください。
次のいずれかの Google SecOps パッケージの有効な登録: Standard、Enterprise、Enterprise Plus。
組織が署名した Google SecOps 契約。この契約により、新しい Google SecOps インスタンスをプロビジョニングする権限が付与されます。
新しい Google SecOps インスタンスをデプロイする
新しい Google SecOps インスタンスをデプロイする手順は次のとおりです。
Google SecOps 契約に署名します。
新しい Google SecOps インスタンスのプロビジョニングは、組織が Google SecOps 契約に署名したときに開始されます。この操作により、Google の内部オンボーディング ワークフローがトリガーされ、請求先アカウントやオンボーディング担当者のメールアドレスなど、契約の詳細が Google のシステムに登録されます。
-
オンボーディングの SME は、新しい Google SecOps インスタンスをオンボーディングする前に、環境を準備する必要があります。
省略可。追加のインスタンスをデプロイするには、サポートにお問い合わせください。
オンボーディング用に環境を準備する
オンボーディング SME は、次のセクションの説明に従って、Google SecOps インスタンスをオンボーディングする前に環境を準備する必要があります。
- オンボーディングを実行する権限を付与します。
- Assured Workloads フォルダを設定します(省略可)。
- Google Cloud プロジェクトを作成します(省略可)。
- Google Cloud プロジェクトを構成します。
- ID プロバイダを構成します。
オンボーディングを実行する権限を付与する
新しい Google SecOps インスタンスごとに、必要なロールと権限で説明されているように、オンボーディング SME に必要なオンボーディング ロールと権限を付与します。
Assured Workloads フォルダを設定する(省略可)
Assured Workloads フォルダを作成するには:
- 新しい Assured Workloads フォルダを作成するページに移動します。
- リストで、Assured Workloads フォルダに適用するコントロール パッケージ* タイプを選択します。
- 必要な IAM ロール セクションに記載されている必要な権限があることを確認します。
...用の Assured Workloads フォルダを作成するの手順に沿って操作します。
フォルダを設定する際は、次のガイドラインを考慮してください。
コンプライアンス制御テナント(インスタンス)は、FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1、DRZ_ADVANCED の 1 つ以上のコンプライアンス制御基準に準拠する必要があるテナントです。
コンプライアンス制御されたテナントに関連付けられているすべてのファイルは、適切なコンプライアンス制御標準用に構成された Assured Workloads フォルダに存在する必要があります。
Assured Workloads フォルダは組織レベルで作成されます。
組織は、要件に基づいて特定のコンプライアンス コントロール パッケージ専用の Assured Workloads フォルダを複数作成できます。たとえば、あるフォルダは FedRAMP_MODERATE インスタンスをサポートし、別のフォルダは FedRAMP_HIGH インスタンスをサポートします。
コンプライアンス制御されたテナント(インスタンス)をデプロイする際は、次のガイドラインを考慮してください。
コンプライアンス制御されたテナント(インスタンス)を、Assured Workloads フォルダ内にある Google Cloudプロジェクトにリンクする必要があります。
Google SecOps インスタンス用に新しい Google Cloud プロジェクトを作成する場合は、必要なコンプライアンス コントロール パッケージ用に構成された Assured Workloads フォルダ内にプロジェクトを作成する必要があります。
組織に Assured Workloads フォルダがない場合は、作成する必要があります。
Google Cloud プロジェクトを作成する(省略可)
新しい Google SecOps インスタンスはそれぞれ、Google Cloud プロジェクトにリンクする必要があります。既存の Google Cloud プロジェクトを使用するか、新しいプロジェクトを作成できます。
新しい Google Cloud プロジェクトを作成するには:
FedRAMP 準拠のテナント(インスタンス)の場合は、組織の Assured Workloads フォルダ内にプロジェクトを作成します。必要なコントロール パッケージの Assured Workloads フォルダが組織にない場合は、作成します。
プロジェクトを作成するの手順に沿って操作します。
Google Cloud プロジェクトを構成する
Google Cloud プロジェクトは、リンクされた Google SecOps インスタンスの制御レイヤとして機能します。
正しく設定するには、Google SecOps 用に Google Cloud プロジェクトを構成するの手順に沿って操作します。
ID プロバイダを構成する
Google SecOps インスタンスのユーザー、グループ、認証を管理するように ID プロバイダを構成します。
サポートされているオプションは 2 つあります。
オプション 1: Google Cloud ID:
Google Workspace アカウントをお持ちの場合、または IdP から Google Cloudに ID を同期する場合は、このオプションを使用します。
管理対象ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps インスタンスへのアクセスを制御します。
事前定義ロールまたはカスタムロールを使用して IAM ポリシーを定義し、ユーザーとグループに機能へのアクセス権を付与します。
詳細な手順については、 Google Cloud ID プロバイダを構成するをご覧ください。
オプション 2: Workforce Identity 連携:
サードパーティの IdP(Okta や Azure AD など)を使用する場合は、このオプションを使用します。
Google の Workforce Identity 連携を構成し、Workforce Identity プールを作成します。Google の Workforce Identity 連携を使用すると、サービス アカウント キーを使用せずに、オンプレミスまたはマルチクラウドのワークロードに Google Cloud リソースへのアクセス権を付与できます。
詳細な手順については、サードパーティの ID プロバイダを構成するをご覧ください。
新しい Google SecOps インスタンスをオンボーディングする
Google システムから、オンボーディング SME に Google SecOps オンボーディングの招待メールが送信されます。このメールには、設定プロセスを開始するための有効化リンクが記載されています。
オンボーディングの環境を準備したら、オンボーディングの SME は次のことを行う必要があります。
- 招待メールに記載されているアクティベーション リンクをクリックします。
次のセクションの手順に沿って、Google SecOps インスタンスをデプロイします。
- 新しい Google SecOps インスタンスを構成し、 Google Cloud プロジェクトにリンクします。
- IAM を使用して機能アクセス制御を構成します。
- ユーザー向けにデータの RBAC を構成する。
- IdP グループをアクセス制御パラメータにマッピングして、デプロイを完了します。
必要なロールと権限
このセクションでは、Google SecOps インスタンスのデプロイに必要なロールと権限について説明します。デプロイ タスクを実行するオンボーディング SME に次の権限を付与します。
- すべてのロールと権限はプロジェクト レベルで付与する必要があります。これらの権限は、指定された Google Cloud プロジェクトと関連付けられた Google SecOps インスタンスにのみ適用されます。追加のインスタンスをデプロイするには、サポートにお問い合わせください。
- 別の契約で別の Google SecOps インスタンスをデプロイする場合は、そのデプロイに新しいロールと権限のセットを付与する必要があります。
次のセクションに記載されているロールと権限をオンボーディング SME に付与します。
- Google 請求先アカウントの権限
- IAM 事前定義ロール
- Assured Workloads フォルダを作成する権限
- Google Cloud プロジェクトを追加する権限
- ID プロバイダを構成する権限
- Google SecOps インスタンスを Google Cloud サービスにリンクする権限
- IAM を使用して機能アクセス制御を構成する権限
- データアクセス制御を構成する権限
- Google SecOps の高度な機能の要件
Google 請求先アカウントの権限
オンボーディング SME に、契約で指定された Google 請求先アカウントの billing.resourceAssociations.list 権限を付与します。詳細な手順については、Cloud 請求先アカウント ユーザーの権限を更新するをご覧ください。
事前定義された IAM の役割
オンボーディング SME に次の IAM 事前定義ロールを付与します。
Assured Workloads フォルダを作成する権限
オンボーディング SME に Assured Workloads 管理者(roles/assuredworkloads.admin)ロールを付与します。このロールには、Assured Workloads フォルダを作成および管理するための最小限の IAM 権限が含まれています。
Google Cloud プロジェクトを追加する権限
オンボーディング SME に、 Google Cloud プロジェクトを作成して Chronicle API を有効にするために必要なプロジェクト作成者の権限を付与します。
オンボーディング SME が組織レベルでプロジェクト作成者(
resourcemanager.projects.create)の権限を持っている場合、追加の権限は必要ありません。オンボーディング SME に組織レベルのプロジェクト作成者の権限がない場合は、次のプロジェクト レベルの IAM ロールを付与します。
ID プロバイダを構成する権限
IdP を使用して、ユーザー、グループ、認証を管理できます。
IdP を構成するために、オンボーディング SME に次の権限を付与します。
Cloud Identity または Google Workspace を構成する権限
Cloud Identity の場合:
Cloud Identity を使用している場合は、プロジェクト、フォルダ、組織へのアクセスを管理するで説明されているロールと権限をオンボーディング SME に付与します。
Google Workspace の場合:
Google Workspace を使用している場合、オンボーディング担当者は Cloud Identity 管理者アカウントを持ち、管理コンソールにログインできる必要があります。
Cloud Identity または Google Workspace を ID プロバイダとして使用する方法については、 Google Cloud ID プロバイダを構成するをご覧ください。
サードパーティの IdP を構成する権限
サードパーティの IdP(Okta や Azure AD など)を使用する場合は、安全な認証を有効にするために、Workforce Identity プールとともに Workforce Identity 連携を構成します。
オンボーディング担当者に次の IAM ロールと権限を付与します。
編集者(
roles/editor): Google SecOps にバインドされたプロジェクトに対するプロジェクト編集者権限。組織レベルの IAM Workforce プール管理者(
roles/iam.workforcePoolAdmin)の権限。次の例を使用して、
roles/iam.workforcePoolAdminロールを設定します。gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin次のように置き換えます。
ORGANIZATION_ID: 数値の組織 ID。USER_EMAIL: 管理者のメールアドレス。
Google SecOps インスタンスを Google Cloud サービスにリンクする権限
オンボーディング SME に、 Google Cloud プロジェクトを追加する権限と同じ権限を付与します。
既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスする権限が必要です。事前定義ロールのリストについては、IAM の Google SecOps 事前定義ロールをご覧ください。
IAM を使用して機能アクセス制御を構成する権限
オンボーディング SME にプロジェクト レベルでプロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin)ロールを付与します。この権限は、プロジェクトの IAM ロール バインディングを割り当てて変更するために必要です。ユーザーの職務に応じて IAM ロールを割り当てます。例については、ユーザーとグループにロールを割り当てるをご覧ください。
既存の Google SecOps インスタンスを IAM に移行する場合は、オンボーディング SME にID プロバイダを構成する権限と同じ権限を付与します。
データアクセス制御を構成する権限
オンボーディング SME に次の IAM ロールを付与します。
- ユーザーのデータ RBAC を構成するための Chronicle API 管理者(
roles/chronicle.admin)ロールとロール閲覧者(roles/iam.roleViewer)ロール。 - ユーザーにスコープを割り当てるための、プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロール。
必要なロールがない場合は、IAM でロールを割り当てます。
Google SecOps の高度な機能の要件
次の表に、Google SecOps の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの依存関係を示します。
| 能力 | Google Cloud foundation | プロジェクトが必要ですか? Google Cloud | IAM の統合が必要ですか? |
|---|---|---|---|
| Cloud Audit Logs: 管理アクティビティ | Cloud Audit Logs | ○ | ○ |
| Cloud Audit Logs: データアクセス | Cloud Audit Logs | ○ | ○ |
| Cloud Billing: オンライン サブスクリプションまたは従量課金制 | Cloud Billing | ○ | × |
| Chronicle API: サードパーティの IdP を使用した一般的なアクセス、ミントよび認証情報の管理 | Google Cloud API | ○ | ○ |
| Chronicle API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理 | Google Cloud API、Cloud Identity | ○ | ○ |
| 準拠コントロール: CMEK | Cloud Key Management Service または Cloud External Key Manager | ○ | × |
| 準拠コントロール: FedRAMP High 以上 | Assured Workloads | ○ | ○ |
| 準拠コントロール: 組織ポリシー サービス | 組織ポリシー サービス | ○ | × |
| 連絡先管理: 法的開示 | 重要な連絡先 | ○ | × |
| 健全性モニタリング: 取り込みパイプラインの停止 | Cloud Monitoring | ○ | × |
| 取り込み: webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | ○ | × |
| ロールベース アクセス制御: データ | Identity and Access Management | ○ | ○ |
| ロールベース アクセス制御: 機能またはリソース | Identity and Access Management | ○ | ○ |
| サポート アクセス: ケースの送信、トラッキング | Cloud カスタマーケア | ○ | × |
| 統合された SecOps 認証 | Google Workforce Identity 連携 | × | ○ |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。