Esta página foi traduzida pela API Cloud Translation.

Integre uma instância do Google SecOps

Compatível com:

Google secops

Este documento descreve como integrar (implementar) uma instância do Google SecOps (SIEM e SOAR) e ativar as funcionalidades do Google SecOps com base no seu nível do pacote e autorizações do Google SecOps. Estes passos de integração aplicam-se aos seguintes pacotes do Google SecOps: Standard, Enterprise e Enterprise Plus.

O seu PME de integração designado, também conhecido como o PME de SecOps da Google ou o administrador de faturação, realiza o processo de integração. Esta pessoa é o principal ponto de contacto da sua organização para o Google SecOps.

Pré-requisitos

Antes de poder integrar uma nova instância do Google SecOps, certifique-se de que a sua organização cumpre estes pré-requisitos:

Um registo ativo de um dos seguintes pacotes do Google SecOps: Standard, Enterprise ou Enterprise Plus.
Um contrato do Google SecOps assinado pela sua organização. Este contrato concede-lhe autorização para aprovisionar cada nova instância do Google SecOps.

Implemente uma nova instância do Google SecOps

Execute estes passos para implementar uma nova instância do Google SecOps:

Assine o contrato do Google SecOps.

O aprovisionamento de uma nova instância do Google SecOps começa quando a sua organização assina um contrato do Google SecOps. Esta ação aciona o fluxo de integração interno da Google e regista os detalhes do contrato no sistema da Google, incluindo a sua conta de faturação e o endereço de email do PME de integração.
Prepare o seu ambiente para a integração.

O seu especialista de integração deve preparar o ambiente antes de integrar uma nova instância do Google SecOps.
Integre uma nova instância do Google SecOps.
Opcional. Contacte o apoio técnico para implementar instâncias adicionais.

Prepare o seu ambiente para a integração

O especialista de PME de integração deve preparar o seu ambiente antes de integrar uma instância do Google SecOps, conforme descrito nestas secções:

Conceda autorizações para realizar a integração.
Configure uma pasta do Assured Workloads (opcional).
Crie um Google Cloud projeto (opcional).
Configure um Google Cloud projeto.
Configure um Fornecedor de identidade.

Conceda autorizações para realizar a integração

Para cada nova instância do Google SecOps, conceda as funções e as autorizações de integração necessárias ao SME de integração, conforme descrito em Funções e autorizações necessárias.

Configure uma pasta do Assured Workloads (opcional)

Para criar uma pasta do Assured Workloads:

Aceda à página Crie uma nova pasta do Assured Workloads.
Na lista, selecione o tipo de pacote de controlos* que quer aplicar à pasta do Assured Workloads.
Certifique-se de que tem as autorizações necessárias indicadas na secção Funções do IAM necessárias.
Siga os passos na secção Crie uma pasta do Assured Workloads para….

Nota: se gerir várias organizações, selecione a organização correta onde a pasta Assured Workloads deve ser criada. Para região, selecione EUA, que corresponde à multirregião dos EUA.

Ao configurar a pasta, tenha em atenção estas diretrizes:

Um inquilino (instância) controlado pela conformidade é aquele que tem de estar em conformidade com um ou mais dos seguintes padrões de controlo de conformidade: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.
Todos os ficheiros associados a um inquilino controlado pela conformidade têm de residir numa pasta do Assured Workloads configurada para a norma de controlo de conformidade adequada.
É criada uma pasta do Assured Workloads ao nível da organização.
Uma organização pode criar várias pastas do Assured Workloads, cada uma dedicada a um pacote de controlos de conformidade específico com base nos respetivos requisitos. Por exemplo, uma pasta pode suportar instâncias FedRAMP_MODERATE, enquanto outra suporta instâncias FedRAMP_HIGH.

Considere estas diretrizes quando implementar um inquilino (instância) controlado pela conformidade:

Tem de associar o inquilino (instância) controlado pela conformidade a um Google Cloud projeto localizado numa pasta do Assured Workloads.
Se planeia criar um novo Google Cloud projeto para a sua instância do Google SecOps, tem de criar o projeto numa pasta do Assured Workloads configurada para o pacote de controlo de conformidade necessário.
Se a sua organização não tiver uma pasta do Assured Workloads, tem de criar uma.

Crie um Google Cloud projeto (opcional)

Cada nova instância do Google SecOps deve estar associada a umGoogle Cloud projeto. Pode usar um projeto Google Cloud existente ou criar um novo.

Para criar um novo Google Cloud projeto:

Para um inquilino (instância) em conformidade com a FedRAMP, crie o projeto na pasta do Assured Workloads da sua organização. Se a sua organização não tiver uma pasta do Assured Workloads para o pacote de controlos necessário, crie uma.
Siga os passos em Crie um projeto.

Nota: recomendamos que use a convenção de nomenclatura \<CUSTOMER-name\>-chronicle e se certifique de que a conta de faturação do projeto corresponde à conta de faturação associada à instância do Google SecOps que está a implementar.

Configure um Google Cloud projeto

Um Google Cloud projeto funciona como a camada de controlo para a instância do Google SecOps associada.

Para a configurar corretamente, siga os passos em Configure um Google Cloud projeto para o Google SecOps.

Configure um Fornecedor de identidade

Configure um fornecedor de identidade para gerir utilizadores, grupos e autenticação para a sua instância do Google SecOps.

Existem duas opções suportadas:

Opção 1: Google Cloud Identidade:

Use esta opção se tiver uma conta do Google Workspace ou se sincronizar identidades do seu IdP para o Google Cloud.
1. Crie contas de utilizador geridas para controlar o acesso aos Google Cloud recursos e à sua instância do Google SecOps.
2. Defina políticas de IAM com funções predefinidas ou personalizadas para conceder acesso a funcionalidades a utilizadores e grupos.
Para ver instruções detalhadas, consulte o artigo Configure um Google Cloud fornecedor de identidade.

Nota: esta opção não é suportada para clientes em conformidade com FedRAMP, IL4 ou IL5.
Opção 2: federação de identidades da força de trabalho:

Use esta opção se usar um IdP de terceiros (como o Okta ou o Azure AD).

Configure a federação de identidade da força de trabalho da Google e crie um Workload Identity Pool. A federação de identidade da força de trabalho da Google permite-lhe conceder acesso a cargas de trabalho no local ou em várias nuvens a Google Cloud recursos, sem usar chaves de contas de serviço.

Para instruções detalhadas, consulte o artigo Configure um fornecedor de identidade de terceiros.

Integre uma nova instância do Google SecOps

O sistema Google envia um email de convite de integração do Google SecOps ao seu SME de integração. Este email inclui um link de ativação para iniciar o processo de configuração.

Depois de preparar o seu ambiente para a integração, o especialista em integração deve fazer o seguinte:

Clique no link de ativação no email de convite.
Execute os passos nas secções seguintes para implementar a instância do Google SecOps:
1. Configure uma nova instância do Google SecOps e associe-a a um Google Cloud projeto.
2. Configure o controlo de acesso a funcionalidades através do IAM.
3. Configure o RBAC de dados para utilizadores.
4. Mapeie grupos de IdP para aceder aos parâmetros de controlo para concluir a implementação.

Funções e autorizações necessárias

Esta secção apresenta as funções e as autorizações necessárias para implementar uma instância do Google SecOps. Conceda estas autorizações ao SME de integração que executa as tarefas de implementação:

Todas as funções e autorizações têm de ser concedidas ao nível do projeto. Estas autorizações aplicam-se apenas ao projeto Google Cloud especificado e à instância do Google SecOps associada. Para implementar instâncias adicionais, contacte o apoio técnico.
Se implementar outra instância do Google SecOps ao abrigo de um contrato diferente, tem de conceder um novo conjunto de funções e autorizações para essa implementação.

Conceda ao especialista de integração as funções e as autorizações indicadas nas seguintes secções:

Autorizações na conta de faturação da Google
Funções de IAM predefinidas
Autorizações para criar uma pasta do Assured Workloads
Autorizações para adicionar um Google Cloud projeto
Autorizações para configurar um fornecedor de identidade
1. Autorizações para configurar o Cloud ID ou o Google Workspace
2. Autorizações para configurar um Fornecedor de identidade de terceiros
Autorizações para associar uma instância do Google SecOps aos Google Cloud serviços
Autorizações para configurar o controlo de acesso a funcionalidades através da IAM
Autorizações para configurar o controlo de acesso aos dados
Requisitos das capacidades avançadas do Google SecOps

Autorizações na conta de faturação da Google

Conceda ao PME de integração a autorização billing.resourceAssociations.list para a conta de faturação da Google especificada no contrato. Para ver passos detalhados, consulte o artigo Atualize as autorizações do utilizador para uma conta do Cloud Billing.

Funções de IAM predefinidas

Conceda ao especialista em integração as seguintes funções IAM predefinidas:

API Chronicle Admin
Administrador do serviço Chronicle
Administrador do Chronicle SOAR

Nota: a função do IAM deve ser concedida mesmo quando implementa uma instância não SOAR.

Autorizações para criar uma pasta do Assured Workloads

Conceda ao especialista de integração a função Administrador do Assured Workloads (roles/assuredworkloads.admin), que contém as autorizações de IAM mínimas para criar e gerir pastas do Assured Workloads.

Autorizações para adicionar um Google Cloud projeto

Conceda ao especialista de integração as autorizações de criador do projeto necessárias para criar um projeto Google Cloud e ativar a API Chronicle:

Se o especialista de integração tiver autorizações de criador de projetos (resourcemanager.projects.create) ao nível da organização, não são necessárias autorizações adicionais.
Se o especialista de integração não tiver autorizações de criador de projetos ao nível da organização, conceda as seguintes funções de IAM ao nível do projeto:
- Administrador do serviço Chronicle (roles/chroniclesm.admin) (se esta função não tiver sido concedida anteriormente)
- Editor (roles/editor)
- Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador de utilização do serviço (roles/serviceusage.serviceUsageAdmin)

Autorizações para configurar um Fornecedor de identidade

Pode usar um IdP para gerir utilizadores, grupos e autenticação.

Conceda as seguintes autorizações ao especialista de PME de integração para configurar um IdP:

Autorizações para configurar o Cloud ID ou o Google Workspace

Para o Cloud ID:

Se estiver a usar o Cloud Identity, conceda ao especialista de integração as funções e as autorizações descritas no artigo Gerir o acesso a projetos, pastas e organizações.
Para o Google Workspace:

Se estiver a usar o Google Workspace, o especialista de integração tem de ter uma conta de administrador do Cloud ID e poder iniciar sessão na consola do administrador.

Para mais informações sobre a utilização do Cloud ID ou do Google Workspace como fornecedor de identidade, consulte o artigo Configurar Google Cloud o fornecedor de identidade.

Autorizações para configurar um IdP de terceiros

Se usar um IdP de terceiros (como o Okta ou o Azure AD), configure a federação de identidade da força de trabalho juntamente com um conjunto de identidades da força de trabalho para ativar a autenticação segura.

Conceda ao especialista de integração as seguintes funções e autorizações de IAM:

Editor (roles/editor): Autorizações de editor do projeto para o projeto associado ao Google SecOps.
Autorização de administrador do pool de força de trabalho da IAM (roles/iam.workforcePoolAdmin) ao nível da organização.

Use o exemplo seguinte para definir a função roles/iam.workforcePoolAdmin:
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Substitua o seguinte:
- ORGANIZATION_ID: ID numérico da organização.
- USER_EMAIL: endereço de email do administrador.
Autorização de visitante da organização (resourcemanager.organizations.get) ao nível da organização.

Autorizações para associar uma instância do Google SecOps a Google Cloud serviços

Conceda ao especialista de integração as mesmas autorizações que as autorizações para adicionar um Google Cloud projeto.

Se planear migrar uma instância existente do Google SecOps, precisa de autorizações para aceder ao Google SecOps. Para ver uma lista de funções predefinidas, consulte o artigo Funções predefinidas do Google SecOps no IAM.

Autorizações para configurar o controlo de acesso a funcionalidades através da IAM

Conceda a função Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ao nível do projeto ao especialista em integração. Esta autorização é necessária para atribuir e modificar associações de funções do IAM para o projeto.
Atribua funções da IAM aos utilizadores com base nas respetivas responsabilidades. Para ver exemplos, consulte o artigo Atribua funções a utilizadores e grupos.

Se planeia migrar uma instância existente do Google SecOps para o IAM, conceda ao SME de integração as mesmas autorizações que as autorizações para configurar um fornecedor de identidade.

Autorizações para configurar o controlo de acesso aos dados

Conceda ao SME de integração as seguintes funções IAM:

Funções de administrador da API Chronicle (roles/chronicle.admin) e visualizador de funções (roles/iam.roleViewer) para configurar o CABF de dados para os utilizadores.
Função de administrador da IAM do projeto (roles/resourcemanager.projectIamAdmin) ou administrador de segurança (roles/iam.securityAdmin), para atribuir os âmbitos aos utilizadores.

Se não tiver as funções necessárias, atribua as funções no IAM.

Requisitos de capacidades avançadas do Google SecOps

A tabela seguinte apresenta as capacidades avançadas do Google SecOps e as respetivas dependências de um projeto fornecido pelo cliente e da federação de identidades da força de trabalho da Google. Google Cloud

Capacidade	Google Cloud foundation	Requer Google Cloud projeto?	Requer integração do IAM?
Cloud Audit Logs: atividades administrativas	Cloud Audit Logs	Sim	Sim
Registos de auditoria na nuvem: acesso a dados	Cloud Audit Logs	Sim	Sim
Cloud Billing: subscrição online ou pagamento conforme a utilização	Cloud Billing	Sim	Não
APIs Chronicle: acesso geral, emissão e gestão de credenciais através do IdP de terceiros	Google Cloud APIs	Sim	Sim
APIs Chronicle: acesso geral, emissão e gestão de credenciais através do Cloud Identity	Google Cloud APIs, Cloud Identity	Sim	Sim
Controlos em conformidade: CMEK	Cloud Key Management Service ou Cloud External Key Manager	Sim	Não
Controlos em conformidade: FedRAMP High ou superior	Assured Workloads	Sim	Sim
Controlos em conformidade: serviço de políticas da organização	Serviço de políticas da organização	Sim	Não
Gestão de contactos: divulgações legais	Contactos essenciais	Sim	Não
Monitorização da saúde: indisponibilidades da pipeline de carregamento	Cloud Monitoring	Sim	Não
Carregamento: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Gestão de identidade e de acesso	Sim	Não
Controlos de acesso baseados em funções: dados	Gestão de identidade e de acesso	Sim	Sim
Controlos de acesso baseados em funções: funcionalidades ou recursos	Gestão de identidade e de acesso	Sim	Sim
Acesso ao apoio técnico: envio e acompanhamento de registos	Cloud Customer Care	Sim	Não
Autenticação unificada do SecOps	Federação de identidade da força de trabalho da Google	Não	Sim

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.