Esta página foi traduzida pela API Cloud Translation.

Integrar uma instância do Google SecOps

Compatível com:

Secops do Google

Neste documento, descrevemos como integrar (implantar) uma instância do Google SecOps (SIEM e SOAR) e ativar os recursos do Google SecOps com base no nível do pacote e nos direitos do Google SecOps. Estas etapas de integração se aplicam aos seguintes pacotes do Google SecOps: Standard, Enterprise e Enterprise Plus.

O PME de integração designado, também chamado de PME do Google SecOps ou administrador de faturamento, realiza o processo de integração. Essa pessoa é o principal ponto de contato da sua organização para a SecOps do Google.

Pré-requisitos

Antes de integrar uma nova instância do Google SecOps, verifique se sua organização atende a estes pré-requisitos:

Um registro ativo para um dos seguintes pacotes do Google SecOps: Standard, Enterprise ou Enterprise Plus.
Um contrato assinado do Google SecOps da sua organização. Esse contrato concede permissão para provisionar cada nova instância do Google SecOps.

Implantar uma nova instância do Google SecOps

Siga estas etapas para implantar uma nova instância do Google SecOps:

Assine o contrato do Google SecOps.

O provisionamento de uma nova instância do Google SecOps começa quando sua organização assina um contrato do Google SecOps. Essa ação aciona o fluxo de trabalho interno de integração do Google e registra os detalhes do contrato no sistema do Google, incluindo sua conta de faturamento e o endereço de e-mail do PME de integração.
Prepare seu ambiente para integração.

O especialista no assunto de integração precisa preparar seu ambiente antes de integrar uma nova instância do Google SecOps.
Integrar uma nova instância do Google SecOps.
Opcional. Entre em contato com o suporte para implantar mais instâncias.

Preparar o ambiente para integração

O especialista no assunto de integração precisa preparar seu ambiente antes de integrar uma instância do Google SecOps, conforme descrito nestas seções:

Conceda permissões para fazer a integração.
Configure uma pasta do Assured Workloads (opcional).
Crie um Google Cloud projeto (opcional).
Configure um Google Cloud projeto.
Configure um provedor de identidade.

Conceder permissões para fazer a integração

Para cada nova instância do Google SecOps, conceda os papéis e permissões de integração necessários ao SME de integração, conforme descrito em Papéis e permissões obrigatórios.

Configurar uma pasta do Assured Workloads (opcional)

Para criar uma pasta do Assured Workloads:

Acesse a página Criar uma pasta do Assured Workloads.
Na lista, selecione o tipo de pacote de controle* que você quer aplicar à pasta do Assured Workloads.
Verifique se você tem as permissões necessárias listadas na seção Papéis do IAM necessários.
Siga as etapas na seção Criar uma pasta do Assured Workloads para....

Observação: se você gerencia várias organizações, selecione a organização correta em que a pasta do Assured Workloads será criada. Em região, selecione EUA, que corresponde à multirregião dos EUA.

Ao configurar a pasta, considere estas diretrizes:

Um locatário (instância) controlado por compliance é aquele que precisa obedecer a um ou mais dos seguintes padrões de controle de compliance: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.
Todos os arquivos associados a um locatário controlado por compliance precisam estar em uma pasta do Assured Workloads configurada para o padrão de controle de compliance adequado.
Uma pasta do Assured Workloads é criada no nível da organização.
Uma organização pode criar várias pastas do Assured Workloads, cada uma dedicada a um pacote de controle de compliance específico com base nos requisitos dela. Por exemplo, uma pasta pode oferecer suporte a instâncias FedRAMP_MODERATE, enquanto outra pode oferecer suporte a instâncias FedRAMP_HIGH.

Considere estas diretrizes ao implantar um locatário (instância) controlado por compliance:

É preciso vincular o locatário (instância) controlado por compliance a um projeto Google Cloud localizado em uma pasta do Assured Workloads.
Se você planeja criar um novo projeto Google Cloud para sua instância do Google SecOps, crie o projeto em uma pasta do Assured Workloads configurada para o pacote de controle de conformidade necessário.
Se a organização não tiver uma pasta do Assured Workloads, crie uma.

Criar um Google Cloud projeto (opcional)

Cada nova instância do Google SecOps precisa ser vinculada a um projetoGoogle Cloud . É possível usar um projeto do Google Cloud atual ou criar um novo.

Para criar um novo Google Cloud projeto:

Para um locatário (instância) em conformidade com o FedRAMP, crie o projeto na pasta do Assured Workloads da sua organização. Se a organização não tiver uma pasta do Assured Workloads para o pacote de controle necessário, crie uma.
Siga as etapas em Criar um projeto.

Observação: recomendamos usar a convenção de nomenclatura \<CUSTOMER-name\>-chronicle e garantir que a conta de faturamento do projeto corresponda à conta de faturamento associada à instância do Google SecOps que você está implantando.

Configurar um projeto do Google Cloud

Um projeto Google Cloud atua como a camada de controle da instância vinculada do Google SecOps.

Para configurar corretamente, siga as etapas em Configurar um projeto do Google Cloud para o Google SecOps.

Configurar um provedor de identidade

Configure um provedor de identidade para gerenciar usuários, grupos e autenticação na sua instância do Google SecOps.

Há duas opções compatíveis:

Opção 1: Google Cloud Identidade:

Use essa opção se você tiver uma conta do Google Workspace ou se sincronizar identidades do seu IdP para Google Cloud.
1. Crie contas de usuário gerenciadas para controlar o acesso aos recursos do Google Cloud e à sua instância do Google SecOps.
2. Defina políticas do IAM usando papéis predefinidos ou personalizados para conceder acesso a recursos para usuários e grupos.
Para instruções detalhadas, consulte Configurar um Google Cloud provedor de identidade.

Observação: essa opção não está disponível para clientes em conformidade com FedRAMP, IL4 ou IL5.
Opção 2: Federação de identidade da força de trabalho:

Use essa opção se você usa um IdP de terceiros, como o Okta ou o Azure AD.

Configure a federação de identidade da força de trabalho do Google e crie um pool de identidade da força de trabalho. Com a federação de identidade da força de trabalho do Google, é possível conceder às cargas de trabalho locais ou em várias nuvens acesso aos recursos do Google Cloud sem usar chaves de conta de serviço.

Para instruções detalhadas, consulte Configurar um provedor de identidade de terceiros.

Integrar uma nova instância do Google SecOps

O sistema do Google envia um e-mail de convite para integração do Google SecOps ao SME de integração. Esse e-mail inclui um link de ativação para iniciar o processo de configuração.

Depois de preparar o ambiente para a integração, o especialista no assunto de integração precisa fazer o seguinte:

Clique no link de ativação no e-mail de convite.
Siga as etapas nas seções abaixo para implantar a instância do Google SecOps:
1. Configure uma nova instância do Google SecOps e vincule-a a um projeto Google Cloud .
2. Configure o controle de acesso a recursos usando o IAM.
3. Configurar o RBAC de dados para usuários.
4. Mapeie grupos do IdP para parâmetros de controle de acesso e conclua a implantação.

Papéis e permissões necessárias

Esta seção lista os papéis e as permissões necessárias para implantar uma instância do Google SecOps. Conceda estas permissões ao SME de integração que realiza as tarefas de implantação:

Todos os papéis e permissões precisam ser concedidos no nível do projeto. Essas permissões se aplicam apenas ao projeto Google Cloud especificado e à instância associada do Google SecOps. Para implantar mais instâncias, entre em contato com o suporte.
Se você implantar outra instância do Google SecOps em um contrato diferente, precisará conceder um novo conjunto de funções e permissões para essa implantação.

Conceda ao SME de integração os papéis e as permissões listados nas seções a seguir:

Permissões na conta de faturamento do Google
Papéis predefinidos do IAM
Permissões para criar uma pasta do Assured Workloads
Permissões para adicionar um Google Cloud projeto
Permissões para configurar um provedor de identidade
1. Permissões para configurar o Cloud Identity ou o Google Workspace
2. Permissões para configurar um provedor de identidade terceirizado
Permissões para vincular uma instância do Google SecOps aos Google Cloud serviços
Permissões para configurar o controle de acesso a recursos usando o IAM
Permissões para configurar o controle de acesso a dados
Requisitos dos recursos avançados do Google SecOps

Permissões na conta de faturamento do Google

Conceda ao SME de integração a permissão billing.resourceAssociations.list para a conta do Google Billing especificada no contrato. Para ver as etapas detalhadas, consulte Atualizar permissões do usuário para uma conta do Cloud Billing.

Papéis de IAM predefinidos

Conceda ao SME de integração os seguintes papéis predefinidos do IAM:

Administrador da API Chronicle
Administrador de serviço do Chronicle
Administrador do Chronicle SOAR

Observação: o papel do IAM precisa ser concedido mesmo ao implantar uma instância que não é do SOAR.

Permissões para criar uma pasta do Assured Workloads

Conceda ao PME de integração o papel de Administrador do Assured Workloads (roles/assuredworkloads.admin), que contém as permissões mínimas do IAM para criar e gerenciar pastas do Assured Workloads.

Permissões para adicionar um projeto Google Cloud

Conceda ao PME de integração as permissões de criador de projeto necessárias para criar um projeto do Google Cloud e ativar a API Chronicle:

Se o SME de integração tiver permissões de criador de projetos (resourcemanager.projects.create) no nível da organização, não serão necessárias outras permissões.
Se o SME de integração não tiver permissões de criador de projetos no nível da organização, conceda os seguintes papéis do IAM no nível do projeto:
- Administrador de serviço do Chronicle (roles/chroniclesm.admin) (se essa função não tiver sido concedida antes)
- Editor (roles/editor)
- Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador do Service Usage (roles/serviceusage.serviceUsageAdmin)

Permissões para configurar um provedor de identidade

É possível usar um IdP para gerenciar usuários, grupos e autenticação.

Conceda as seguintes permissões ao SME de integração para configurar um IdP:

Permissões para configurar o Cloud Identity ou o Google Workspace

Para o Cloud Identity:

Se você estiver usando o Cloud Identity, conceda ao SME de integração os papéis e permissões descritos em Gerenciar o acesso a projetos, pastas e organizações.
Para o Google Workspace:

Se você usa o Google Workspace, o SME de integração precisa ter uma conta de administrador do Cloud Identity e conseguir fazer login no Admin Console.

Para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor de identidade, consulte Configurar o provedor de identidade Google Cloud .

Permissões para configurar um IdP de terceiros

Se você usa um IdP terceirizado (como Okta ou Azure AD), configure a federação de identidade de colaboradores com um pool de identidades de colaboradores para ativar a autenticação segura.

Conceda ao SME de integração os seguintes papéis e permissões do IAM:

Editor (roles/editor): permissões de Editor de projetos para o projeto vinculado ao Google SecOps.
Permissão de Administrador de pool de colaboradores do IAM (roles/iam.workforcePoolAdmin) no nível da organização.

Use o exemplo a seguir para definir o papel roles/iam.workforcePoolAdmin:
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Substitua:
- ORGANIZATION_ID: ID numérico da organização.
- USER_EMAIL: endereço de e-mail do administrador.
Permissão de Leitor da organização (resourcemanager.organizations.get) no nível da organização.

Permissões para vincular uma instância do Google SecOps aos serviços do Google Cloud

Conceda ao SME de integração as mesmas permissões que as Permissões para adicionar um Google Cloud projeto.

Se você planeja migrar uma instância do Google SecOps, precisa de permissões para acessar o Google SecOps. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM.

Permissões para configurar o controle de acesso a recursos usando o IAM

Conceda o papel Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no nível do projeto ao PME de integração. Essa permissão é necessária para atribuir e modificar vinculações de papéis do IAM no projeto.
Atribua papéis do IAM aos usuários com base nas responsabilidades deles. Para exemplos, consulte Atribuir funções a usuários e grupos.

Se você planeja migrar uma instância do Google SecOps para o IAM, conceda ao SME de integração as mesmas permissões que as Permissões para configurar um provedor de identidade.

Permissões para configurar o controle de acesso a dados

Conceda os seguintes papéis do IAM ao SME de integração:

Funções de administrador da API Chronicle (roles/chronicle.admin) e leitor de papéis (roles/iam.roleViewer) para configurar o RBAC de dados para usuários.
Papel de administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ou administrador de segurança (roles/iam.securityAdmin), para atribuir os escopos aos usuários.

Se você não tiver os papéis necessários, atribua-os no IAM.

Requisitos para recursos avançados do Google SecOps

A tabela a seguir lista os recursos avançados do Google SecOps e as dependências deles em um projeto Google Cloud fornecido pelo cliente e na federação de identidades da força de trabalho do Google.

Capacidade	Google Cloud foundation	Requer Google Cloud projeto?	Requer integração com o IAM?
Registros de auditoria do Cloud: atividades administrativas	Registros de auditoria do Cloud	Sim	Sim
Registros de auditoria do Cloud: acesso a dados	Registros de auditoria do Cloud	Sim	Sim
Cloud Billing: assinatura on-line ou pagamento por uso	Cloud Billing	Sim	Não
APIs do Chronicle: acesso geral, geração e gerenciamento de credenciais usando um IdP de terceiros	APIs doGoogle Cloud	Sim	Sim
APIs do Chronicle: acesso geral, geração e gerenciamento de credenciais usando o Cloud Identity	Google Cloud APIs, Cloud Identity	Sim	Sim
Controles em conformidade: CMEK	Cloud Key Management Service ou Cloud External Key Manager	Sim	Não
Controles em conformidade: FedRAMP High ou superior	Assured Workloads	Sim	Sim
Controles em conformidade: Serviço de política da organização	Serviço de política da organização	Sim	Não
Gerenciamento de contatos: declarações legais	Contatos essenciais	Sim	Não
Monitoramento de integridade: interrupções do pipeline de ingestão	Cloud Monitoring	Sim	Não
Ingestão: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Identity and Access Management	Sim	Não
Controles de acesso baseados em papéis: dados	Identity and Access Management	Sim	Sim
Controles de acesso baseados em papéis: recursos ou recursos	Identity and Access Management	Sim	Sim
Acesso ao suporte: envio e acompanhamento de casos	Cloud Customer Care	Sim	Não
Autenticação unificada de SecOps	Federação de identidade de colaboradores do Google	Não	Sim

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.