Esta página foi traduzida pela API Cloud Translation.

Integrar uma instância do Google SecOps

Compatível com:

Google SecOps

Este documento descreve como integrar (implantar) uma instância do Google SecOps (SIEM e SOAR) e ativar os recursos do Google SecOps com base no nível do pacote e nos direitos do Google SecOps. Estas etapas de integração se aplicam aos seguintes pacotes do Google SecOps: Standard, Enterprise e Enterprise Plus.

O especialista em integração designado, também conhecido como especialista em integração do Google SecOps ou administrador de faturamento, realiza o processo de integração. Essa pessoa é o principal ponto de contato da sua organização para a Google SecOps.

Pré-requisitos

Antes de integrar uma nova instância do Google SecOps, verifique se sua organização atende a estes pré-requisitos:

Um registro ativo em um dos seguintes pacotes do Google SecOps: Standard, Enterprise ou Enterprise Plus.
Um contrato assinado do Google SecOps da sua organização. Este contrato concede permissão para provisionar cada nova instância do Google SecOps.

Implantar uma nova instância do Google SecOps

Siga estas etapas para implantar uma nova instância do Google SecOps:

Assine o contrato do Google SecOps.

O provisionamento de uma nova instância do Google SecOps começa quando sua organização assina um contrato do Google SecOps. Essa ação aciona o fluxo de integração interno do Google e registra os detalhes do contrato no sistema do Google, incluindo sua conta de faturamento e o endereço de e-mail do SME de integração.
Prepare seu ambiente para a integração.

O SME de integração precisa preparar o ambiente antes de você integrar uma nova instância do Google SecOps.
Integrar uma nova instância do Google SecOps.
Opcional. Entre em contato com o suporte para implantar outras instâncias.

Preparar o ambiente para a integração

O SME de integração precisa preparar seu ambiente antes de integrar uma instância do Google SecOps, conforme descrito nestas seções:

Conceda permissões para realizar a integração.
Configure uma pasta do Assured Workloads (opcional).
Crie um Google Cloud projeto (opcional).
Configure um Google Cloud projeto.
Configure um provedor de identidade.

Conceder permissões para realizar a integração

Para cada nova instância do Google SecOps, conceda as funções e permissões de integração necessárias ao SME de integração, conforme descrito em Funções e permissões obrigatórias.

Configurar uma pasta do Assured Workloads (opcional)

Para criar uma pasta do Assured Workloads:

Acesse a página Criar uma nova pasta do Assured Workloads.
Na lista, selecione o tipo de pacote de controle* que você quer aplicar à pasta Assured Workloads.
Verifique se você tem as permissões necessárias listadas na seção Papéis do IAM necessários.
Siga as etapas na seção Criar uma pasta do Assured Workloads para....

Observação: se você gerencia várias organizações, selecione a organização correta em que a pasta Assured Workloads precisa ser criada. Em Região, selecione EUA, que corresponde à multirregião EUA.

Ao configurar a pasta, considere estas diretrizes:

Um locatário (instância) controlado por compliance precisa estar em conformidade com um ou mais dos seguintes padrões de controle de compliance: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.
Todos os arquivos associados a um locatário controlado por compliance precisam estar em uma pasta do Assured Workloads configurada para o padrão de controle de compliance adequado.
Uma pasta Assured Workloads é criada no nível da organização.
Uma organização pode criar várias pastas do Assured Workloads, cada uma dedicada a um pacote de controle de compliance específico com base nos requisitos. Por exemplo, uma pasta pode oferecer suporte a instâncias FedRAMP_MODERATE, enquanto outras FedRAMP_HIGH.

Considere estas diretrizes ao implantar um locatário controlado por compliance (instância):

É necessário vincular o locatário controlado por compliance (instância) a um projeto Google Cloud que esteja localizado em uma pasta do Assured Workloads.
Se você planeja criar um novo projeto Google Cloud para sua instância do Google SecOps, crie o projeto em uma pasta Assured Workloads configurada para o pacote de controle de compliance necessário.
Se a sua organização não tiver uma pasta do Assured Workloads, crie uma.

Criar um projeto Google Cloud (opcional)

Cada nova instância do Google SecOps precisa ser vinculada a um projetoGoogle Cloud . É possível usar um projeto Google Cloud atual ou criar um novo.

Para criar um novo Google Cloud projeto:

Para um locatário (instância) compatível com o FedRAMP, crie o projeto na pasta Assured Workloads da sua organização. Se a sua organização não tiver uma pasta do Assured Workloads para o pacote de controle necessário, crie uma.
Siga as etapas em Criar um projeto.

Observação: recomendamos usar a convenção de nomenclatura \<CUSTOMER-name\>-chronicle e garantir que a conta de faturamento do projeto corresponda à conta de faturamento associada à instância do Google SecOps que você está implantando.

Configurar um projeto do Google Cloud

Um projeto Google Cloud atua como a camada de controle da instância do Google SecOps vinculada.

Para configurá-lo corretamente, siga as etapas em Configurar um Google Cloud projeto para o Google SecOps.

Configurar um provedor de identidade

Configure um provedor de identidade para gerenciar usuários, grupos e autenticação na sua instância do Google SecOps.

Há duas opções compatíveis:

Opção 1: Google Cloud Identidade:

Use essa opção se você tiver uma conta do Google Workspace ou sincronizar identidades do IdP para Google Cloud.
1. Crie contas de usuário gerenciadas para controlar o acesso a Google Cloud recursos e à sua instância do Google SecOps.
2. Defina políticas do IAM usando funções predefinidas ou personalizadas para conceder acesso a recursos a usuários e grupos.
Para instruções detalhadas, consulte Configurar um provedor de identidade Google Cloud .

Observação: essa opção não é compatível com clientes que atendem aos requisitos de compliance do FedRAMP, IL4 ou IL5.
Opção 2: Federação de identidade da força de trabalho:

Use essa opção se você usa um IdP de terceiros (como o Okta ou o Azure AD).

Configure a federação de identidade da força de trabalho do Google e crie um pool de identidade da força de trabalho. A federação de identidade da força de trabalho do Google permite conceder acesso a recursos Google Cloud a cargas de trabalho locais ou multicloud sem usar chaves de conta de serviço.

Para instruções detalhadas, consulte Configurar um provedor de identidade de terceiros.

Integrar uma nova instância do Google SecOps

O sistema do Google envia um e-mail de convite de integração do Google SecOps para o SME de integração. Este e-mail inclui um link de ativação para iniciar o processo de configuração.

Depois de preparar o ambiente para a integração, o SME precisa fazer o seguinte:

Clique no link de ativação no e-mail de convite.
Siga as etapas nas seções a seguir para implantar a instância do Google SecOps:
1. Configure uma nova instância do Google SecOps e vincule-a a um projeto Google Cloud .
2. Configure o controle de acesso a recursos usando o IAM.
3. Configure o RBAC de dados para os usuários.
4. Associe os grupos de IdP aos parâmetros de controle de acesso para concluir a implantação.

Papéis e permissões necessárias

Esta seção lista os papéis e as permissões necessários para implantar uma instância do Google SecOps. Conceda estas permissões ao SME de integração que realiza as tarefas de implantação:

Todas as funções e permissões precisam ser concedidas no nível do projeto. Essas permissões se aplicam apenas ao projeto Google Cloud especificado e à instância do Google SecOps associada. Para implantar instâncias adicionais, entre em contato com o suporte.
Se você implantar outra instância do Google SecOps em um contrato diferente, será necessário conceder um novo conjunto de funções e permissões para essa implantação.

Conceda ao SME de integração os papéis e as permissões listados nas seções a seguir:

Permissões na conta de faturamento do Google
Papéis do IAM predefinidos
Permissões para criar uma pasta do Assured Workloads
Permissões para adicionar um Google Cloud projeto
Permissões para configurar um provedor de identidade
1. Permissões para configurar o Cloud Identity ou o Google Workspace
2. Permissões para configurar um provedor de identidade de terceiros
Permissões para vincular uma instância do Google SecOps a Google Cloud serviços
Permissões para configurar o controle de acesso a recursos usando o IAM
Permissões para configurar o controle de acesso a dados
Requisitos de recursos avançados do Google SecOps

Permissões na conta de faturamento do Google

Conceder à SME em integração a permissão billing.resourceAssociations.list para a conta de faturamento do Google especificada no contrato. Para conferir as etapas detalhadas, consulte Atualizar permissões do usuário para uma conta do Cloud Billing.

Papéis de IAM predefinidos

Conceda ao SME de integração os seguintes papéis predefinidos do IAM:

Administrador da API Chronicle
Administrador de serviço do Chronicle
Administrador do Chronicle SOAR

Observação: o papel do IAM precisa ser concedido mesmo ao implantar uma instância que não seja do SOAR.

Permissões para criar uma pasta do Assured Workloads

Conceda ao SME de integração o papel de Administrador do Assured Workloads (roles/assuredworkloads.admin) (link em inglês), que contém as permissões mínimas do IAM para criar e gerenciar pastas do Assured Workloads.

Permissões para adicionar um Google Cloud projeto

Conceda ao SME em integração as permissões de criador de projeto necessárias para criar um projeto do Google Cloud e ativar a API Chronicle:

Se o SME de integração tiver permissões de criador de projeto (resourcemanager.projects.create) no nível da organização, nenhuma outra permissão será necessária.
Se o especialista em marketing que está sendo integrado não tiver permissões de criador de projeto no nível da organização, conceda os seguintes papéis do IAM no nível do projeto:
- Administrador de serviço do Chronicle (roles/chroniclesm.admin) (se esse papel não foi concedido anteriormente)
- Editor (roles/editor)
- Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador do Service Usage (roles/serviceusage.serviceUsageAdmin)

Permissões para configurar um provedor de identidade

Você pode usar um IdP para gerenciar usuários, grupos e autenticação.

Conceda as seguintes permissões ao SME de integração para configurar um IdP:

Permissões para configurar o Cloud Identity ou o Google Workspace

Para o Cloud Identity:

Se você estiver usando o Cloud Identity, conceda ao SME em integração as funções e permissões descritas em Gerenciar o acesso a projetos, pastas e organizações.
Para o Google Workspace:

Se você estiver usando o Google Workspace, o SME de integração precisa ter uma conta de administrador do Cloud Identity e ser capaz de fazer login no Admin Console.

Para mais informações sobre como usar o Cloud Identity ou o Google Workspace como provedor de identidade, consulte Configurar o provedor de identidade Google Cloud .

Permissões para configurar um IdP de terceiros

Se você usa um IdP de terceiros (como o Okta ou o Azure AD), configure a Federação de identidade da força de trabalho com um pool de identidade da força de trabalho para ativar a autenticação segura.

Conceda ao SME em integração os seguintes papéis e permissões do IAM:

Editor (roles/editor): permissões de Editor de projeto para o projeto vinculado ao Google SecOps.
Administrador de pool de colaboradores do IAM (roles/iam.workforcePoolAdmin) no nível da organização.

Use o exemplo a seguir para definir o papel roles/iam.workforcePoolAdmin:
```
  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member "user:USER_EMAIL" \
  --role roles/iam.workforcePoolAdmin
```
Substitua:
- ORGANIZATION_ID: ID numérico da organização.
- USER_EMAIL: o endereço de e-mail do administrador.
Visualizador da organização (resourcemanager.organizations.get) permissão no nível da organização.

Permissões para vincular uma instância do Google SecOps a Google Cloud serviços

Conceda ao especialista em domínio do onboarding as mesmas permissões que as Permissões para adicionar um projeto Google Cloud .

Se você planeja migrar uma instância do Google SecOps, precisará de permissões para acessar o Google SecOps. Para uma lista de papéis predefinidos, consulte Papéis predefinidos do Google SecOps no IAM.

Permissões para configurar o controle de acesso a recursos usando o IAM

Conceda o papel de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no nível do projeto ao SME de integração. Essa permissão é necessária para atribuir e modificar vinculações de função do IAM para o projeto.
Atribua papéis do IAM aos usuários com base nas responsabilidades deles. Confira exemplos em Atribuir funções a usuários e grupos.

Se você planeja migrar uma instância do Google SecOps para o IAM, conceda ao SME de integração as mesmas permissões do Permissões para configurar um provedor de identidade.

Permissões para configurar o controle de acesso a dados

Conceda os seguintes papéis do IAM ao SME de integração:

Funções de administrador da API Chronicle (roles/chronicle.admin) e leitor de função (roles/iam.roleViewer) para configurar o RBAC de dados para usuários.
Papel de administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) ou de administrador de segurança (roles/iam.securityAdmin) para atribuir os escopos aos usuários.

Se você não tiver as funções necessárias, atribua as funções no IAM.

Requisitos dos recursos avançados do Google SecOps

A tabela a seguir lista os recursos avançados do Google SecOps e as dependências em um projeto Google Cloud fornecido pelo cliente e na federação de identidades da força de trabalho do Google.

Capacidade	Google Cloud base	Requer Google Cloud project?	Requer integração com o IAM?
Registros de auditoria do Cloud: atividades administrativas	Registros de auditoria do Cloud	Sim	Sim
Registros de auditoria do Cloud: acesso a dados	Registros de auditoria do Cloud	Sim	Sim
Cloud Billing: assinatura on-line ou pagamento por uso	Cloud Billing	Sim	Não
APIs do Chronicle: acesso geral, criação e gerenciamento de credenciais usando um IdP de terceiros	APIsGoogle Cloud	Sim	Sim
APIs do Chronicle: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity	Google Cloud APIs, Cloud Identity	Sim	Sim
Controles em compliance: CMEK	Cloud Key Management Service ou Cloud External Key Manager	Sim	Não
Controles em conformidade: FedRAMP High ou superior	Assured Workloads	Sim	Sim
Controles em conformidade: serviço de política da organização	Serviço de política da organização	Sim	Não
Controles em conformidade: VPC Service Controls	VPC Service Controls	Sim	Não
Gerenciamento de contatos: declarações legais	Contatos essenciais	Sim	Não
Monitoramento de integridade: interrupções do pipeline de transferência	Cloud Monitoring	Sim	Não
Ingestão: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose	Identity and Access Management	Sim	Não
Controles de acesso baseados em função: dados	Identity and Access Management	Sim	Sim
Controles de acesso baseados em função: recursos ou recursos	Identity and Access Management	Sim	Sim
Acesso ao suporte: envio e acompanhamento de casos	Cloud Customer Care	Sim	Não
Autenticação unificada do SecOps	Federação de identidade de colaboradores do Google	Não	Sim

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.