开始使用 Google SecOps 实例

本文档介绍了如何启用（部署）Google SecOps（SIEM 和 SOAR）实例，以及如何根据您的 Google SecOps 软件包层级和授权启用 Google SecOps 功能。以下新手入门步骤适用于以下 Google SecOps 套餐：标准版、企业版和企业 Plus 版。

您指定的初始配置 SME（也称为 Google SecOps SME 或结算管理员）会执行初始配置流程。此人是贵组织与 Google SecOps 团队的主要联系人。

前提条件

在启用新的 Google SecOps 实例之前，请确保您的组织已满足以下前提条件：

• 有效订阅以下任一 Google SecOps 套餐：标准版、企业版或企业 Plus 版。

• 贵组织签署的 Google SecOps 合同。此合约授予您配置每个新 Google SecOps 实例的权限。

部署新的 Google SecOps 实例

请按照以下步骤部署新的 Google SecOps 实例：

1. 签署 Google SecOps 合同。

   当组织签署 Google SecOps 合同时，系统会开始配置新的 Google SecOps 实例。此操作会触发 Google 的内部初始配置工作流程，并在 Google 的系统中注册合同详细信息，包括您的结算账号和初始配置 SME 的电子邮件地址。

2. 准备好环境以进行初始配置。

   在启用新的 Google SecOps 实例之前，您的初始配置 SME 应准备好您的环境。

3. 开始使用新的 Google SecOps 实例。

4. 可选。请与支持团队联系，以部署更多实例。

准备环境以进行初始配置

初始配置 SME 应在初始配置 Google SecOps 实例之前准备好您的环境，如以下部分所述：

1. 授予执行初始配置的权限。
2. 设置 Assured Workloads 文件夹（可选）。
3. 创建 Google Cloud 项目（可选）。
4. 配置 Google Cloud 项目。
5. 配置身份提供方。

授予执行初始配置的权限

对于每个新的 Google SecOps 实例，请按照所需角色和权限中的说明，向初始配置 SME 授予所需的初始配置角色和权限。

设置 Assured Workloads 文件夹（可选）

如需创建 Assured Workloads 文件夹，请执行以下操作：

1. 前往创建新的 Assured Workloads 文件夹页面。
2. 在列表中，选择要应用于 Assured Workloads 文件夹的控制包* 类型。
3. 确保您拥有必需的 IAM 角色部分中列出的必需权限。

4. 按照为...创建 Assured Workloads 文件夹部分中的步骤操作。

设置文件夹时，请考虑以下准则：

• 受合规性控制的租户（实例）必须符合以下一项或多项合规性控制标准：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

• 与受合规性控制的租户关联的所有文件都必须位于已配置为符合相应合规性控制标准的 Assured Workloads 文件夹中。

• Assured Workloads 文件夹是在组织级层创建的。

• 组织可以创建多个 Assured Workloads 文件夹，每个文件夹都专门用于满足特定合规性控制包的要求。例如，一个文件夹可能支持 FedRAMP_MODERATE 实例，而另一个文件夹支持 FedRAMP_HIGH 实例。

部署合规性受控的租户（实例）时，请考虑以下准则：

• 您必须将受合规性控制的租户（实例）关联到位于 Assured Workloads 文件夹中的 Google Cloud项目。

• 如果您计划为 Google SecOps 实例创建新的 Google Cloud 项目，则必须在配置为所需合规性控制软件包的 Assured Workloads 文件夹中创建该项目。

• 如果您的组织没有 Assured Workloads 文件夹，您必须创建一个。

创建 Google Cloud 项目（可选）

每个新的 Google SecOps 实例都应与一个Google Cloud 项目相关联。您可以使用现有 Google Cloud 项目，也可以创建新项目。

如需创建新 Google Cloud 项目，请执行以下操作：

1. 对于符合 FedRAMP 要求的租户（实例），请在组织的 Assured Workloads 文件夹中创建项目。如果您的组织没有适用于所需控制包的 Assured Workloads 文件夹，请创建一个。

2. 按照创建项目中的步骤操作。

配置 Google Cloud 项目

Google Cloud 项目充当关联的 Google SecOps 实例的控制层。

如需正确设置，请按照为 Google SecOps 配置 Google Cloud 项目中的步骤操作。

配置身份提供方

配置身份提供方，以管理 Google SecOps 实例的用户、群组和身份验证。

目前支持以下两种选项：

• 方法 1：Google Cloud 身份：

  如果您有 Google Workspace 账号，或者您将身份从 IdP 同步到 Google Cloud，请使用此选项。

  1. 创建受管理的用户账号，以控制对 Google Cloud 资源和 Google SecOps 实例的访问权限。

  2. 使用预定义角色或自定义角色定义 IAM 政策，以向用户和群组授予功能访问权限。

  如需了解详细说明，请参阅配置 Google Cloud 身份提供商。

• 选项 2：员工身份联合：

  如果您使用第三方 IdP（例如 Okta 或 Azure AD），请使用此选项。

  配置 Google 的员工身份联合，并创建员工身份池。借助 Google 的员工身份联合，您可以授予本地或多云工作负载对 Google Cloud 资源的访问权限，而无需使用服务账号密钥。

  如需了解详细说明，请参阅配置第三方身份提供方。

初始配置新的 Google SecOps 实例

Google 系统会向您的初始配置 SME 发送 Google SecOps 初始配置邀请电子邮件。此电子邮件包含一个用于启动设置流程的激活链接。

在为入驻准备好环境后，入驻 SME 应执行以下操作：

• 点击邀请电子邮件中的激活链接。

• 请按照以下各部分中的步骤部署 Google SecOps 实例：

  1. 配置新的 Google SecOps 实例并将其关联到 Google Cloud 项目。
  2. 使用 IAM 配置功能访问权限控制。
  3. 为用户配置数据 RBAC。
  4. 将 IdP 群组映射到访问权限控制参数，以完成部署。

所需的角色和权限

本部分列出了部署 Google SecOps 实例所需的角色和权限。向执行部署任务的初始配置 SME 授予以下权限：

• 所有角色和权限都必须在项目级层授予。这些权限仅适用于指定的 Google Cloud 项目和关联的 Google SecOps 实例。如需部署其他实例，请与支持团队联系。
• 如果您根据其他合同部署了另一个 Google SecOps 实例，则必须为该部署授予一组新的角色和权限。

向初始配置 SME 授予以下部分中列出的角色和权限：

1. Google 结算账号中的权限
2. 预定义 IAM 角色
3. 创建 Assured Workloads 文件夹的权限
4. 添加 Google Cloud 项目的权限
5. 配置身份提供方的权限
   1. 配置 Cloud Identity 或 Google Workspace 的权限
   2. 配置第三方身份提供方的权限
6. 将 Google SecOps 实例与 Google Cloud 服务相关联的权限
7. 使用 IAM 配置功能访问权限控制所需的权限
8. 配置数据访问权限控制的权限
9. Google SecOps 高级功能要求

Google 结算账号中的权限

为合同中指定的 Google 结算账号授予新客户导入 SME billing.resourceAssociations.list 权限。如需查看详细步骤，请参阅更新 Cloud Billing 账号的用户权限。

预定义 IAM 角色

向初始配置 SME 授予以下预定义的 IAM 角色：

• Chronicle API Admin
• Chronicle Service Admin

• Chronicle SOAR Admin

创建 Assured Workloads 文件夹所需的权限

向初始配置 SME 授予 Assured Workloads Administrator (roles/assuredworkloads.admin) 角色，其中包含创建和管理 Assured Workloads 文件夹的最低级别 IAM 权限。

添加 Google Cloud 项目的权限

向新手入门 SME 授予创建 Google Cloud 项目和启用 Chronicle API 所需的项目创建者权限：

• 如果初始配置 SME 拥有组织级层的项目创建者 (resourcemanager.projects.create) 权限，则无需其他权限。

• 如果新用户培训 SME 没有组织级项目创建者权限，请授予以下项目级 IAM 角色：

  • Chronicle Service Admin (roles/chroniclesm.admin)（如果之前未授予此角色）
  • Editor (roles/editor)
  • Project IAM Admin (roles/resourcemanager.projectIamAdmin)
  • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

配置身份提供方的权限

您可以使用 IdP 来管理用户、群组和身份验证。

向负责配置 IdP 的初始配置 SME 授予以下权限：

配置 Cloud Identity 或 Google Workspace 的权限

• 对于 Cloud Identity：

  如果您使用的是 Cloud Identity，请向初始配置 SME 授予管理项目、文件夹和组织的访问权限中所述的角色和权限。

• 对于 Google Workspace：

  如果您使用的是 Google Workspace，则初始配置 SME 必须拥有 Cloud Identity 管理员账号，并且能够登录管理控制台。

如需详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方，请参阅配置 Google Cloud 身份提供方。

配置第三方 IdP 的权限

如果您使用第三方 IdP（例如 Okta 或 Azure AD），请配置员工身份联合以及员工身份池，以实现安全身份验证。

向初始配置 SME 授予以下 IAM 角色和权限：

• Editor (roles/editor)： 对 Google SecOps 绑定项目的项目 Editor 权限。

• 组织级层的 IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) 权限。

  使用以下示例设置 roles/iam.workforcePoolAdmin 角色：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
  

  替换以下内容：

  • ORGANIZATION_ID：组织的数字 ID。
  • USER_EMAIL：管理员的电子邮件地址。

• 组织级 Organization Viewer (resourcemanager.organizations.get) 权限。

将 Google SecOps 实例关联到 Google Cloud 服务的权限

为新用户培训 SME 授予与添加 Google Cloud 项目的权限相同的权限。

如果您计划迁移现有的 Google SecOps 实例，则需要有权访问 Google SecOps。如需查看预定义角色的列表，请参阅 IAM 中的 Google SecOps 预定义角色。

使用 IAM 配置功能访问权限控制所需的权限

• 在项目级层向新客户培训 SME 授予 Project IAM Admin (roles/resourcemanager.projectIamAdmin) 角色。如需为项目分配和修改 IAM 角色绑定，必须拥有此权限。

• 根据用户的职责为其分配 IAM 角色。如需查看示例，请参阅向用户和群组分配角色。

  如果您计划将现有 Google SecOps 实例迁移到 IAM，请向初始配置 SME 授予与配置身份提供方的权限相同的权限。

配置数据访问权限控制的权限

向初始配置 SME 授予以下 IAM 角色：

• Chronicle API Admin (roles/chronicle.admin) 和 Role Viewer (roles/iam.roleViewer) 角色，用于为用户配置数据 RBAC。
• Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色，用于向用户分配范围。

如果您没有所需的角色，请在 IAM 中分配这些角色。

Google SecOps 高级功能要求

下表列出了 Google SecOps 高级功能以及它们对客户提供的 Google Cloud 项目和 Google 员工身份联合的依赖关系。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。