设置 Google SecOps 实例

本文档介绍了如何引入（部署）Google SecOps（SIEM 和 SOAR）实例，以及如何根据您的 Google SecOps 软件包层级和使用权启用 Google SecOps 功能。以下 Google SecOps 软件包适用于这些新手入门步骤：标准版、企业版和企业 Plus 版。

您指定的新手入门 SME（也称为 Google SecOps SME 或结算管理员）将负责执行新手入门流程。此人将成为贵组织与 Google SecOps 团队的主要联系人。

前提条件

在您可以新建 Google SecOps 实例之前，请确保贵组织满足以下前提条件：

• 已注册以下某个 Google SecOps 软件包：标准版、企业版或企业 Plus 版。

• 贵组织签署的 Google SecOps 合同。此合同可授予您预配每个新 Google SecOps 实例的权限。

部署新的 Google SecOps 实例

若要部署新的 Google SecOps 实例，请执行以下步骤：

1. 签署 Google SecOps 合同。

   在贵组织签署 Google SecOps 合同后，系统就会开始预配新的 Google SecOps 实例。此操作会触发 Google 的内部新手入门工作流，并在 Google 的系统中注册合同详细信息，包括您的结算账号和新手入门 SME 的电子邮件地址。

2. 为新手入门准备好环境。

   在您引入新的 Google SecOps 实例之前，您的新手入门 SME 应准备好您的环境。

3. 设置新的 Google SecOps 实例。

4. 可选。如需部署更多实例，请与支持团队联系。

为新手入门做好环境准备

在引导 SME 应先准备好您的环境，然后再引导 Google SecOps 实例，如以下部分所述：

1. 授予执行初始配置的权限。
2. 设置 Assured Workloads 文件夹（可选）。
3. 创建 Google Cloud 项目（可选）。
4. 配置 Google Cloud 项目。
5. 配置身份提供方。

授予执行初始配置的权限

对于每个新的 Google SecOps 实例，请向新手入门 SME 授予所需的新手入门角色和权限，如所需角色和权限中所述。

设置 Assured Workloads 文件夹（可选）

如需创建 Assured Workloads 文件夹，请执行以下操作：

1. 前往创建新的 Assured Workloads 文件夹页面。
2. 在列表中，选择要应用于 Assured Workloads 文件夹的控制包* 类型。
3. 确保您拥有必需的 IAM 角色部分中列出的所需权限。

4. 请按照为...创建 Assured Workloads 文件夹部分中的步骤操作。

设置文件夹时，请考虑以下准则：

• 受合规性控制的租户（实例）必须符合以下一项或多项合规性控制标准：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

• 与受合规性控制的租户关联的所有文件都必须位于针对相应合规性控制标准配置的 Assured Workloads 文件夹中。

• Assured Workloads 文件夹是在组织级层创建的。

• 组织可以创建多个 Assured Workloads 文件夹，每个文件夹都专门用于根据其要求实现特定的合规性控制套件。例如，一个文件夹可能支持 FedRAMP_MODERATE 实例，而另一个文件夹支持 FedRAMP_HIGH 实例。

在部署受合规性控制的租户（实例）时，请考虑以下准则：

• 您必须将受合规性控制的租户（实例）关联到位于 Assured Workloads 文件夹中的项目。 Google Cloud

• 如果您计划为 Google SecOps 实例创建新 Google Cloud 项目，则必须在为所需合规性控制包配置的 Assured Workloads 文件夹中创建该项目。

• 如果贵组织没有 Assured Workloads 文件夹，您必须创建一个。

创建 Google Cloud 项目（可选）

每个新的 Google SecOps 实例都应关联到一个Google Cloud 项目。您可以使用现有 Google Cloud 项目，也可以新建一个项目。

如需创建新 Google Cloud 项目，请执行以下操作：

1. 对于符合 FedRAMP 要求的租户（实例），请在组织的 Assured Workloads 文件夹中创建项目。如果贵组织没有用于所需控制包的 Assured Workloads 文件夹，请创建一个。

2. 请按照创建项目中的步骤操作。

配置 Google Cloud 项目

Google Cloud 项目充当关联的 Google SecOps 实例的控制层。

如需正确设置，请按照为 Google SecOps 配置 Google Cloud 项目中的步骤操作。

配置身份提供方

配置身份提供方，以管理 Google SecOps 实例的用户、群组和身份验证。

支持以下两种选项：

• 方法 1：Google Cloud Identity：

  如果您有 Google Workspace 账号，或者您要将身份从 IdP 同步到 Google Cloud，请使用此选项。

  1. 创建受管理的用户账号，以控制对资源和 Google SecOps 实例的访问权限。 Google Cloud

  2. 使用预定义角色或自定义角色定义 IAM 政策，以向用户和群组授予功能访问权限。

  如需了解详细说明，请参阅配置 Google Cloud 身份提供程序。

• 方案 2：员工身份联合：

  如果您使用第三方 IdP（例如 Okta 或 Azure AD），请使用此选项。

  配置 Google 的员工身份联合，并创建员工身份池。借助 Google 的员工身份联合，您可以授予本地或多云工作负载对 Google Cloud 资源的访问权限，而无需使用服务账号密钥。

  如需了解详细说明，请参阅配置第三方身份提供方。

初始配置新的 Google SecOps 实例

Google 系统会向您的新手入门 SME 发送 Google SecOps 新手入门邀请电子邮件。此电子邮件中包含用于启动设置流程的激活链接。

为新手入门做好环境准备后，新手入门 SME 应执行以下操作：

• 点击邀请电子邮件中的激活链接。

• 请执行以下部分中的步骤来部署 Google SecOps 实例：

  1. 配置新的 Google SecOps 实例，并将其关联到 Google Cloud 项目。
  2. 使用 IAM 配置功能访问权限控制。
  3. 为用户配置数据 RBAC。
  4. 将 IdP 群组映射到访问控制参数，以完成部署。

所需的角色和权限

本部分列出了部署 Google SecOps 实例所需的角色和权限。向执行部署任务的新手入门 SME 授予以下权限：

• 所有角色和权限都必须在项目级授予。这些权限仅适用于指定的 Google Cloud 项目和关联的 Google SecOps 实例。如需部署更多实例，请与支持团队联系。
• 如果您在其他合同下部署了另一个 Google SecOps 实例，则必须为该部署授予一组新的角色和权限。

向新手入门 SME 授予以下部分列出的角色和权限：

1. Google 结算账号中的权限
2. 预定义 IAM 角色
3. 创建 Assured Workloads 文件夹的权限
4. 添加 Google Cloud 项目的权限
5. 配置身份提供商的权限
   1. 配置 Cloud Identity 或 Google Workspace 的权限
   2. 配置第三方身份提供方的权限
6. 将 Google SecOps 实例关联到服务的权限 Google Cloud
7. 使用 IAM 配置功能访问权限控制的权限
8. 配置数据访问控制的权限
9. Google SecOps 高级功能要求

Google 结算账号中的权限

向新手入门 SME 授予对合同中指定的 Google 结算账号的 billing.resourceAssociations.list 权限。如需了解详细步骤，请参阅更新 Cloud Billing 账号的用户权限。

预定义 IAM 角色

向新手入门 SME 授予以下预定义 IAM 角色：

• Chronicle API 管理员
• Chronicle Service Admin

• Chronicle SOAR Admin

创建 Assured Workloads 文件夹的权限

向新手入门 SME 授予 Assured Workloads Administrator (roles/assuredworkloads.admin) 角色，其中包含创建和管理 Assured Workloads 文件夹的最低 IAM 权限。

添加 Google Cloud 项目的权限

向新手 SME 授予创建 Google Cloud 项目并启用 Chronicle API 所需的项目创建者权限：

• 如果新手入门 SME 在组织级别拥有项目创建者 (resourcemanager.projects.create) 权限，则无需其他权限。

• 如果新手入门 SME 没有组织级项目创建者权限，请授予以下项目级 IAM 角色：

  • Chronicle Service Admin (roles/chroniclesm.admin)（如果之前未授予此角色）
  • Editor (roles/editor)
  • Project IAM Admin (roles/resourcemanager.projectIamAdmin)
  • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

配置身份提供商的权限

您可以使用 IdP 来管理用户、群组和身份验证。

向新手入门 SME 授予以下权限，以便其配置 IdP：

配置 Cloud Identity 或 Google Workspace 的权限

• 对于 Cloud Identity：

  如果您使用的是 Cloud Identity，请向新手入门 SME 授予管理项目、文件夹和组织的访问权限中所述的角色和权限。

• 对于 Google Workspace：

  如果您使用的是 Google Workspace，则新手入门 SME 必须拥有 Cloud Identity 管理员账号，并且能够登录管理控制台。

如需详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方，请参阅配置 Google Cloud 身份提供方。

配置第三方 IdP 的权限

如果您使用第三方 IdP（例如 Okta 或 Azure AD），请配置员工身份联合以及员工身份池，以实现安全的身份验证。

向新手入门 SME 授予以下 IAM 角色和权限：

• 编辑者 (roles/editor)：对已与 Google SecOps 关联的项目的项目编辑者权限。

• 组织级层的 IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) 权限。

  请使用以下示例设置 roles/iam.workforcePoolAdmin 角色：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
  

  替换以下内容：

  • ORGANIZATION_ID：组织的数字 ID。
  • USER_EMAIL：管理员的电子邮件地址。

• 组织级的 Organization Viewer (resourcemanager.organizations.get) 权限。

将 Google SecOps 实例关联到 Google Cloud 服务的权限

向新手入门 SME 授予与添加 Google Cloud 项目的权限相同的权限。

如果您计划迁移现有 Google SecOps 实例，则需要拥有访问 Google SecOps 的权限。如需查看预定义角色的列表，请参阅 IAM 中的 Google SecOps 预定义角色。

使用 IAM 配置功能访问权限控制的权限

• 向新手入门 SME 授予项目级 Project IAM Admin (roles/resourcemanager.projectIamAdmin) 角色。您必须拥有此权限，才能为项目分配和修改 IAM 角色绑定。

• 根据用户的职责为用户分配 IAM 角色。如需查看示例，请参阅向用户和群组分配角色。

  如果您计划将现有 Google SecOps 实例迁移到 IAM，请向新手入门 SME 授予与配置身份提供程序的权限相同的权限。

配置数据访问权限控制的权限

向新手入门 SME 授予以下 IAM 角色：

• Chronicle API Admin (roles/chronicle.admin) 和 Role Viewer (roles/iam.roleViewer) 角色，用于为用户配置数据 RBAC。
• Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色，用于向用户分配镜重。

如果您没有所需的角色，请在 IAM 中分配角色。

Google SecOps 高级功能要求

下表列出了 Google SecOps 高级功能及其对客户提供的 Google Cloud 项目和 Google 员工身份联合的依赖项。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。