Associer Google SecOps aux services Google Cloud

Compatible avec:

Google SecOps dépend des services Google Cloud pour certaines fonctionnalités, comme l'authentification. Ce document explique comment configurer un Google SecOps de s'associer à ces services Google Cloud. Il fournit des informations les utilisateurs qui configurent une nouvelle instance Google SecOps et ceux qui migrer une instance Google SecOps existante.

Avant de commencer

Avant de configurer une instance Google SecOps avec Google Cloud vous devez procéder comme suit:

Remplissez l'une des sections suivantes, selon que vous êtes un nouveau client ou un client existant.

Si vous souhaitez lier une instance Google Security Operations créée pour une instance MSSP), contactez votre ingénieur client Google SecOps pour obtenir de l'aide. Cette configuration nécessite l'aide d'un représentant Google Security Operations.

Une fois que vous avez effectué les étapes nécessaires pour lier le projet Google Cloud à Google SecOps, vous pouvez examiner les données de projet Google Cloud dans Google SecOps, ce qui vous permet surveiller de près votre projet pour tout type de compromission de sécurité.

Migrer une instance Google SecOps existante

Les sections suivantes expliquent comment migrer un environnement Google SecOps existant afin de la lier à un projet Google Cloud et d'utiliser IAM pour gérer le contrôle des accès aux fonctionnalités.

S'associer à un fournisseur de projet et d'effectifs

La procédure suivante explique comment connecter une instance Google SecOps existante à un projet Google Cloud et configurer l'authentification unique à l'aide des services de fédération d'identité du personnel IAM.

  1. Connectez-vous à Google SecOps.

  2. Dans la barre de navigation, sélectionnez Settings > SIEM Settings (Paramètres > Paramètres du SIEM).

  3. Cliquez sur Google Cloud Platform.

  4. Saisissez l'ID de projet Google Cloud pour associer le projet à l'instance Google SecOps.

  5. Cliquez sur Générer un lien.

  6. Cliquez sur Se connecter à Google Cloud Platform. La console Google Cloud s'ouvre. Si vous avez saisi un ID de projet Google Cloud incorrect dans Google SecOps application, revenez à la page Google Cloud Platform dans Google SecOps et saisissez l'ID de projet approprié.

  7. Dans la console Google Cloud, accédez à Sécurité > Google SecOps.

  8. Vérifiez le compte de service créé pour le projet Google Cloud.

  9. Sous Configure single sign-on (Configurer l'authentification unique), sélectionnez l'une des options suivantes. selon le fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez Google Cloud Identity :

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez Fédération des identités des employés. puis sélectionnez le fournisseur de main-d'œuvre de votre choix. Vous configurez cela lorsque Configurer la fédération des identités des employés

  10. Si vous avez sélectionné Workforce Identity Federation (Fédération Workforce Identity), effectuez un clic droit sur le lien Tester la configuration de l'authentification unique, puis ouvrez-le dans une fenêtre privée ou de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration de l'authentification unique a réussi.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration de l'identité tierce un fournisseur de services agréé. Consultez Configurer un fournisseur d'identité tiers pour Google SecOps.
  11. Passez à la section suivante : Migrer les autorisations existantes vers IAM.

Migrer des autorisations existantes vers IAM

Après avoir migré une instance Google SecOps existante, procédez comme suit : vous pouvez utiliser des commandes générées automatiquement pour migrer les autorisations existantes les rôles à IAM. Google SecOps crée ces commandes à l'aide de votre configuration de contrôle des accès RBAC de fonctionnalité avant la migration. Lors de leur exécution, elles créent de nouvelles stratégies IAM équivalentes à celles configuration, telle que définie dans Google SecOps dans le Paramètres SIEM > Utilisateurs et groupes.

Après avoir exécuté ces commandes, vous ne pouvez pas revenir au RBAC des fonctionnalités précédent de contrôle des accès. Si vous rencontrez un problème, contactez l'assistance technique.

  1. Dans la console Google Cloud, accédez à Sécurité > Google SecOps > Accès gestion.
  2. Sous Migrer les liaisons de rôles, un ensemble de liaisons de rôles générées automatiquement s'affiche. Commandes Google Cloud CLI.
  3. Examinez et vérifiez que les commandes créent les autorisations attendues. Pour en savoir plus sur les rôles et les autorisations Google SecOps, consultez Comment les autorisations IAM correspondent à chaque rôle RBAC de fonctionnalité.
  4. Lancez une session Cloud Shell.
  5. Copiez les commandes générées automatiquement, puis collez-les et exécutez-les dans la CLI gcloud.
  6. Une fois toutes les commandes exécutées, cliquez sur Valider l'accès. Si l'opération réussit, le message Accès validé s'affiche dans Access Management de Google SecOps. Sinon, le message le message Access denied (Accès refusé). L'affichage peut prendre une à deux minutes.
  7. Pour terminer la migration, revenez à l'onglet Security (Sécurité) > Google SecOps (Google SecOps) > Access management (Gestion des accès), puis cliquez sur Enable IAM (Activer IAM).
  8. Vérifiez que vous pouvez accéder à Google SecOps en tant qu'utilisateur avec le Rôle d'administrateur de l'API Chronicle.
    1. Connectez-vous à Google SecOps en tant qu'utilisateur avec l'administrateur de l'API Chronicle un rôle prédéfini. Pour en savoir plus, consultez Se connecter à Google Security Operations.
    2. Ouvrez le menu Application > Paramètres > Utilisateurs et Groupes. Le message suivant doit s'afficher: Pour gérer les utilisateurs et les groupes, accédez à Identity Access Management (IAM) dans la console Google Cloud. En savoir plus sur la gestion des utilisateurs et des groupes
  9. Connectez-vous à Google SecOps en tant qu'utilisateur disposant d'un rôle différent. Pour en savoir plus, consultez Se connecter à Google SecOps.
  10. Vérifiez que les fonctionnalités disponibles dans l'application correspondent aux autorisations définies dans IAM.

Configurer une nouvelle instance Google SecOps

La procédure suivante explique comment configurer un nouveau Google SecOps pour la première fois, après avoir configuré le projet Google Cloud et les services IAM de fédération des identités des employés à Google SecOps.

Si vous êtes un nouveau client Google SecOps, procédez comme suit:

  1. Créez un projet Google Cloud et activez l'API Google SecOps. Pour en savoir plus, consultez Configurer un projet Google Cloud pour Google SecOps.

  2. Fournissez l'ID du projet à votre ingénieur client Google SecOps. que vous prévoyez de lier à l'instance Google SecOps. Après Google SecOps L'ingénieur client lance le processus. Vous recevez un e-mail de confirmation.

  3. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud fournies à l'étape précédente.

  4. Accédez à Sécurité > Google SecOps.

  5. Si vous n'avez pas activé l'API Google SecOps, un bouton Premiers pas s'affiche. Cliquez sur le bouton Getting Started (Premiers pas), puis terminez les étapes guidées d'activation de l'API Google SecOps.

  6. Dans la section Company Information (Informations sur l'entreprise), saisissez les informations sur votre entreprise, puis cliquez sur Next (Suivant).

  7. Vérifiez les informations du compte de service, puis cliquez sur Suivant. Google SecOps crée un compte de service dans le projet et définit les rôles et les autorisations requis.

  8. Sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google Security Operations:

    • Si vous utilisez Cloud Identity ou Google Workspace, sélectionnez Google Cloud Identity.

    • Si vous utilisez un fournisseur d'identité tiers, sélectionnez le personnel que vous souhaitez utiliser. Vous devez définir cette option au moment de configurer la fédération des identités des employés.

  9. Sous Saisissez ici les groupes d'administrateurs de votre IdP, saisissez le nom commun d'un ou de plusieurs groupes d'IDP qui incluent des administrateurs qui configurent l'accès des utilisateurs aux fonctionnalités liées à SOAR. Vous avez identifié et créé ces groupes lorsque vous avez défini des attributs utilisateur et des groupes dans l'IdP.

  10. Développez la section Conditions d'utilisation. Si vous acceptez les conditions d'utilisation, cliquez sur Démarrer la configuration.

    Il peut s'écouler jusqu'à 15 minutes avant que l'instance Google Security Operations ne soit provisionnés. Vous recevrez une notification une fois l'instance provisionnée. Si la configuration échoue, contactez votre représentant Google Cloud.

  11. Si vous avez sélectionné Google Cloud Identity, assurez-vous d'attribuer un rôle Google Security Operations aux utilisateurs et aux groupes à l'aide d'IAM afin qu'ils puissent se connecter à Google Security Operations. Effectuez cette étape à l'aide de la bibliothèque cliente Google Security Operations le projet Google Cloud que vous avez créé précédemment.

    La commande suivante attribue le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) à un seul utilisateur à l'aide de gcloud.

    Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role roles/chronicle.viewer \
    --member='EMAIL_ALIAS"
    

    Remplacez les éléments suivants :

    Pour obtenir des exemples d'attribution de rôles à d'autres membres, comme un groupe ou un domaine, consultez Documentation de référence sur gcloud projects add-iam-policy-binding et sur les identifiants principaux.

Modifier la configuration de l'authentification unique (SSO)

Les sections suivantes expliquent comment modifier les fournisseurs d'identité:

Modifier le fournisseur d'identité tiers

  1. Configurez le nouveau fournisseur d'identité tiers et le pool d'identités des employés.

  2. Dans Google SecOps, sous Settings > SOAR settings > Advanced > IDP group mapping, modifiez le mappage des groupes d'IDP pour référencer les groupes dans le nouveau fournisseur d'identité.

Pour modifier la configuration de l'authentification unique pour Google SecOps, procédez comme suit:

  1. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud liées à Google SecOps.

  2. Accédez à Sécurité > Google SecOps.

  3. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez définis lors de la configuration d'un fournisseur d'identité tiers pour Google SecOps.

  4. Utilisez le menu Single Sign-On (Authentification unique) pour changer de fournisseur SSO.

  5. Cliquez avec le bouton droit sur le lien Tester la configuration de l'authentification unique, puis ouvrez une fenêtre privée ou de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration de l'authentification unique a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité tiers. Consultez Configurer un fournisseur d'identité tiers pour Google SecOps.
  6. Revenez dans la console Google Cloud, accédez à la page Sécurité > Google SecOps > Présentation, puis cliquez sur l'onglet Authentification unique.

  7. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

  8. Vérifiez que vous pouvez vous connecter à Google SecOps.

Migrer d'un fournisseur d'identité tiers vers Cloud Identity

Pour remplacer la configuration de l'authentification unique par un fournisseur d'identité tiers par Google Cloud Identity, procédez comme suit:

  1. Veillez à configurer Cloud Identity ou Google Workspace en tant que fournisseur d'identité.
  2. Accordez les rôles et autorisations IAM Chronicle prédéfinis aux utilisateurs et aux groupes dans le projet lié à Google SecOps.
  3. Dans Google SecOps, sous Paramètres > Paramètres SOAR > Paramètres avancés > Mappage de groupes IdP, Modifiez le mappage de groupes IdP pour qu'il référence des groupes dans le nouveau fournisseur d'identité.

  4. Ouvrez la console Google Cloud, puis sélectionnez le projet Google Cloud liées à Google SecOps.

  5. Accédez à Sécurité > Chronicle SecOps.

  6. Sur la page Overview (Présentation), cliquez sur l'onglet Single Sign-On (Authentification unique). Cette page affiche les fournisseurs d'identité que vous avez définis lors de la configuration d'un fournisseur d'identité tiers pour Google SecOps.

  7. Cochez la case Google Cloud Identity.

  8. Effectuez un clic droit sur le lien Test SSO setup (Tester la configuration de l'authentification unique), puis ouvrez une fenêtre de navigation privée.

    • Si un écran de connexion s'affiche, cela signifie que la configuration de l'authentification unique a réussi. Passez à l'étape suivante.
    • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité.
  9. Revenez dans la console Google Cloud, puis cliquez sur Sécurité > Chronicle SecOps > page Vue d'ensemble > onglet Authentification unique.

  10. Cliquez sur Save (Enregistrer) en bas de la page pour mettre à jour le nouveau fournisseur.

  11. Vérifiez que vous pouvez vous connecter à Google SecOps.