Google SecOps-Instanz mit Google Cloud -Diensten verknüpfen

Eine Google Security Operations-Instanz ist für bestimmte wichtige Funktionen wie die Authentifizierung von Google Cloud -Diensten abhängig.

In diesem Dokument wird beschrieben, wie Sie Ihre Instanz so konfigurieren, dass sie mit diesen Diensten verknüpft wird. Dies gilt sowohl für die Einrichtung einer neuen Bereitstellung als auch für die Migration einer vorhandenen Google SecOps-Instanz.

Hinweise

Bevor Sie eine Google SecOps-Instanz mit Google Cloud-Diensten konfigurieren, müssen Sie Folgendes tun:

• Berechtigungen prüfen Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben, um die Schritte in diesem Dokument auszuführen. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses finden Sie unter Erforderliche Rollen und Berechtigungen.

• Projekteinrichtung auswählen: Sie können entweder ein neues Google Cloud-Projekt für Ihre Google SecOps-Instanz erstellen oder es mit einem vorhandenen Google Cloud -Projekt verknüpfen.

  Wenn Sie ein neues Google Cloud Projekt erstellen und die Chronicle API aktivieren möchten, folgen Sie der Anleitung unter Google Cloud -Projekt erstellen.

• SSO-Anbieter für die Google SecOps-Instanz konfigurieren: Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter verwenden:

  • Wenn Sie einen externen Identitätsanbieter verwenden, führen Sie die Schritte unter

    Einen externen Identitätsanbieter für Google SecOps konfigurieren

  • Wenn Sie Cloud Identity oder Google Workspace verwenden, führen Sie die Schritte unter

    Konfigurieren Sie einen Google Cloud Identitätsanbieter für Google SecOps.

Wenn Sie eine Google SecOps-Instanz verknüpfen möchten, die für einen MSSP (Manage Security Services Provider) erstellt wurde, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Die Einrichtung erfordert Unterstützung durch einen Google SecOps-Mitarbeiter.

Nachdem Sie eine Google SecOps-Instanz mit einem Google Cloud -Projekt verknüpft haben, kann sie weiter konfiguriert werden. Sie können jetzt die aufgenommenen Daten untersuchen und das Projekt auf potenzielle Sicherheitsbedrohungen überwachen.

Neue Google SecOps-Instanz konfigurieren

Wenn Sie Ihre neue Instanz mit einem Projekt verknüpfen, werden Authentifizierungs- und Monitoringfunktionen aktiviert, darunter:

• Cloud Identity-Integration für den Zugriff auf eine Reihe von Google Cloud Diensten, z. B. Authentifizierung, Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs.

• IAM- und Workforce Identity-Föderationsunterstützung für die Authentifizierung mit Ihrem vorhandenen Drittanbieter-IdP.

So verknüpfen Sie eine Google SecOps-Instanz mit einem Google Cloud Projekt:

1. Nachdem Ihre Organisation den Google SecOps-Kundenvertrag unterzeichnet hat, erhält der Onboarding-Experte eine E‑Mail-Einladung mit einem Aktivierungslink. Der Aktivierungslink kann nur einmal verwendet werden.

   Klicken Sie in der E‑Mail mit der Einladung zum Onboarding auf den Aktivierungslink Zu Google Cloudwechseln, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.

2. Klicken Sie auf Projekt auswählen, um die Seite Ressource auswählen zu öffnen.

3. Wählen Sie auf der Seite Ressource auswählen ein Google Cloud Projekt aus, um Ihre neue Google SecOps-Instanz zu verknüpfen. Sie haben zwei Möglichkeiten zur Auswahl:

   • Option 1: Neues Google Cloud Projekt erstellen:

     Klicken Sie auf Neues Projekt und folgen Sie der Anleitung unter Projekt erstellen Google Cloud .

   • Möglichkeit 2: Vorhandenes Projekt auswählen:

     Folgen Sie der Anleitung unter Vorhandenes Projekt auswählen.

4. Nachdem Sie ein Projekt ausgewählt haben, wird die Schaltfläche Kontakte hinzufügen aktiviert und im Bereich Wichtige Kontakte hinzufügen wird die Tabelle Wichtige Kontakte angezeigt. In dieser Tabelle sehen Sie die Kategorien für Benachrichtigungen und die E-Mail-Adresse des jeweils zugewiesenen Kontakts.

   Weisen Sie mindestens den folgenden vier obligatorischen Benachrichtigungskategorien eine Kontaktperson zu: Technisch, Sicherheit, Rechtliche Hinweise und Abrechnung.

   So weisen Sie einem Kontakt eine oder mehrere Benachrichtigungskategorien zu:

   1. Klicken Sie auf Kontakt hinzufügen oder in einer Benachrichtigungskategorie mit einem vorhandenen Kontakt auf Bearbeiten Bearbeiten, um das Fenster Kontakt bearbeiten zu öffnen.

   2. Geben Sie die E-Mail-Adresse der Kontaktperson ein und wählen Sie eine oder mehrere Benachrichtigungskategorien aus.

   3. Klicken Sie auf Speichern.

5. Klicken Sie auf Weiter.

   Das System prüft, ob die Chronicle API aktiviert ist. Wenn diese Option aktiviert ist, werden auf der Seite Onboarding die vorausgefüllten Onboarding-Informationen angezeigt und der Bereitstellungsprozess wird ausgeführt. Dieser Vorgang kann bis zu 15 Minuten dauern.

   Wenn die Bereitstellung erfolgreich abgeschlossen ist, erhalten Sie eine Benachrichtigung. Wenn die Bereitstellung fehlschlägt, wenden Sie sich an den Google SecOps-Support.

6. So prüfen Sie, ob die Bereitstellung korrekt ist:

   • Wenn Sie sich die Instanzinformationen ansehen möchten, rufen Siehttps://console.cloud.google.com/security/chronicle/settings auf.

   • Wenn Sie Informationen aktualisieren möchten, wenden Sie sich an den Google SecOps-Support.

Vorhandenes Projekt auswählen

1. Wählen Sie auf der Seite Ressource auswählen Ihre Organisation aus der Liste aus.

   Auf der Seite wird eine Liste der Google Cloud Projekte und ‑Ordner angezeigt.

   • Sie gehören zur selben Organisation wie die Google SecOps-Instanz und haben dasselbe Rechnungskonto.

   • Wenn neben einem Projekt oder Ordner das -Symbol Warnung angezeigt wird, können Sie es nicht auswählen. Bewegen Sie den Mauszeiger auf das Symbol, um den Grund zu sehen, z. B. fehlende Berechtigungen oder Abrechnungsfehler.

2. Wählen Sie ein Projekt anhand der folgenden Kriterien aus:

   • Kriterien für die Verknüpfung einer Instanz mit einem Google Cloud -Projekt:

     • Das Google Cloud -Projekt darf nicht bereits mit einer anderen Google SecOps-Instanz verknüpft sein.

     • Sie haben die erforderlichen IAM-Berechtigungen, um auf das Projekt zuzugreifen und damit zu arbeiten. Weitere Informationen finden Sie unter Berechtigungen zum Hinzufügen eines Google Cloud -Projekts.

     • Bei einem compliance-kontrollierten Mandanten (Instanz) muss sich das Projekt in einem Assured Workloads-Ordner befinden. Weitere Informationen finden Sie unter Workforce Identity-Föderation.

       Ein Compliance-konform-Mandant (Instanz) entspricht einem der folgenden Compliance-Kontrollstandards: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 oder DRZ_ADVANCED.

   • So wählen Sie ein Google Cloud Projekt für einen Compliance-kontrollierten-Mandanten (Instanz) aus:

     1. Wählen Sie einen Assured Workloads-Ordner aus, um ihn zu öffnen.
     2. Klicken Sie im Ordner „Assured Workloads“ auf den Namen einesGoogle Cloud -Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.
     3. Führen Sie die Konfiguration wie unter IdP konfigurieren beschrieben durch.

   • So wählen Sie ein Google Cloud Projekt für einen nicht konformitätskontrollierten-Mandanten (Instanz) aus:

     1. Klicken Sie auf den Namen eines gültigen Google Cloud Projekts, um die Seite SecOps mit einem Projekt verknüpfen zu öffnen.

     2. Wählen Sie auf der Seite SecOps mit einem Projekt verknüpfen bei Bedarf ein anderes Projekt aus. Klicken Sie dazu auf das Projekt, um die Seite Ressource auswählen wieder aufzurufen.

3. Klicken Sie auf Weiter, um Ihre Google SecOps-Instanz mit dem ausgewählten Projekt zu verknüpfen und die Seite Bereitstellung zu öffnen.

   Auf der Seite Bereitstellung werden die endgültigen Details Ihrer Instanz und Ihres Dienstes angezeigt. Sie müssen Ihre Einwilligung geben, bevor die endgültige DDX durchgeführt wird. Die Seite besteht aus Abschnitten mit vorausgefüllten, nicht bearbeitbaren Feldern. Nur ein Google-Mitarbeiter kann diese Details ändern.

   Sehen Sie sich die Details in den folgenden Abschnitten an. Klicken Sie auf Weiter, um zum nächsten Abschnitt zu gelangen:

   1. Instanzdetails

      Auf der Seite werden die in Ihrem Vertrag festgelegten Instanzdetails angezeigt, z. B. Unternehmen, Region, Paketstufe und Dauer der Datenaufbewahrung.

      Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.

   2. Dienstkonto überprüfen

      Auf der Seite werden Details zum zu erstellenden Dienstkonto angezeigt.

      Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.

   3. Einmalanmeldung (SSO) konfigurieren

      Wählen Sie einen konfigurierten SSO-Anbieter aus. Wählen Sie eine der folgenden Optionen aus, je nachdem, welchen Identitätsanbieter Sie zum Verwalten des Nutzer- und Gruppenzugriffs auf Google SecOps verwenden:

      • Google Cloud Identity:

        Wählen Sie diese Option aus, wenn Sie Cloud Identity oder Google Workspace verwenden.

      • Workforce Identity-Föderation:

        Wenn Sie einen externen Identitätsanbieter verwenden, wählen Sie Ihren Mitarbeiterpoolanbieter aus der Liste aus.

        Wenn Ihr Identitätsanbieter nicht aufgeführt ist, konfigurieren Sie ihn und wählen Sie ihn dann aus der Liste aus. Weitere Informationen finden Sie unter Identitätsanbieter eines Drittanbieters konfigurieren.

        Klicken Sie auf Weiter, um den nächsten Abschnitt aufzurufen.

   4. Nutzungsbedingungen

      1. Klicken Sie das Kästchen Ich stimme zu... an, um den Nutzungsbedingungen zuzustimmen.
      2. Klicken Sie auf Einrichtung starten, um Ihre Google SecOps-Instanz gemäß den angezeigten Details bereitzustellen.

4. Klicken Sie hier, um mit dem nächsten Schritt fortzufahren.

Vorhandene Google SecOps-Instanz migrieren

Wenn Sie eine vorhandene Google SecOps-Instanz migrieren möchten, verknüpfen Sie sie mit einem Google Cloud -Projekt, migrieren Sie die Legacy-Authentifizierung zu Google Cloudund verwenden Sie IAM für die Zugriffssteuerung für Funktionen. Folgen Sie dazu der Anleitung Legacy-SIEM-Infrastruktur zu Google Cloud migrieren.

SSO-Konfiguration ändern

In den folgenden Abschnitten wird beschrieben, wie Sie Identitätsanbieter ändern:

• Externen Identitätsanbieter ändern
• Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Externen Identitätsanbieter ändern

1. Richten Sie den neuen Drittanbieter-Identitätsanbieter und Workforce Identity-Pool ein.

2. Ändern Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die IdP-Gruppenzuordnung, sodass auf Gruppen im neuen Identitätsanbieter verwiesen wird.

SSO-Einstellungen aktualisieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration für Google SecOps zu ändern:

1. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das an Google SecOps gebunden ist.

2. Gehen Sie zu Sicherheit > Google SecOps.

3. Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On. Auf dieser Seite werden die IdPs angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

4. Über das Menü Single Sign-On (Einmalanmeldung) können Sie den SSO-Anbieter ändern.

5. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates bzw. Inkognito-Fenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, war die Einrichtung von SSO erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des externen Identitätsanbieters. Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google SecOps konfigurieren.

6. Kehren Sie zur Google Cloud -Konsole zurück, klicken Sie auf die Seite Sicherheit > Google SecOps > Übersicht und dann auf den Tab Einmalanmeldung.

7. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

8. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Von einem externen Identitätsanbieter zu Cloud Identity migrieren

Führen Sie die folgenden Schritte aus, um die SSO-Konfiguration von einem externen Identitätsanbieter auf Google Cloud Identity umzustellen:

1. Konfigurieren Sie entweder Cloud Identity oder Google Workspace als Identitätsanbieter.
2. Weisen Sie Nutzern und Gruppen im Google SecOps-gebundenen Projekt die vordefinierten Chronicle IAM-Rollen und benutzerdefinierten Rollen zu.
3. Weisen Sie den relevanten Nutzern oder Gruppen die Rolle Chronicle SOAR Admin zu.

4. Fügen Sie in Google SecOps unter Einstellungen > SOAR-Einstellungen > Erweitert > IDP-Gruppenzuordnung die Chronicle SOAR Admin hinzu. Weitere Informationen finden Sie unter IdP-Gruppenzuordnung.

5. Öffnen Sie die Google Cloud Console und wählen Sie das Google Cloud Projekt aus, das an Google SecOps gebunden ist.

6. Gehen Sie zu Sicherheit > Chronicle SecOps.

7. Klicken Sie auf der Seite Übersicht auf den Tab Single Sign-On. Auf dieser Seite werden die IdPs angezeigt, die Sie beim Konfigurieren eines externen Identitätsanbieters für Google SecOps konfiguriert haben.

8. Klicken Sie das Kästchen Google Cloud Identity an.

9. Klicken Sie mit der rechten Maustaste auf den Link SSO-Einrichtung testen und öffnen Sie dann ein privates bzw. Inkognito-Fenster.

   • Wenn ein Anmeldebildschirm angezeigt wird, war die Einrichtung von SSO erfolgreich. Fahren Sie mit dem nächsten Schritt fort.
   • Wenn kein Anmeldebildschirm angezeigt wird, prüfen Sie die Konfiguration des Identitätsanbieters.

10. Kehren Sie zur Google Cloud Console zurück und klicken Sie auf Sicherheit > Chronicle SecOps > Übersicht > Tab Einmalanmeldung.

11. Klicken Sie unten auf der Seite auf Speichern, um den neuen Anbieter zu aktualisieren.

12. Prüfen Sie, ob Sie sich in Google SecOps anmelden können.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten