Associer une instance Google SecOps aux services Google Cloud

Une instance Google Security Operations dépend des services Google Cloud pour certaines fonctionnalités clés, telles que l'authentification.

Ce document explique comment configurer votre instance pour l'associer à ces services, que vous configuriez un nouveau déploiement ou que vous migriez une instance Google SecOps existante.

Avant de commencer

Avant de configurer une instance Google SecOps avec des services Google Cloud, vous devez effectuer les opérations suivantes :

• Vérifiez les autorisations. Assurez-vous de disposer des autorisations nécessaires pour suivre les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d'intégration, consultez Rôles et autorisations requis.

• Choisissez la configuration de votre projet : vous pouvez créer un projet Google Cloudpour votre instance Google SecOps ou l'associer à un projet Google Cloud existant.

  Pour créer un projet Google Cloud et activer l'API Chronicle, suivez les étapes décrites dans Créer un projet Google Cloud .

• Configurez un fournisseur d'authentification unique pour l'instance Google SecOps : Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité (IdP) tiers, comme suit :

  • Si vous utilisez un IdP tiers, suivez les étapes décrites dans

    Configurez un fournisseur d'identité tiers pour Google SecOps.

  • Si vous utilisez Cloud Identity ou Google Workspace, suivez les étapes décrites dans

    Configurez un fournisseur d'identité Google Cloud pour Google SecOps.

Pour associer une instance Google SecOps créée pour un fournisseur de services de sécurité gérés (MSSP), contactez votre représentant Google SecOps. La configuration nécessite l'aide d'un représentant Google SecOps.

Une fois que vous avez associé une instance Google SecOps à un projet Google Cloud , vous pouvez la configurer plus en détail. Vous pouvez maintenant examiner les données ingérées et surveiller le projet pour détecter les menaces de sécurité potentielles.

Configurer une instance Google SecOps

Associer votre nouvelle instance à un projet permet d'activer les fonctionnalités d'authentification et de surveillance, y compris :

• Intégration de Cloud Identity pour accéder à une gamme de services Google Cloud , tels que l'authentification, Identity and Access Management, Cloud Monitoring et Cloud Audit Logs.

• IAM et la fédération des identités des employés sont compatibles avec l'authentification avec votre IdP tiers existant.

Pour associer une instance Google SecOps à un projet Google Cloud , procédez comme suit :

1. Une fois que votre organisation a signé le contrat client Google SecOps, l'expert en intégration reçoit un e-mail d'invitation à l'intégration avec un lien d'activation. Le lien d'activation n'est valide qu'une seule fois.

   Dans l'e-mail d'invitation à l'intégration, cliquez sur le lien d'activation Accéder à Google Cloud pour ouvrir la page Associer SecOps à un projet.

2. Cliquez sur Sélectionner un projet pour ouvrir la page Sélectionner une ressource.

3. Sur la page Sélectionner une ressource, sélectionnez un projet Google Cloud pour associer votre nouvelle instance Google SecOps. Vous disposez de deux options :

   • Option 1 : Créer un projet Google Cloud  :

     Cliquez sur Nouveau projet, puis suivez les étapes décrites dans Créer un projet Google Cloud .

   • Option 2 : Sélectionnez un projet existant dans la liste :

     Suivez la procédure décrite dans Sélectionner un projet existant.

4. Une fois que vous avez sélectionné un projet, le système active le bouton Ajouter des contacts et la section Ajouter des contacts essentiels affiche le tableau Contacts essentiels. Ce tableau affiche les catégories de notification et l'adresse e-mail du contact attribué à chacune d'elles.

   Attribuez une personne à contacter à au moins quatre catégories de notifications obligatoires : technique, sécurité, juridique et facturation.

   Attribuez un contact à une ou plusieurs catégories de notifications comme suit :

   1. Pour ouvrir la fenêtre Modifier le contact, cliquez sur Ajouter un contact ou sur modifier Modifier dans une catégorie de notification avec un contact existant.

   2. Saisissez l'adresse e-mail de la personne à contacter, puis sélectionnez une ou plusieurs catégories de notifications.

   3. Cliquez sur Enregistrer.

5. Cliquez sur Suivant.

   Le système vérifie si l'API Chronicle est activée. Si cette option est activée, la page Intégration affiche les informations d'intégration préremplies et exécute le processus de déploiement. Cette opération peut prendre jusqu'à 15 minutes.

   Une fois le déploiement terminé, vous recevez une notification. Si le déploiement échoue, contactez l'assistance Google SecOps.

6. Vérifiez que le déploiement est correct comme suit :

   • Pour afficher les informations sur l'instance, accédez àhttps://console.cloud.google.com/security/chronicle/settings.

   • Pour modifier des informations, contactez l'assistance Google SecOps.

Sélectionner un projet existant

1. Sur la page Sélectionner une ressource, sélectionnez votre organisation dans la liste.

   La page affiche la liste des projets et des dossiers Google Cloud .

   • Ils appartiennent à la même organisation que l'instance Google SecOps et sont associés au même compte de facturation.

   • Si une icône d'avertissement Avertissement s'affiche à côté d'un projet ou d'un dossier, vous ne pouvez pas le sélectionner. Pointez sur l'icône pour afficher le motif, par exemple l'absence d'autorisations ou une incohérence au niveau de la facturation.

2. Sélectionnez un projet en fonction des critères suivants :

   • Critères pour associer une instance à un projet Google Cloud  :

     • Le projet Google Cloud ne doit pas déjà être associé à une autre instance Google SecOps.

     • Vous disposez des autorisations IAM requises pour accéder au projet et l'utiliser. Pour en savoir plus, consultez Autorisations pour ajouter un projet. Google Cloud

     • Pour un locataire (instance) contrôlé par la conformité, le projet doit se trouver dans un dossier Assured Workloads. Pour en savoir plus, consultez Fédération des identités des employés.

       Un locataire (instance) contrôlé par la conformité est conforme à l'une des normes de contrôle de la conformité suivantes : FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 ou DRZ_ADVANCED.

   • Pour sélectionner un projet pour un locataire (instance) contrôlé par la conformité : Google Cloud

     1. Sélectionnez un dossier Assured Workloads pour l'ouvrir.
     2. Dans le dossier Assured Workloads, cliquez sur le nom d'un projetGoogle Cloud pour ouvrir la page Associer SecOps à un projet.
     3. Effectuez la configuration décrite dans Configurer l'IdP.

   • Pour sélectionner un projet pour un locataire (instance) contrôlé pour la non-conformité : Google Cloud

     1. Cliquez sur le nom d'un projet valide Google Cloud pour ouvrir la page Associer SecOps à un projet.

     2. Sur la page Associer SecOps à un projet, sélectionnez un autre projet si nécessaire. Pour ce faire, cliquez sur le projet afin d'afficher à nouveau la page Sélectionner une ressource.

3. Cliquez sur Suivant pour associer votre instance Google SecOps au projet sélectionné et ouvrir la page Déploiement.

   La page Déploiement affiche les détails finaux de votre instance et de votre service, et vous demande votre autorisation avant d'effectuer le ddx final. La page se compose de sections affichant des champs préremplis et non modifiables. Seul un représentant Google peut modifier ces informations.

   Examinez les détails dans chacune des sections suivantes. Cliquez sur Suivant pour passer à la section suivante :

   1. Détails de l'instance

      La page affiche les détails de l'instance définis dans votre contrat, par exemple l'entreprise, la région, le niveau du forfait et la durée de conservation des données.

      Cliquez sur Suivant pour afficher la section suivante.

   2. Examiner le compte de service

      La page affiche les détails du compte de service à créer.

      Cliquez sur Suivant pour afficher la section suivante.

   3. Configurer l'authentification unique (SSO)

      Choisissez un fournisseur SSO configuré. Sélectionnez l'une des options suivantes en fonction du fournisseur d'identité que vous utilisez pour gérer l'accès des utilisateurs et des groupes à Google SecOps :

      • Google Cloud Identity :

        Sélectionnez cette option si vous utilisez Cloud Identity ou Google Workspace.

      • Fédération d'identité de personnel :

        Si vous utilisez un fournisseur d'identité tiers, sélectionnez votre fournisseur de personnel dans la liste.

        Si votre fournisseur d'identité ne figure pas dans la liste, configurez-le, puis sélectionnez-le. Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.

        Cliquez sur Suivant pour afficher la section suivante.

   4. Conditions d'utilisation

      1. Cochez la case J'accepte... pour accepter les conditions.
      2. Cliquez sur Démarrer la configuration pour déployer votre instance Google SecOps, en fonction des informations affichées.

4. Cliquez ici pour passer à l'étape Suivant.

Migrer une instance Google SecOps existante

Pour migrer une instance Google SecOps existante, associez-la à un projet Google Cloud , migrez l'ancienne authentification vers Google Cloudet utilisez IAM pour contrôle des accès aux fonctionnalités. Pour ce faire, suivez le guide Migrer l'ancienne infrastructure SIEM vers Google Cloud.

Modifier la configuration de l'authentification unique

Les sections suivantes expliquent comment changer de fournisseur d'identité :

• Modifier le fournisseur d'identité tiers
• Migrer d'un fournisseur d'identité tiers vers Cloud Identity

Modifier le fournisseur d'identité tiers

1. Configurez le nouveau fournisseur d'identité tiers et le pool d'identités de personnel.

2. Dans Google SecOps, sous Paramètres > Paramètres SOAR > Avancé > Mappage des groupes IdP, modifiez le mappage des groupes IdP pour faire référence aux groupes du nouveau fournisseur d'identité.

Modifier les paramètres SSO

Pour modifier la configuration SSO de Google SecOps, procédez comme suit :

1. Ouvrez la console Google Cloud , puis sélectionnez le projet Google Cloud lié à Google SecOps.

2. Accédez à Sécurité > Google SecOps.

3. Sur la page Vue d'ensemble, cliquez sur l'onglet Authentification unique. Cette page affiche les fournisseurs d'identité que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

4. Utilisez le menu Single Sign-On (Authentification unique) pour changer de fournisseur d'authentification unique.

5. Effectuez un clic droit sur le lien Test SSO setup (Tester la configuration SSO), puis ouvrez une fenêtre privée ou de navigation privée.

   • Si un écran de connexion s'affiche, cela signifie que la configuration du SSO a réussi. Passez à l'étape suivante.
   • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité tiers. Consultez Configurer un fournisseur d'identité tiers pour Google SecOps.

6. Revenez à la console Google Cloud , accédez à la page Sécurité > Google SecOps > Aperçu, puis cliquez sur l'onglet Authentification unique.

7. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

8. Vérifiez que vous pouvez vous connecter à Google SecOps.

Migrer d'un fournisseur d'identité tiers vers Cloud Identity

Pour passer d'un fournisseur d'identité tiers à Google Cloud Identity pour la configuration de l'authentification unique, procédez comme suit :

1. Assurez-vous de configurer Cloud Identity ou Google Workspace comme fournisseur d'identité.
2. Attribuez les rôles IAM Chronicle prédéfinis et les rôles personnalisés aux utilisateurs et aux groupes dans le projet lié à Google SecOps.
3. Attribuez le rôle Administrateur Chronicle SOAR aux utilisateurs ou groupes concernés.

4. Dans Google SecOps, sous Paramètres > Paramètres SOAR > Avancé > Mappage des groupes IDP, ajoutez Administrateur Chronicle SOAR. Pour en savoir plus, consultez Mappage des groupes IdP.

5. Ouvrez la console Google Cloud , puis sélectionnez le projet Google Cloud lié à Google SecOps.

6. Accédez à Sécurité > Chronicle SecOps.

7. Sur la page Vue d'ensemble, cliquez sur l'onglet Authentification unique. Cette page affiche les fournisseurs d'identité que vous avez configurés lorsque vous avez configuré un fournisseur d'identité tiers pour Google SecOps.

8. Cochez la case Google Cloud Identity.

9. Effectuez un clic droit sur le lien Test SSO setup (Tester la configuration SSO), puis ouvrez une fenêtre privée ou de navigation privée.

   • Si un écran de connexion s'affiche, cela signifie que la configuration du SSO a réussi. Passez à l'étape suivante.
   • Si aucun écran de connexion ne s'affiche, vérifiez la configuration du fournisseur d'identité.

10. Revenez à la console Google Cloud , puis cliquez sur la page Sécurité > Chronicle SecOps > Vue d'ensemble > onglet Authentification unique.

11. Cliquez sur Enregistrer en bas de la page pour mettre à jour le nouveau fournisseur.

12. Vérifiez que vous pouvez vous connecter à Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.