Google SecOps インスタンスを Google Cloud サービスにリンクする

Google Security Operations インスタンスは、認証などの特定の主要機能について Google Cloud サービスに依存しています。

このドキュメントでは、新しいデプロイを設定する場合でも、既存の Google SecOps インスタンスを移行する場合でも、これらのサービスにリンクするようにインスタンスを構成する方法について説明します。

始める前に

Google Cloudサービスで Google SecOps インスタンスを構成する前に、次の操作を行う必要があります。

• 権限を確認します。このドキュメントの手順を完了するために必要な権限があることを確認します。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールと権限をご覧ください。

• プロジェクトの設定を選択する: Google SecOps インスタンス用に新しい Google Cloudプロジェクトを作成するか、既存の Google Cloud プロジェクトにリンクできます。

  新しい Google Cloud プロジェクトを作成して Chronicle API を有効にするには、 Google Cloud プロジェクトを作成するの手順に沿って操作します。

• Google SecOps インスタンスの SSO プロバイダを構成する: Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ（IdP）を次のように使用できます。

  • サードパーティの IdP を使用している場合は、

    Google SecOps 用にサードパーティ ID プロバイダを構成する。

  • Cloud Identity または Google Workspace を使用している場合は、

    Google SecOps 用に Google Cloud ID プロバイダを構成する。

マネージド セキュリティ サービス プロバイダ（MSSP）用に作成された Google SecOps インスタンスをリンクするには、Google SecOps の担当者にお問い合わせください。セットアップには Google SecOps 担当者のサポートが必要です。

Google SecOps インスタンスを Google Cloud プロジェクトにリンクすると、Google SecOps インスタンスは構成の準備が整います。取り込んだデータを調べ、潜在的なセキュリティ脅威がないかプロジェクトをモニタリングできるようになりました。

新しい Google SecOps インスタンスを構成する

新しいインスタンスをプロジェクトにリンクすると、次のような認証機能とモニタリング機能が有効になります。

• 認証、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などのさまざまな Google Cloud サービスにアクセスするための Cloud Identity の統合。

• 既存のサードパーティ IdP での認証をサポートする IAM と Workforce Identity 連携。

Google SecOps インスタンスを Google Cloud プロジェクトにリンクする手順は次のとおりです。

1. 組織が Google SecOps の顧客契約に署名すると、オンボーディング担当者に有効化リンクが記載されたオンボーディング招待メールが届きます。有効化リンクは 1 回のみ有効です。

   オンボーディング招待メールで、 Google Cloudに移動アクティベーション リンクをクリックして、[SecOps をプロジェクトにリンク] ページを開きます。

2. [プロジェクトを選択] をクリックして、[リソースを選択] ページを開きます。

3. [リソースを選択] ページで、新しい Google SecOps インスタンスをリンクする Google Cloud プロジェクトを選択します。検証には次の 2 つの方法がございます。

   • オプション 1: 新しい Google Cloud プロジェクトを作成する:

     [新しいプロジェクト] をクリックし、 Google Cloud プロジェクトを作成するで説明されている手順に沿って操作します。

   • オプション 2: リストから既存のプロジェクトを選択します。

     既存のプロジェクトを選択するで説明されている手順に沿って操作します。

4. プロジェクトを選択すると、[連絡先を追加] ボタンが有効になり、[エッセンシャル コンタクトを追加] セクションに [エッセンシャル コンタクト] テーブルが表示されます。次の表に、通知のカテゴリと、それぞれに割り当てられた連絡先のメールアドレスを示します。

   技術、セキュリティ、法務、課金の少なくとも 4 つの必須通知カテゴリに連絡担当者を割り当てます。

   連絡先を 1 つ以上の通知カテゴリに割り当てるには、次の手順を行います。

   1. [連絡先の編集] ウィンドウを開くには、[連絡先を追加] をクリックするか、既存の連絡先を含む通知カテゴリで 編集 アイコン 編集 をクリックします。

   2. 連絡担当者のメールアドレスを入力し、1 つ以上の通知カテゴリを選択します。

   3. [保存] をクリックします。

5. [次へ] をクリックします。

   システムは、Chronicle API が有効になっているかどうかを確認します。有効にすると、[オンボーディング] ページに事前入力されたオンボーディング情報が表示され、デプロイ プロセスが実行されます。この処理には最大で 15 分ほどかかることがあります。

   デプロイが正常に完了すると、通知が届きます。デプロイが失敗した場合は、Google SecOps サポートにお問い合わせください。

6. デプロイが正しいことを次のように確認します。

   • インスタンス情報を表示するには、https://console.cloud.google.com/security/chronicle/settings に移動します。

   • 情報を更新するには、Google SecOps サポートにお問い合わせください。

既存のプロジェクトを選択

1. [リソースを選択] ページで、リストから組織を選択します。

   このページには、 Google Cloud プロジェクトとフォルダのリストが表示されます。

   • これらは Google SecOps インスタンスと同じ組織に属し、同じ請求先アカウントを使用します。

   • プロジェクトまたはフォルダの横に 警告 警告アイコンが表示されている場合は、選択できません。アイコンの上にポインタを置くと、理由（権限がない、請求先アカウントが一致しないなど）が表示されます。

2. 次の基準に基づいてプロジェクトを選択します。

   • インスタンスを Google Cloud プロジェクトにリンクするための条件:

     • Google Cloud プロジェクトが別の Google SecOps インスタンスにリンクされていない必要があります。

     • プロジェクトにアクセスして操作するために必要な IAM 権限がある。 Google Cloud プロジェクトを追加する権限をご覧ください。

     • コンプライアンス制御テナント（インスタンス）の場合、プロジェクトは Assured Workloads フォルダに存在する必要があります。詳細については、Workforce Identity 連携をご覧ください。

       コンプライアンス制御テナント（インスタンス）は、FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1、DRZ_ADVANCED のいずれかのコンプライアンス制御基準に準拠しています。

   • コンプライアンス制御テナント（インスタンス）の Google Cloud プロジェクトを選択するには:

     1. Assured Workloads フォルダを選択して開きます。
     2. Assured Workloads フォルダ内で、Google Cloud プロジェクトの名前をクリックして、[SecOps をプロジェクトにリンクする] ページを開きます。
     3. IdP を構成するの説明に沿って構成を完了します。

   • 非準拠制御テナント（インスタンス）の Google Cloud プロジェクトを選択するには:

     1. 有効な Google Cloud プロジェクトの名前をクリックして、[SecOps をプロジェクトにリンクする] ページを開きます。

     2. [SecOps をプロジェクトにリンクする] ページで、必要に応じて別のプロジェクトを選択します。そのためには、プロジェクトをクリックして、[リソースを選択] ページを再度表示します。

3. [次へ] をクリックして、Google SecOps インスタンスを選択したプロジェクトにリンクし、[デプロイ] ページを開きます。

   [デプロイ] ページには、インスタンスとサービスの最終的な詳細が表示されます。最終的な ddx を実行する前に、同意が必要です。このページは、事前入力された編集不可のフィールドを表示するセクションで構成されています。これらの詳細は、Google の担当者のみが変更できます。

   以降の各セクションで詳細を確認してください。[次へ] をクリックして、次のセクションに進みます。

   1. インスタンスの詳細

      このページには、契約で設定されたインスタンスの詳細（会社、リージョン、パッケージ階層、データ保持期間など）が表示されます。

      [次へ] をクリックして、次のセクションを表示します。

   2. サービス アカウントを確認する

      このページには、作成するサービス アカウントの詳細が表示されます。

      [次へ] をクリックして、次のセクションを表示します。

   3. シングル サインオン（SSO）を設定する

      構成済みの SSO プロバイダを選択します。Google SecOps へのユーザーとグループのアクセス権の管理に使用する ID プロバイダに基づいて、次のいずれかのオプションを選択します。

      • Google Cloud Identity:

        Cloud Identity または Google Workspace を使用している場合は、これを選択します。

      • Workforce Identity 連携:

        サードパーティの ID プロバイダを使用している場合は、リストから Workforce プロバイダを選択します。

        ID プロバイダがリストに表示されない場合は、プロバイダを構成してから、リストからプロバイダを選択します。詳細については、サードパーティの ID プロバイダを構成するをご覧ください。

        [次へ] をクリックして、次のセクションを表示します。

   4. 利用規約

      1. [I agree to...] チェックボックスをオンにして、利用規約に同意します。
      2. [設定を開始] をクリックして、表示された詳細に従って Google SecOps インスタンスをデプロイします。

4. ここをクリックして、次のステップに進みます。

既存の Google SecOps インスタンスを移行する

既存の Google SecOps インスタンスを移行して、 Google Cloud プロジェクトにリンクし、以前の認証を Google Cloudに移行して、IAM を機能アクセス制御に使用するには、以前の SIEM インフラストラクチャを Google Cloud に移行するガイドをご覧ください。

SSO 構成を変更する

以降のセクションでは、ID プロバイダを変更する方法について説明します。

• サードパーティの ID プロバイダを変更する
• サードパーティの ID プロバイダから Cloud Identity に移行する

サードパーティの ID プロバイダを変更する

1. 新しいサードパーティ ID プロバイダと Workforce Identity プールを設定します。

2. Google SecOps で [設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、IdP グループ マッピングを新しい ID プロバイダの参照グループに変更します。

SSO 設定を更新する

Google SecOps の SSO 構成を変更するには、次の手順を行います。

1. Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。

2. [セキュリティ] > [Google SecOps] に移動します。

3. [概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するで構成した IdP が表示されます。

4. [シングル サインオン] メニューを使用して SSO プロバイダを変更します。

5. [SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。

   • ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
   • ログイン画面が表示されない場合は、サードパーティの ID プロバイダの構成を確認してください。Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。

6. Google Cloud コンソールに戻り、[セキュリティ] > [Google SecOps] > [概要] ページをクリックして、[シングル サインオン] タブをクリックします。

7. ページ下部の [保存] をクリックして、新しいプロバイダに更新します。

8. Google SecOps にログインできることを確認します。

サードパーティの ID プロバイダから Cloud Identity に移行する

次の手順で、SSO の構成をサードパーティの ID プロバイダを使用する状態から Google Cloud Identity を使用するように変更します。

1. ID プロバイダとして Cloud Identity または Google Workspace を構成します。
2. Google SecOps にバインドされたプロジェクトのユーザーとグループに、事前定義された Chronicle IAM のロールとカスタムロールを付与します。
3. 関連するユーザーまたはグループに Chronicle SOAR 管理者ロールを付与します。

4. Google SecOps で、[設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] の順に選択し、Chronicle SOAR 管理者を追加します。詳細については、IdP グループのマッピングをご覧ください。

5. Google Cloud コンソールを開き、Google SecOps にバインドされている Google Cloud プロジェクトを選択します。

6. [セキュリティ] > [Chronicle SecOps] に移動します。

7. [概要] ページで、[シングル サインオン] タブをクリックします。このページには、Google SecOps 用にサードパーティ ID プロバイダを構成するで構成した IdP が表示されます。

8. [Google Cloud Identity] チェックボックスをオンにします。

9. [SSO の設定をテスト] リンクを右クリックし、プライベート ウィンドウまたはシークレット ウィンドウを開きます。

   • ログイン画面が表示されたら、SSO の設定は成功しています。次のステップに進みます。
   • ログイン画面が表示されない場合は、ID プロバイダの構成を確認してください。

10. Google Cloud コンソールに戻り、[セキュリティ] > [Chronicle SecOps] > [概要] ページ > [シングル サインオン] タブの順にクリックします。

11. ページ下部の [保存] をクリックして、新しいプロバイダに更新します。

12. Google SecOps にログインできることを確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。