インスタンスをデプロイする
このドキュメントでは、Google SecOps(SIEM と SOAR)インスタンスをオンボーディング(デプロイ)し、Google SecOps パッケージの階層と権限に基づいて Google SecOps の機能を有効にする方法について説明します。このオンボーディング手順は、 以下のGoogle SecOps パッケージに適用されます。Standard、Enterprise、および Enterprise Plus。
オンボーディング プロセスは、指定されたオンボーディング SME( Google SecOps SME または 請求先管理者とも呼ばれます)が実行します。 この担当者は、組織の Google SecOps の主な連絡先となります。
前提条件
新しい Google SecOps インスタンスをオンボーディングする前に、組織が次の前提条件を満たしていることを確認してください。
次のいずれかの Google SecOps パッケージ( Standard、Enterprise、Enterprise Plus)のアクティブな登録。
組織が署名した Google SecOps 契約。この契約により、新しい Google SecOps インスタンスをプロビジョニングする権限が付与されます。
新しい Google SecOps インスタンスをデプロイする
新しい Google SecOps インスタンスをデプロイする手順は次のとおりです。
Google SecOps 契約に署名します。
組織が Google SecOps 契約に署名すると、新しい Google SecOps インスタンスのプロビジョニングが開始されます。この操作により、Google の内部オンボーディング ワークフローがトリガーされ、請求先アカウントやオンボーディング SME のメールアドレスなど、契約の詳細が Google のシステムに登録されます。
-
オンボーディング SME は、新しい Google SecOps インスタンスをオンボーディングする前に、環境を準備する必要があります。
追加のインスタンスをデプロイするには、アカウント チームまたはパートナー チームにお問い合わせください。
オンボーディング用の環境を準備する
オンボーディング SME は、Google SecOps インスタンスをオンボーディングする前に、次のセクションで説明するように環境を準備する必要があります。
- オンボーディングを実行する権限を付与します。
- Assured Workloads フォルダを設定します(省略可)。
- プロジェクトを Google Cloud 構成します。
- ID プロバイダを構成します。
オンボーディングを実行する権限を付与する
新しい Google SecOps インスタンスごとに、必要な オンボーディング ロールと権限の説明に沿って、オンボーディング SME に必要なオンボーディング ロールと権限を付与します。
Assured Workloads フォルダを設定する(省略可)
Assured Workloads フォルダを作成する手順は次のとおりです。
- コントロール パッケージ別のサポート対象プロダクトに移動します。
- リストで、Assured Workloads フォルダに適用するコントロール パッケージの種類を選択します。
- [必要な IAM のロール] セクションに記載されている必要な権限があることを確認します。
[Assured Workloads フォルダを作成する] セクションの手順に沿って操作します。
フォルダを設定する際は、次のガイドラインを考慮してください。
コンプライアンス管理対象のテナント(インスタンス)は、 **FedRAMP** 、**FedRAMP_MODERATE** 、**PCI_DSS** 、**FedRAMP_HIGH** 、**IL4** 、 **IL5** 、**CMEK_V1** 、**DRZ_ADVANCED** のいずれか 1 つ以上のコンプライアンス管理標準に準拠する必要があります。
コンプライアンス管理対象のテナントに関連付けられたすべてのファイルは、適切なコンプライアンス管理標準用に構成された Assured Workloads フォルダに存在する必要があります。
Assured Workloads フォルダは組織レベルで作成されます。
組織は複数の Assured Workloads フォルダを作成できます。各フォルダは、要件に基づいて特定のコンプライアンス管理パッケージ専用にできます。 たとえば、1 つのフォルダで FedRAMP_MODERATE インスタンスをサポートし、別のフォルダで FedRAMP_HIGH インスタンスをサポートできます。
コンプライアンス管理対象のテナント(インスタンス)をデプロイする際は、次のガイドラインを考慮してください。
コンプライアンス管理対象のテナント(インスタンス)を、 Google Cloud Assured Workloads フォルダ内にあるプロジェクトにリンクする必要があります。
Google SecOps インスタンス用に新しい Google Cloud プロジェクトを作成する場合は、 必要なコンプライアンス管理パッケージ用に構成された Assured Workloads フォルダ内にプロジェクトを作成する必要があります。
組織に Assured Workloads フォルダがない場合は、作成する必要があります。
新しい Google SecOps インスタンスは、 Google Cloud プロジェクトにリンクする必要があります。既存の Google Cloud プロジェクトを使用することも、 新しいプロジェクトを作成することもできます。
新しい Google Cloud プロジェクトを作成する手順は次のとおりです。
FedRAMP に準拠したテナント(インスタンス)の場合は、組織の Assured Workloads フォルダ内にプロジェクトを作成します。必要なコントロール パッケージの Assured Workloads フォルダが組織にない場合は、作成します。
プロジェクトを作成するの手順に沿って操作します。
プロジェクトを構成する Google Cloud
A Google Cloud プロジェクトは、リンクされた Google SecOps インスタンスの制御レイヤとして機能します。
適切に設定するには、 Google SecOps 用に プロジェクトを構成するの手順に沿って操作します。 Google Cloud
ID プロバイダを構成する
ID プロバイダを構成して、Google SecOps インスタンスのユーザー、グループ、認証を管理します。
サポートされているオプションは 2 つあります。
オプション 1: Google Cloud Identity:
Google Workspace アカウントがある場合や、IdP から に ID を同期する場合は、このオプションを使用します Google Cloud。
マネージド ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps インスタンスへのアクセスを制御します。
事前定義ロールまたはカスタムロールを使用して IAM ポリシーを定義し、ユーザーとグループに機能アクセスを付与します。
詳細な手順については、 ID プロバイダを構成する Google Cloud をご覧ください。
オプション 2: Workforce Identity 連携:
サードパーティの IdP(Okta や Azure AD など)を使用する場合は、このオプションを使用します。
Google の Workforce Identity 連携 を構成し、Workforce Identity プールを作成します。Google の Workforce Identity 連携を使用すると、サービス アカウント キーを使用せずに、オンプレミスまたはマルチクラウドの ワークロードに Google Cloud リソースへのアクセス権を付与できます。
詳細な手順については、 サードパーティの ID プロバイダを構成するをご覧ください。
新しい Google SecOps インスタンスをオンボーディングする
Google システムから、Google SecOps のオンボーディング招待メールがオンボーディング SME に送信されます。このメールには、設定プロセスを開始するためのアクティベーション リンクが含まれています。
オンボーディング用の環境を準備したら、オンボーディング SME は次の操作を行う必要があります。
- 招待メールに記載されているアクティベーション リンクをクリックします。
次のセクションの手順に沿って、Google SecOps インスタンスをデプロイします。
- 新しい Google SecOps インスタンスを構成し プロジェクトにリンクします。 Google Cloud
- IAM を使用して機能アクセス制御を構成します。
- ユーザー向けにデータの RBAC を構成します。
- IdP グループをアクセス制御パラメータにマッピング して、デプロイを完了します。
必要なロールと権限
このセクションでは、Google SecOps インスタンスをデプロイするために必要なロールと権限について説明します。 デプロイ タスクを実行するオンボーディング SME に、次の権限を付与します。
- すべてのロールと権限は、プロジェクト レベルで付与する必要があります 。これらの 権限は、指定された Google Cloud プロジェクトと 関連する Google SecOps インスタンスにのみ適用されます。追加のインスタンスをデプロイするには、アカウント チームまたはパートナー チームにお問い合わせください。
- 別の契約で別の Google SecOps インスタンスをデプロイする場合は、そのデプロイ用に新しいロールと権限のセットを付与する必要があります。
オンボーディング SME に、次のセクションに記載されているロールと権限を付与します。
- Google 請求先アカウントの権限
- IAM 事前定義済みロール
- Assured Workloads フォルダを作成する権限
- プロジェクトを追加する Google Cloud 権限
- ID プロバイダを構成する権限
- Google SecOps インスタンスを Google Cloud サービスにリンクする権容
- IAM を使用して機能アクセス制御を構成する権限
- データアクセス制御を構成する権限
- Google SecOps の高度な機能の要件
Google 請求先アカウントの権限
オンボーディング SME に、契約で指定された Google 請求先アカウントの billing.resourceAssociations.list 権限を付与します。詳細な手順については、
Cloud 請求先アカウント ユーザーの権限を更新するをご覧ください。
IAM 事前定義済みロール
オンボーディング SME に、次の IAM 事前定義済みロールを付与します。
Assured Workloads フォルダを作成する権限
オンボーディング SME に、
Assured Workloads 管理者(roles/assuredworkloads.admin)
ロールを付与します。このロールには、Assured Workloads フォルダを作成および管理するための最小限の IAM 権限
が含まれています。
プロジェクトを追加する権限 Google Cloud
オンボーディング SME に、プロジェクトを作成して Chronicle API を有効にするために必要なプロジェクト作成者の権限を付与します。 Google Cloud
オンボーディング SME に組織レベルでプロジェクト作成者 (
resourcemanager.projects.create) の権限がある場合、追加の権限は必要ありません。オンボーディング SME に組織レベルでプロジェクト作成者の権限がない場合は、次のプロジェクト レベルの IAM ロールを付与します。
ID プロバイダを構成する権限
IdP を使用して、ユーザー、グループ、認証を管理できます。
IdP を構成するために、オンボーディング SME に次の権限を付与します。
Cloud Identity または Google Workspace を構成する権限
Google CloudCloud Identity の場合:
Cloud Identity を使用している場合は、プロジェクト、フォルダ、組織へのアクセスを管理する に記載されているロールと 権限をオンボーディング SME に付与します。
Google Workspace の場合:
Google Workspace を使用している場合、オンボーディング SME は Cloud Identity 管理者アカウントを持ち、 管理コンソールにログインできる必要があります。
ID プロバイダとして Cloud Identity または Google Workspace を使用する方法については、 ID プロバイダを構成するをご覧ください。 Google Cloud
サードパーティの IdP を構成する権限
サードパーティの IdP(Okta や Azure AD など)を使用する場合は、 Workforce Identity 連携 を Workforce Identity プールとともに構成して、安全な認証を有効にします。
オンボーディング SME に、次の IAM ロールと権限を付与します。
編集者(
roles/editor): プロジェクト編集者の Google SecOps にバインドされた プロジェクトに対する権限。組織レベルの IAM Workforce プール管理者(
roles/iam.workforcePoolAdmin) の権限。次の例を使用して、
roles/iam.workforcePoolAdminロールを設定します。gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin次のように置き換えます。
ORGANIZATION_ID: 数値の組織 ID。USER_EMAIL: 管理者のメールアドレス。
Google SecOps インスタンスを Google Cloud サービスにリンクする権限
オンボーディング SME に、 プロジェクトを追加する権限 Google Cloud と同じ権限を付与します。
既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスする権限が必要です。事前定義ロールの一覧については、IAM の Google SecOps 事前定義ロールをご覧ください。
IAM を使用して機能アクセス制御を構成する権限
オンボーディング SME に、プロジェクト レベルでプロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin) ロールを付与します。この権限は、プロジェクトの IAM ロール バインディングを割り当てて変更するために必要です。ユーザーの役割に基づいて IAM ロールを割り当てます。例については、 ユーザーとグループにロールを割り当てるをご覧ください。
既存の Google SecOps インスタンスを IAM に移行する場合は、ID プロバイダを構成する権限と同じ権限をオンボーディング SME に付与します。
データアクセス制御を構成する権限
オンボーディング SME に、次の IAM ロールを付与します。
- Chronicle API 管理者(
roles/chronicle.admin)ロールとロール閲覧者(roles/iam.roleViewer)ロール。ユーザー向けにデータの RBAC を構成するために使用します。 - プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin)ロールまたはセキュリティ管理者(roles/iam.securityAdmin)ロール。ユーザーにスコープを割り当てるために使用します。
必要なロールがない場合は、IAM でロールを割り当てます。
Google SecOps の高度な機能の要件
次の表に、Google SecOps の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの 依存関係を示します。
| 能力 | Google Cloud 基盤 | プロジェクトが必要ですか? Google Cloud | IAM の統合が必要ですか? |
|---|---|---|---|
| Cloud Audit Logs: 管理アクティビティ | Cloud Audit Logs | ○ | ○ |
| Cloud Audit Logs: データアクセス | Cloud Audit Logs | ○ | ○ |
| Cloud Billing: オンライン サブスクリプションまたは従量課金制 | Cloud Billing | ○ | × |
| Chronicle API: サードパーティの IdP を使用した一般的なアクセス、ミントよび認証情報の管理 | Google Cloud API | ○ | ○ |
| Chronicle API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理 | Google Cloud API、Cloud Identity | ○ | ○ |
| 準拠コントロール: CMEK | Cloud Key Management Service または Cloud External Key Manager | ○ | × |
| 準拠コントロール: FedRAMP High 以上 | Assured Workloads | ○ | ○ |
| 準拠コントロール: 組織ポリシー サービス | 組織ポリシー サービス | ○ | × |
| 連絡先管理: 法的開示 | 重要な連絡先 | ○ | × |
| ヘルス モニタリング: 取り込みパイプラインの停止 | Cloud Monitoring | ○ | × |
| 取り込み: ウェブフック、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | ○ | × |
| ロールベース アクセス制御: データ | Identity and Access Management | ○ | ○ |
| ロールベース アクセス制御: 機能またはリソース | Identity and Access Management | ○ | ○ |
| サポート アクセス: ケースの送信、トラッキング | Cloud カスタマーケア | ○ | × |
| 統合 SecOps 認証 | Google Workforce Identity 連携 | × | ○ |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。