インスタンスをデプロイする

以下でサポートされています。

このドキュメントでは、Google SecOps(SIEM と SOAR)インスタンスをオンボーディング(デプロイ)し、Google SecOps パッケージの階層と権限に基づいて Google SecOps の機能を有効にする方法について説明します。このオンボーディング手順は、 以下のGoogle SecOps パッケージに適用されます。StandardEnterprise、および Enterprise Plus

オンボーディング プロセスは、指定されたオンボーディング SMEGoogle SecOps SME または 請求先管理者とも呼ばれます)が実行します。 この担当者は、組織の Google SecOps の主な連絡先となります。

前提条件

新しい Google SecOps インスタンスをオンボーディングする前に、組織が次の前提条件を満たしていることを確認してください。

  • 次のいずれかの Google SecOps パッケージStandardEnterpriseEnterprise Plus)のアクティブな登録。

  • 組織が署名した Google SecOps 契約。この契約により、新しい Google SecOps インスタンスをプロビジョニングする権限が付与されます。

新しい Google SecOps インスタンスをデプロイする

新しい Google SecOps インスタンスをデプロイする手順は次のとおりです。

  1. Google SecOps 契約に署名します。

    組織が Google SecOps 契約に署名すると、新しい Google SecOps インスタンスのプロビジョニングが開始されます。この操作により、Google の内部オンボーディング ワークフローがトリガーされ、請求先アカウントやオンボーディング SME のメールアドレスなど、契約の詳細が Google のシステムに登録されます。

  2. オンボーディング用の環境を準備します

    オンボーディング SME は、新しい Google SecOps インスタンスをオンボーディングする前に、環境を準備する必要があります。

  3. 新しい Google SecOps インスタンスをオンボーディングします

  4. 追加のインスタンスをデプロイするには、アカウント チームまたはパートナー チームにお問い合わせください。

オンボーディング用の環境を準備する

オンボーディング SME は、Google SecOps インスタンスをオンボーディングする前に、次のセクションで説明するように環境を準備する必要があります。

  1. オンボーディングを実行する権限を付与します
  2. Assured Workloads フォルダを設定します(省略可)
  3. プロジェクトを Google Cloud 構成します
  4. ID プロバイダを構成します

オンボーディングを実行する権限を付与する

新しい Google SecOps インスタンスごとに、必要な オンボーディング ロールと権限の説明に沿って、オンボーディング SME に必要なオンボーディング ロールと権限を付与します。

Assured Workloads フォルダを設定する(省略可)

Assured Workloads フォルダを作成する手順は次のとおりです。

  1. コントロール パッケージ別のサポート対象プロダクトに移動します
  2. リストで、Assured Workloads フォルダに適用するコントロール パッケージの種類を選択します。
  3. [必要な IAM のロール] セクションに記載されている必要な権限があることを確認します。
  4. [Assured Workloads フォルダを作成する] セクションの手順に沿って操作します。

フォルダを設定する際は、次のガイドラインを考慮してください。

  • コンプライアンス管理対象のテナント(インスタンス)は、 **FedRAMP** 、**FedRAMP_MODERATE** 、**PCI_DSS** 、**FedRAMP_HIGH** 、**IL4** 、 **IL5** 、**CMEK_V1** 、**DRZ_ADVANCED** のいずれか 1 つ以上のコンプライアンス管理標準に準拠する必要があります。

  • コンプライアンス管理対象のテナントに関連付けられたすべてのファイルは、適切なコンプライアンス管理標準用に構成された Assured Workloads フォルダに存在する必要があります。

  • Assured Workloads フォルダは組織レベルで作成されます。

  • 組織は複数の Assured Workloads フォルダを作成できます。各フォルダは、要件に基づいて特定のコンプライアンス管理パッケージ専用にできます。 たとえば、1 つのフォルダで FedRAMP_MODERATE インスタンスをサポートし、別のフォルダで FedRAMP_HIGH インスタンスをサポートできます。

コンプライアンス管理対象のテナント(インスタンス)をデプロイする際は、次のガイドラインを考慮してください。

  • コンプライアンス管理対象のテナント(インスタンス)を、 Google Cloud Assured Workloads フォルダ内にあるプロジェクトにリンクする必要があります。

  • Google SecOps インスタンス用に新しい Google Cloud プロジェクトを作成する場合は、 必要なコンプライアンス管理パッケージ用に構成された Assured Workloads フォルダ内にプロジェクトを作成する必要があります。

  • 組織に Assured Workloads フォルダがない場合は、作成する必要があります。

新しい Google SecOps インスタンスは、 Google Cloud プロジェクトにリンクする必要があります。既存の Google Cloud プロジェクトを使用することも、 新しいプロジェクトを作成することもできます。

新しい Google Cloud プロジェクトを作成する手順は次のとおりです。

  1. FedRAMP に準拠したテナント(インスタンス)の場合は、組織の Assured Workloads フォルダ内にプロジェクトを作成します。必要なコントロール パッケージの Assured Workloads フォルダが組織にない場合は、作成します

  2. プロジェクトを作成するの手順に沿って操作します。

プロジェクトを構成する Google Cloud

A Google Cloud プロジェクトは、リンクされた Google SecOps インスタンスの制御レイヤとして機能します。

適切に設定するには、 Google SecOps 用に プロジェクトを構成するの手順に沿って操作します。 Google Cloud

ID プロバイダを構成する

ID プロバイダを構成して、Google SecOps インスタンスのユーザー、グループ、認証を管理します。

サポートされているオプションは 2 つあります。

  • オプション 1: Google Cloud Identity:

    Google Workspace アカウントがある場合や、IdP から に ID を同期する場合は、このオプションを使用します Google Cloud。

    1. マネージド ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps インスタンスへのアクセスを制御します。

    2. 事前定義ロールまたはカスタムロールを使用して IAM ポリシーを定義し、ユーザーとグループに機能アクセスを付与します。

    詳細な手順については、 ID プロバイダを構成する Google Cloud をご覧ください。

  • オプション 2: Workforce Identity 連携:

    サードパーティの IdP(Okta や Azure AD など)を使用する場合は、このオプションを使用します。

    Google の Workforce Identity 連携 を構成し、Workforce Identity プールを作成します。Google の Workforce Identity 連携を使用すると、サービス アカウント キーを使用せずに、オンプレミスまたはマルチクラウドの ワークロードに Google Cloud リソースへのアクセス権を付与できます。

    詳細な手順については、 サードパーティの ID プロバイダを構成するをご覧ください。

新しい Google SecOps インスタンスをオンボーディングする

Google システムから、Google SecOps のオンボーディング招待メールがオンボーディング SME に送信されます。このメールには、設定プロセスを開始するためのアクティベーション リンクが含まれています。

オンボーディング用の環境を準備したら、オンボーディング SME は次の操作を行う必要があります。

必要なロールと権限

このセクションでは、Google SecOps インスタンスをデプロイするために必要なロールと権限について説明します。 デプロイ タスクを実行するオンボーディング SME に、次の権限を付与します。

  • すべてのロールと権限は、プロジェクト レベルで付与する必要があります 。これらの 権限は、指定された Google Cloud プロジェクトと 関連する Google SecOps インスタンスにのみ適用されます。追加のインスタンスをデプロイするには、アカウント チームまたはパートナー チームにお問い合わせください。
  • 別の契約で別の Google SecOps インスタンスをデプロイする場合は、そのデプロイ用に新しいロールと権限のセットを付与する必要があります。

オンボーディング SME に、次のセクションに記載されているロールと権限を付与します。

  1. Google 請求先アカウントの権限
  2. IAM 事前定義済みロール
  3. Assured Workloads フォルダを作成する権限
  4. プロジェクトを追加する Google Cloud 権限
  5. ID プロバイダを構成する権限
    1. Cloud Identity または Google Workspace を構成する権限
    2. サードパーティの ID プロバイダを構成する権限
  6. Google SecOps インスタンスを Google Cloud サービスにリンクする権容
  7. IAM を使用して機能アクセス制御を構成する権限
  8. データアクセス制御を構成する権限
  9. Google SecOps の高度な機能の要件

Google 請求先アカウントの権限

オンボーディング SME に、契約で指定された Google 請求先アカウントの billing.resourceAssociations.list 権限を付与します。詳細な手順については、 Cloud 請求先アカウント ユーザーの権限を更新するをご覧ください。

IAM 事前定義済みロール

オンボーディング SME に、次の IAM 事前定義済みロールを付与します。

Assured Workloads フォルダを作成する権限

オンボーディング SME に、 Assured Workloads 管理者(roles/assuredworkloads.admin) ロールを付与します。このロールには、Assured Workloads フォルダを作成および管理するための最小限の IAM 権限 が含まれています。

プロジェクトを追加する権限 Google Cloud

オンボーディング SME に、プロジェクトを作成して Chronicle API を有効にするために必要なプロジェクト作成者の権限を付与します。 Google Cloud

ID プロバイダを構成する権限

IdP を使用して、ユーザー、グループ、認証を管理できます。

IdP を構成するために、オンボーディング SME に次の権限を付与します。

Cloud Identity または Google Workspace を構成する権限

Google Cloud

ID プロバイダとして Cloud Identity または Google Workspace を使用する方法については、 ID プロバイダを構成するをご覧ください。 Google Cloud

サードパーティの IdP を構成する権限

サードパーティの IdP(Okta や Azure AD など)を使用する場合は、 Workforce Identity 連携 を Workforce Identity プールとともに構成して、安全な認証を有効にします。

オンボーディング SME に、次の IAM ロールと権限を付与します。

オンボーディング SME に、 プロジェクトを追加する権限 Google Cloud と同じ権限を付与します。

既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスする権限が必要です。事前定義ロールの一覧については、IAM の Google SecOps 事前定義ロールをご覧ください。

IAM を使用して機能アクセス制御を構成する権限

データアクセス制御を構成する権限

オンボーディング SME に、次の IAM ロールを付与します。

  • Chronicle API 管理者(roles/chronicle.admin)ロールとロール閲覧者(roles/iam.roleViewer)ロール。ユーザー向けにデータの RBAC を構成するために使用します。
  • プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)ロールまたはセキュリティ管理者(roles/iam.securityAdmin)ロール。ユーザーにスコープを割り当てるために使用します。

必要なロールがない場合は、IAM でロールを割り当てます

Google SecOps の高度な機能の要件

次の表に、Google SecOps の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの 依存関係を示します。

能力 Google Cloud 基盤 プロジェクトが必要ですか? Google Cloud IAM の統合が必要ですか?
Cloud Audit Logs: 管理アクティビティ Cloud Audit Logs
Cloud Audit Logs: データアクセス Cloud Audit Logs
Cloud Billing: オンライン サブスクリプションまたは従量課金制 Cloud Billing ×
Chronicle API: サードパーティの IdP を使用した一般的なアクセス、ミントよび認証情報の管理 Google Cloud API
Chronicle API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理 Google Cloud API、Cloud Identity
準拠コントロール: CMEK Cloud Key Management Service または Cloud External Key Manager ×
準拠コントロール: FedRAMP High 以上 Assured Workloads
準拠コントロール: 組織ポリシー サービス 組織ポリシー サービス ×
連絡先管理: 法的開示 重要な連絡先 ×
ヘルス モニタリング: 取り込みパイプラインの停止 Cloud Monitoring ×
取り込み: ウェブフック、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose Identity and Access Management ×
ロールベース アクセス制御: データ Identity and Access Management
ロールベース アクセス制御: 機能またはリソース Identity and Access Management
サポート アクセス: ケースの送信、トラッキング Cloud カスタマーケア ×
統合 SecOps 認証 Google Workforce Identity 連携 ×

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。