Guía de validación previa a la migración

Disponible en:

En este documento se describe un enfoque de diagnóstico sistemático y detallado para validar la instancia de Google Security Operations y la configuración de autenticación antes de la migración de SOAR. Esta guía se centra en el estándar SAML, que se usa para la autenticación y la autorización de usuarios.

Validación de la configuración de la API Chronicle

Para comprobar si la API Chronicle está configurada correctamente en tu Google Cloud proyecto, sigue estos pasos:

  1. Inicia sesión en la Google Cloud consola y selecciona el proyecto Google Cloud correcto en la lista de proyectos de la barra de navegación superior.
  2. Abre el menú de navegación (≡) y ve a APIs y servicios > APIs y servicios habilitados.
  3. Ve a la lista de APIs y servicios habilitados para encontrar Chronicle API.

  4. Si aparece en la lista: la API está habilitada.

    Si NO aparece en la lista: haz clic en + HABILITAR APIS Y SERVICIOS en la parte superior, busca Chronicle API y haz clic en Habilitar.

Para comprobar si se ha creado la cuenta de servicio, siga estos pasos:

  1. Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
  2. Mostrar cuentas ocultas (paso fundamental): debe seleccionar la casilla situada a la derecha de la barra de filtros que dice Incluir concesiones de roles proporcionadas por Google.
  3. Buscar el agente: en la barra de filtros, escribe chronicle. Estás buscando una dirección de correo que coincida con este patrón específico: service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
  4. Verifica los permisos: asegúrate de que tenga el rol Agente de servicio de Chronicle. Si falta el rol, haz clic en editar Editar y vuelve a añadirlo.

Arquitectura del flujo de trabajo de autenticación

Es fundamental conocer el flujo de solicitudes para aislar los puntos de fallo. En el siguiente diagrama se muestra la ruta secuencial de un inicio de sesión correcto.

Arquitectura del flujo de trabajo de autenticación

Procedimiento de solución de problemas paso a paso

Para diagnosticar y monitorizar el proceso de autenticación SAML de forma eficaz, puedes usar las utilidades web que se indican en las siguientes secciones.

Aunque Google no recomienda ningún producto en concreto, se sabe que las siguientes herramientas ayudan a solucionar problemas en el proceso:

  • Validación de SAML: https://www.samltool.io/
    • Finalidad: se usa para decodificar y validar solicitudes y respuestas de SAML sin procesar.
  • Inspección de JWT: https://www.jwt.io/
    • Finalidad: se usa para inspeccionar las reclamaciones y el contenido de los JSON Web Tokens (JWTs).

Fase 1: Preparación del entorno

Antes de empezar, haz lo siguiente para asegurarte de que tu entorno de navegador está listo para capturar el tráfico de red:

  1. Abre una nueva pestaña en el navegador.
  2. Abre las herramientas para desarrolladores (pulsa F12 o Ctrl + Mayús + I (Windows o Linux) o Cmd + Opción + I (macOS)) y ve a la pestaña Red.

  3. Seleccione la casilla Mantener registro para asegurarse de que no se pierdan datos durante las redirecciones.

    Mantener registro

  4. Ve a la URL de tu entorno de Google SecOps para iniciar el flujo de inicio de sesión. Recibirás esta URL por correo electrónico después de completar la configuración de Google SecOps en el paso 5 de la fase 1 de la migración para clientes independientes de SOAR. El asunto del correo es YourGoogle SecOps instance is ready.

Fase 2: Validar la solicitud SAML al IdP

En este paso se verifica el mensaje inicial enviado por Google Cloud a tu proveedor de identidades.

  1. Busca la solicitud: en la barra de filtros de la pestaña Red, busca saml.

    Busca la solicitud

  2. Extraer datos: selecciona la solicitud y haz clic en la pestaña Carga útil. Busca el parámetro de cadena de consulta etiquetado como SAMLRequest.

    Extraer datos

  3. Decodificar: copia el valor de la solicitud y pégalo en la herramienta Validación de SAML (samltool.io) para decodificarlo.

    Decodificar

  4. Verificación:

    • Comprueba el Destino de la solicitud.
    • Confirma que esta URL coincide con los ajustes de configuración de tu proveedor de identidades.

Fase 3: Validar la respuesta SAML del proveedor de identidades

En este paso se verifican los atributos devueltos por el proveedor de identidades a Google Cloud después de la autenticación.

  1. Busca la respuesta: en la barra de filtros de la pestaña Red, busca signin-callback.

    Localizar la respuesta

  2. Extraer datos: selecciona la solicitud y haz clic en la pestaña Carga útil. Busca los datos de SAMLResponse.

    Busca los datos de la respuesta SAML

  3. Decodificar: copia el valor de la respuesta y pégalo en la herramienta Validación de SAML.

  4. Verificación:

    • Revisa las reclamaciones (atributos) devueltas, como groups, first name, last name y email.
    • Importante: Asegúrate de que estos atributos coincidan con la configuración de los ajustes del grupo de usuarios en Google Cloud.

    • Confirma que los valores son correctos para el usuario específico que intenta iniciar sesión.

      Configuración del grupo de personal

En la siguiente imagen se muestra una asignación de atributos:

attribute-mapping

La asignación de la imagen es la siguiente:

  • google.subject = assertion.subject
  • attribute.last_name = assertion.attributes.last_name[0]
  • attribute.user_email = assertion.attributes.user_email[0]
  • attribute.first_name = assertion.attributes.first_name[0]
  • google.groups = assertion.attributes.groups

La parte izquierda siempre es la misma, es la sintaxis de Google. La parte derecha se corresponde con las claves de atributo de la reclamación que se muestran en la respuesta SAML.

El [0] es fundamental para los atributos específicos indicados (last_name, user_email y first_name), pero no es relevante para subject y groups.

Fase 4: Validar la autenticación de Google SecOps

En este paso se verifica si Google Cloud autentica al usuario para iniciar sesión en Google SecOps SOAR.

  1. Busca el token en el navegador del usuario: en la barra de filtros de la pestaña Red, busca el endpoint auth/siem.

    Localizar el token en el navegador del usuario

  2. Extraer datos: selecciona la solicitud y consulta la pestaña Carga útil. Busca la cadena jwt.

  3. Decodificar: copia la cadena JWT y pégala en la herramienta Inspección de JWT (jwt.io).

    Copia la cadena JWT y pégala.

  4. Verificación:

    • Compara las reclamaciones decodificadas de given_name, family_name, email y idpgroups.
    • Confirmación de la coincidencia: estos valores deben coincidir exactamente con los atributos validados en la fase 3 (respuesta SAML).
    • Si los valores coinciden y sigues sin tener acceso, comprueba la asignación de roles en IAM. Asegúrate de que todos tus usuarios tengan asignado uno de los roles predefinidos de Chronicle mediante el formato de principal correcto para tu configuración de identidad (federación de identidades de la plantilla o Cloud Identity para cuentas gestionadas de Google).

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.