Leitfaden zur Validierung vor der Migration

Unterstützt in:

In diesem Dokument wird ein systematischer, schrittweiser Diagnoseansatz zum Validieren der Google Security Operations-Instanz und der Authentifizierungseinrichtung vor der SOAR-Migration beschrieben. In dieser Anleitung geht es um den SAML-Standard, der für die Nutzerauthentifizierung und ‑autorisierung verwendet wird.

Validierung der Einrichtung der Chronicle API

So prüfen Sie, ob die Chronicle API in Ihrem Google Cloud -Projekt richtig konfiguriert ist:

  1. Melden Sie sich in der Google Cloud -Konsole an und wählen Sie in der oberen Navigationsleiste in der Liste Projekt das richtige Google Cloud -Projekt aus.
  2. Öffnen Sie das Navigationsmenü (≡) und wählen Sie APIs & Dienste > Aktivierte APIs & Dienste aus.
  3. Suchen Sie in der Liste der aktivierten APIs und Dienste nach Chronicle API.

  4. Wenn sie aufgeführt ist:Die API ist aktiviert.

    Wenn sie NICHT aufgeführt ist:Klicken Sie oben auf + APIs und Dienste aktivieren, suchen Sie nach Chronicle API und klicken Sie auf Aktivieren.

So prüfen Sie, ob das Dienstkonto erstellt wurde:

  1. Rufen Sie in der Google Cloud Console die IAM-Seite auf.
  2. Verborgene Konten einblenden (wichtiger Schritt): Sie müssen das Kästchen rechts neben der Filterleiste mit der Aufschrift Von Google bereitgestellte Rollenzuweisungen einschließen aktivieren.
  3. Nach dem Agent suchen:Geben Sie in der Filterleiste chronicle ein. Sie suchen nach einer E‑Mail-Adresse, die diesem bestimmten Muster entspricht: service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
  4. Berechtigungen prüfen:Das Dienstkonto muss die Rolle Chronicle Service Agent haben. Wenn die Rolle fehlt, klicken Sie auf Bearbeiten Bearbeiten und fügen Sie sie wieder hinzu.

Google SecOps-Einrichtung validieren

  1. Wählen Sie in der Google Cloud -Console das richtige Google Cloud Projekt aus der Liste aus.
  2. Gehen Sie zu Sicherheit > Google SecOps. Der Tab Einmalanmeldung wird angezeigt.
  3. Wenn Google SecOps aktiviert ist, sollte ein Tab mit dem Namen Einmalanmeldung angezeigt werden. Andernfalls ist die Initiierung des potenziellen Kunden unvollständig. Geben Sie die Projekt-ID Google Cloud im Google-Formular an, das in der In-Product-Benachrichtigung enthalten ist. Bestätigen Sie das Migrationsdatum und den Zeitrahmen und senden Sie das Formular ab. Wenn Sie innerhalb von 72 Stunden nach dem Einreichen keine Antwort erhalten, wenden Sie sich an soar-migration-to-gcom@google.com.
  4. Wenn der Tab vorhanden ist, klicken Sie auf Zu SecOps. Wenn Sie sich erfolgreich anmelden können, ist die Authentifizierungskonfiguration korrekt. Wenn die Anmeldung fehlschlägt, können Sie die Konfiguration anhand des nächsten Abschnitts debuggen. Wenn die Anmeldung fehlschlägt, können Sie die Konfiguration anhand des nächsten Abschnitts debuggen.

Architektur des Authentifizierungs-Workflows

Das Verständnis des Anfrageflusses ist entscheidend, um Fehlerpunkte zu isolieren. Das folgende Diagramm veranschaulicht den sequenziellen Pfad einer erfolgreichen Anmeldung.

Architektur des Authentifizierungs-Workflows

Schritt-für-Schritt-Anleitung zur Fehlerbehebung

Um den SAML-Authentifizierungsprozess effektiv zu diagnostizieren und nachzuvollziehen, können Sie die webbasierten Tools verwenden, die in den folgenden Abschnitten aufgeführt sind.

Google empfiehlt zwar keine bestimmten Produkte, aber die folgenden Tools können bei der Fehlerbehebung helfen:

  • SAML-Validierung: https://www.samltool.io/
    • Zweck:Wird zum Decodieren und Validieren von SAML-Rohanfragen und ‑Antworten verwendet.
  • JWT-Prüfung: https://www.jwt.io/
    • Zweck:Dient zum Prüfen der Ansprüche und Inhalte von JSON Web Tokens (JWTs).

Phase 1: Umgebung vorbereiten

Bevor Sie beginnen, führen Sie die folgenden Schritte aus, um sicherzustellen, dass Ihre Browserumgebung für die Erfassung von Netzwerkverkehr bereit ist:

  1. Öffnen Sie einen neuen leeren Browsertab.
  2. Öffnen Sie die Entwicklertools (drücken Sie F12 oder Strg + Umschalt + I (Windows /Linux) oder Cmd + Wahltaste + I (macOS)) und rufen Sie den Tab Netzwerk auf.

  3. Klicken Sie das Kästchen Preserve log an, damit bei Weiterleitungen keine Daten verloren gehen.

    Protokoll beibehalten

  4. Rufen Sie die URL Ihrer Google SecOps-Umgebung auf, um den Anmeldevorgang zu starten. Sie erhalten diese URL per E-Mail, nachdem Sie die Google SecOps-Einrichtung in Schritt 5 von Migrationsphase 1 für SOAR-Standalone-Kunden abgeschlossen haben. Der Betreff der E‑Mail lautet YourGoogle SecOps instance is ready.

Phase 2: SAML-Anfrage an den IdP validieren

In diesem Schritt wird die erste Nachricht bestätigt, die von Google Cloud an Ihren Identitätsanbieter (IdP) gesendet wurde.

  1. Anfrage suchen:Suchen Sie auf dem Tab Netzwerk in der Filterleiste nach saml.

    Anfrage suchen

  2. Daten extrahieren:Wählen Sie die Anfrage aus und klicken Sie auf den Tab Payload. Suchen Sie den Abfragestringparameter mit dem Label SAMLRequest.

    Daten extrahieren

  3. Decodieren:Kopieren Sie den Anfragewert und fügen Sie ihn in das Tool SAML Validation (samltool.io) ein, um ihn zu decodieren.

    Decodieren

  4. Überprüfung:

    • Prüfen Sie das Anforderungsziel.
    • Prüfen Sie, ob diese URL mit den Konfigurationseinstellungen in Ihrem IdP übereinstimmt.

Phase 3: SAML-Antwort vom Identitätsanbieter validieren

In diesem Schritt werden die vom Identitätsanbieter zurückgegebenen Attribute für Google Cloud nach der Authentifizierung überprüft.

  1. Antwort suchen:Suchen Sie auf dem Tab Netzwerk in der Filterleiste nach signin-callback.

    Antwort suchen

  2. Daten extrahieren:Wählen Sie die Anfrage aus und klicken Sie auf den Tab Payload. SAMLResponse-Daten finden.

    SAML-Antwortdaten suchen

  3. Decodieren:Kopieren Sie den Antwortwert und fügen Sie ihn in das Tool SAML Validation (SAML-Validierung) ein.

  4. Überprüfung:

    • Prüfen Sie die zurückgegebenen Behauptungen (Attribute) wie groups, first name, last name und email.
    • Kritisch:Achten Sie darauf, dass diese Attribute mit der Konfiguration in den Personalpool-Einstellungen in Google Cloudübereinstimmen.

    • Prüfen Sie, ob die Werte für den jeweiligen Nutzer, der sich anmelden möchte, korrekt sind.

      Einstellungen für Personalpool

Das folgende Bild zeigt eine Attributzuordnung:

attribute-mapping

Die Zuordnung im Bild sieht so aus:

  • google.subject = assertion.subject
  • attribute.last_name = assertion.attributes.last_name[0]
  • attribute.user_email = assertion.attributes.user_email[0]
  • attribute.first_name = assertion.attributes.first_name[0]
  • google.groups = assertion.attributes.groups

Der linke Teil ist immer derselbe, nämlich die Google-Syntax. Die rechte Seite entspricht den Attributschlüsseln für Ansprüche, die in der SAML-Antwort angezeigt werden.

Das [0] ist für die angegebenen Attribute (last_name, user_email , first_name) von entscheidender Bedeutung, nicht jedoch für subject und groups.

Phase 4: Google SecOps-Authentifizierung validieren

In diesem Schritt wird geprüft, ob Google Cloud den Nutzer authentifiziert, damit er sich in Google SecOps SOAR anmelden kann.

  1. Token im Browser des Nutzers suchen:Suchen Sie auf dem Tab Netzwerk in der Filterleiste nach dem Endpunkt auth/siem.

    Token im Browser des Nutzers suchen

  2. Daten extrahieren:Wählen Sie die Anfrage aus und rufen Sie den Tab Payload auf. Suchen Sie nach dem String jwt.

  3. Decodieren:Kopieren Sie den JWT-String und fügen Sie ihn in das Tool JWT Inspection (jwt.io) ein.

    JWT-String kopieren und einfügen

  4. Überprüfung:

    • Vergleichen Sie die decodierten Ansprüche für given_name, family_name, email und idpgroups.
    • Bestätigung der Übereinstimmung:Diese Werte müssen genau mit den Attributen übereinstimmen, die in Phase 3 (SAML-Antwort) validiert wurden.
    • Wenn die Werte übereinstimmen und Sie immer noch keinen Zugriff haben, prüfen Sie die Rollenzuweisung in IAM. Achten Sie darauf, dass allen Nutzern eine der vordefinierten Chronicle-Rollen zugewiesen ist. Verwenden Sie dazu das richtige Prinzipalformat für Ihre Identitätseinrichtung (Mitarbeiteridentitätsföderation oder Cloud Identity für von Google verwaltete Konten).

Phase 5: SOAR-Berechtigungszugriff validieren

Mit diesem Schritt wird bestätigt, dass das System Berechtigungen in SOAR über die Seite Gruppenzuordnung der Plattform richtig zuweist.

Administratoren haben automatisch Zugriff auf SOAR, da auf der Seite Gruppenzuordnung der Standardzugriff aktiviert ist.

Sie können den Gruppenzugriff für Ihre Nutzer validieren, indem Sie einige IDP-Gruppenzuordnungen in dieser neuen SOAR-Instanz hinzufügen. Neue Instanzen haben standardmäßig eine leere Seite Gruppenzuordnung. So prüfen Sie den Gruppenzugriff für andere Nutzer: Fügen Sie der neuen SOAR-Instanz IDP-Gruppenzuordnungen hinzu. Gehen Sie dazu so vor:

  1. Kopieren Sie Gruppenzuordnungen von der Seite Gruppenzuordnungen in Ihrer vorhandenen SOAR-Instanz.
  2. Bitten Sie einen Nutzer in der IDP-Gruppe, auf die neue Google SecOps-URL zuzugreifen.

  3. Wenn der Nutzer nicht auf SOAR zugreifen kann, führen Sie die folgenden Schritte zur Fehlerbehebung aus:

    a. Antwort prüfen:Öffnen Sie die auth/siem-Anfrage aus Phase 4 und wählen Sie den Tab Vorschau aus.

    b. Berechtigungen prüfen:Suchen Sie in der JSON-Antwort nach dem Objekt permissions.

Optional: Um Zeit zu sparen, können Sie diese Zuordnungen in Ihre vorhandene Google SecOps-Instanz unter Einstellungen > Erweitert > Gruppenzuordnung kopieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten