Guide de validation préalable à la migration

Ce document décrit une approche de diagnostic systématique et détaillée pour valider l'instance Google Security Operations et la configuration de l'authentification avant la migration SOAR. Ce guide se concentre sur la norme SAML utilisée pour l'authentification et l'autorisation des utilisateurs.

Validation de la configuration de l'API Chronicle

Pour vérifier si l'API Chronicle est correctement configurée dans votre Google Cloud projet, procédez comme suit :

1. Connectez-vous à la Google Cloud console et sélectionnez le projet approprié dans la liste Projet de la barre de navigation supérieure. Google Cloud
2. Ouvrez le menu de navigation (≡), puis accédez à API et services > API et services activés.
3. Accédez à la liste des API et services activés pour trouver Chronicle API.

4. Si elle est listée : l'API est activée.

   Si elle n'est PAS listée : cliquez sur + ACTIVER LES API ET SERVICES en haut de la page, recherchez Chronicle API, puis cliquez sur Activer.

Pour vérifier si le compte de service est créé, procédez comme suit :

1. Accédez à la page IAM dans la Google Cloud console.
2. Affichez les comptes masqués (étape essentielle) : vous devez cocher la case à droite de la barre de filtre, intitulée Inclure les attributions de rôles fournies par Google.
3. Recherchez l'agent : dans la barre de filtre, saisissez chronicle. Vous recherchez une adresse e-mail qui correspond à ce modèle spécifique : service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
4. Vérifiez les autorisations : assurez-vous que l'agent dispose du rôle Agent de service Chronicle. Si le rôle est manquant, cliquez sur Modifier Modifier et ajoutez-le.

Validation de la configuration de Google SecOps

1. Dans la Google Cloud console, sélectionnez le projet approprié dans la liste. Google Cloud
2. Accédez à Sécurité > Google SecOps. L'onglet Authentification unique s'affiche.
3. Si Google SecOps est activé, un onglet intitulé Authentification unique doit s'afficher. Si ce n'est pas le cas, l'initiation du prospect est incomplète. Indiquez l'ID du projet dans le formulaire Google disponible dans la notification du produit. Google Cloud Confirmez la date et l'heure de la migration, puis envoyez le formulaire. Si vous ne recevez pas de réponse dans les 72 heures suivant l'envoi, contactez soar-migration-to-gcom@google.com.
4. Si l'onglet existe, cliquez sur Accéder à SecOps. Si la connexion est réussie, cela confirme que la configuration de l'authentification est correcte. Si la connexion échoue, utilisez la section suivante pour déboguer la configuration. Si la connexion échoue, utilisez la section suivante pour déboguer la configuration.

Architecture du workflow d'authentification

Il est essentiel de comprendre le flux de requêtes pour isoler les points de défaillance. Le schéma suivant illustre le chemin séquentiel d'une connexion réussie.

Procédure de dépannage détaillée

Pour diagnostiquer et suivre efficacement le processus d'authentification SAML, vous pouvez utiliser les utilitaires Web listés dans les sections suivantes.

Bien que Google n'approuve aucun produit en particulier, les outils suivants sont connus pour faciliter le dépannage du processus :

• Validation SAML : https://www.samltool.io/
  • Objectif : utilisé pour décoder et valider les requêtes et réponses SAML brutes.
• Inspection JWT : https://www.jwt.io/
  • Objectif : utilisé pour inspecter les revendications et le contenu des jetons Web JSON (JWT).

Phase 1 : Préparation de l'environnement

Avant de commencer, procédez comme suit pour vous assurer que l'environnement de votre navigateur est prêt à capturer le trafic réseau :

1. Ouvrez un nouvel onglet de navigateur vide.
2. Ouvrez les Outils pour les développeurs (appuyez sur F12 ou Ctrl + Maj + I (Windows /Linux) ou Cmd + Option + I (macOS)), puis accédez à l'onglet Réseau.

3. Cochez la case Conserver le journal pour vous assurer qu'aucune donnée n'est perdue lors des redirections.

   

4. Accédez à l'URL de votre environnement Google SecOps pour lancer le flux de connexion. Vous recevrez cette URL par e-mail une fois que vous aurez terminé la configuration de Google SecOps à l'étape 5 de la phase 1 de la migration pour les clients SOAR autonomes. L'objet de l'e-mail est YourGoogle SecOps instance is ready (Votre instance Google SecOps est prête).

Phase 2 : Valider la requête SAML auprès du fournisseur d'identité

Cette étape vérifie le message initial envoyé par Google Cloud à votre fournisseur d'identité.

1. Localisez la requête : dans la barre de filtre de l'onglet Réseau, recherchez saml.

   

2. Extrayez les données : sélectionnez la requête, puis cliquez sur l'onglet Charge utile. Recherchez le paramètre de chaîne de requête libellé SAMLRequest.

   

3. Décodez : copiez la valeur de la requête et collez-la dans l'outil Validation SAML (samltool.io) pour la décoder.

   

4. Vérification :

   • Vérifiez la destination de la requête.
   • Vérifiez que cette URL correspond aux paramètres de configuration de votre fournisseur d'identité.

Phase 3 : Valider la réponse SAML du fournisseur d'identité

Cette étape vérifie les attributs renvoyés par le fournisseur d'identité à Google Cloud après l'authentification.

1. Localisez la réponse : dans la barre de filtre de l'onglet Réseau, recherchez signin-callback.

   

2. Extrayez les données : sélectionnez la requête, puis cliquez sur l'onglet Charge utile. Recherchez les données SAMLResponse.

   

3. Décodez : copiez la valeur de la réponse et collez-la dans l'outil Validation SAML.

4. Vérification :

   • Examinez les revendications (attributs) renvoyées, telles que groups, first name, last name et email.
   • Important : assurez-vous que ces attributs correspondent à la configuration des paramètres Pool d'employés dans Google Cloud.

   • Vérifiez que les valeurs sont correctes pour l'utilisateur spécifique qui tente de se connecter.

     

L'image suivante montre un mappage d'attributs :

Le mappage dans l'image est le suivant :

• google.subject = assertion.subject
• attribute.last_name = assertion.attributes.last_name[0]
• attribute.user_email = assertion.attributes.user_email[0]
• attribute.first_name = assertion.attributes.first_name[0]
• google.groups = assertion.attributes.groups

La partie gauche est toujours la même. Il s'agit de la syntaxe Google. La partie droite correspond aux clés d'attribut de revendication affichées dans la réponse SAML.

Le [0] est essentiel pour les attributs spécifiques indiqués (last_name, user_email et first_name), mais n'est pas pertinent pour subject et groups.

Phase 4 : Valider l'authentification Google SecOps

Cette étape vérifie si Google Cloud authentifie l'utilisateur pour qu'il se connecte à Google SecOps SOAR.

1. Localisez le jeton dans le navigateur de l'utilisateur : dans la barre de filtre de l'onglet Réseau, recherchez le point de terminaison auth/siem.

   

2. Extrayez les données : sélectionnez la requête et affichez l'onglet Charge utile. Recherchez la chaîne jwt.

3. Décodez : copiez la chaîne JWT et collez-la dans l'outil Inspection JWT (jwt.io).

   

4. Vérification :

   • Comparez les revendications décodées pour given_name, family_name, email et idpgroups.
   • Confirmation de la correspondance : ces valeurs doivent correspondre exactement aux attributs validés à la phase 3 (réponse SAML).
   • Si les valeurs correspondent et que vous n'avez toujours pas accès, vérifiez l'attribution des rôles dans IAM. Assurez-vous que tous vos utilisateurs disposent de l'un des rôles prédéfinis de Chronicle en utilisant le format de compte principal approprié pour votre configuration d'identité (fédération des identités des employés ou Cloud Identity pour les comptes gérés par Google).

Phase 5 : Valider l'accès aux autorisations SOAR

Cette étape confirme que le système attribue correctement les autorisations dans SOAR via la page Mappage de groupe de la plate-forme.

Les administrateurs accèdent automatiquement à SOAR, car la page Mappage de groupe active l'accès par défaut.

Vous pouvez valider l'accès aux groupes pour vos utilisateurs en ajoutant quelques mappages de groupes de fournisseurs d'identité dans cette nouvelle instance SOAR. Par défaut, les nouvelles instances ont une page Mappage de groupe vide. Pour valider l'accès aux groupes pour d'autres utilisateurs, ajoutez des mappages de groupes de fournisseurs d'identité à la nouvelle instance SOAR en procédant comme suit :

1. Copiez les mappages de groupes à partir de la page Mappages de groupes de votre instance SOAR existante.
2. Demandez à un utilisateur du groupe de fournisseurs d'identité d'accéder à la nouvelle URL Google SecOps.

3. Si l'utilisateur ne peut pas accéder à SOAR, suivez ces étapes de dépannage :

   a. Inspectez la réponse : ouvrez la requête auth/siem de la phase 4 et sélectionnez l'onglet Aperçu.

   b. Vérifiez les autorisations : recherchez l'objet permissions dans la réponse JSON.

Facultatif : Pour gagner du temps, copiez ces mappages dans votre instance Google SecOps existante en accédant à Paramètres > Avancé > Mappage de groupe.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.