Panduan validasi pra-migrasi

Didukung di:

Dokumen ini menguraikan pendekatan diagnostik langkah demi langkah yang sistematis untuk memvalidasi penyiapan autentikasi dan instance Google Security Operations sebelum migrasi SOAR. Panduan ini berfokus pada standar SAML yang digunakan untuk autentikasi dan otorisasi pengguna.

Validasi penyiapan Chronicle API

Untuk memeriksa apakah Chronicle API dikonfigurasi dengan benar di project Anda, ikuti langkah-langkah berikut: Google Cloud

  1. Login ke Google Cloud console dan pilih project Google Cloud yang benar dari daftar project di menu navigasi atas.
  2. Buka navigation menu (≡) dan buka APIs & Services > Enabled APIs & services.
  3. Buka daftar Enabled APIs & Services untuk menemukan Chronicle API.

  4. Jika tercantum: API diaktifkan.

    Jika TIDAK tercantum: Klik + AKTIFKAN API DAN LAYANAN di bagian atas, telusuri Chronicle API, lalu klik Aktifkan.

Untuk memverifikasi apakah Akun Layanan dibuat, lakukan hal berikut:

  1. Buka Halaman IAM di konsol Google Cloud .
  2. Tampilkan akun tersembunyi (langkah penting): Anda harus mencentang kotak di sisi kanan kolom filter yang bertuliskan Sertakan pemberian peran yang diberikan Google.
  3. Menelusuri agen: Di panel filter, ketik chronicle. Anda mencari alamat email yang cocok dengan pola tertentu ini: service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
  4. Verifikasi izin: Pastikan akun layanan memiliki peran Agen Layanan Chronicle. Jika peran tidak ada, klik edit Edit dan tambahkan kembali.

Validasi Penyiapan Google SecOps

  1. Di konsol Google Cloud , pilih project Google Cloud yang benar dari daftar.
  2. Buka Security > Google SecOps dan tab Single Sign-On akan muncul.
  3. Jika Google SecOps diaktifkan, Anda akan melihat tab bernama Single Sign-On. Jika tidak, inisiasi prospek tidak lengkap. Berikan Google Cloud project ID di formulir Google yang ada di notifikasi dalam produk. Konfirmasi tanggal dan slot waktu migrasi, lalu kirimkan formulir. Jika Anda tidak menerima respons dalam waktu 72 jam setelah pengiriman, hubungi soar-migration-to-gcom@google.com.
  4. Jika tab ada, klik Buka SecOps. Login yang berhasil mengonfirmasi bahwa konfigurasi autentikasi sudah benar. Jika login gagal, gunakan bagian berikutnya untuk men-debug konfigurasi. Jika login gagal, gunakan bagian berikutnya untuk men-debug konfigurasi.

Arsitektur alur kerja autentikasi

Memahami alur permintaan sangat penting untuk mengisolasi titik kegagalan. Diagram berikut menggambarkan jalur berurutan login yang berhasil.

Arsitektur alur kerja autentikasi

Prosedur pemecahan masalah langkah demi langkah

Untuk mendiagnosis dan melacak proses autentikasi SAML secara efektif, Anda dapat menggunakan utilitas berbasis web yang tercantum di bagian berikut.

Meskipun Google tidak mendukung produk tertentu, alat berikut diketahui dapat membantu memecahkan masalah proses tersebut:

  • Validasi SAML: https://www.samltool.io/
    • Tujuan: Digunakan untuk mendekode dan memvalidasi permintaan dan respons SAML mentah.
  • Pemeriksaan JWT: https://www.jwt.io/
    • Tujuan: Digunakan untuk memeriksa klaim dan konten Token Web JSON (JWT).

Fase 1: Persiapan lingkungan

Sebelum memulai, lakukan hal berikut untuk memastikan lingkungan browser Anda siap merekam traffic jaringan:

  1. Buka tab browser baru yang kosong.
  2. Buka Developer Tools (tekan F12 atau Ctrl + Shift + I (Windows /Linux) atau Cmd + Option + I (macOS)) dan buka tab Network.

  3. Pilih kotak Pertahankan log untuk memastikan tidak ada data yang hilang selama pengalihan.

    Pertahankan log

  4. Buka URL lingkungan Google SecOps Anda untuk memulai alur login. Anda akan menerima URL ini melalui email setelah Anda menyelesaikan penyiapan Google SecOps di Langkah 5 Tahap 1 Migrasi untuk pelanggan mandiri SOAR. Subjek email adalah YourGoogle SecOps instance is ready.

Fase 2: Validasi permintaan SAML ke IDP

Langkah ini memverifikasi pesan awal yang dikirim oleh Google Cloud ke Penyedia Identitas (IDP) Anda.

  1. Temukan permintaan: Di panel filter tab Network, telusuri saml.

    Menemukan Permintaan

  2. Mengekstrak data: Pilih permintaan, lalu klik tab Payload. Temukan parameter string kueri berlabel SAMLRequest.

    Mengekstrak Data

  3. Decode: Salin nilai permintaan dan tempel ke alat SAML Validation (samltool.io) untuk mendekodenya.

    Mendekode

  4. Verifikasi:

    • Periksa Tujuan Permintaan.
    • Pastikan URL ini cocok dengan setelan konfigurasi dalam IDP Anda.

Fase 3: Validasi respons SAML dari IDP

Langkah ini memverifikasi atribut yang ditampilkan oleh IDP ke Google Cloud setelah autentikasi.

  1. Temukan respons: Di kolom filter tab Network, telusuri signin-callback.

    Menemukan Respons

  2. Mengekstrak data: Pilih permintaan, lalu klik tab Payload. Temukan data SAMLResponse.

    Temukan data Respons SAML

  3. Decode: Salin nilai respons dan tempel ke alat SAML Validation.

  4. Verifikasi:

    • Tinjau klaim (atribut) yang ditampilkan seperti groups, first name, last name, dan email.
    • Penting: Pastikan atribut ini cocok dengan konfigurasi di setelan Workforce pool di Google Cloud.

    • Pastikan nilai sudah benar untuk pengguna tertentu yang mencoba login.

      Setelan workforce pool

Gambar berikut menunjukkan pemetaan atribut:

attribute-mapping

Pemetaan dalam gambar adalah sebagai berikut:

  • google.subject = assertion.subject
  • attribute.last_name = assertion.attributes.last_name[0]
  • attribute.user_email = assertion.attributes.user_email[0]
  • attribute.first_name = assertion.attributes.first_name[0]
  • google.groups = assertion.attributes.groups

Bagian kiri selalu sama; yaitu sintaksis Google. Sisi kanan sesuai dengan kunci Atribut klaim yang ditampilkan dalam respons SAML.

[0] sangat penting untuk atribut tertentu yang dinyatakan (last_name, user_email , first_name), dan tidak relevan untuk subject dan groups.

Tahap 4: Validasi autentikasi Google SecOps

Langkah ini memverifikasi apakah Google Cloud mengautentikasi pengguna untuk login ke Google SecOps SOAR.

  1. Temukan token di browser pengguna: Di kotak filter tab Network, telusuri endpoint auth/siem.

    Menemukan Token di browser pengguna

  2. Ekstrak data: Pilih permintaan dan lihat tab Payload. Temukan string jwt.

  3. Dekode: Salin string JWT dan tempelkan ke alat JWT Inspection (jwt.io).

    Salin string JWT dan tempelkan

  4. Verifikasi:

    • Bandingkan klaim yang didekode untuk given_name, family_name, email, dan idpgroups.
    • Konfirmasi kecocokan: Nilai ini harus sama persis dengan atribut yang divalidasi dalam Fase 3 (Respons SAML).
    • Jika nilainya cocok dan Anda masih tidak memiliki akses, periksa penetapan peran di IAM. Pastikan semua pengguna Anda ditetapkan salah satu peran standar Chronicle menggunakan format pokok yang benar untuk penyiapan Identitas Anda (Workforce Identity Federation atau Cloud Identity untuk Akun yang Dikelola Google).

Fase 5: Validasi akses izin SOAR

Langkah ini mengonfirmasi bahwa sistem menetapkan izin di SOAR dengan benar melalui halaman Pemetaan Grup platform.

Administrator otomatis mengakses SOAR karena halaman Pemetaan Grup mengaktifkan akses default.

Anda dapat memvalidasi akses grup untuk pengguna dengan menambahkan beberapa pemetaan grup IdP di instance SOAR baru ini. Instance baru memiliki halaman Pemetaan Grup yang kosong secara default. Untuk memvalidasi akses grup bagi pengguna lain, tambahkan pemetaan grup IDP ke instance SOAR baru, selesaikan langkah-langkah berikut:

  1. Salin pemetaan grup dari halaman Group Mappings di instance SOAR yang ada.
  2. Minta pengguna di grup IDP mengakses URL Google SecOps baru.

  3. Jika pengguna tidak dapat mengakses SOAR, lakukan langkah-langkah pemecahan masalah berikut:

    a. Periksa respons: Buka permintaan auth/siem dari Fase 4, lalu pilih tab Pratinjau.

    b. Periksa izin: Temukan objek permissions dalam respons JSON.

Opsional: Untuk menghemat waktu, salin pemetaan ini ke instance Google SecOps yang ada di Setelan > Lanjutan > Pemetaan grup.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.