Guida alla convalida pre-migrazione

Supportato in:

Questo documento descrive un approccio diagnostico sistematico e passo passo per convalidare l'istanza Google Security Operations e la configurazione dell'autenticazione prima della migrazione SOAR. Questa guida si concentra sullo standard SAML utilizzato per l'autenticazione e l'autorizzazione degli utenti.

Convalida della configurazione dell'API Chronicle

Per verificare se l'API Chronicle è configurata correttamente nel tuo progetto Google Cloud , segui questi passaggi:

  1. Accedi alla Google Cloud console e seleziona il progetto Google Cloud corretto dall'elenco progetti nella barra di navigazione in alto.
  2. Apri il menu di navigazione (≡) e vai ad API e servizi > API e servizi abilitati.
  3. Vai all'elenco di API e servizi abilitati per trovare Chronicle API.

  4. Se è elencata:l'API è abilitata.

    Se NON è elencata, fai clic su + ABILITA API E SERVIZI in alto, cerca Chronicle API e fai clic su Abilita.

Per verificare se il service account è stato creato:

  1. Vai alla pagina IAM nella console Google Cloud .
  2. Mostra account nascosti (passaggio fondamentale): devi selezionare la casella sul lato destro della barra dei filtri con la dicitura Includi concessioni di ruoli fornite da Google.
  3. Cerca l'agente:nella barra dei filtri, digita chronicle. Stai cercando un indirizzo email che corrisponda a questo pattern specifico: service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
  4. Verifica delle autorizzazioni:assicurati che abbia il ruolo di agente di servizio Chronicle. Se il ruolo non è presente, fai clic su Modifica Modifica e aggiungilo di nuovo.

Convalida della configurazione di Google SecOps

  1. Nella console Google Cloud , seleziona il progetto Google Cloud corretto dall'elenco.
  2. Vai a Sicurezza > Google SecOps e viene visualizzata la scheda Single Sign-On.
  3. Se Google SecOps è abilitato, dovresti visualizzare una scheda denominata Single Sign-On. In caso contrario, l'iniziativa del potenziale cliente è incompleta. Fornisci l'ID progetto Google Cloud nel modulo Google che trovi nella notifica in-product. Conferma la data e l'intervallo di tempo della migrazione, quindi invia il modulo. Se non ricevi una risposta entro 72 ore dall'invio, contatta soar-migration-to-gcom@google.com.
  4. Se la scheda esiste, fai clic su Vai a SecOps. L'accesso riuscito conferma che la configurazione dell'autenticazione è corretta. Se l'accesso non va a buon fine, utilizza la sezione successiva per eseguire il debug della configurazione. Se l'accesso non va a buon fine, utilizza la sezione successiva per eseguire il debug della configurazione.

Architettura del flusso di lavoro di autenticazione

Comprendere il flusso delle richieste è fondamentale per isolare eventuali punti di errore. Il seguente diagramma illustra il percorso sequenziale di un accesso riuscito.

Architettura del flusso di lavoro di autenticazione

Procedura dettagliata per la risoluzione dei problemi

Per diagnosticare e tracciare in modo efficace il processo di autenticazione SAML, puoi utilizzare le utilità basate sul web elencate nelle sezioni seguenti.

Sebbene Google non approvi alcun prodotto in particolare, i seguenti strumenti sono noti per facilitare la risoluzione dei problemi relativi al processo:

  • Convalida SAML: https://www.samltool.io/
    • Scopo:utilizzato per decodificare e convalidare le richieste e le risposte SAML non elaborate.
  • Ispezione JWT: https://www.jwt.io/
    • Scopo: utilizzato per ispezionare le attestazioni e i contenuti dei token web JSON (JWT).

Fase 1: preparazione dell'ambiente

Prima di iniziare, esegui le seguenti operazioni per assicurarti che l'ambiente del browser sia pronto per acquisire il traffico di rete:

  1. Apri una nuova scheda del browser vuota.
  2. Apri Strumenti per sviluppatori (premi F12 o Ctrl+Shift+I (Windows /Linux) o Cmd+Opzione+I (macOS)) e vai alla scheda Rete.

  3. Seleziona la casella Conserva log per assicurarti che non vengano persi dati durante i reindirizzamenti.

    Conservare il log

  4. Vai all'URL del tuo ambiente Google SecOps per avviare il flusso di accesso. Riceverai questo URL via email dopo aver completato la configurazione di Google SecOps nel passaggio 5 della fase 1 della migrazione per i clienti SOAR standalone. L'oggetto dell'email è YourGoogle SecOps instance is ready.

Fase 2: convalida la richiesta SAML all'IdP

Questo passaggio verifica il messaggio iniziale inviato da Google Cloud al tuo provider di identità (IdP).

  1. Individua la richiesta:nella barra dei filtri della scheda Rete, cerca saml.

    Individuare la richiesta

  2. Estrai dati:seleziona la richiesta e fai clic sulla scheda Payload. Individua il parametro stringa di query etichettato SAMLRequest.

    Estrai dati

  3. Decodifica:copia il valore della richiesta e incollalo nello strumento SAML Validation (samltool.io) per decodificarlo.

    Decodifica

  4. Verifica:

    • Controlla la richiesta di destinazione.
    • Conferma che questo URL corrisponda alle impostazioni di configurazione all'interno del tuo IdP.

Fase 3: convalida la risposta SAML dell'IdP

Questo passaggio verifica gli attributi restituiti dal fornitore di identità a Google Cloud dopo l'autenticazione.

  1. Individua la risposta:nella barra dei filtri della scheda Rete, cerca signin-callback.

    Individuare la risposta

  2. Estrai dati:seleziona la richiesta e fai clic sulla scheda Payload. Individua i dati SAMLResponse.

    Individuare i dati della risposta SAML

  3. Decodifica:copia il valore di risposta e incollalo nello strumento SAML Validation (Convalida SAML).

  4. Verifica:

    • Esamina le rivendicazioni (attributi) restituite, ad esempio groups, first name, last name e email.
    • Critico:assicurati che questi attributi corrispondano alla configurazione nelle impostazioni del pool di forza lavoro in Google Cloud.

    • Verifica che i valori siano corretti per l'utente specifico che tenta di accedere.

      Impostazioni del pool di forza lavoro

L'immagine seguente mostra una mappatura degli attributi:

attribute-mapping

La mappatura nell'immagine è la seguente:

  • google.subject = assertion.subject
  • attribute.last_name = assertion.attributes.last_name[0]
  • attribute.user_email = assertion.attributes.user_email[0]
  • attribute.first_name = assertion.attributes.first_name[0]
  • google.groups = assertion.attributes.groups

La parte sinistra è sempre la stessa, ovvero la sintassi di Google. Il lato destro corrisponde alle chiavi degli attributi dell'attestazione mostrate nella risposta SAML.

[0] è fondamentale per gli attributi specifici indicati (last_name, user_email, first_name) e non pertinente per subject e groups.

Fase 4: convalida l'autenticazione di Google SecOps

Questo passaggio verifica se Google Cloud autentica l'utente per accedere a Google SecOps SOAR.

  1. Individua il token nel browser dell'utente:nella barra dei filtri della scheda Rete, cerca l'endpoint auth/siem.

    Individuare il token nel browser dell'utente

  2. Estrai dati:seleziona la richiesta e visualizza la scheda Payload. Individua la stringa jwt.

  3. Decodifica:copia la stringa JWT e incollala nello strumento JWT Inspection (jwt.io).

    Copia la stringa JWT e incollala.

  4. Verifica:

    • Confronta le rivendicazioni decodificate per given_name, family_name, email e idpgroups.
    • Conferma della corrispondenza:questi valori devono corrispondere esattamente agli attributi convalidati nella fase 3 (risposta SAML).
    • Se i valori corrispondono e non hai ancora accesso, controlla l'assegnazione dei ruoli in IAM. Assicurati che a tutti gli utenti sia assegnato uno dei ruoli predefiniti di Chronicle utilizzando il formato principale corretto per la configurazione dell'identità (federazione delle identità per la forza lavoro o Cloud Identity per gli account Google gestiti).

Fase 5: convalida dell'accesso alle autorizzazioni SOAR

Questo passaggio conferma che il sistema assegna correttamente le autorizzazioni in SOAR tramite la pagina Mappatura di gruppi della piattaforma.

Gli amministratori accedono automaticamente a SOAR perché la pagina Mappatura dei gruppi consente l'accesso predefinito.

Puoi convalidare l'accesso al gruppo per i tuoi utenti aggiungendo alcune mappature dei gruppi IdP in questa nuova istanza SOAR. Per impostazione predefinita, le nuove istanze hanno una pagina Mappatura dei gruppi vuota. Per convalidare l'accesso al gruppo per altri utenti, aggiungi i mapping dei gruppi IdP alla nuova istanza SOAR e completa i seguenti passaggi:

  1. Copia le mappature dei gruppi dalla pagina Mappature di gruppi nell'istanza SOAR esistente.
  2. Chiedi a un utente del gruppo IdP di accedere al nuovo URL di Google SecOps.

  3. Se l'utente non riesce ad accedere a SOAR, segui questi passaggi per la risoluzione dei problemi:

    a. Esamina la risposta:apri la richiesta auth/siem della fase 4 e seleziona la scheda Anteprima.

    b. Verifica le autorizzazioni:individua l'oggetto permissions all'interno della risposta JSON.

(Facoltativo) Per risparmiare tempo, copia questi mapping nell'istanza Google SecOps esistente in Impostazioni > Avanzate > Mapping dei gruppi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.