Guia de validação pré-migração

Suportado em:

Este documento descreve uma abordagem de diagnóstico sistemática passo a passo para validar a instância do Google Security Operations e a configuração de autenticação antes da migração do SOAR. Este guia centra-se na norma SAML usada para a autenticação e a autorização de utilizadores.

Validação da configuração da API Chronicle

Para verificar se a API Chronicle está configurada corretamente no seu Google Cloud projeto, siga estes passos:

  1. Inicie sessão na Google Cloud consola e selecione o Google Cloud projeto correto na lista de projetos na barra de navegação superior.
  2. Abra o menu de navegação (≡) e aceda a APIs e serviços > APIs e serviços ativados.
  3. Aceda à lista de APIs e serviços ativados para encontrar Chronicle API.

  4. Se estiver listada: a API está ativada.

    Se NÃO estiver listada: clique em + ATIVAR APIs E SERVIÇOS na parte superior, pesquise Chronicle API e clique em Ativar.

Para verificar se a conta de serviço foi criada, faça o seguinte:

  1. Aceda à página IAM na Google Cloud consola.
  2. Revele contas ocultas (passo crucial): tem de selecionar a caixa no lado direito da barra de filtros que indica Incluir concessões de funções fornecidas pela Google.
  3. Pesquise o agente: na barra de filtros, escreva chronicle. Está à procura de um endereço de email que corresponda a este padrão específico: service-[PROJECT_NUMBER]@gcp-sa-chronicle.iam.gserviceaccount.com
  4. Validar autorizações: certifique-se de que tem a função de agente do serviço Chronicle. Se a função estiver em falta, clique em editar Editar e adicione-a novamente.

Arquitetura do fluxo de trabalho de autenticação

Compreender o fluxo de pedidos é fundamental para isolar quaisquer pontos de falha. O diagrama seguinte ilustra o caminho sequencial de um início de sessão bem-sucedido.

Arquitetura do fluxo de trabalho de autenticação

Procedimento de resolução de problemas passo a passo

Para diagnosticar e rastrear o processo de autenticação SAML de forma eficaz, pode usar as utilidades baseadas na Web indicadas nas secções seguintes.

Embora a Google não recomende nenhum produto em particular, sabe-se que as seguintes ferramentas ajudam a resolver problemas no processo:

  • Validação de SAML: https://www.samltool.io/
    • Finalidade: usado para descodificar e validar pedidos e respostas SAML não processados.
  • Inspeção de JWT: https://www.jwt.io/
    • Finalidade: usado para inspecionar as reivindicações e os conteúdos dos símbolos da Web JSON (JWTs).

Fase 1: preparação do ambiente

Antes de começar, faça o seguinte para garantir que o ambiente do navegador está pronto para captar o tráfego de rede:

  1. Abra um novo separador do navegador em branco.
  2. Abra as Ferramentas para programadores (prima F12 ou Ctrl + Shift + I (Windows /Linux) ou Cmd + Option + I (macOS)) e navegue para o separador Rede.

  3. Selecione a caixa Manter registo para garantir que não são perdidos dados durante os redirecionamentos.

    Preservar registo

  4. Navegue para o URL do seu ambiente do Google SecOps para iniciar o fluxo de início de sessão. Vai receber este URL por email depois de concluir a configuração do Google SecOps no Passo 5 da fase 1 da migração para clientes autónomos do SOAR. O assunto do email é YourGoogle SecOps instance is ready.

Fase 2: valide o pedido SAML para o IdP

Este passo valida a mensagem inicial enviada por Google Cloud ao seu fornecedor de identidade (IdP).

  1. Localize o pedido: na barra de filtros do separador Rede, pesquise saml.

    Localize o pedido

  2. Extrair dados: selecione o pedido e clique no separador Payload. Localize o parâmetro de string de consulta etiquetado como SAMLRequest.

    Extraia os dados

  3. Descodificar: copie o valor do pedido e cole-o na ferramenta Validação SAML (samltool.io) para o descodificar.

    Descodificar

  4. Validação:

    • Verifique o Destino do pedido.
    • Confirme se este URL corresponde às definições de configuração no seu IDP.

Fase 3: valide a resposta SAML do IdP

Este passo valida os atributos devolvidos pelo IDP Google Cloud após a autenticação.

  1. Localize a resposta: na barra de filtros do separador Rede, pesquise signin-callback.

    Localize a resposta

  2. Extrair dados: selecione o pedido e clique no separador Payload. Localize os dados de SAMLResponse.

    Localize os dados da resposta SAML

  3. Descodificar: copie o valor da resposta e cole-o na ferramenta de validação SAML.

  4. Validação:

    • Reveja as reivindicações (atributos) devolvidas, como groups, first name, last name e email.
    • Crítico: certifique-se de que estes atributos correspondem à configuração nas definições de Workforce pool em Google Cloud.

    • Confirme se os valores estão corretos para o utilizador específico que está a tentar iniciar sessão.

      Definições do conjunto de trabalhadores

A imagem seguinte mostra um mapeamento de atributos:

attribute-mapping

O mapeamento na imagem é o seguinte:

  • google.subject = assertion.subject
  • attribute.last_name = assertion.attributes.last_name[0]
  • attribute.user_email = assertion.attributes.user_email[0]
  • attribute.first_name = assertion.attributes.first_name[0]
  • google.groups = assertion.attributes.groups

A parte esquerda é sempre a mesma; é a sintaxe da Google. O lado direito está de acordo com as chaves de atributos de reivindicação apresentadas na resposta SAML.

O elemento [0] é fundamental para os atributos específicos indicados (last_name, user_email e first_name) e não é relevante para subject e groups.

Fase 4: valide a autenticação do Google SecOps

Este passo verifica se Google Cloud está a autenticar o utilizador para iniciar sessão no Google SecOps SOAR.

  1. Localize o token no navegador do utilizador: na barra de filtro do separador Rede, pesquise o ponto final auth/siem.

    Localize o token no navegador do utilizador

  2. Extrair dados: selecione o pedido e veja o separador Payload. Localize a string jwt.

  3. Descodificar: copie a string JWT e cole-a na ferramenta JWT Inspection (jwt.io).

    Copie a string JWT e cole-a

  4. Validação:

    • Compare as reivindicações descodificadas para given_name, family_name, email e idpgroups.
    • Confirmação da correspondência: estes valores têm de corresponder exatamente aos atributos validados na Fase 3 (resposta SAML).
    • Se os valores corresponderem e ainda não tiver acesso, verifique a atribuição de funções no IAM. Certifique-se de que todos os seus utilizadores estão atribuídos a uma das funções predefinidas do Chronicle usando o formato principal correto para a configuração de identidade (Workforce Identity Federation ou Cloud ID para contas geridas pela Google).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.