啟用 Google SecOps 執行個體

本文說明如何啟用 (部署) Google SecOps (SIEM 和 SOAR) 執行個體，以及根據 Google SecOps 套裝方案層級和權利啟用 Google SecOps 功能。下列Google SecOps 套裝組合適用這些新手上路步驟：Standard、Enterprise 和 Enterprise Plus。

您指定的導入 SME (也稱為 Google SecOps SME 或帳單管理員) 會執行導入程序。這個人是貴機構在 Google SecOps 的主要聯絡窗口。

必要條件

如要啟用新的 Google SecOps 執行個體，請確認貴機構已符合下列必要條件：

• 已註冊下列任一 Google SecOps 套裝組合： Standard、Enterprise 或 Enterprise Plus。

• 貴機構簽署的 Google SecOps 合約。這份合約可授權您佈建每個新的 Google SecOps 執行個體。

部署新的 Google SecOps 執行個體

請按照下列步驟部署新的 Google SecOps 執行個體：

1. 簽署 Google SecOps 合約。

   機構簽署 Google SecOps 合約後，系統就會開始佈建新的 Google SecOps 執行個體。這項操作會觸發 Google 內部的新手上路工作流程，並在 Google 系統中註冊合約詳細資料，包括您的帳單帳戶和新手上路 SME 的電子郵件地址。

2. 準備環境以利新手上路。

   在導入新的 Google SecOps 執行個體前，導入主題專家應先準備好環境。

3. 啟用新的 Google SecOps 執行個體。

4. (選用步驟) 如要部署其他執行個體，請與支援團隊聯絡。

準備環境以進行新手上路程序

導入專家應先準備好環境，再導入 Google SecOps 執行個體，如以下各節所述：

1. 授予執行新手上路程序的權限。
2. 設定 Assured Workloads 資料夾 (選用)。
3. 建立專案 (選用)。 Google Cloud
4. 設定 Google Cloud 專案。
5. 設定識別資訊提供者。

授予執行新手上路程序的權限

針對每個新的 Google SecOps 執行個體，請按照「必要角色和權限」一文所述，將必要的新手上路角色和權限授予新手上路 SME。

設定 Assured Workloads 資料夾 (選用)

如要建立 Assured Workloads 資料夾，請按照下列步驟操作：

1. 前往「建立新的 Assured Workloads 資料夾」頁面。
2. 在清單中，選取要套用至 Assured Workloads 資料夾的控制項套件* 類型。
3. 請確認您具備「必要 IAM 角色」一節列出的必要權限。

4. 請按照「 為...建立 Assured Workloads 資料夾」一節中的步驟操作。

設定資料夾時，請考量以下準則：

• 法規遵循控制項租戶 (執行個體) 必須符合下列一或多項法規遵循控制項標準：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

• 與受法規遵循控管的租戶相關聯的所有檔案，都必須位於已為適當法規遵循控管標準設定的 Assured Workloads 資料夾中。

• 系統會在機構層級建立 Assured Workloads 資料夾。

• 機構可以建立多個 Assured Workloads 資料夾，每個資料夾都專用於特定法規遵循控管套件，以滿足相關需求。舉例來說，一個資料夾可能支援 FedRAMP_MODERATE 執行個體，另一個則支援 FedRAMP_HIGH 執行個體。

部署法規遵循控管的租戶 (執行個體) 時，請考量下列準則：

• 您必須將受法規遵循控管的租戶 (執行個體) 連結至位於 Assured Workloads 資料夾中的專案 Google Cloud。

• 如果您打算為 Google SecOps 執行個體建立新 Google Cloud 專案，請務必在為必要法規遵循控制套件設定的 Assured Workloads 資料夾中建立專案。

• 如果貴機構沒有 Assured Workloads 資料夾，請務必建立一個。

建立專案 (選用) Google Cloud

每個新的 Google SecOps 執行個體都應連結至Google Cloud 專案。您可以使用現有 Google Cloud 專案，或建立新專案。

建立新 Google Cloud 專案：

1. 如果是符合 FedRAMP 規範的租戶 (執行個體)，請在機構的 Assured Workloads 資料夾中建立專案。如果貴機構沒有適用於必要控管套件的 Assured Workloads 資料夾，請建立一個。

2. 按照「建立專案」一文中的步驟操作。

設定 Google Cloud 專案

Google Cloud 專案是連結的 Google SecOps 執行個體的控制層。

如要正確設定，請按照「設定 Google SecOps 專案 Google Cloud 」一文中的步驟操作。

設定識別資訊提供者

設定識別資訊提供者，管理 Google SecOps 執行個體的使用者、群組和驗證。

支援的選項有兩種：

• 選項 1：Google Cloud 身分驗證：

  如果您有 Google Workspace 帳戶，或將身分從 IdP 同步至 Google Cloud，請使用這個選項。

  1. 建立受管理的使用者帳戶，控管資源和 Google SecOps 執行個體的存取權。 Google Cloud

  2. 使用預先定義或自訂的角色定義 IAM 政策，授予使用者和群組功能存取權。

  如需詳細操作說明，請參閱「設定身分識別提供者 Google Cloud 」。

• 選項 2：員工身分聯盟：

  如果您使用第三方 IdP (例如 Okta 或 Azure AD)，請選取這個選項。

  設定 Google 的員工身分聯盟，並建立員工身分集區。Google 的工作負載身分聯盟可讓您授權地端部署或多雲端工作負載存取 Google Cloud 資源，不必使用服務帳戶金鑰。

  如需詳細操作說明，請參閱「設定第三方身分識別提供者」。

啟用新的 Google SecOps 執行個體

Google 系統會將 Google SecOps 新手指引邀請電子郵件傳送給新手指引主題專家。這封電子郵件包含啟用連結，可啟動設定程序。

準備好上線環境後，上線 SME 應執行下列操作：

• 按一下邀請電子郵件中的啟用連結。

• 請按照下列各節的步驟，部署 Google SecOps 執行個體：

  1. 設定新的 Google SecOps 執行個體，並連結至 Google Cloud 專案。
  2. 使用 IAM 設定功能存取控管機制。
  3. 為使用者設定資料 RBAC。
  4. 將 IdP 群組對應至存取權控管參數，完成部署作業。

必要角色和權限

本節列出部署 Google SecOps 執行個體所需的角色和權限。將下列權限授予執行部署工作的導入主題專家：

• 所有角色和權限都必須在專案層級授予。這些權限僅適用於指定的 Google Cloud 專案和相關聯的 Google SecOps 執行個體。如要部署其他執行個體，請與支援團隊聯絡。
• 如果您在其他合約下部署其他 Google SecOps 執行個體，則必須為該部署作業授予一組新的角色和權限。

授予導入主題專家下列各節列出的角色和權限：

1. Google 帳單帳戶中的權限
2. 預先定義的 IAM 角色
3. 建立 Assured Workloads 資料夾的權限
4. 新增 Google Cloud 專案的權限
5. 設定識別資訊提供者的權限
   1. 設定 Cloud Identity 或 Google Workspace 的權限
   2. 設定第三方識別資訊提供者的權限
6. 將 Google SecOps 執行個體連結至 Google Cloud 服務的權限
7. 使用 IAM 設定功能存取控管機制的權限
8. 設定資料存取控制項的權限
9. Google SecOps 進階功能規定

Google 帳單帳戶的權限

為合約中指定的 Google 帳單帳戶，授予新客專員 billing.resourceAssociations.list 權限。如需詳細步驟，請參閱「更新 Cloud Billing 帳戶的使用者權限」。

預先定義的 IAM 角色

將下列預先定義的 IAM 角色授予新客導入主題專家：

• Chronicle API Admin
• Chronicle 服務管理員

• Chronicle SOAR 管理員

建立 Assured Workloads 資料夾的權限

授予導入主題專家「Assured Workloads 管理員 (roles/assuredworkloads.admin)」角色，該角色包含建立及管理 Assured Workloads 資料夾所需的最低身分與存取權管理權限。

新增 Google Cloud 專案的權限

授予新手指引主題專家專案建立者權限，以便建立 Google Cloud 專案並啟用 Chronicle API：

• 如果導入主題專家在機構層級擁有專案建立者 (resourcemanager.projects.create) 權限，則不需要其他權限。

• 如果導入主題專家沒有組織層級的專案建立者權限，請授予下列專案層級的 IAM 角色：

  • Chronicle 服務管理員 (roles/chroniclesm.admin) (如果先前未授予此角色)
  • 編輯者 (roles/editor)
  • 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)
  • 服務使用情況管理員 (roles/serviceusage.serviceUsageAdmin)

設定識別資訊提供者的權限

您可以使用 IdP 管理使用者、群組和驗證。

為負責設定 IdP 的新客專家授予下列權限：

設定 Cloud Identity 或 Google Workspace 的權限

• Cloud Identity：

  如果您使用 Cloud Identity，請授予導入主題專家「管理專案、資料夾和機構的存取權」一文所述的角色和權限。

• Google Workspace：

  如果您使用 Google Workspace，導入主題專家必須擁有 Cloud Identity 管理員帳戶，並能登入管理控制台。

如要進一步瞭解如何使用 Cloud Identity 或 Google Workspace 做為身分識別提供者，請參閱「設定身分識別提供者 Google Cloud 」。

設定第三方 IdP 的權限

如果您使用第三方 IdP (例如 Okta 或 Azure AD)，請設定員工身分聯盟和員工身分集區，啟用安全驗證。

授予新進專家下列 IAM 角色和權限：

• 編輯者 (roles/editor)： Google SecOps 專案的專案編輯者權限。

• 機構層級的「身分與存取權管理工作團隊集區管理員」(roles/iam.workforcePoolAdmin) 權限。

  請使用下列範例設定 roles/iam.workforcePoolAdmin 角色：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
  

  更改下列內容：

  • ORGANIZATION_ID：機構 ID (數字)。
  • USER_EMAIL：管理員的電子郵件地址。

• 機構層級的「機構檢視者」(resourcemanager.organizations.get)權限。

將 Google SecOps 執行個體連結至 Google Cloud 服務的權限

授予新手指引主題專家與新增專案 Google Cloud 的權限。

如果您打算遷移現有的 Google SecOps 執行個體，則需要 Google SecOps 的存取權。如需預先定義角色清單，請參閱 IAM 中的 Google SecOps 預先定義角色。

使用 IAM 設定功能存取控管機制的權限

• 在專案層級將專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin) 角色授予新手指引 SME。您必須具備這項權限，才能指派及修改專案的 IAM 角色繫結。

• 根據使用者的職責指派 IAM 角色。如需範例，請參閱「為使用者和群組指派角色」。

  如果您打算將現有的 Google SecOps 執行個體遷移至 IAM，請授予導入主題專家與設定身分識別提供者權限相同的權限。

設定資料存取權控管的權限

將下列 IAM 角色授予新手指引主題專家：

• 「Chronicle API 管理員」(roles/chronicle.admin) 和「角色檢視者」(roles/iam.roleViewer) 角色，可為使用者設定資料 RBAC。
• 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin) 或安全管理員 (roles/iam.securityAdmin) 角色，可將範圍指派給使用者。

如果沒有必要角色，請在 IAM 中指派角色。

Google SecOps 進階功能需求

下表列出 Google SecOps 進階功能，以及這些功能對客戶提供的 Google Cloud 專案和 Google 工作人員身分聯盟的依附元件。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。