Google SecOps - Deploy Básico

porMatheus Damacena -
Google SecOps - Deploy Guide

Deploy básico do Google SecOps no GCP

Processo oficial de onboarding - do contrato até a instância ativa com usuários e SOAR configurados via IAM

Pré-requisitos

Antes de iniciar o onboarding, sua organização precisa ter todos esses pontos atendidos.

Contrato ativo do Google SecOps assinado

Pacotes: Standard, Enterprise ou Enterprise Plus. O contrato autoriza o provisionamento da instância.

Organização Google Cloud configurada

Você precisa de uma organização GCP com permissão de criar projetos (resourcemanager.projects.create).

Conta de faturamento correta

O projeto GCP deve estar vinculado à mesma conta de faturamento usada na assinatura — contas diferentes resultam em cobrança incorreta.

SME de onboarding designado

Um responsável técnico deve ser definido — ele é quem recebe o e-mail de ativação e conduz o processo.

iO Google não faz o deploy automaticamente. O processo é iniciado pelo cliente após receber o e-mail de convite.
DocsOnboard a Google SecOps instance

E-mail de ativação

Após a assinatura do contrato, o SME de onboarding recebe um e-mail com o link de ativação.

De: noreply@google.com - Assunto: Ative sua instância do Google Security Operations
Sua organização adquiriu o Google Security Operations. Clique no link abaixo para iniciar o processo de ativação e vincular sua instância a um projeto Google Cloud...

Ir para ativação no Google Cloud
!O link de ativação é de uso único. Se expirar ou for usado incorretamente, contate o suporte do Google SecOps para reenvio.
DocsLink SecOps to GCP

Criar ou vincular um projeto GCP

Na página de ativação, você escolhe como vincular o SecOps a um projeto GCP.

Recomendado

Criar novo projeto

Projeto dedicado ao SecOps. Isola a telemetria de segurança e logs de auditoria dos outros recursos.

Com cuidado

Usar projeto existente

Possível, mas revise permissões e restrições que podem afetar o comportamento da instância.

!Um projeto GCP não pode estar vinculado a mais de uma instância do SecOps simultaneamente.
DocsConfigure GCP project

Habilitar a Chronicle API

Com o projeto selecionado, a Chronicle API precisa estar ativa para que o SecOps se comunique com o GCP.

Google Cloud Console
>
Security
>
Chronicle SecOps

Se a API não estiver habilitada, aparece o botão Getting Started. Preencha as informações:

Nome da empresacampo obrigatório
Região da instânciadefinida no contrato
Retenção de dadosdefinida no contrato
Service accountcriada automaticamente
iRegião e retenção são definidas no contrato e não podem ser alteradas durante o onboarding — apenas via suporte.
DocsConfigure GCP projectLink SecOps to GCP

Configurar o provedor de identidade (IdP)

O SecOps precisa de um IdP para gerenciar autenticação e acesso dos usuários.

Google Workspace

Mais simples se a organização já usa o ecossistema Google

Cloud Identity

IdP nativo do GCP para organizações sem Google Workspace

IdP terceiro

Okta, Azure AD etc. via Workforce Identity Federation (SAML)

Para IdP de terceiros: crie a aplicação SAML, configure o Workforce Identity Federation no GCP e mapeie os grupos para roles do SecOps após o deploy.

DocsGoogle Cloud identityThird-party identity

Adicionar usuários e configurar permissões (IAM)

O SecOps usa o Google Cloud IAM para controlar o acesso por features. Defina quem acessa e com qual nível antes de finalizar o deploy.

Roles predefinidos (SIEM)

Chronicle API Admin

roles/chronicle.admin

Acesso total. Gerencia configurações, regras, feeds e controle de acesso.

Criar e editar todas as configurações
Gerenciar regras YARA-L e feeds
Controlar acesso de outros usuários

Chronicle API Editor

roles/chronicle.editor

Cria e edita regras, feeds e configurações operacionais. Sem controle de acesso.

Criar e editar regras de detecção
Gerenciar feeds e parsers

Chronicle API Viewer

roles/chronicle.viewer

Somente leitura. Investigações, buscas e dashboards, sem modificar nada.

Buscar eventos e alertas (UDM Search)
Visualizar dashboards e detecções

Chronicle Restricted Viewer

roles/chronicle.restrictedViewer

Viewer sem acesso a regras de detecção e reference lists.

Todas as páginas exceto Detections
Sem acesso a Rules e Reference Lists

Conceder acesso via gcloud CLI

gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:soc-analysts@empresa.com"
iDefina políticas IAM no nível do projeto GCP. Use grupos em vez de usuários individuais sempre que possível.
DocsConfigure feature RBACRoles reference

Migrar o SOAR para controle pelo GCP IAM

A partir de 2025, o SOAR passou a ser controlado pelo Google Cloud IAM — unificando o gerenciamento de SIEM e SOAR em um único lugar. Esta migração é obrigatória.

Antes

SOAR gerenciado internamente

Permission groups configurados dentro do SOAR. Projeto hospedado pelo Google.

Depois

SOAR gerenciado pelo GCP IAM

IAM roles controlam o acesso. Projeto migrado para o GCP do cliente. Logs no Cloud Audit Logs.

Etapas da migração

Stage 1

Migração do projeto e permissões

Projeto SOAR migrado da propriedade do Google para o projeto GCP do cliente
Permission groups convertidos em IAM custom roles via script automatizado
APIs do SOAR migradas para a Chronicle API unificada
Downtime esperado: até 90 minutos (SIEM continua operando)
Stage 2 - prazo: setembro 2026
Legacy SOAR API e API Keys descontinuados após 30 de junho de 2026
Scripts devem ser atualizados para os endpoints da Chronicle API
Unified Feature RBAC (SIEM + SOAR via IAM) em GA desde janeiro 2026

Como executar a migração

1

Acesse Administration Settings — SOAR IAM Migration

No console GCP, navegue até Google SecOps > Administration Settings > aba SOAR IAM Migration

2

Copie o script gerado automaticamente

Em "Migrate role bindings", copie os comandos gcloud gerados com base nos seus permission groups existentes

3

Execute no Cloud Shell

Abra o Cloud Shell no console GCP, cole e execute os comandos. Verifique se todos rodaram com sucesso.

4

Clique em Enable IAM

Em "Finished with this task", clique em Enable IAM para ativar o novo controle de acesso unificado.

ok

Mapeie os roles no SOAR

Settings > SOAR Settings > Advanced > IAM Role Mapping — associe cada IAM role ao SOC role e environment.

!Se o projeto GCP tiver VPC Service Controls, é necessário definir regras de Ingress e Egress antes da migração. Contate o suporte do Google.
DocsSOAR migration overviewMigrate permissions to IAMFAQ

Boas práticas de permissão

Recomendações da documentação oficial para uma configuração segura e sustentável.

1

Use grupos, nunca usuários individuais

Atribua roles a grupos do IdP (ex: soc-tier1@empresa.com). Quando um analista sair, basta removê-lo do grupo — sem alterar políticas IAM.

2

Princípio do menor privilégio

A maioria dos analistas SOC deve ter roles/chronicle.viewer. Apenas engenheiros de detecção precisam de Editor. Admin deve ser reservado para no máximo 2 pessoas.

3

Unifique SIEM e SOAR no mesmo projeto GCP

Para deployments unificados, use o mesmo projeto para ambos. Isso permite gerenciamento unificado de RBAC, logs e auditoria.

4

Mapeie roles no SOAR após habilitar IAM

Acesse Settings > SOAR Settings > Advanced > IAM Role Mapping e associe cada IAM role ao SOC role, permission group e environment corretos.

5

Valide o acesso antes de ir para produção

Faça login com uma conta de teste de cada role. Mudanças IAM têm efeito imediato; mudanças no SOAR Settings só aplicam no próximo login.

DocsConfigure feature RBACControl SOAR access

Deploy final

Com projeto, API, IdP, permissões e SOAR IAM configurados, o deploy é executado automaticamente pelo sistema.

ok

Sistema valida as configurações

Chronicle API habilitada, billing account correta, permissões do SME verificadas

2

Instância provisionada

Processo leva até 15 minutos. Uma notificação é enviada ao concluir com sucesso.

3

Service account criada automaticamente

Visível no IAM com a opção "Include Google-provided Role Grants" ativada

4

SOAR migrado para o projeto GCP do cliente

Projeto SOAR sai da propriedade do Google e passa para o projeto GCP do cliente. Permissões unificadas via IAM.

5

Usuários fazem login e são registrados

Ao logar pela primeira vez, cada usuário é adicionado automaticamente em Settings > Organization

6

Próximos passos

Configurar ingestão de logs (BindPlane, Feeds, API), definir regras YARA-L e RBAC de dados

okCom essa configuração, SIEM e SOAR são gerenciados pelo mesmo IAM do GCP — uma única fonte de verdade para permissões, logs de auditoria e compliance.
DocsOnboarding overviewSOAR migrationRelease notes
01 / 09

Matheus Damacena

Graduado em Tecnologia de Redes de Computadores na Universidade Estácio de Sá - Niterói. Atualmente atua como Engenheiro de Pré-vendas Cisco. Certificado CCNP EN e SEC, CCNA, Azure Solutions Architect Expert, Azure Network Engineer.

Postagem Anterior Próxima Postagem
Compartilhar com outros aplicativos
Copiar Link da postagem

Formulário de contato