Chronicle 用の Google Cloud プロジェクトを構成する

オンボーディング プロセス中に、Chronicle 担当者はお客様と協力して、お客様が所有する Google Cloud 組織内の Google Cloud プロジェクトに Chronicle インスタンスをバインドします。

このドキュメントの手順を使用して、所有する Google Cloud 組織にプロジェクトを作成し、Chronicle API を有効にします。

このプロジェクトは、Cloud Audit Logs に書き込まれる Chronicle で生成される監査ログへのアクセスを有効化、検査、管理し、Cloud Monitoring を使用してカスタム取り込み停止アラートを作成し、エクスポートされた履歴データを保存するためのコントロール レイヤを作成します。プロジェクトに Chronicle API へのアクセス権を付与する権限を設定して、Chronicle がプロジェクトに対してデータを読み書きできるようにします。

Google Cloud プロジェクトによって作成された確立済みのコントロール レイヤは機密性の高いセキュリティ テレメトリーを格納するため、Chronicle 専用の新しい Google Cloud プロジェクトをプロビジョニングすることをおすすめします。Chronicle を既存のプロジェクトにバインドすることもできますが、関連付けられている既存の権限と制限が Chronicle のサービスに与える影響に注意してください。

Chronicle インスタンスと Google Cloud プロジェクトは、1 対 1 の関係にあります。Chronicle にバインドするプロジェクトを 1 つ選択します。複数の組織がある場合は、このプロジェクトを作成する組織を 1 つ選択します。Chronicle を複数のプロジェクトにバインドすることはできません。

準備

このドキュメントの手順を実行する権限があることを確認します。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールをご覧ください。

Google Cloud プロジェクトを作成して構成する

以下のセクションでは、Chronicle SIEM のプロジェクトを作成する手順について説明します。詳細については、プロジェクトを作成するをご覧ください。

  1. プロジェクトを作成する組織を選択します。

  2. [プロジェクトを作成] をクリックします。

  3. [New Project] ウィンドウで、次の操作を行います。

    • プロジェクト名を入力します。

      Chronicle インスタンスにバインドされているプロジェクトを特定するには、プロジェクト名に次のパターンを使用することをおすすめします。

      `CUSTOMER_FRONTEND_PATH-chronicle`

      CUSTOMER_FRONTEND_PATH は、Chronicle インスタンスにアクセスする URL で使用されている顧客固有の ID に置き換えます。例については、Chronicle にログインするをご覧ください。Chronicle の担当者がこの値を指定できます。

    • 請求先アカウントを選択します。

    • 親組織を入力します。

    • [ロケーション] フィールドで、[参照] をクリックして、プロジェクトを配置する組織またはフォルダを選択します。

  4. プロジェクトで Chronicle API を有効にします。

    1. 前の手順で作成したプロジェクトを選択します。
    2. [API とサービス] > [ライブラリ] に移動します。
    3. Chronicle API を検索します。

    4. Chronicle APIを選択し、[有効にする] をクリックします。

      詳細については、Google Cloud プロジェクトでの API の有効化をご覧ください。

  5. Google Cloud から対象の通知を受信するように重要な連絡先を構成します。詳細については、通知の連絡先の管理をご覧ください。

    新しいサービス アカウントにプロジェクトに対する IAM 権限が付与されていることに気づくかもしれません。サービス アカウント名は、パターン service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com に従います。

    ここで、PROJECT_NUMBER はプロジェクトに固有のものです。このサービス アカウントには「Chronicle サービス エージェント」のロールが付与されています。

    サービス アカウントが、Chronicle によって管理されているプロジェクトに存在します。この権限付与を確認するには、Google Cloud プロジェクトの IAM ページに移動し、右上隅の [Google 提供のロール付与を含める] チェックボックスをオンにします。

    新しいサービス アカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含みます] ボタンが有効であることを確認します。

次のステップ

このドキュメントの手順を完了したら、次の操作を行います。

  • ビジネス ユースケースと組織のポリシーを満たすために、セキュリティとコンプライアンスの管理をプロジェクトに適用します。詳しい手順については、Assured Workloads のドキュメントをご覧ください。Google Cloud 組織に関連付けられている、またはプロジェクトで必要なコンプライアンス制限は、デフォルトでは適用されません。
  • Chronicle のサードパーティ ID プロバイダを設定します
  • Chronicle の監査ロギングを有効にします。Chronicle がデータアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。Google Cloud コンソールを使用してデータアクセスのロギングを無効にすることはできません。データアクセスのロギングを無効にする場合は、Chronicle の担当者に依頼してください。