Configura un progetto Google Cloud per Google SecOps
Durante la procedura di onboarding, il rappresentante di Google SecOps collaborerà con te per associare l'istanza Google SecOps a un progetto Google Cloud all'interno di un'organizzazione Google Cloud di tua proprietà.
Il progetto crea un livello di controllo che ti consente di attivare, ispezionare e gestire l'accesso agli audit log generati in Google SecOps e scritti in Cloud Audit Logs, creare avvisi personalizzati relativi agli arresti anomali dell'importazione utilizzando Cloud Monitoring e archiviare i dati storici esportati. Puoi impostare le autorizzazioni in il progetto per concedergli l'accesso alle API Chronicle, consentendo a Google SecOps per leggere e scrivere dati nel progetto.
In Google SecOps, il livello di controllo stabilito creato dal progetto Google Cloud archivia la telemetria di sicurezza sensibile, pertanto ti consigliamo di eseguire il provisioning di un nuovo progetto Google Cloud. Puoi anche scegliere di associare Google SecOps a un progetto esistente, ma tieni presente in che modo le autorizzazioni e le limitazioni esistenti associate possono influire sull'esperienza Google SecOps.
Il progetto è il luogo in cui vengono archiviati i dati specifici del cliente. Hai configurato le autorizzazioni nel progetto, in modo che possa accedere alle API Chronicle e a Google Security Operations può leggere e scrivere dati nel progetto.
Esiste una relazione 1:1 tra un'istanza Google SecOps e un progetto Google Cloud. Scegli un singolo progetto da associare a Google SecOps. Se hai più organizzazioni, selezionane una in cui creare il progetto. Non puoi associare Google SecOps a più progetti.
Se hai un'organizzazione Google Cloud, ma non hai ancora creato un progetto da associare a Google SecOps, svolgi i passaggi descritti in Creare un progetto.
Abilita l'API Chronicle nel progetto.
- Seleziona il progetto che hai creato nel passaggio precedente.
- Vai ad API e Servizi > Raccolta
- Cerca "API Chronicle".
Seleziona API Chronicle e fai clic su Abilita.
Per maggiori dettagli, vedi Abilitare un'API nel progetto Google Cloud.
Configurare Contatti necessari per ricevere notifiche mirate da Google Cloud. Per ulteriori informazioni, vedi Gestione dei contatti per le notifiche.
Potresti notare che a un nuovo account di servizio è stata concessa un'autorizzazione IAM per il progetto. Il nome dell'account di servizio segue il pattern
service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com,dove
PROJECT_NUMBERè univoco per il progetto. Questo account di servizio ha il ruolo "Agente di servizio Chronicle".L'account di servizio esiste in un progetto gestito da Google SecOps. Per visualizzare questa concessione di autorizzazione, vai alla pagina IAM del tuo progetto Google Cloud e seleziona la casella di controllo Includi concessioni di ruolo fornite da Google nell'angolo in alto a destra.
Se non vedi il nuovo account di servizio, verifica che il pulsante Includi concessioni di ruoli fornite da Google sia attivo nella pagina IAM.
Passaggi successivi
Dopo aver completato i passaggi descritti in questo documento, segui questi passaggi:
- Applica al progetto controlli di sicurezza e conformità per soddisfare il caso d'uso aziendale e i criteri dell'organizzazione. Per scoprire di più su come eseguire questa operazione, consulta la documentazione di Assured Workloads. Le limitazioni di conformità associate alla tua organizzazione Google Cloud o richieste dai progetti non vengono applicate per impostazione predefinita.
- Esegui l'integrazione di Google SecOps con Cloud Identity o con un provider di identità di terze parti.
- Attiva l'audit logging di Google SecOps seguendo i passaggi descritti in Informazioni sull'audit logging di Google Security Operations. Google SecOps scriverà nel progetto gli audit log di accesso ai dati e di attività di amministrazione. Non puoi disabilitare il logging degli accessi ai dati utilizzando la console Google Cloud. Se vuoi disattivare il logging dell'accesso ai dati, contatta il tuo rappresentante di Google SecOps, che può disattivarlo per te.