Google SecOps 用に Google Cloud プロジェクトを構成する

以下でサポートされています。

オンボーディング プロセスでは、Google SecOps 担当者がお客様と連携して、お客様が所有する Google Cloud 組織内の Google Cloud プロジェクトに Google SecOps インスタンスをバインドします。

このプロジェクトは、Cloud Audit Logs に書き込まれる Google SecOps で生成される監査ログへのアクセスを有効化、検査、管理し、Cloud Monitoring を使用してカスタム取り込み停止アラートを作成し、エクスポートされた履歴データを保存するためのコントロール レイヤを作成します。プロジェクトに Chronicle API へのアクセス権を付与する権限を設定して、Google SecOps がプロジェクトに対してデータを読み書きできるようにします。

Google SecOps では、 Google Cloudプロジェクトによって作成された確立済みのコントロール レイヤが機密性の高いセキュリティ テレメトリーを保存するため、新しいGoogle Cloud プロジェクトをプロビジョニングすることをおすすめします。Google SecOps を既存のプロジェクトにバインドすることもできますが、関連付けられている既存の権限と制限が Google SecOps のサービスに与える影響に注意してください。

このプロジェクトは、お客様固有のデータが保存される場所です。プロジェクトが Chronicle API にアクセスし、Google Security Operations がプロジェクトに対してデータを読み書きできるように、プロジェクトで権限を設定します。

Google SecOps インスタンスと Google Cloudプロジェクトの間には 1 対 1 の関係があります。Google SecOps にバインドする単一のプロジェクトを選択します。複数の組織がある場合は、このプロジェクトを作成する組織を 1 つ選択します。 Google SecOps を複数のプロジェクトにバインドすることはできません。

  1. Google Cloud 組織はあるものの、Google SecOps にバインドするプロジェクトをまだ作成していない場合は、プロジェクトを作成するの手順を行います。

  2. プロジェクトで Chronicle API を有効にします。

    1. 前の手順で作成したプロジェクトを選択します。
    2. [API とサービス] > [ライブラリ] に移動します。
    3. 「Chronicle API」を検索します。

    4. Chronicle APIを選択し、[有効にする] をクリックします。

      Chronicle API を検索する

    詳細については、 Google Cloud プロジェクトで API を有効にするをご覧ください。

  3. Google Cloudからターゲット通知を受け取るための重要な連絡先を構成します。詳細については、通知の連絡先の管理をご覧ください。

    新しいサービス アカウントに、プロジェクトに対する IAM 権限が付与されていることがわかります。サービス アカウント名は、パターン service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com に従います。

    ここで、PROJECT_NUMBER はプロジェクトに固有のものです。このサービス アカウントには、「Chronicle サービス エージェント」のロールが割り当てられています。

    サービス アカウントは、Google SecOps によって管理されているプロジェクトに存在します。この権限付与を確認するには、 Google Cloud プロジェクトの IAM ページに移動し、右上隅の [Google 提供のロール付与を含める] チェックボックスをオンにします。

    新しいサービス アカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含める] ボタンが有効であることを確認します。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

  • ビジネスのユースケースと組織のポリシーを満たすように、プロジェクトにセキュリティとコンプライアンスの制御を適用します。詳しい手順については、Assured Workloads のドキュメントをご覧ください。 Google Cloud 組織に関連付けられているコンプライアンスの制限、またはプロジェクトで必要なコンプライアンスの制限は、デフォルトでは適用されていません。
  • Google SecOps を Cloud Identity またはサードパーティの ID プロバイダと統合します。
  • Google Security Operations の監査ロギングの情報の手順に沿って、Google SecOps の監査ロギングを有効にします。Google SecOps は、データアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。Google Cloud コンソールを使用してデータアクセスのロギングを無効にすることはできません。データアクセスのロギングを無効にする場合は、Google SecOps の担当者にお問い合わせください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。