Google SecOps 用に Google Cloud プロジェクトを構成する

オンボーディング プロセス中に、Google SecOps 担当者がお客様と連携して、所有する Google Cloud 組織内の Google Cloud プロジェクトに Google SecOps インスタンスをバインドします。

このドキュメントの手順を使用して、所有する Google Cloud 組織にプロジェクトを作成し、Chronicle API を有効にします。

このプロジェクトは、Cloud Audit Logs に書き込まれる Google SecOps で生成される監査ログへのアクセスを有効化、検査、管理し、Cloud Monitoring を使用してカスタム取り込み停止アラートを作成し、エクスポートされた履歴データを保存するためのコントロール レイヤを作成します。プロジェクトに Chronicle API へのアクセス権を付与する権限を設定して、Google SecOps がプロジェクトに対してデータを読み書きできるようにします。

Google Cloud プロジェクトによって作成された確立済みのコントロール レイヤには機密性の高いセキュリティ テレメトリーが保存されるため、Google Security Operations 専用の新しい Google Cloud プロジェクトをプロビジョニングすることをおすすめします。Google SecOps を既存のプロジェクトにバインドすることもできますが、関連付けられている既存の権限と制限が Google SecOps エクスペリエンスに与える影響に注意してください。

Google SecOps インスタンスと Google Cloud プロジェクトの間には 1 対 1 の関係があります。Google SecOps にバインドするプロジェクトを 1 つ選択します。複数の組織がある場合は、このプロジェクトを作成する組織を 1 つ選択します。Google SecOps を複数のプロジェクトにバインドすることはできません。

始める前に

このドキュメントの手順を実行する権限があることを確認します。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールをご覧ください。

Google Cloud プロジェクトを作成して構成する

次のセクションでは、Google Security Operations SIEM 用のプロジェクトを作成する手順について説明します。詳細については、プロジェクトを作成するをご覧ください。

  1. プロジェクトを作成する組織を選択します。

  2. [プロジェクトを作成] をクリックします。

  3. [New Project] ウィンドウで、次の操作を行います。

    • プロジェクト名を入力します。

      Google SecOps インスタンスにバインドされているプロジェクトを識別しやすくするために、プロジェクト名に次のパターンを使用することをおすすめします。

      `CUSTOMER_FRONTEND_PATH-chronicle`

      CUSTOMER_FRONTEND_PATH は、Google SecOps インスタンスにアクセスするための URL で使用されるお客様固有の ID に置き換えます。例については、Google SecOps にログインするをご覧ください。この値は、Google SecOps の担当者にお問い合わせください。

    • 請求先アカウントを選択します。

    • 親組織を入力します。

    • [ロケーション] フィールドで、[参照] をクリックして、プロジェクトを配置する組織またはフォルダを選択します。

  4. プロジェクトで Chronicle API を有効にします。

    1. 前の手順で作成したプロジェクトを選択します。
    2. [API とサービス] > [ライブラリ] に移動します。
    3. Chronicle API を検索します。

    4. Chronicle APIを選択し、[有効にする] をクリックします。

      詳細については、Google Cloud プロジェクトでの API の有効化をご覧ください。

  5. Google Cloud から対象の通知を受信するように重要な連絡先を構成します。詳細については、通知の連絡先の管理をご覧ください。

    新しいサービス アカウントには、プロジェクトに対する IAM 権限が付与されている場合があります。サービス アカウント名は、パターン service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com に従います。ここで、PROJECT_NUMBER はプロジェクトに固有のものです。このサービス アカウントには、「Chronicle サービス エージェント」のロールがあります。

    サービス アカウントは Google SecOps が管理するプロジェクトに存在します。この権限付与を確認するには、Google Cloud プロジェクトの IAM ページに移動し、右上隅の [Google 提供のロール付与を含める] チェックボックスをオンにします。

    新しいサービス アカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含みます] ボタンが有効であることを確認します。

次のステップ

このドキュメントの手順を完了したら、次の操作を行います。

  • ビジネス ユースケースと組織のポリシーを満たすために、セキュリティとコンプライアンスの管理をプロジェクトに適用します。詳しい手順については、Assured Workloads のドキュメントをご覧ください。Google Cloud 組織に関連付けられているコンプライアンス制限やプロジェクトに必要なコンプライアンス制限は、デフォルトでは適用されません。
  • Google Security Operations 用にサードパーティ ID プロバイダを構成する
  • Google SecOps 監査ロギングを有効にします。Google SecOps は、データアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。Google Cloud コンソールを使用してデータアクセス ロギングを無効にすることはできません。データアクセスのロギングを無効にする場合は、Google SecOps の担当者に連絡し、無効にするよう依頼してください。