Configurer un projet Google Cloud pour Google SecOps

Au cours du processus d'intégration, votre représentant Google SecOps travaille avec de lier votre instance Google SecOps à un projet Google Cloud dans une organisation Google Cloud qui vous appartient.

En suivant les étapes de ce document, vous allez créer un projet dans une organisation Google Cloud. que vous possédez et activez l'API Chronicle.

Ce projet crée une couche de contrôle que vous pouvez activer, inspecter et gérer l'accès aux journaux d'audit générés dans Google SecOps écrits dans Cloud Audit Logs, créez des des alertes d'indisponibilité d'ingestion à l'aide de Cloud Monitoring, et stockez les données exportées des données historiques. Vous pouvez configurer des autorisations dans au projet pour lui accorder l'accès aux API Chronicle, ce qui permet à Google SecOps pour lire et écrire des données dans le projet.

Étant donné que la couche de contrôle établie créée par votre stocke des données télémétriques de sécurité sensibles, nous vous recommandons de provisionner spécifique à Google Security Operations. Vous pouvez également choisir de lier Google SecOps à un mais vous devez tenir compte de la manière dont les autorisations et restrictions existantes sur leur expérience Google SecOps.

Il existe une relation de type un à un entre une instance Google SecOps et une instance Google Cloud projet. Vous choisissez un seul projet qui se lie à Google SecOps. Si Si vous possédez plusieurs organisations, sélectionnez celle dans laquelle créer ce projet. Vous ne pouvez pas lier Google SecOps à plusieurs projets.

Avant de commencer

Assurez-vous de disposer des autorisations nécessaires pour effectuer les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d’intégration, consultez la section Rôles requis.

Créer et configurer un projet Google Cloud

La section suivante décrit les étapes à suivre pour créer un projet pour la solution SIEM Google Security Operations. Pour en savoir plus, consultez Créer un projet.

  1. Sélectionnez l'organisation dans laquelle vous souhaitez créer un projet.

  2. Cliquez sur Créer un projet.

  3. Dans la fenêtre New Project (Nouveau projet), procédez comme suit:

    • Attribuez un nom au projet.

      Pour identifier plus facilement le projet associé à votre instance Google SecOps, nous vous recommandons d'utiliser le modèle suivant pour le nom du projet:

      `CUSTOMER_FRONTEND_PATH-chronicle`

      Remplacez CUSTOMER_FRONTEND_PATH par l'identifiant spécifique au client utilisé dans l'URL pour accéder à votre instance Google SecOps. Pour voir un exemple, consultez la section Se connecter à Google SecOps. Votre représentant Google SecOps peut vous fournir cette valeur.

    • Sélectionnez un compte de facturation.

    • Indiquez l'organisation parente.

    • Dans le champ Emplacement, cliquez sur Parcourir, puis sélectionnez l'organisation. ou le dossier dans lequel vous souhaitez placer le projet.

  4. Activez l'API Chronicle dans le projet.

    1. Sélectionnez le projet que vous avez créé à l'étape précédente.
    2. Accédez à API et Services > Bibliothèque
    3. Recherchez l'API Chronicle.

    4. Sélectionnez API Chronicle, puis cliquez sur Activer.

      Pour en savoir plus, consultez la page Activer une API dans votre projet Google Cloud.

  5. Configurez les contacts essentiels pour recevoir des notifications ciblées de Google Cloud. Pour plus d'informations, consultez la section Gérer les contacts pour les notifications.

    Vous remarquerez peut-être qu'un nouveau compte de service dispose d'une autorisation IAM sur le projet. Le nom du compte de service suit le modèle service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com, où PROJECT_NUMBER est propre au projet. Ce compte de service dispose du rôle "Agent de service Chronicle".

    Le compte de service existe dans un projet géré par Google SecOps. Pour voir cette autorisation, accédez à la page IAM de votre projet Google Cloud, puis cochez la case Inclure les attributions de rôles fournies par Google en haut à droite.

    Si vous ne voyez pas le nouveau compte de service, vérifiez que le bouton Inclure les attributions de rôles fournies par Google est activé sur la page IAM.

Étape suivante

Après avoir effectué les étapes décrites dans ce document, procédez comme suit:

  • Appliquez des contrôles de sécurité et de conformité au projet pour répondre aux besoins de votre entreprise et les règles d'administration. Pour savoir comment procéder, consultez la documentation Assured Workloads. Les restrictions de conformité associées à votre organisation Google Cloud ou requises par les projets ne sont pas appliquées par défaut.

    Si vous avez activé Access Transparency dans votre organisation, Google SecOps écrit des journaux Access Transparency lorsqu'un membre du personnel de Google accède à des contenus client compatibles avec les fonctionnalités SIEM. En savoir plus sur l'activation d'Access Transparency et l'affichage des journaux Access Transparency

  • Configurez un fournisseur d'identité tiers pour Google Security Operations.

  • Activez les journaux d'audit Google SecOps. Google SecOps écrit les journaux d'audit des accès aux données et les journaux d'audit des activités d'administration dans le projet. Vous ne pouvez pas désactiver la journalisation des accès aux données à l'aide de la console Google Cloud. Si vous souhaitez désactiver la journalisation des accès aux données, contactez votre représentant Google SecOps qui peut le désactiver pour vous.