为 Google SecOps 配置 Google Cloud 项目
在初始配置过程中,您的 Google SecOps 代表会与您合作,将您的 Google SecOps 实例绑定到您拥有的 Google Cloud 组织内的 Google Cloud 项目。
您可以按照本文档中的步骤,在您拥有的 Google Cloud 组织中创建项目并启用 Chronicle API。
此项目创建了一个控制层,供您启用、检查和管理对写入 Cloud Audit Logs 的 Google SecOps 中的审核日志的访问权限,使用 Cloud Monitoring 创建自定义的提取服务中断提醒,以及存储导出的历史数据。您可以在项目中设置权限,以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 对项目执行数据读写操作。
由于 Google Cloud 项目创建的已建立控制层会存储敏感的安全遥测数据,因此我们建议您专门为 Google Security Operations 预配新的 Google Cloud 项目。您也可以选择将 Google SecOps 绑定到现有项目,但要注意关联的现有权限和限制可能会对用户的 Google SecOps 体验产生怎样的影响。
Google SecOps 实例与 Google Cloud 项目之间存在一对一关系。您可以选择单个绑定到 Google SecOps 的项目。如果您有多个组织,请选择一个您将创建此项目的组织。您无法将 Google SecOps 绑定到多个项目。
准备工作
请确保您有权执行本文档中的步骤。 如需了解新手入门流程每个阶段所需的权限,请参阅必需的角色。
创建和配置 Google Cloud 项目
以下部分介绍了为 Google Security Operations SIEM 创建项目的步骤。如需了解详情,请参阅创建项目。
选择要在其中创建项目的组织。
点击创建项目。
在 New Project 窗口中,执行以下操作:
输入项目名称。
为帮助识别绑定到您的 Google SecOps 实例的项目,我们建议您为项目名称使用以下格式:
`CUSTOMER_FRONTEND_PATH-chronicle`将
CUSTOMER_FRONTEND_PATH替换为用于访问您的 Google SecOps 实例的网址中您的客户专属标识符。如需查看示例,请参阅登录 Google SecOps。您的 Google SecOps 代表可以提供此值。选择结算账号。
输入上级组织。
在位置字段中,点击浏览,然后选择项目所在的组织或文件夹。
在项目中启用 Chronicle API。
- 选择您在上一步中创建的项目。
- 依次前往 API 和服务 > 库。
- 搜索 Chronicle API。
选择 Chronicle API,然后点击启用。
如需了解详情,请参阅在 Google Cloud 项目中启用 API。
配置重要联系人以接收来自 Google Cloud 的有针对性的通知。如需了解详情,请参阅管理通知联系人。
您可能会注意到,新服务帐号拥有该项目的 IAM 权限。服务帐号名称遵循
service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com格式,其中PROJECT_NUMBER对于项目是唯一的。此服务帐号具有“Chronicle Service Agent”角色。该服务帐号存在于 Google SecOps 维护的项目中。您可以前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框,查看此权限授予情况。
如果您没有看到新的服务帐号,请检查 IAM 页面上是否启用了包括 Google 提供的角色授权按钮。
后续步骤
完成本文档中的步骤后,请执行以下操作:
- 对项目应用安全和合规控制措施,以满足您的业务用例和组织政策的要求。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,与您的 Google Cloud 组织相关或项目所要求的合规性限制不会应用。
- 为 Google Security Operations 配置第三方身份提供方。
- 启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,他们可以为您停用此功能。