Google SecOps 用の Google Cloud プロジェクトを構成する

オンボーディングプロセスでは、Google SecOps 担当者がお客様と連携して、お客様が所有する Google Cloud 組織内の Google Cloud プロジェクトに Google SecOps インスタンスをバインドします。

このドキュメントの手順を使用して、所有する Google Cloud 組織にプロジェクトを作成し、Chronicle API を有効にします。

このプロジェクトは、Cloud Audit Logs に書き込まれる Google SecOps で生成される監査ログへのアクセスを有効化、検査、管理し、Cloud Monitoring を使用してカスタム取り込み停止アラートを作成し、エクスポートされた履歴データを保存するためのコントロールレイヤを作成します。プロジェクトに Chronicle API へのアクセス権を付与する権限を設定して、Google SecOps がプロジェクトに対してデータを読み書きできるようにします。

Google Cloud プロジェクトによって作成された確立済みのコントロールレイヤが機密性の高いセキュリティテレメトリーを保存するため、Google Security Operations 専用の新しい Google Cloud プロジェクトをプロビジョニングすることをおすすめします。Google SecOps を既存のプロジェクトにバインドすることもできますが、関連付けられている既存の権限と制限が Google SecOps エクスペリエンスに与える影響に注意してください。

Google SecOps インスタンスと Google Cloud プロジェクトの間には 1 対 1 の関係があります。Google SecOps にバインドする単一のプロジェクトを選択します。複数の組織がある場合は、このプロジェクトを作成する組織を 1 つ選択します。Google SecOps を複数のプロジェクトにバインドすることはできません。

始める前に

このドキュメントの手順を実行する権限があることを確認します。オンボーディングプロセスの各フェーズに必要な権限については、必要なロールをご覧ください。

Google Cloud プロジェクトを作成して構成する

次のセクションでは、Google Security Operations SIEM のプロジェクトを作成する手順について説明します。詳細については、プロジェクトを作成するをご覧ください。

プロジェクトを作成する組織を選択します。
[プロジェクトを作成] をクリックします。
[新しいプロジェクト] ウィンドウで、次の操作を行います。
- プロジェクト名を入力します。
  
  Google SecOps インスタンスにバインドされているプロジェクトを識別できるように、プロジェクト名には次のパターンを使用することをおすすめします。
```
`CUSTOMER_FRONTEND_PATH-chronicle`
```
  CUSTOMER_FRONTEND_PATH は、Google SecOps インスタンスにアクセスするための URL に使用されるお客様固有の ID に置き換えます。例については、Google SecOps にログインするをご覧ください。この値は、Google SecOps 担当者が指定できます。
- 請求先アカウントを選択します。
- 親組織を入力します。
- [ロケーション] フィールドで [参照] をクリックして、プロジェクトを配置する組織またはフォルダを選択します。
プロジェクトで Chronicle API を有効にします。
1. 前の手順で作成したプロジェクトを選択します。
2. [API とサービス] > [ライブラリ] に移動します。
3. Chronicle API を検索します。
4. Chronicle APIを選択し、[有効にする] をクリックします。
  
  詳細については、Google Cloud プロジェクトでの API の有効化をご覧ください。
Google Cloud からターゲット通知を受け取るための重要な連絡先を構成します。詳細については、通知の連絡先の管理をご覧ください。

新しいサービスアカウントには、プロジェクトに対する IAM 権限が付与されている場合があります。サービスアカウント名は、service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com というパターンに従います。ここで、PROJECT_NUMBER はプロジェクトに固有のものです。このサービスアカウントには「Chronicle サービスエージェント」のロールがあります。

サービスアカウントは、Google SecOps によって管理されているプロジェクトに存在します。この権限付与を確認するには、Google Cloud プロジェクトの IAM ページに移動し、右上隅の [Google 提供のロール付与を含める] チェックボックスをオンにします。

新しいサービスアカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含める] ボタンが有効であることを確認します。

次のステップ

このドキュメントの手順を完了したら、次の操作を行います。

ビジネスユースケースと組織のポリシーを満たすために、セキュリティとコンプライアンスの制御をプロジェクトに適用します。詳しい手順については、Assured Workloads のドキュメントをご覧ください。Google Cloud 組織に関連付けられているコンプライアンスの制限、またはプロジェクトで必要なコンプライアンスの制限は、デフォルトでは適用されていません。

組織でアクセスの透明性を有効にすると、Google の担当者が SIEM 機能をサポートするお客様のコンテンツにアクセスしたときに、Google SecOps によってアクセスの透明性ログが書き込まれます。詳しくは、アクセスの透明性を有効にするとアクセスの透明性ログを表示するをご覧ください。
Google Security Operations 用にサードパーティ ID プロバイダを構成する
Google SecOps 監査ロギングを有効にします。Google SecOps は、データアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。Google Cloud コンソールを使用してデータアクセスロギングを無効にすることはできません。データアクセスロギングを無効にする場合は、Google SecOps の担当者に連絡して無効にしてもらってください。