为 Google SecOps 配置 Google Cloud 项目
在初始配置流程中,您的 Google SecOps 代表将与您合作 将 Google SecOps 实例绑定到 Google Cloud 项目 您拥有的 Google Cloud 组织。
该项目会创建一个控制层,供您启用、检查和管理 访问 Google SecOps 中写入到 Cloud Audit Logs 中的审核日志;创建自定义 使用 Cloud Monitoring 发出提取服务中断提醒,并存储导出的 历史数据。您可以在以下位置设置权限: 项目以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 对项目执行数据读写操作
在 Google SecOps 中,由 Google Cloud 创建的已建立控制层 项目会存储敏感的安全遥测数据,因此我们建议您预配新的 Google Cloud 项目。您还可以选择将 Google SecOps 绑定到现有 但要注意现有权限和限制 可能会影响其 Google SecOps 体验。
客户特定的数据存储在项目中。设置权限 ,以便项目可以访问 Google Security Operations API 和 Google Security Operations 可以对项目执行数据读写操作
Google SecOps 实例与 Google Cloud 之间存在 1 对 1 的关系 项目。您可以选择将与 Google SecOps 绑定的单个项目。如果 如果您有多个组织,请选择一个组织以创建此项目。 您无法将 Google SecOps 绑定到多个项目。
如果您有 Google Cloud 组织,但尚未创建用于 绑定到 Google SecOps,请执行创建项目中的步骤。
如需确定绑定到您的 Google SecOps 实例的项目,请执行以下操作: 我们建议您为项目名称使用以下格式:
<customer-frontend-path>-chronicle
其中 <customer-frontend-path> 是客户的具体标识符,用于 用于访问您的 Google SecOps 实例的网址。如需查看示例,请参阅登录 Chronicle。您的 Google SecOps 代表可以提供此值。
在项目中启用 Chronicle API。
- 选择您在上一步中创建的项目。
- 转到 API 和服务 >图书馆
- 搜索“Chronicle API”。
选择 Chronicle API,然后点击启用。
如需了解详情,请参阅在 Google Cloud 项目中启用 API。
配置重要联系人以接收来自 Google Cloud 的有针对性的通知。如需更多信息 请参阅管理通知联系人。
您可能会注意到,新服务账号拥有该项目的 IAM 权限。服务账号名称采用
service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com格式,其中
PROJECT_NUMBER在项目中是唯一的。此服务账号具有“Chronicle Service Agent”角色。该服务账号存在于 Google SecOps 维护的项目中。您可以前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框,查看此权限授予情况。
如果您没有看到新的服务账号,请检查 IAM 页面上是否启用了包括 Google 提供的角色授权按钮。
后续步骤
完成本文档中的步骤后,请执行以下操作:
- 对项目应用安全和合规控制措施,以满足您的业务用例和组织政策的要求。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,系统不会应用与您的 Google Cloud 组织关联或项目所要求的合规性限制。
- 将 Google SecOps 与 Cloud Identity 或第三方身份提供方集成。
- 按照 Google Security Operations 审核日志信息中的步骤启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目中。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,他们可以为您停用此功能。