Configurer un projet Google Cloud pour Google SecOps

Au cours du processus d'intégration, votre représentant Google SecOps vous aide à lier votre instance Google SecOps à un projet Google Cloud au sein d'une organisation Google Cloud qui vous appartient.

En suivant les étapes décrites dans ce document, vous allez créer un projet dans une organisation Google Cloud qui vous appartient et activer l'API Chronicle.

Ce projet crée une couche de contrôle permettant d'activer, d'inspecter et de gérer les accès aux journaux d'audit générés dans Google SecOps écrits dans Cloud Audit Logs, de créer des alertes d'indisponibilité d'ingestion personnalisées à l'aide de Cloud Monitoring et de stocker les données historiques exportées. Vous pouvez configurer des autorisations dans le projet pour lui accorder l'accès aux API Chronicle, ce qui permet à Google SecOps de lire et d'écrire des données dans le projet.

Étant donné que la couche de contrôle établie créée par votre projet Google Cloud stocke les données télémétriques de sécurité sensibles, nous vous recommandons de provisionner un nouveau projet Google Cloud spécialement pour Google Security Operations. Vous pouvez également choisir de lier Google SecOps à un projet existant, mais n'oubliez pas l'impact que les autorisations et restrictions existantes associées peuvent affecter leur expérience Google SecOps.

Il existe une relation de type un à un entre une instance Google SecOps et un projet Google Cloud. Vous choisissez un seul projet qui se lie à Google SecOps. Si vous disposez de plusieurs organisations, sélectionnez celle dans laquelle vous créez ce projet. Vous ne pouvez pas lier Google SecOps à plusieurs projets.

Avant de commencer

Assurez-vous de disposer des autorisations nécessaires pour effectuer les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d'intégration, consultez Rôles requis.

Créer et configurer un projet Google Cloud

La section suivante décrit les étapes à suivre pour créer un projet pour la solution SIEM Google Security Operations. Pour en savoir plus, consultez Créer un projet.

  1. Sélectionnez l'organisation dans laquelle vous souhaitez créer un projet.

  2. Cliquez sur Créer un projet.

  3. Dans la fenêtre New Project (Nouveau projet), procédez comme suit:

    • Attribuez un nom au projet.

      Pour identifier plus facilement le projet associé à votre instance Google SecOps, nous vous recommandons d'utiliser le modèle suivant pour le nom du projet:

      `CUSTOMER_FRONTEND_PATH-chronicle`

      Remplacez CUSTOMER_FRONTEND_PATH par l'identifiant spécifique au client utilisé dans l'URL pour accéder à votre instance Google SecOps. Pour voir un exemple, consultez la section Se connecter à Google SecOps. Votre représentant Google SecOps peut vous fournir cette valeur.

    • Sélectionnez un compte de facturation.

    • Indiquez l'organisation parente.

    • Dans le champ Emplacement, cliquez sur Parcourir, puis sélectionnez l'organisation ou le dossier dans lequel vous souhaitez placer le projet.

  4. Activez l'API Chronicle dans le projet.

    1. Sélectionnez le projet que vous avez créé à l'étape précédente.
    2. Accédez à API et services > Bibliothèque.
    3. Recherchez l'API Chronicle.

    4. Sélectionnez API Chronicle, puis cliquez sur Activer.

      Pour en savoir plus, consultez la page Activer une API dans votre projet Google Cloud.

  5. Configurez les contacts essentiels pour recevoir des notifications ciblées de Google Cloud. Pour en savoir plus, consultez la section Gérer les contacts pour les notifications.

    Vous remarquerez peut-être qu'un nouveau compte de service dispose d'une autorisation IAM sur le projet. Le nom du compte de service suit le modèle service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com, où PROJECT_NUMBER est unique au projet. Ce compte de service dispose du rôle "Agent de service Chronicle".

    Le compte de service existe dans un projet géré par Google SecOps. Pour voir cette autorisation, accédez à la page IAM de votre projet Google Cloud, puis cochez la case Inclure les attributions de rôles fournies par Google en haut à droite.

    Si vous ne voyez pas le nouveau compte de service, vérifiez que le bouton Inclure les attributions de rôles fournies par Google est activé sur la page IAM.

Étapes suivantes

Après avoir effectué les étapes décrites dans ce document, procédez comme suit:

  • Appliquez des contrôles de sécurité et de conformité au projet pour répondre aux exigences de votre cas d'utilisation et règles d'administration de votre entreprise. Pour savoir comment procéder, consultez la documentation Assured Workloads. Les restrictions de conformité associées à votre organisation Google Cloud ou requises par les projets ne sont pas appliquées par défaut.

    Si vous avez activé Access Transparency dans votre organisation, Google SecOps écrit des journaux Access Transparency lorsqu'un membre du personnel de Google accède à des contenus client compatibles avec les fonctionnalités SIEM. En savoir plus sur l'activation d'Access Transparency et l'affichage des journaux Access Transparency

  • Configurez un fournisseur d'identité tiers pour Google Security Operations.

  • Activez les journaux d'audit Google SecOps. Google SecOps écrit les journaux d'audit des accès aux données et les journaux d'audit des activités d'administration dans le projet. Vous ne pouvez pas désactiver la journalisation des accès aux données à l'aide de la console Google Cloud. Si vous souhaitez désactiver la journalisation des accès aux données, contactez votre représentant Google SecOps qui peut le désactiver pour vous.