Google Cloud-Projekt für Google SecOps konfigurieren

Unterstützt in:

Während des Onboarding-Prozesses arbeitet Ihr Google SecOps-Mitarbeiter mit Sie Ihre Google SecOps-Instanz an ein Google Cloud-Projekt innerhalb einer Google Cloud-Organisation, deren Inhaber Sie sind.

Im Projekt wird eine Steuerungsebene erstellt, die Sie aktivieren, prüfen und verwalten können. Zugriff auf Audit-Logs, die in Google SecOps generiert und in Cloud-Audit-Logs geschrieben werden, benutzerdefinierte Ausfallbenachrichtigungen zur Aufnahme mit Cloud Monitoring und exportierte Speicherung Verlaufsdaten. Du kannst Berechtigungen einrichten in Zugriff auf Chronicle APIs gewähren, sodass Google SecOps um Daten in das Projekt zu lesen und zu schreiben.

In Google SecOps die festgelegte Steuerungsebene, die von Ihrem Google Cloud-Team erstellt wurde sensible Sicherheitstelemetriedaten gespeichert. Wir empfehlen daher, Google Cloud-Projekt Sie können Google SecOps auch an eine vorhandene Projekt erstellen, aber beachten Sie, wie damit verbundene bestehende Berechtigungen und Einschränkungen kann sich auf die Nutzung von Google SecOps auswirken.

Im Projekt werden kundenspezifische Daten gespeichert. Sie richten Berechtigungen ein im Projekt, damit das Projekt auf Google Security Operations APIs und Google Security Operations zugreifen kann Daten in das Projekt schreiben und lesen können.

Es besteht eine 1:1-Beziehung zwischen einer Google SecOps-Instanz und einer Google Cloud Projekt arbeiten. Sie wählen ein einzelnes Projekt aus, das an Google SecOps gebunden wird. Wenn Sie haben mehrere Organisationen. Wählen Sie eine Organisation aus, in der Sie dieses Projekt erstellen möchten. Sie können Google SecOps nicht an mehrere Projekte binden.

  1. Wenn Sie eine Google Cloud-Organisation haben, aber noch kein Projekt für An Google SecOps binden, führen Sie die Schritte unter Projekt erstellen aus.

    So ermitteln Sie, welches Projekt an Ihre Google SecOps-Instanz gebunden ist: empfehlen wir, das folgende Muster für den Projektnamen zu verwenden:

    <customer-frontend-path>-chronicle

    Dabei ist <customer-frontend-path> Ihre kundenspezifische Kennung und wird im URL für den Zugriff auf Ihre Google SecOps-Instanz. Ein Beispiel finden Sie unter In Google SecOps anmelden. Diesen Wert erhalten Sie von Ihrem Google SecOps-Ansprechpartner.

  2. Aktivieren Sie die Chronicle API im Projekt.

    1. Wählen Sie das Projekt aus, das Sie im vorherigen Schritt erstellt haben.
    2. Rufen Sie APIs und Dienste > Mediathek
    3. Suchen Sie nach „Chronicle API“.

    4. Wählen Sie Chronicle API aus und klicken Sie dann auf Aktivieren.

      Nach Chronicle API suchen

    Weitere Informationen finden Sie unter API im Google Cloud-Projekt aktivieren.

  3. Konfigurieren Sie „Wichtige Kontakte“, um gezielte Benachrichtigungen von Google Cloud zu erhalten. Weitere Informationen Siehe Kontakte für Benachrichtigungen verwalten.

    Möglicherweise stellen Sie fest, dass einem neuen Dienstkonto eine IAM-Berechtigung für das Projekt gewährt wurde. Der Name des Dienstkontos folgt dem Muster service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com,

    wobei PROJECT_NUMBER für das Projekt eindeutig ist. Dieses Dienstkonto hat die Rolle „Chronicle Service Agent“.

    Das Dienstkonto ist in einem von Google SecOps verwalteten Projekt enthalten. Sie können diese Berechtigung aufrufen, indem Sie die IAM-Seite Ihres Google Cloud-Projekts aufrufen und dann oben rechts das Kästchen Von Google bereitgestellte Rollenzuweisungen einbeziehen anklicken.

    Wenn das neue Dienstkonto nicht angezeigt wird, prüfen Sie, ob die Schaltfläche Von Google bereitgestellte Rollenzuweisungen einschließen auf der IAM-Seite aktiviert ist.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus:

  • Wenden Sie Sicherheits- und Compliancekontrollen auf das Projekt an, um Ihrem geschäftlichen Anwendungsfall und Ihren Organisationsrichtlinien gerecht zu werden. Weitere Informationen dazu finden Sie in der Dokumentation zu Assured Workloads. Compliancebeschränkungen, die mit Ihrer Google Cloud-Organisation verknüpft sind oder für Projekte erforderlich sind, werden nicht standardmäßig angewendet.
  • Binden Sie Google SecOps entweder in Cloud Identity oder in einen Drittanbieter-Identitätsanbieter ein.
  • Aktivieren Sie das Google SecOps-Audit-Logging. Folgen Sie dazu den Schritten unter Informationen zum Audit-Logging in Google Security Operations. Google SecOps schreibt Audit-Logs zum Datenzugriff und zu Administratoraktivitäten in das Projekt. Sie können das Datenzugriffs-Logging nicht in der Google Cloud Console deaktivieren. Wenn Sie das Datenzugriffs-Logging deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Er kann dies für Sie tun.