Chronicle을 위한 Google Cloud 프로젝트 구성

온보딩 프로세스 중에 Chronicle 담당자는 사용자와 함께 사용자 소유의 Google Cloud 조직 내에서 Chronicle 인스턴스를 Google Cloud 프로젝트에 바인딩합니다.

이 문서의 단계에 따라 사용자가 소유하는 Google Cloud 조직에 프로젝트를 만들고 Chronicle API를 사용 설정합니다.

이 프로젝트는 Chronicle에서 생성되고 Cloud 감사 로그에 기록된 감사 로그에 대해 액세스를 사용 설정, 검사, 관리하고, Cloud Monitoring을 사용해서 커스텀 수집 중단 알림을 만들고, 내보낸 과거 데이터를 저장할 수 있게 해주는 제어 레이어를 만듭니다. Chronicle API에 대해 액세스 권한을 부여해서 Chronicle이 프로젝트에 대해 데이터를 읽고 쓸 수 있도록 프로젝트에서 권한을 설정할 수 있습니다.

Google Cloud 프로젝트로 만든 설정된 제어 레이어에 민감한 보안 원격 분석이 저장되므로, Chronicle에 대해 새 Google Cloud 프로젝트를 프로비저닝하는 것이 좋습니다. 또한 Chronicle을 기존 프로젝트에 바인딩하도록 선택할 수 있지만 연결된 기존 권한 및 제한이 해당 Chronicle 경험에 영향을 줄 수 있다는 점에 주의해야 합니다.

Chronicle 인스턴스와 Google Cloud 프로젝트 사이에는 일대일 관계가 있습니다. Chronicle에 바인딩되는 단일 프로젝트를 선택합니다. 여러 조직이 있으면 이 프로젝트를 만들려는 조직을 하나 선택합니다. Chronicle을 여러 프로젝트에 바인딩할 수 없습니다.

시작하기 전에

이 문서의 단계를 수행하기 위한 권한이 있는지 확인합니다. 온보딩 프로세스의 각 단계에 필요한 권한에 대해서는 필요한 역할을 참조하세요.

Google Cloud 프로젝트 만들기 및 구성

다음 섹션에서는 Chronicle SIEM에 대해 프로젝트를 만드는 단계를 설명합니다. 자세한 내용은 프로젝트 만들기를 참조하세요.

  1. 프로젝트를 만들려는 조직을 선택합니다.

  2. 프로젝트 만들기를 클릭합니다.

  3. 새 프로젝트 창에서 다음을 수행합니다.

    • 프로젝트 이름을 입력합니다.

      Chronicle 인스턴스에 바인딩되는 프로젝트를 쉽게 식별하려면 프로젝트 이름에 다음 패턴을 사용하는 것이 좋습니다.

      `CUSTOMER_FRONTEND_PATH-chronicle`

      CUSTOMER_FRONTEND_PATH를 Chronicle 인스턴스에 액세스하기 위해 URL에 사용된 고객 특정 식별자로 바꿉니다. 예시는 Chronicle에 로그인을 참조하세요. 이 값은 Chronicle 담당자에게 문의하세요.

    • 결제 계정을 선택합니다.

    • 상위 조직을 입력합니다.

    • 위치 필드에서 찾아보기를 클릭한 후 프로젝트를 배치하려는 조직 또는 폴더를 선택합니다.

  4. 프로젝트에서 Chronicle API를 사용 설정합니다.

    1. 이전 단계에서 만든 프로젝트를 선택합니다.
    2. API 및 서비스 > 라이브러리로 이동합니다.
    3. Chronicle API를 검색합니다.

    4. Chronicle API를 선택한 후 사용 설정을 클릭합니다.

      자세한 내용은 Google Cloud 프로젝트에서 API 사용 설정을 참조하세요.

  5. Google Cloud에서 타겟팅된 알림을 수신하도록 필수 연락처를 구성합니다. 자세한 내용은 알림 연락처 관리를 참조하세요.

    새 서비스 계정에 프로젝트에 대한 IAM 권한 부여가 있을 수 있습니다. 서비스 계정 이름은 service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com 패턴을 따릅니다.

    여기서 PROJECT_NUMBER는 프로젝트에 고유합니다. 이 서비스 계정에는 'Chronicle 서비스 에이전트' 역할이 있습니다.

    서비스 계정은 Chronicle에서 유지보수하는 프로젝트에 있습니다. 이 권한 부여는 Google Cloud 프로젝트의 IAM 페이지로 이동한 후 오른쪽 위 모서리에서 Google 제공 역할 부여 포함 체크박스를 선택하여 확인할 수 있습니다.

    새 서비스 계정이 표시되지 않으면 Google 제공 역할 부여 포함 버튼이 IAM 페이지에 사용 설정되었는지 확인합니다.

다음 단계

이 문서의 단계를 완료한 후 다음을 수행합니다.

  • 비즈니스 사용 사례 및 조직 정책을 충족하도록 프로젝트에 보안 및 규정 준수 제어를 적용합니다. 이를 수행하는 방법은 Assured Workloads 문서를 참조하세요. Google Cloud 조직과 연결되었거나 프로젝트에 요구되는 규정 준수 제한사항은 기본적으로 적용되지 않습니다.
  • Chronicle을 위한 타사 ID 공급업체를 구성합니다.
  • Chronicle 감사 로깅을 사용 설정합니다. Chronicle은 데이터 액세스 감사 로그 및 관리자 활동 감사 로그를 프로젝트에 기록합니다. Google Cloud 콘솔을 사용해서는 데이터 액세스 로깅을 사용 설정할 수 없습니다. 데이터 액세스 로깅을 사용 중지하려면 이 기능을 사용 중지할 수 있는 Chronicle 담당자에게 문의하세요.