为 Chronicle 配置 Google Cloud 项目
在初始配置过程中,Chronicle 代表会与您合作,将您的 Chronicle 实例绑定到您拥有的 Google Cloud 组织中的 Google Cloud 项目。
按照本文档中的步骤,在您拥有的 Google Cloud 组织中创建项目并启用 Chronicle API。
此项目会创建一个控制层,以便您启用、检查和管理对 Chronicle 中写入到 Cloud Audit Logs 的审核日志的访问权限,使用 Cloud Monitoring 创建自定义提取服务中断提醒,以及存储导出的历史数据。您可以在项目中设置权限,以向其授予对 Chronicle API 的访问权限,从而允许 Chronicle 在项目中读取和写入数据。
由于 Google Cloud 项目创建的已建立控制层会存储敏感的安全遥测数据,因此我们建议您专门为 Chronicle 预配一个新的 Google Cloud 项目。您也可以选择将 Chronicle 绑定到现有项目,但请注意相关的现有权限和限制可能会对其 Chronicle 体验产生怎样的影响。
Chronicle 实例与 Google Cloud 项目之间存在一对一关系。您可以选择一个绑定到 Chronicle 的项目。如果您有多个组织,请选择一个您在其中创建此项目的组织。 您无法将 Chronicle 绑定到多个项目。
准备工作
请确保您有权执行本文档中的步骤。 如需了解新手入门流程每个阶段所需的权限,请参阅必需的角色。
创建和配置 Google Cloud 项目
以下部分介绍了为 Chronicle SIEM 创建项目的步骤。 如需了解详情,请参阅创建项目。
选择您要创建项目的组织。
点击创建项目。
在 New Project 窗口中,执行以下操作:
输入项目名称。
为帮助识别哪个项目绑定到您的 Chronicle 实例,我们建议您对项目名称使用以下格式:
`CUSTOMER_FRONTEND_PATH-chronicle`将
CUSTOMER_FRONTEND_PATH替换为用于访问 Chronicle 实例的网址中特定于客户的标识符。如需查看示例,请参阅登录 Chronicle。您的 Chronicle 代表可以提供此值。选择结算帐号。
输入上级组织。
在位置字段中,点击浏览,然后选择项目所在的组织或文件夹。
在项目中启用 Chronicle API。
- 选择您在上一步中创建的项目。
- 依次转到 API 和服务 > 库
- 搜索 Chronicle API。
选择 Chronicle API,然后点击启用。
如需了解详情,请参阅在 Google Cloud 项目中启用 API。
配置重要联系人,以接收来自 Google Cloud 的有针对性的通知。如需了解详情,请参阅管理通知联系人。
您可能会注意到,新服务帐号拥有项目的 IAM 权限。服务帐号名称遵循
service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com格式,其中
PROJECT_NUMBER对于项目是唯一的。此服务帐号具有“Chronicle Service Agent”角色。该服务帐号存在于 Chronicle 维护的项目中。如需查看此权限授予情况,请前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框。
如果您没有看到新服务帐号,请检查是否已在 IAM 页面上启用了包括 Google 提供的角色授权按钮。
后续步骤
完成本文档中的步骤后,请执行以下操作:
- 对项目应用安全和合规性控制措施,以满足您的业务用例和组织政策的要求。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,系统不会应用与您的 Google Cloud 组织关联的合规性限制或项目要求的合规性限制。
- 为 Chronicle 配置第三方身份提供方。
- 启用 Chronicle 审核日志记录。Chronicle 将数据访问审核日志和管理活动审核日志写入项目中。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Chronicle 代表联系,他们可以为您停用该功能。