Google Cloud 为 Google SecOps 配置项目
在初始配置流程中,您的 Google SecOps 代表会与您合作,将您的 Google SecOps 实例绑定到您拥有的 Google Cloud 组织内的 Google Cloud 项目。
该项目会创建一个控制层,以便您启用、检查和管理对 Google SecOps 中生成并写入 Cloud Audit Logs 的审核日志的访问权限,使用 Cloud Monitoring 创建自定义提取中断提醒,以及存储导出的历史数据。您可以在项目中设置权限,以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 读取和写入项目中的数据。
在 Google SecOps 中, Google Cloud项目创建的已建立控制层会存储敏感的安全遥测数据,因此我们建议您预配一个新的Google Cloud 项目。您还可以选择将 Google SecOps 绑定到现有项目,但请注意关联的现有权限和限制可能会对其 Google SecOps 体验产生怎样的影响。
项目是存储客户专属数据的位置。您需要在项目中设置权限,以便项目可以访问 Chronicle API,并且 Google Security Operations 可以读取和写入项目中的数据。
Google SecOps 实例与 Google Cloud项目之间存在 1:1 的关系。您可以选择一个要与 Google SecOps 绑定的项目。如果您有多个组织,请选择一个组织来创建此项目。您无法将 Google SecOps 绑定到多个项目。
如果您有 Google Cloud 组织,但尚未创建要绑定到 Google SecOps 的项目,请执行创建项目中的步骤。
在项目中启用 Chronicle API。
- 选择您在上一步中创建的项目。
- 前往 API 和服务 > 库
- 搜索“Chronicle API”。
选择 Chronicle API,然后点击 Enable(启用)。
如需了解详情,请参阅在 Google Cloud 项目中启用 API。
配置重要联系人以接收来自 Google Cloud的定向通知。如需了解详情,请参阅管理通知联系人。
您可能会注意到,新服务账号已获得对项目的 IAM 权限授予。服务账号名称遵循
service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
模式,其中
PROJECT_NUMBER
是项目的唯一标识符。此服务账号具有“Chronicle 服务代理”角色。该服务账号位于 Google SecOps 维护的项目中。如需查看此权限授予,请前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框。
如果您没有看到新服务账号,请检查 IAM 页面上是否已启用收录的 Google 提供的角色授权按钮。
后续步骤
完成本文档中的步骤后,请执行以下操作:
- 对项目应用安全和合规性控制,以满足您的业务用例和组织政策。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,系统不会应用与您的组织关联或由项目要求的合规性限制。 Google Cloud
- 将 Google SecOps 与 Cloud Identity 或第三方身份提供方集成。
- 按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,对方可以为您停用此功能。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。