为 Google SecOps 配置 Google Cloud 项目

支持的平台:

在初始配置流程中,您的 Google SecOps 代表将与您合作 将 Google SecOps 实例绑定到 Google Cloud 项目 您拥有的 Google Cloud 组织。

该项目会创建一个控制层,供您启用、检查和管理 访问 Google SecOps 中写入到 Cloud Audit Logs 中的审核日志;创建自定义 使用 Cloud Monitoring 发出提取服务中断提醒,并存储导出的 历史数据。您可以在以下位置设置权限: 项目以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 对项目执行数据读写操作

在 Google SecOps 中,由 Google Cloud 创建的已建立控制层 项目会存储敏感的安全遥测数据,因此我们建议您预配新的 Google Cloud 项目。您还可以选择将 Google SecOps 绑定到现有项目,但请注意关联的现有权限和限制可能会对用户的 Google SecOps 体验产生怎样的影响。

项目是存储客户专属数据的位置。设置权限 ,以便项目可以访问 Chronicle API 和 Google Security Operations 可以对项目执行数据读写操作

Google SecOps 实例与 Google Cloud 之间存在 1 对 1 的关系 项目。您可以选择一个要与 Google SecOps 绑定的项目。如果 如果您有多个组织,请选择一个组织以创建此项目。 您无法将 Google SecOps 绑定到多个项目。

  1. 如果您有 Google Cloud 组织,但尚未创建要绑定到 Google SecOps 的项目,请执行创建项目中的步骤。

  2. 在项目中启用 Chronicle API。

    1. 选择您在上一步中创建的项目。
    2. 转到 API 和服务 >图书馆
    3. 搜索“Chronicle API”。
    4. 选择 Chronicle API,然后点击启用

      搜索 Chronicle API

    如需了解详情,请参阅在 Google Cloud 项目中启用 API

  3. 配置重要联系人以接收来自 Google Cloud 的有针对性的通知。如需了解详情,请参阅管理通知联系人

    您可能会注意到,新服务账号拥有该项目的 IAM 权限。服务账号名称遵循 service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com 模式,

    其中 PROJECT_NUMBER 是项目的唯一标识符。此服务账号具有“Chronicle 服务代理”角色。

    该服务账号位于 Google SecOps 维护的项目中。您可以前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框,查看此权限授予情况。

    如果您没有看到新的服务账号,请检查 IAM 页面上是否启用了包括 Google 提供的角色授权按钮。

后续步骤

完成本文档中的步骤后,请执行以下操作:

  • 对项目应用安全和合规性控制,以满足您的业务用例和组织政策。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,系统不会应用与您的 Google Cloud 组织关联或由项目要求的合规性限制。
  • 将 Google SecOps 与 Cloud Identity第三方身份提供方集成。
  • 按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目中。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,对方可以为您停用此功能。