Deaktivierung per Selfservice für Google Security Operations
In diesem Dokument wird erläutert, wie Sie mit der Selfservice-Deaktivierungsfunktion in Google Security Operations einen Google SecOps-Tenant und alle zugehörigen Daten löschen. Diese Funktion bietet einen skalierbaren und richtlinienkonformen Prozess zur effizienten Bearbeitung von Anträgen auf Datenlöschung.
Mit der Deaktivierung können Sie den Nutzerzugriff auf Google SecOps entfernen und den Tenant einschließlich aller zugehörigen Daten und Ressourcen löschen. Sie verwalten den Löschvorgang direkt, ohne externen Support in Anspruch nehmen zu müssen.
Rolle „Data Governor“ zum Aufheben der Bereitstellung und Wiederherstellen verwenden
Wenn Sie die Deaktivierung oder Wiederherstellung eines Tenants starten möchten, müssen Sie einen Administrator mit der Rolle „Data Governor“ verwenden.
Auswirkungen auf die Abrechnung durch das Löschen Ihrer Instanz
Bevor Sie die Deaktivierung starten, sollten Sie sich über die Auswirkungen auf die Abrechnung informieren:
- Durch das Löschen einer Google SecOps-Instanz wird Ihre Abrechnung nicht gekündigt.
- Wenn Sie einen aktiven Vertrag haben, sind Sie auch nach dem Löschen der Instanz für den vollen Vertragswert verantwortlich.
- Die Abrechnung erfolgt unabhängig vom Status des Mieters bis zum Ende der Vertragslaufzeit.
Phasen der Aufhebung der Bereitstellung
Das Löschen per Selfservice erfolgt in zwei Phasen:
- Phase des vorläufigen Löschens (12-tägiger Kulanzzeitraum)
- Phase des endgültigen Löschens (Endgültiges Löschen innerhalb von 62 Tagen)
Phase des vorläufigen Löschens
Nur der Datenverantwortliche kann auf die Seite Google SecOps-Profil zugreifen. Dort kann er Folgendes tun:
- Sie sehen, wie viele Tage des Zeitraums für die Datenlöschung verbleiben.
- Klicken Sie auf Wiederherstellen, um das Löschen abzubrechen und die Instanz wiederherzustellen.
Der Datenverantwortliche löst einen Kulanzzeitraum von 12 Tagen für das vorläufige Löschen aus, bevor die Daten endgültig gelöscht werden. In dieser Phase gelten die folgenden Einschränkungen und Aktionen:
- Das System deaktiviert den UI- und API-Zugriff und die Datenaufnahme wird beendet. Nach dem Starten der Löschanfrage werden keine neuen Daten in den SecOps-Tenant aufgenommen.
- Alle Rollen können auf die Profilseite zugreifen.
- Der Data Governor kann die verbleibende 12-tägige Phase des Soft Deletes sehen und die Schaltfläche Wiederherstellen verwenden, um das Soft Delete rückgängig zu machen und den Mandanten wiederherzustellen.
- Die meisten Produktfunktionen sind für alle Nutzer deaktiviert.
Phase des endgültigen Löschens
Nach Ablauf der 12-tägigen Phase des weichen Löschens beginnt der Datenlöschvorgang. Dabei werden systematisch Daten und Ressourcen entfernt, die mit dem Google SecOps-Tenant verknüpft sind. Dieser Vorgang kann bis zu zwei Tage dauern.
Sobald der Vorgang gestartet wurde, werden die folgenden irreversiblen Aktionen ausgeführt:
- Alle Kundendaten, einschließlich Sicherungs-Snapshots, werden innerhalb von 62 Tagen nach der ersten Anfrage endgültig gelöscht.
- Der Zugriff auf die Benutzeroberfläche ist dauerhaft deaktiviert.
Bereitstellung eines Google SecOps-Tenants aufheben
So widerrufen Sie die Bereitstellung für einen Google SecOps-Tenant:
- Rufen Sie in Google SecOps die Einstellungen > Profil auf.
Klicken Sie auf Deaktivieren und löschen. Es wird ein Benachrichtigungsfenster mit mehreren Warnmeldungen angezeigt:
Access to SecOps will stop immediately; by continuing to disable and delete this instance:- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
- Data collection will stop within a few hours.
- The instance can continue to be charged for a period of time depending on your billing agreement.
All data including cases, alerts, detection rules, settings, and logs will be permanently deleted. Deleted data can't be recovered.
- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
Geben Sie im Bestätigungsfeld Delete (Löschen) ein.
Klicken Sie auf Deaktivieren und löschen. Wenn Sie auf Deaktivieren und löschen klicken, wird die Meldung
SecOps has been disabled. All data will be deleted starting [date]mit dem Datum „12 Tage“ angezeigt. Der Nutzer kann sich nicht auf der Plattform bewegen. Ein Timer zeigt den Beginn und den Fortschritt der 12-tägigen Phase des Soft Delete an.
Gelöschten Mandanten wiederherstellen
Sie können Ihren Tenant innerhalb von 12 Tagen nach dem Starten des Löschvorgangs wiederherstellen. Der Tenant wird vom System in den ursprünglichen Zustand mit den zuvor vorhandenen Daten zurückversetzt. Die Schaltfläche Wiederherstellen wird angezeigt, nachdem Sie auf Deaktivieren und löschen geklickt haben. Klicken Sie auf Wiederherstellen, um die Google SecOps-Instanz/-Plattform wiederherzustellen.
Beschränkungen
- Die Funktion zur Deaktivierung bietet nur Selfservice-Funktionen, die vom Kundensupport bearbeitet werden. Der Deaktivierungsprozess wird nicht für alle Google SecOps-Systeme vereinheitlicht oder automatisiert.
- Nach der Wiederherstellung eines Tenants bleiben alle Datenfeeds inaktiv. Sie müssen die benötigten Datenfeeds manuell wieder aktivieren.
- Das System deaktiviert die SIEM und alle zugehörigen SOAR-Instanzen. Die zugehörigen VirusTotal- und Mandiant-Instanzen mussten jedoch manuell deaktiviert werden, was über ein Bug-Ticket protokolliert wurde.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten