Desaprovisionamiento de autoservicio de Google SecOps

Disponible en:

En este documento se explica cómo usar la función de desaprovisionamiento de autoservicio de Google Security Operations para eliminar un arrendatario de Google SecOps y todos los datos relacionados. Esta función proporciona un proceso escalable y conforme para gestionar las solicitudes de eliminación de forma eficiente.

Con el desaprovisionamiento, puedes quitar el acceso de los usuarios a Google SecOps y eliminar el arrendatario, incluidos todos los datos y recursos asociados. Puedes gestionar el proceso de eliminación directamente sin depender de asistencia externa.

Usar el rol Administrador de datos para retirar y restaurar

Para iniciar la cancelación del aprovisionamiento o restaurar un arrendatario, debe usar un usuario administrador con el rol Administrador de datos.

Implicaciones de la eliminación de una instancia en la facturación

Antes de iniciar el proceso de cancelación del aprovisionamiento, es importante que conozcas las implicaciones de facturación, tal como se indica a continuación:

  • Si eliminas una instancia de Google SecOps, no se cancelará tu facturación.
  • Si tienes un contrato activo, seguirás teniendo que abonar la totalidad del importe del contrato, aunque elimines la instancia.
  • La facturación continúa hasta que finaliza el plazo del contrato, independientemente del estado del inquilino.

Fases de la retirada de aprovisionamiento

La eliminación de autoservicio se realiza en dos fases:

  • Fase de eliminación no definitiva (periodo de gracia de 12 días)
  • Fase de eliminación definitiva (eliminación permanente en un plazo de 62 días)

Fase de eliminación no definitiva

Solo el administrador de datos puede acceder a la página Perfil de Google SecOps, donde puede hacer lo siguiente:

  • Consulta los días que quedan de la fase de eliminación lógica.
  • Haz clic en Restaurar para cancelar la eliminación y restaurar el arrendatario.

Data Governor inicia un periodo de gracia de 12 días para la eliminación no definitiva antes de que los datos se eliminen definitivamente. Durante esta fase, se aplican las siguientes restricciones y acciones:

  • El sistema inhabilita el acceso a la interfaz de usuario y a la API, y se detiene la ingestión de datos. No se ingerirán datos nuevos en el arrendatario de Google SecOps después de que se inicie la solicitud de eliminación.
  • Todos los roles pueden acceder a la página de perfil.
  • El administrador de datos puede ver la fase de eliminación lógica restante de 12 días y usar el botón Restaurar, que revierte la eliminación lógica y restaura el arrendatario.
  • La mayoría de las funciones del producto están desactivadas para todos los usuarios.

Fase de eliminación definitiva

Una vez finalizada la fase de eliminación lógica de 12 días, se inicia el proceso de eliminación de datos, que elimina sistemáticamente los datos y los recursos asociados al arrendatario de Google SecOps. Este proceso puede tardar hasta dos días.

Una vez que se inicie el proceso, se llevarán a cabo las siguientes acciones irreversibles:

  • Todos los datos de los clientes, incluidas las copias de seguridad, se eliminan permanentemente en un plazo de 62 días a partir de la solicitud inicial.
  • Todo el acceso a la interfaz de usuario se desactiva de forma permanente.

Dar de baja un arrendatario de Google SecOps

Para retirar el aprovisionamiento de un arrendatario de Google SecOps, sigue estos pasos:

  1. Ve a Google SecOps Configuración > Perfil.

  2. Haz clic en Inhabilitar y eliminar. Se muestra una ventana de notificación con varios mensajes de advertencia:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Escribe Eliminar en el campo de confirmación.

  4. Haz clic en Inhabilitar y eliminar. Aparecerá el mensaje Google SecOps has been disabled. All data will be deleted starting [date], donde la fecha será 12 días después de hacer clic en Inhabilitar y eliminar. El usuario no puede desplazarse por la plataforma. Un temporizador muestra el inicio y el progreso de la fase de eliminación lógica de 12 días.

Restaurar un cliente eliminado

Puedes restaurar tu arrendatario en un plazo de 12 días después de iniciar la eliminación. El sistema restaura el estado original de tu arrendatario con los datos que ya tenía. El botón Restaurar aparece después de hacer clic en Inhabilitar y eliminar. Haz clic en Restaurar para restaurar el tenant o la plataforma de Google SecOps.

Limitaciones

  • La función de cancelación solo ofrece funciones de autoservicio gestionadas por el equipo de Asistencia. No unifica ni automatiza el proceso de cancelación del aprovisionamiento en todos los sistemas de Google SecOps.
  • Después de restaurar un arrendatario, todos los feeds de datos permanecen inactivos. Debe volver a activar manualmente los feeds de datos que necesite.
  • El sistema desaprovisiona el SIEM y las instancias de SOAR asociadas. Sin embargo, las instancias asociadas de VirusTotal y Mandiant requieren un desaprovisionamiento manual, que se registra en un ticket de error.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.