Desinscripción automática de Google Security Operations
En este documento, se explica cómo usar la función de aprovisionamiento automático en Google Security Operations para borrar un inquilino de Google SecOps y todos los datos relacionados. Esta función proporciona un proceso escalable y conforme para controlar las solicitudes de eliminación de manera eficiente.
Con la baja de aprovisionamiento, puedes quitar el acceso de los usuarios a Google SecOps y borrar el inquilino, incluidos todos los datos y recursos asociados. Administras el proceso de eliminación directamente sin depender de la asistencia externa.
Usa el rol de controlador de datos para aprovisionar y restablecer
Para iniciar el aprovisionamiento o restablecer un inquilino, debes usar un usuario administrador con el rol de Controlador de datos.
Implicaciones de facturación de borrar tu instancia
Antes de iniciar el proceso de baja, es importante comprender las implicaciones de facturación, como se indica a continuación:
- Si borras una instancia de Google SecOps, no se cancelará tu facturación.
- Si tienes un contrato activo, seguirás siendo responsable del valor total del contrato, incluso después de borrar la instancia.
- La facturación continúa hasta que finaliza el plazo del contrato, independientemente del estado del inquilino.
Fases del desaprovisionamiento
La eliminación de autoservicio se realiza en dos fases:
- Fase de eliminación no definitiva (período de gracia de 12 días)
- Fase de eliminación definitiva (eliminación permanente en un plazo de 62 días)
Fase de eliminación no definitiva
Solo el Gobernador de datos puede acceder a la página Perfil de Google SecOps, en la que puede hacer lo siguiente:
- Consulta los días restantes del período de eliminación de forma no definitiva.
- Haz clic en Restore para cancelar la eliminación y restablecer el inquilino.
El Controlador de datos inicia un período de gracia de 12 días para la eliminación no definitiva antes de que los datos se borren de forma permanente. Durante esta fase, se aplican las siguientes restricciones y acciones:
- El sistema inhabilita el acceso a la IU y a la API, y se detiene la transferencia de datos. No se transferirán datos nuevos al inquilino de SecOps después de que se inicie la solicitud de eliminación.
- Todos los roles pueden acceder a la página de perfil.
- El Controlador de datos puede ver la fase de eliminación no definitiva restante de 12 días y usar el botón Restablecer, que revierte la eliminación no definitiva y restablece el usuario.
- La mayoría de las funciones del producto están desactivadas para todos los usuarios.
Fase de eliminación definitiva
Una vez que finaliza la fase de eliminación diferida de 12 días, comienza el proceso de eliminación de datos, que quita de forma sistemática los datos y los recursos asociados con el inquilino de SecOps de Google. Este proceso puede tardar hasta dos días.
Una vez que comienza el proceso, se producen las siguientes acciones irreversibles:
- Todos los datos del cliente, incluidas las instantáneas de las copias de seguridad, se borran de forma permanente en un plazo de 62 días a partir de la solicitud inicial.
- Se desactiva de forma permanente todo el acceso a la IU.
Desaprovisiona un inquilino de Google SecOps
Para aprovisionar un inquilino de Google SecOps, haz lo siguiente:
- Ve a Google SecOps Configuración > Perfil.
Haz clic en Inhabilitar y borrar. Aparecerá una ventana de notificación con varios mensajes de advertencia:
Access to SecOps will stop immediately; by continuing to disable and delete this instance:- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
- Data collection will stop within a few hours.
- The instance can continue to be charged for a period of time depending on your billing agreement.
All data including cases, alerts, detection rules, settings, and logs will be permanently deleted. Deleted data can't be recovered.
- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
Ingresa Borrar en el campo de confirmación.
Haz clic en Inhabilitar y borrar. Aparecerá el mensaje
SecOps has been disabled. All data will be deleted starting [date], en el que la fecha es de 12 días una vez que hagas clic en Inhabilitar y borrar. El usuario no puede navegar dentro de la plataforma. Un temporizador muestra el inicio y el progreso de la fase de eliminación diferida de 12 días.
Restablece un usuario borrado
Puedes restablecer tu inquilino dentro de los 12 días posteriores a la iniciación de la eliminación. El sistema revertirá tu inquilino a su estado original con los datos existentes anteriormente. El botón Restaurar aparece después de hacer clic en Inhabilitar y borrar. Haz clic en Restablecer para restablecer el inquilino o la plataforma de Google SecOps.
Limitaciones
- La función de baja solo proporciona funciones de autoservicio que controla el equipo de Atención al cliente. No unifica ni automatiza el proceso de baja en todos los sistemas de Google SecOps.
- Después de restablecer un inquilino, todos los feeds de datos permanecen inactivos. Debes volver a activar manualmente los feeds de datos que necesites.
- El sistema aprovisiona el SIEM y cualquier instancia de SOAR asociada. Sin embargo, las instancias asociadas de VirusTotal y Mandiant requerían el aprovisionamiento manual, al que se le hacía un seguimiento mediante un ticket de error.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.