Desaprovisionamiento de autoservicio para Google SecOps

Compatible con:

En este documento, se explica cómo usar la función de desaprovisionamiento de autoservicio en Google Security Operations para borrar un arrendatario de Google SecOps y todos los datos relacionados. Esta función proporciona un proceso escalable y compatible para controlar las solicitudes de eliminación de manera eficiente.

Con la cancelación del aprovisionamiento, puedes quitar el acceso de los usuarios a Google SecOps y borrar el arrendatario, incluidos todos los datos y recursos asociados. Administras el proceso de eliminación directamente sin depender de asistencia externa.

Usa el rol de controlador de datos para desaprovisionar y restablecer

Para iniciar la cancelación del aprovisionamiento o restablecer un arrendatario, debes usar un usuario administrador con el rol de controlador de datos.

Implicaciones de facturación por borrar tu instancia

Antes de iniciar el proceso de cancelación del aprovisionamiento, es importante comprender las implicaciones de facturación, como se indica a continuación:

  • Si borras una instancia de Google SecOps, no se cancelará tu facturación.
  • Si tienes un contrato activo, seguirás siendo responsable del valor total del contrato, incluso después de borrar la instancia.
  • La facturación continúa hasta que finaliza el plazo del contrato, independientemente del estado del inquilino.

Fases de desaprovisionamiento

La eliminación de autoservicio ocurre en dos fases:

  • Fase de borrado no definitivo (período de gracia de 12 días)
  • Fase de eliminación definitiva (eliminación permanente en un plazo de 62 días)

Fase de eliminación no definitiva

Solo el Gobernador de Datos puede acceder a la página Perfil de Google SecOps, en la que puede hacer lo siguiente:

  • Consulta los días restantes en la fase de eliminación no definitiva.
  • Haz clic en Restaurar para cancelar la eliminación y restaurar el arrendatario.

El Gobernador de datos inicia un período de gracia de 12 días para la eliminación no definitiva antes de que los datos se borren de forma permanente. Durante esta fase, se aplican las siguientes restricciones y acciones:

  • El sistema inhabilita el acceso a la IU y a la API, y se detiene la transferencia de datos. No se transferirán datos nuevos al arrendatario de Google SecOps después de que se inicie la solicitud de eliminación.
  • Todos los roles pueden acceder a la página del perfil.
  • El controlador de datos puede ver la fase de eliminación no definitiva restante de 12 días y usar el botón Restablecer, que revierte la eliminación no definitiva y restablece el arrendatario.
  • La mayoría de las funciones del producto están desactivadas para todos los usuarios.

Fase de eliminación definitiva

Una vez que finaliza la fase de eliminación temporal de 12 días, comienza el proceso de eliminación de datos, que quita de forma sistemática los datos y los recursos asociados con el arrendatario de Google SecOps. Este proceso puede tardar hasta dos días.

Una vez que comienza el proceso, se realizan las siguientes acciones irreversibles:

  • Todos los datos del cliente, incluidas las instantáneas de copias de seguridad, se borran de forma permanente en un plazo de 62 días a partir de la solicitud inicial.
  • Todo el acceso a la IU se desactiva de forma permanente.

Desaprovisiona un arrendatario de Google SecOps

Para cancelar el aprovisionamiento de un arrendatario de Google SecOps, haz lo siguiente:

  1. Ve a Configuración > Perfil de Google SecOps.

  2. Haz clic en Inhabilitar y borrar. En una ventana de notificación, se muestran varios mensajes de advertencia:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Ingresa Borrar en el campo de confirmación.

  4. Haz clic en Inhabilitar y borrar. Aparecerá el mensaje Google SecOps has been disabled. All data will be deleted starting [date], en el que la fecha será de 12 días una vez que hagas clic en Inhabilitar y borrar. El usuario no puede navegar dentro de la plataforma. Un temporizador muestra el inicio y el progreso de la fase de eliminación no definitiva de 12 días.

Restablece un arrendatario borrado

Puedes restablecer tu arrendatario en un plazo de 12 días después de iniciar la eliminación. El sistema revierte tu arrendatario a su estado original con los datos existentes anteriormente. El botón Restaurar aparece después de que haces clic en Inhabilitar y borrar. Haz clic en Restaurar para restablecer la plataforma o el arrendatario de Google SecOps.

Limitaciones

  • La función de cancelación del aprovisionamiento solo proporciona capacidades de autoservicio que maneja el Equipo de asistencia al cliente. No unifica ni automatiza el proceso de cancelación del aprovisionamiento en todos los sistemas de Google SecOps.
  • Después de restablecer un arrendatario, todos los feeds de datos permanecen inactivos. Debes volver a activar manualmente los feeds de datos que necesites.
  • El sistema anula el aprovisionamiento del SIEM y de cualquier instancia de SOAR asociada. Sin embargo, las instancias asociadas de VirusTotal y Mandiant requieren la anulación manual del aprovisionamiento, que se realiza un seguimiento a través de un ticket de error.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.