Déprovisionnement en libre-service pour Google Security Operations
Ce document explique comment utiliser la fonctionnalité de déprovisionnement en libre-service de Google Security Operations pour supprimer un locataire Google SecOps et toutes les données associées. Cette fonctionnalité fournit un processus évolutif et conforme pour gérer efficacement les demandes de suppression.
Le déprovisionnement vous permet de supprimer l'accès des utilisateurs à Google SecOps et de supprimer le locataire, y compris toutes les données et ressources associées. Vous gérez directement le processus de suppression sans avoir recours à une assistance externe.
Utiliser le rôle de gouverneur de données pour déprovisionner et restaurer
Pour lancer le déprovisionnement ou restaurer un locataire, vous devez utiliser un utilisateur administrateur disposant du rôle de gouverneur de données.
Conséquences de la suppression de votre instance sur la facturation
Avant de lancer le processus de déprovisionnement, il est important de comprendre les conséquences sur la facturation, comme suit:
- La suppression d'une instance Google SecOps n'annule pas votre facturation.
- Si vous avez un contrat actif, vous restez redevable de l'intégralité de sa valeur, même après avoir supprimé l'instance.
- La facturation se poursuit jusqu'à la fin de la période contractuelle, quel que soit l'état du locataire.
Phases de déprovisionnement
La suppression en libre-service se déroule en deux phases:
- Phase de suppression réversible (délai de grâce de 12 jours)
- Phase de suppression définitive (suppression définitive dans un délai de 62 jours)
Phase de suppression réversible
Seul le gouverneur des données peut accéder à la page Profil de Google SecOps, où il peut:
- Afficher le nombre de jours restants pendant la période de suppression réversible
- Cliquez sur Restaurer pour annuler la suppression et restaurer le locataire.
Le Gestionnaire de données déclenche un délai de grâce de 12 jours pour la suppression réversible avant que les données ne soient supprimées définitivement. Au cours de cette phase, les restrictions et actions suivantes s'appliquent:
- Le système désactive l'accès à l'UI et à l'API, et l'ingestion de données est interrompue. Aucune nouvelle donnée ne sera ingérée dans le locataire SecOps une fois la demande de suppression lancée.
- Tous les rôles peuvent accéder à la page de profil.
- Le gouverneur de données peut voir la phase de suppression réversible restante de 12 jours et utiliser le bouton Restore (Restaurer), qui annule la suppression réversible et restaure le locataire.
- La plupart des fonctionnalités du produit sont désactivées pour tous les utilisateurs.
Phase de suppression définitive
Une fois la phase de suppression temporaire de 12 jours terminée, le processus de suppression des données commence. Il consiste à supprimer systématiquement les données et les ressources associées au locataire Google SecOps. Ce processus peut prendre jusqu'à deux jours.
Une fois le processus lancé, les actions irréversibles suivantes se produisent:
- Toutes les données client, y compris les instantanés de sauvegarde, sont définitivement supprimées dans les 62 jours suivant la demande initiale.
- Tout accès à l'UI est désactivé définitivement.
Déprovisionner un locataire Google SecOps
Pour désprovisionner un locataire Google SecOps, procédez comme suit:
- Accédez à Google SecOps Paramètres > Profil.
Cliquez sur Désactiver et supprimer. Une fenêtre de notification s'affiche, avec plusieurs messages d'avertissement:
Access to SecOps will stop immediately; by continuing to disable and delete this instance:- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
- Data collection will stop within a few hours.
- The instance can continue to be charged for a period of time depending on your billing agreement.
All data including cases, alerts, detection rules, settings, and logs will be permanently deleted. Deleted data can't be recovered.
- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
Saisissez Supprimer dans le champ de confirmation.
Cliquez sur Désactiver et supprimer. Le message
SecOps has been disabled. All data will be deleted starting [date]s'affiche, avec la date de 12 jours une fois que vous avez cliqué sur Désactiver et supprimer. L'utilisateur ne peut pas naviguer dans la plate-forme. Un minuteur indique le début et la progression de la phase de suppression temporaire de 12 jours.
Restaurer un locataire supprimé
Vous pouvez restaurer votre locataire dans les 12 jours suivant la suppression. Le système rétablit votre locataire dans son état d'origine avec les données existantes. Le bouton Restore (Restaurer) s'affiche après avoir cliqué sur Disable & Delete (Désactiver et supprimer). Cliquez sur Restore (Restaurer) pour restaurer le tenant/la plate-forme Google SecOps.
Limites
- La fonctionnalité de déprovisionnement ne propose que des fonctionnalités en libre-service gérées par le service client. Il n'unifie ni n'automatise pas le processus de déprovisionnement dans l'ensemble des systèmes Google SecOps.
- Après la restauration d'un locataire, tous les flux de données restent inactifs. Vous devez réactiver manuellement les flux de données dont vous avez besoin.
- Le système désprovisionne le SIEM et les instances SOAR associées. Toutefois, les instances VirusTotal et Mandiant associées ont nécessité un désprovisionnement manuel, suivi par un ticket de bug.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.