Deprovisioning self-service per Google Security Operations
Questo documento spiega come utilizzare la funzionalità di deprovisioning self-service in Google Security Operations per eliminare un tenant Google SecOps e tutti i dati correlati. Questa funzionalità fornisce una procedura scalabile e conforme per gestire in modo efficiente le richieste di eliminazione.
Con il deprovisioning, puoi rimuovere l'accesso degli utenti a Google SecOps ed eliminare il tenant, inclusi tutti i dati e le risorse associati. Gestisci direttamente la procedura di eliminazione senza fare affidamento sull'assistenza esterna.
Utilizzare il ruolo Data Governor per il deprovisioning e il ripristino
Per avviare il deprovisioning o il ripristino di un tenant, devi utilizzare un utente amministratore con il ruolo Data Governor.
Implicazioni della fatturazione dell'eliminazione dell'istanza
Prima di avviare la procedura di deprovisioning, è importante comprendere le implicazioni relative alla fatturazione, come segue:
- L'eliminazione di un'istanza Google SecOps non comporta l'annullamento della fatturazione.
- Se hai un contratto attivo, sei comunque responsabile dell'intero valore del contratto, anche dopo aver eliminato l'istanza.
- La fatturazione continua fino al termine del periodo contrattuale, indipendentemente dallo stato dell'utente.
Fasi di deprovisioning
L'eliminazione self-service avviene in due fasi:
- Fase di eliminazione temporanea (periodo di tolleranza di 12 giorni)
- Fase di eliminazione definitiva (eliminazione permanente entro 62 giorni)
Fase di eliminazione temporanea
Solo il responsabile dei dati può accedere alla pagina Profilo di Google SecOps, dove può:
- Visualizza i giorni rimanenti del periodo di eliminazione temporanea.
- Fai clic su Ripristina per annullare l'eliminazione e ripristinare il tenant.
Il Data Governor avvia un periodo di tolleranza di 12 giorni per l'eliminazione soft prima che i dati vengano eliminati definitivamente. Durante questa fase si applicano le seguenti limitazioni e azioni:
- Il sistema disattiva l'accesso all'interfaccia utente e all'API e l'importazione dei dati viene interrotta. Dopo l'avvio della richiesta di eliminazione, non verranno importati nuovi dati nel tenant SecOps.
- Tutti i ruoli possono accedere alla pagina del profilo.
- Il Data Governor può vedere la fase di eliminazione temporanea rimanente di 12 giorni e utilizzare il pulsante Ripristina, che annulla l'eliminazione temporanea e ripristina il tenant.
- La maggior parte delle funzionalità del prodotto viene disattivata per tutti gli utenti.
Fase di eliminazione definitiva
Al termine della fase di eliminazione soft di 12 giorni, inizia il processo di eliminazione dei dati, che rimuove sistematicamente i dati e le risorse associate al tenant Google SecOps. Questa procedura può richiedere fino a due giorni.
Una volta avviato il processo, vengono eseguite le seguenti azioni irreversibili:
- Tutti i dati del cliente, inclusi gli snapshot di backup, vengono eliminati definitivamente entro 62 giorni dalla richiesta iniziale.
- Tutto l'accesso all'interfaccia utente viene disattivato definitivamente.
Eseguire il deprovisioning di un tenant Google SecOps
Per eseguire il deprovisioning di un tenant Google SecOps:
- Vai a Impostazioni > Profilo di Google SecOps.
Fai clic su Disattiva ed elimina. Viene visualizzata una finestra di notifica con diversi messaggi di avviso:
Access to SecOps will stop immediately; by continuing to disable and delete this instance:- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
- Data collection will stop within a few hours.
- The instance can continue to be charged for a period of time depending on your billing agreement.
All data including cases, alerts, detection rules, settings, and logs will be permanently deleted. Deleted data can't be recovered.
- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
Inserisci Elimina nel campo di conferma.
Fai clic su Disattiva ed elimina. Viene visualizzato il messaggio
SecOps has been disabled. All data will be deleted starting [date], dove la data è 12 giorni dopo aver fatto clic su Disattiva ed elimina. L'utente non riesce a navigare all'interno della piattaforma. Un timer mostra l'inizio e l'avanzamento della fase di eliminazione soft di 12 giorni.
Ripristinare un tenant eliminato
Puoi ripristinare il tenant entro 12 giorni dall'avvio dell'eliminazione. Il sistema ripristina il tenant allo stato originale con i dati esistenti in precedenza. Il pulsante Ripristina viene visualizzato dopo aver fatto clic su Disattiva ed elimina. Fai clic su Ripristina per ripristinare il tenant/la piattaforma Google SecOps.
Limitazioni
- La funzionalità di deprovisioning fornisce solo funzionalità self-service gestite dall'assistenza clienti. Non unifica né automatizza il processo di deprovisioning in tutti i sistemi di SecOps di Google.
- Dopo il ripristino di un tenant, tutti i feed di dati rimangono inattivi. Devi riattivare manualmente i feed di dati di cui hai bisogno.
- Il sistema esegue il deprovisioning del SIEM e di eventuali istanze SOAR associate. Tuttavia, le istanze VirusTotal e Mandiant associate hanno richiesto il deprovisioning manuale, monitorato da un ticket relativo a un bug.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.