Deprovisioning self-service per Google SecOps

Supportato in:

Questo documento spiega come utilizzare la funzionalità di deprovisioning self-service in Google Security Operations per eliminare un tenant Google SecOps e tutti i dati correlati. Questa funzionalità fornisce un processo scalabile e conforme per gestire in modo efficiente le richieste di eliminazione.

Con il deprovisioning, puoi rimuovere l'accesso degli utenti a Google SecOps ed eliminare il tenant, inclusi tutti i dati e le risorse associati. Gestisci la procedura di eliminazione direttamente senza fare affidamento all'assistenza esterna.

Utilizzare il ruolo Data Governor per il deprovisioning e il ripristino

Per avviare il deprovisioning o ripristinare un tenant, devi utilizzare un utente amministratore con il ruolo Data Governor.

Implicazioni per la fatturazione dell'eliminazione dell'istanza

Prima di avviare la procedura di deprovisioning, è importante comprendere le implicazioni di fatturazione, come segue:

  • L'eliminazione di un'istanza Google SecOps non comporta l'annullamento della fatturazione.
  • Se hai un contratto attivo, sei comunque responsabile dell'intero valore del contratto, anche dopo aver eliminato l'istanza.
  • La fatturazione continua fino al termine del contratto, indipendentemente dallo stato dell'inquilino.

Fasi del deprovisioning

L'eliminazione self-service avviene in due fasi:

  • Fase di eliminazione temporanea (periodo di tolleranza di 12 giorni)
  • Fase di eliminazione definitiva (eliminazione permanente entro 62 giorni)

Fase di eliminazione temporanea

Solo il Data Governor può accedere alla pagina Profilo di Google SecOps, dove può:

  • Visualizza i giorni rimanenti nella fase di eliminazione temporanea.
  • Fai clic su Ripristina per annullare l'eliminazione e ripristinare il tenant.

Data Governor avvia un periodo di tolleranza di 12 giorni per l'eliminazione temporanea prima che i dati vengano eliminati definitivamente. Durante questa fase, si applicano le seguenti limitazioni e azioni:

  • Il sistema disattiva l'accesso all'interfaccia utente e all'API e l'importazione dati viene interrotta; nessun nuovo dato verrà importato nel tenant Google SecOps dopo l'avvio della richiesta di eliminazione.
  • Tutti i ruoli possono accedere alla pagina del profilo.
  • Il Data Governor può visualizzare la fase di eliminazione temporanea rimanente di 12 giorni e utilizzare il pulsante Ripristina, che annulla l'eliminazione temporanea e ripristina il tenant.
  • La maggior parte delle funzioni del prodotto sono disattivate per tutti gli utenti.

Fase di eliminazione definitiva

Al termine della fase di eliminazione temporanea di 12 giorni, inizia la procedura di eliminazione dei dati, che rimuove sistematicamente i dati e le risorse associati al tenant Google SecOps. Questa procedura può richiedere fino a due giorni.

Una volta avviato il processo, vengono eseguite le seguenti azioni irreversibili:

  • Tutti i dati dei clienti, inclusi gli snapshot di backup, vengono eliminati definitivamente entro 62 giorni dalla richiesta iniziale.
  • Tutto l'accesso all'interfaccia utente è disattivato in modo permanente.

Deprovisioning di un tenant Google SecOps

Per eseguire il deprovisioning di un tenant Google SecOps:

  1. Vai a Impostazioni > Profilo di Google SecOps.

  2. Fai clic su Disattiva ed elimina. In una finestra di notifica vengono visualizzati diversi messaggi di avviso:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Inserisci Elimina nel campo di conferma.

  4. Fai clic su Disattiva ed elimina. Viene visualizzato il messaggio Google SecOps has been disabled. All data will be deleted starting [date], dove la data è 12 giorni dopo aver fatto clic su Disattiva ed elimina. L'utente non può navigare all'interno della piattaforma. Un timer mostra l'inizio e l'avanzamento della fase di eliminazione temporanea di 12 giorni.

Ripristinare un tenant eliminato

Puoi ripristinare il tenant entro 12 giorni dall'avvio dell'eliminazione. Il sistema ripristina lo stato originale del tenant con i dati esistenti in precedenza. Il pulsante Ripristina viene visualizzato dopo aver fatto clic su Disattiva ed elimina. Fai clic su Ripristina per ripristinare il tenant/la piattaforma Google SecOps.

Limitazioni

  • La funzionalità di deprovisioning fornisce solo funzionalità self-service gestite dall'assistenza clienti. Non unifica né automatizza la procedura di deprovisioning in tutti i sistemi Google SecOps.
  • Dopo il ripristino di un tenant, tutti i feed di dati rimangono inattivi. Devi riattivare manualmente i feed di dati che ti servono.
  • Il sistema esegue il deprovisioning del SIEM e di tutte le istanze SOAR associate. Tuttavia, le istanze VirusTotal e Mandiant associate richiedono il deprovisioning manuale, monitorato da un ticket di bug.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.