Desaprovisionamento self-service para o Google SecOps

Compatível com:

Este documento explica como usar a funcionalidade de desaprovisionamento self-service no Google Security Operations para eliminar um inquilino do Google SecOps e todos os dados relacionados. Esta funcionalidade oferece um processo escalável e em conformidade para processar pedidos de eliminação de forma eficiente.

Com a anulação do aprovisionamento, pode remover o acesso do utilizador ao Google SecOps e eliminar o inquilino, incluindo todos os dados e recursos associados. Gerir o processo de eliminação diretamente sem depender de apoio técnico externo.

Use a função de administrador de dados para desaprovisionar e restaurar

Para iniciar a anulação do aprovisionamento ou restaurar um inquilino, tem de usar um utilizador administrador com a função de Data Governor.

Implicações de faturação da eliminação da instância

Antes de iniciar o processo de desaprovisionamento, é importante compreender as implicações de faturação, da seguinte forma:

  • A eliminação de uma instância do Google SecOps não cancela a sua faturação.
  • Se tiver um contrato ativo, continua a ser responsável pelo valor total do contrato, mesmo depois de eliminar a instância.
  • A faturação continua até ao fim do prazo do contrato, independentemente do estado do inquilino.

Fases de desaprovisionamento

A eliminação self-service ocorre em duas fases:

  • Fase de eliminação temporária (período de tolerância de 12 dias)
  • Fase de eliminação definitiva (eliminação permanente no prazo de 62 dias)

Fase de eliminação recuperável

Apenas o administrador de dados pode aceder à página do perfil do Google SecOps, onde pode:

  • Veja os dias restantes na fase de eliminação temporária.
  • Clique em Restaurar para cancelar a eliminação e restaurar o inquilino.

O Data Governor inicia um período de tolerância de 12 dias para a eliminação temporária antes de os dados serem eliminados permanentemente. Durante esta fase, aplicam-se as seguintes restrições e ações:

  • O sistema desativa o acesso à IU e à API, e a carregamento de dados é interrompido. Não são carregados novos dados para o inquilino do Google SecOps após o início do pedido de eliminação.
  • Todas as funções podem aceder à página do perfil.
  • O administrador de dados pode ver a fase de eliminação temporária restante de 12 dias e usar o botão Restaurar, que reverte a eliminação temporária e restaura o inquilino.
  • A maioria das funções do produto está desativada para todos os utilizadores.

Eliminar definitivamente a fase

Após o fim da fase de eliminação temporária de 12 dias, o processo de eliminação de dados é iniciado, removendo sistematicamente os dados e os recursos associados ao inquilino do Google SecOps. Este processo pode demorar até dois dias.

Assim que o processo for iniciado, ocorrem as seguintes ações irreversíveis:

  • Todos os dados dos clientes, incluindo as cópias de segurança instantâneas, são eliminados permanentemente no prazo de 62 dias após o pedido inicial.
  • Todo o acesso à IU é desativado permanentemente.

Desaprovisione um inquilino do Google SecOps

Para desaprovisionar um inquilino do Google SecOps, faça o seguinte:

  1. Aceda a Definiçõesdo Google SecOps> Perfil.

  2. Clique em Desativar e eliminar. É apresentada uma janela de notificação com várias mensagens de aviso:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Introduza Eliminar no campo de confirmação.

  4. Clique em Desativar e eliminar. É apresentada a mensagem Google SecOps has been disabled. All data will be deleted starting [date], em que a data é 12 dias depois de clicar em Desativar e eliminar. O utilizador não consegue navegar na plataforma. É apresentado um temporizador que indica o início e o progresso da fase de eliminação temporária de 12 dias.

Restaure um inquilino eliminado

Pode restaurar o seu inquilino no prazo de 12 dias após iniciar a eliminação. O sistema reverte o inquilino para o estado original com os dados existentes anteriormente. O botão Restaurar aparece depois de clicar em Desativar e eliminar. Clique em Restaurar para restaurar o inquilino/plataforma do Google SecOps.

Limitações

  • A funcionalidade de desaprovisionamento só oferece capacidades self-service processadas pelo apoio técnico. Não unifica nem automatiza o processo de desaprovisionamento em todos os sistemas do Google SecOps.
  • Após o restauro de um inquilino, todos os feeds de dados permanecem inativos. Tem de reativar manualmente os feeds de dados de que precisa.
  • O sistema desaprovisiona o SIEM e todas as instâncias SOAR associadas. No entanto, as instâncias associadas do VirusTotal e do Mandiant requeriam o desaprovisionamento manual, monitorizado por um pedido de erro.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.