Google Security Operations 的自助停用
本文档介绍了如何使用 Google 安全运营中的自助停用功能删除 Google SecOps 租户和所有相关数据。此功能提供了一个可扩缩且合规的流程,可高效处理删除要求。
通过停用,您可以移除用户对 Google SecOps 的访问权限,并删除租户,包括所有关联的数据和资源。您可以直接管理删除流程,而无需依赖外部支持。
使用 Data Governor 角色停用和恢复
如需发起租户停用或恢复操作,您必须使用具有 Data Governor 角色的管理员用户。
删除实例的结算影响
在发起停用流程之前,请务必了解停用对结算的影响,如下所示:
- 删除 Google SecOps 实例不会取消您的结算。
- 如果您有有效的合同,即使您删除了实例,也仍需支付合同的全部费用。
- 无论租户的状态如何,结算将持续到合约期结束。
取消预配阶段
自行删除分为两个阶段:
- 软删除阶段(12 天宽限期)
- 硬删除阶段(62 天内永久删除)
软删除阶段
只有数据管理员才能访问 Google SecOps 资料页面,在该页面中,他们可以:
- 查看软删除期限的剩余天数。
- 点击恢复以取消删除并恢复租户。
在永久删除数据之前,数据管理器会启动 12 天的软删除宽限期。在此阶段,需要遵循以下限制和操作:
- 系统会停用界面和 API 访问权限,并停止数据提取;在发起删除请求后,系统将不会将任何新数据提取到 SecOps 租户。
- 所有角色都可以访问商家资料页面。
- Data Governor 可以查看剩余 12 天的软删除阶段,并使用恢复按钮,以还原软删除操作并恢复租户。
- 所有用户的大多数产品功能都处于停用状态。
硬删除阶段
12 天的软删除阶段结束后,系统会开始数据删除流程,系统会系统地移除与 Google SecOps 租户关联的数据和资源。此过程最多可能需要两天时间。
该流程开始后,系统会执行以下不可逆转的操作:
- 所有客户数据(包括备份快照)都会在初始请求后的 62 天内永久删除。
- 所有界面访问权限均会永久停用。
取消配置 Google SecOps 租户
如需停用 Google SecOps 租户,请执行以下操作:
- 依次前往 Google SecOps 的设置 > 个人资料。
点击停用并删除。系统随即会显示一个通知窗口,其中显示了多条警告消息:
Access to SecOps will stop immediately; by continuing to disable and delete this instance:- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
- Data collection will stop within a few hours.
- The instance can continue to be charged for a period of time depending on your billing agreement.
All data including cases, alerts, detection rules, settings, and logs will be permanently deleted. Deleted data can't be recovered.
- Only Admin users with role Data Governor can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
在确认字段中输入删除。
点击停用并删除。点击停用并删除后,系统会显示消息
SecOps has been disabled. All data will be deleted starting [date],其中日期为 12 天。用户无法在平台内导航。计时器会显示 12 天软删除期的开始时间和进度。
恢复已删除的租户
您可以在发起删除操作后的 12 天内恢复租户。系统会将您的租户还原为包含之前存在的数据的原始状态。点击停用并删除后,系统会显示恢复按钮。点击恢复以恢复 Google SecOps 租户/平台。
限制
- 停用功能仅提供由客户支持团队处理的自助服务功能。它不会统一或自动执行所有 Google SecOps 系统中的停用流程。
- 恢复租户后,所有数据 Feed 都将保持非活动状态。您必须手动重新激活所需的数据 Feed。
- 系统会取消预配 SIEM 和所有关联的 SOAR 实例;不过,关联的 VirusTotal 和 Mandiant 实例需要手动取消预配,并通过 bug 工单进行跟踪。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。