Google SecOps 自助式取消配置

支持的语言:

本文档介绍了如何使用 Google Security Operations 中的自助式取消配置功能来删除 Google SecOps 租户和所有相关数据。此功能提供了一个可伸缩且合规的流程,可用于高效处理删除请求。

通过取消配置,您可以移除用户对 Google SecOps 的访问权限,并删除租户,包括所有关联的数据和资源。您可以直接管理删除流程,而无需依赖外部支持。

使用 Data Governor 角色取消配置和恢复

如需启动取消配置或恢复租户,您必须使用具有 Data Governor 角色的管理员用户。

删除实例的结算影响

在启动取消配置流程之前,请务必了解结算方面的影响,如下所示:

  • 删除 Google SecOps 实例不会取消结算。
  • 如果您有有效合约,即使在删除实例后,您仍需支付合约期内的全部费用。
  • 无论租户的状态如何,结算都会持续到合同期限结束。

取消预配阶段

自助删除分为两个阶段:

  • 软删除阶段(12 天宽限期)
  • 硬删除阶段(在 62 天内永久删除)

软删除阶段

只有数据监管员可以访问 Google SecOps 个人资料页面,在该页面上,数据监管员可以执行以下操作:

  • 查看软删除阶段的剩余天数。
  • 点击恢复以取消删除并恢复租户。

在数据被永久删除之前,数据监管员会启动 12 天的软删除宽限期。在此阶段,您需要遵循以下限制并执行以下操作:

  • 系统会停用界面和 API 访问权限,并停止数据注入;在删除请求发起后,Google SecOps 租户中不会再提取任何新数据。
  • 所有角色都可以访问个人资料页面。
  • 数据监管员可以查看剩余的 12 天软删除阶段,并使用恢复按钮来撤消软删除并恢复租户。
  • 所有用户都无法使用大多数产品功能。

硬删除阶段

12 天的软删除阶段结束后,系统会开始删除数据,有条不紊地移除与 Google SecOps 租户相关联的数据和资源。此过程最多可能需要两天时间。

流程开始后,系统会执行以下不可逆的操作:

  • 所有客户数据(包括备份快照)都会在初始请求提交后的 62 天内被永久删除。
  • 所有界面访问权限都已永久停用。

取消配置 Google SecOps 租户

如需取消配置 Google SecOps 租户,请执行以下操作:

  1. 前往 Google SecOps 设置 > 个人资料

  2. 点击停用并删除。通知窗口会显示多条警告消息:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. 在确认字段中输入删除

  4. 点击停用并删除。系统会显示一条消息 Google SecOps has been disabled. All data will be deleted starting [date],其中日期为点击停用并删除后的 12 天。用户无法在平台内导航。计时器会显示 12 天软删除阶段的开始时间和进度。

恢复已删除的租户

您可以在发起删除后的 12 天内恢复租户。系统会将您的租户恢复到原始状态,并保留之前存在的数据。点击停用并删除后,系统会显示恢复按钮。点击恢复以恢复 Google SecOps 租户/平台。

限制

  • 取消配置功能仅提供由客户支持处理的自助服务功能。它不会统一或自动执行所有 Google SecOps 系统中的取消配置流程。
  • 恢复租户后,所有数据 Feed 仍处于非活动状态。您必须手动重新启用所需的数据 Feed。
  • 系统会取消预配 SIEM 和任何关联的 SOAR 实例;不过,关联的 VirusTotal 和 Mandiant 实例需要手动取消预配,这已通过 bug 工单进行跟踪。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。