Desprovisionamento self-service do Google SecOps

Compatível com:

Este documento explica como usar o recurso de desprovisionamento self-service no Google Security Operations para excluir um locatário do Google SecOps e todos os dados relacionados. Esse recurso oferece um processo escalonável e compatível para lidar com solicitações de exclusão de maneira eficiente.

Com o desprovisionamento, é possível remover o acesso do usuário ao Google SecOps e excluir o locatário, incluindo todos os dados e recursos associados. Você gerencia o processo de exclusão diretamente, sem depender de suporte externo.

Usar a função de administrador de dados para desprovisionar e restaurar

Para iniciar o desprovisionamento ou restaurar um locatário, use um usuário administrador com a função Governador de dados.

Implicações no faturamento da exclusão da instância

Antes de iniciar o processo de desprovisionamento, é importante entender as implicações de faturamento, conforme descrito abaixo:

  • Excluir uma instância do Google SecOps não cancela o faturamento.
  • Se você tiver um contrato ativo, ainda será responsável pelo valor total, mesmo depois de excluir a instância.
  • O faturamento continua até o fim do prazo do contrato, independente do status do locatário.

Fases de desprovisionamento

A exclusão por autoatendimento ocorre em duas fases:

  • Fase de exclusão reversível (período de carência de 12 dias)
  • Fase de exclusão irreversível (exclusão permanente em até 62 dias)

Fase de exclusão reversível

Somente o administrador de dados pode acessar a página Perfil do Google SecOps, onde é possível:

  • Confira os dias restantes na fase de exclusão reversível.
  • Clique em Restaurar para cancelar a exclusão e restaurar o locatário.

A Data Governor inicia um período de carência de 12 dias para a exclusão reversível antes que os dados sejam excluídos permanentemente. Durante essa fase, as seguintes restrições e ações se aplicam:

  • O sistema desativa o acesso UI e à API, e a ingestão de dados é interrompida. Nenhum dado novo será ingerido no locatário do Google SecOps depois que a solicitação de exclusão for iniciada.
  • Todas as funções podem acessar a página de perfil.
  • O Governador de dados pode ver a fase de exclusão reversível restante de 12 dias e usar o botão Restaurar, que reverte a exclusão reversível e restaura o locatário.
  • A maioria das funções do produto é desativada para todos os usuários.

Fase de exclusão irreversível

Após o término da fase de exclusão temporária de 12 dias, o processo de exclusão de dados é iniciado, removendo sistematicamente dados e recursos associados ao locatário do Google SecOps. Esse processo pode levar até dois dias.

Depois que o processo começa, as seguintes ações irreversíveis ocorrem:

  • Todos os dados do cliente, incluindo snapshots de backup, são excluídos permanentemente em até 62 dias após a solicitação inicial.
  • Todo o acesso à interface é desativado permanentemente.

Desprovisionar um locatário do Google SecOps

Para desprovisionar um locatário do Google SecOps, faça o seguinte:

  1. Acesse Configurações > Perfil do Google SecOps.

  2. Clique em Desativar e excluir. Uma janela de notificação mostra várias mensagens de aviso:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Insira Excluir no campo de confirmação.

  4. Clique em Desativar e excluir. A mensagem Google SecOps has been disabled. All data will be deleted starting [date] aparece, e a data é 12 dias depois que você clica em Desativar e excluir. O usuário não consegue navegar na plataforma. Um timer mostra o início e o progresso da fase de exclusão reversível de 12 dias.

Restaurar um locatário excluído

É possível restaurar seu locatário em até 12 dias após o início da exclusão. O sistema reverte seu locatário ao estado original com os dados que já existiam. O botão Restaurar aparece depois que você clica em Desativar e excluir. Clique em Restaurar para restaurar o locatário/plataforma do Google SecOps.

Limitações

  • O recurso de desprovisionamento oferece apenas recursos de autoatendimento gerenciados pelo Suporte ao cliente. Ele não unifica nem automatiza o processo de desprovisionamento em todos os sistemas do Google SecOps.
  • Depois de restaurar um locatário, todos os feeds de dados permanecem inativos. Você precisa reativar manualmente os feeds de dados necessários.
  • O sistema desprovisiona o SIEM e todas as instâncias SOAR associadas. No entanto, as instâncias associadas do VirusTotal e da Mandiant exigem desprovisionamento manual, rastreado por um tíquete de bug.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.