为 Google SecOps 配置 Google Cloud 项目

在初始配置流程中,您的 Google SecOps 代表会与 将 Google SecOps 实例绑定到 Google Cloud 项目 您拥有的 Google Cloud 组织。

您可以按照本文档中的步骤,在 Google Cloud 组织中创建项目 并启用 Chronicle API。

此项目创建一个控制层,供您启用、检查和管理 访问 Google SecOps 中写入到 Cloud Audit Logs 中的审核日志;创建自定义 使用 Cloud Monitoring 发出提取服务中断提醒,并存储导出的 历史数据。您可以在以下位置设置权限: 项目以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 对项目执行数据读写操作

因为由 Google Cloud 创建的已建立的控制层 项目存储敏感的安全遥测数据,我们建议您预配新的 专门用于 Google Security Operations 的 Google Cloud 项目。 您还可以选择将 Google SecOps 绑定到现有 但要注意现有权限和限制 可能会影响其 Google SecOps 体验。

Google SecOps 实例与 Google Cloud 之间存在一对一关系 项目。您可以选择单个绑定到 Google SecOps 的项目。如果 如果您有多个组织,请选择一个创建此项目的组织。 您无法将 Google SecOps 绑定到多个项目。

准备工作

请确保您有权执行本文档中的步骤。 如需了解新手入门流程各个阶段所需的权限, 请参阅所需的角色

创建和配置 Google Cloud 项目

以下部分介绍了为 Google Security Operations SIEM 创建项目的步骤。 如需了解详情,请参阅创建项目

  1. 选择要在其中创建项目的组织。

  2. 点击创建项目

  3. New Project 窗口中,执行以下操作:

    • 输入项目名称。

      为帮助识别绑定到您的 Google SecOps 实例的项目,我们建议您为项目名称使用以下格式:

      `CUSTOMER_FRONTEND_PATH-chronicle`

      CUSTOMER_FRONTEND_PATH 替换为用于访问您的 Google SecOps 实例的网址中您的客户专属标识符。如需查看示例,请参阅登录 Google SecOps。您的 Google SecOps 代表可以提供此值。

    • 选择结算账号。

    • 输入上级组织。

    • 位置字段中,点击浏览,然后选择组织 项目或文件夹。

  4. 在项目中启用 Chronicle API。

    1. 选择您在上一步中创建的项目。
    2. 转到 API 和服务 >图书馆
    3. 搜索 Chronicle API

    4. 选择 Chronicle API,然后点击启用

      如需了解详情,请参阅在 Google Cloud 项目中启用 API

  5. 配置重要联系人以接收来自 Google Cloud 的有针对性的通知。如需更多信息 请参阅管理通知联系人

    您可能会注意到,新服务账号拥有该项目的 IAM 权限。服务账号名称采用 service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com 格式, 其中 PROJECT_NUMBER 在项目中是唯一的。此服务账号具有“Chronicle Service Agent”角色。

    该服务账号存在于 Google SecOps 维护的项目中。您可以前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框,查看此权限授予情况。

    如果您没有看到新的服务账号,请检查 IAM 页面上是否启用了包括 Google 提供的角色授权按钮。

后续步骤

完成本文档中的步骤后,请执行以下操作:

  • 对项目应用安全和合规控制措施,以满足您的业务需要 支持请求和组织政策。如需详细了解如何执行此操作 请参阅 Assured Workloads 文档。 默认情况下,与您的 Google Cloud 组织相关或项目所要求的合规性限制不会应用。

    如果您在组织中启用 Access Transparency,则当任何 Google 员工访问支持 SIEM 功能的客户内容时,Google SecOps 会写入 Access Transparency 日志。您可以详细了解如何启用 Access Transparency查看 Access Transparency 日志

  • 为 Google Security Operations 配置第三方身份提供方

  • 启用 Google SecOps 审核日志记录。 Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,他们可以为您停用此功能。