Google SecOps 用に Google Cloud プロジェクトを構成する

オンボーディング プロセスでは、Google SecOps 担当者がお客様と連携して、お客様が所有する Google Cloud 組織内の Google Cloud プロジェクトに Google SecOps インスタンスをバインドします。

このプロジェクトは、Cloud Audit Logs に書き込まれる Google SecOps で生成される監査ログへのアクセスを有効化、検査、管理し、Cloud Monitoring を使用してカスタム取り込み停止アラートを作成し、エクスポートされた履歴データを保存するためのコントロール レイヤを作成します。プロジェクトに Chronicle API へのアクセス権を付与する権限を設定して、Google SecOps がプロジェクトに対してデータを読み書きできるようにします。

Google SecOps では、Google Cloud プロジェクトによって作成された確立済みのコントロール レイヤが機密性の高いセキュリティ テレメトリーを保存するため、新しい Google Cloud プロジェクトをプロビジョニングすることをおすすめします。Google SecOps を既存のプロジェクトにバインドすることもできますが、関連付けられている既存の権限と制限が Google SecOps のサービスに与える影響に注意してください。

このプロジェクトは、お客様固有のデータが保存される場所です。プロジェクトが Google Security Operations API にアクセスし、Google Security Operations がプロジェクトに対してデータを読み書きできるように、プロジェクトで権限を設定します。

Google SecOps インスタンスと Google Cloud プロジェクトの間には 1 対 1 の関係があります。Google SecOps にバインドする単一のプロジェクトを選択します。複数の組織がある場合は、このプロジェクトを作成する組織を 1 つ選択します。Google SecOps を複数のプロジェクトにバインドすることはできません。

  1. Google Cloud 組織はあるものの、Google SecOps にバインドするプロジェクトをまだ作成していない場合は、プロジェクトを作成するの手順を行います。

    Google SecOps インスタンスにバインドされているプロジェクトを特定するには、プロジェクト名に次のパターンを使用することをおすすめします。

    <customer-frontend-path>-chronicle

    ここで、<customer-frontend-path> はお客様固有の ID で、Google SecOps インスタンスにアクセスするために URL で使用されます。例については、Chronicle にログインするをご覧ください。この値は、Google SecOps 担当者が指定できます。

  2. プロジェクトで Chronicle API を有効にします。

    1. 前の手順で作成したプロジェクトを選択します。
    2. [API とサービス] > [ライブラリ] に移動します。
    3. 「Chronicle API」を検索します。

    4. Chronicle APIを選択し、[有効にする] をクリックします。

      Chronicle API を検索する

    詳細については、Google Cloud プロジェクトでの API の有効化をご覧ください。

  3. Google Cloud からターゲット通知を受け取るための重要な連絡先を構成します。詳細については、通知の連絡先の管理をご覧ください。

    新しいサービス アカウントに、プロジェクトに対する IAM 権限が付与されていることがわかります。サービス アカウント名は、パターン service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com に従います。

    PROJECT_NUMBER はプロジェクトに固有です。このサービス アカウントには「Chronicle サービス エージェント」のロールがあります。

    サービス アカウントは、Google SecOps によって管理されているプロジェクトに存在します。この権限付与を確認するには、Google Cloud プロジェクトの IAM ページに移動し、右上隅の [Google 提供のロール付与を含める] チェックボックスをオンにします。

    新しいサービス アカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含める] ボタンが有効であることを確認します。

次のステップ

このドキュメントの手順を完了したら、次の操作を行います。

  • プロジェクトにセキュリティとコンプライアンスの管理を適用して、ビジネス ユースケースと組織のポリシーを満たします。詳しい手順については、Assured Workloads のドキュメントをご覧ください。Google Cloud 組織に関連付けられているコンプライアンスの制限、またはプロジェクトで必要なコンプライアンスの制限は、デフォルトでは適用されていません。
  • Google SecOps を Cloud Identity またはサードパーティの ID プロバイダと統合します。
  • Google Security Operations の監査ロギングの情報の手順に沿って、Google SecOps 監査ロギングを有効にします。Google SecOps が、データアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。Google Cloud コンソールを使用してデータアクセスのロギングを無効にすることはできません。データアクセス ロギングを無効にする場合は、Google SecOps の担当者に連絡して無効にしてもらってください。