Google Cloud-Projekt für Google SecOps konfigurieren

Während des Onboarding-Prozesses arbeitet Ihr Google SecOps-Ansprechpartner mit Ihnen zusammen, um Ihre Google SecOps-Instanz an ein Google Cloud-Projekt in einer Google Cloud-Organisation zu binden, deren Inhaber Sie sind.

Mithilfe der Schritte in diesem Dokument erstellen Sie ein Projekt in einer Google Cloud-Organisation, deren Inhaber Sie sind, und aktivieren die Chronicle API.

In diesem Projekt wird eine Steuerungsebene erstellt, mit der Sie den Zugriff auf Audit-Logs, die in Google SecOps generiert und in Cloud-Audit-Logs geschrieben werden, aktivieren, prüfen und verwalten, benutzerdefinierte Benachrichtigungen zu Aufnahmeausfällen mit Cloud Monitoring erstellen und exportierte Verlaufsdaten speichern. Sie können im Projekt Berechtigungen einrichten, um ihm Zugriff auf Chronicle APIs zu gewähren, damit Google SecOps Daten im Projekt lesen und schreiben kann.

Da auf der von Ihrem Google Cloud-Projekt erstellten Steuerungsebene sensible Sicherheitstelemetriedaten gespeichert werden, empfehlen wir, ein neues Google Cloud-Projekt speziell für Google Security Operations bereitzustellen. Sie können Google SecOps auch an ein vorhandenes Projekt binden. Beachten Sie jedoch, wie sich damit verbundene vorhandene Berechtigungen und Einschränkungen auf die Google SecOps-Erfahrung auswirken können.

Es besteht eine 1:1-Beziehung zwischen einer Google SecOps-Instanz und einem Google Cloud-Projekt. Sie wählen ein einzelnes Projekt aus, das an Google SecOps gebunden wird. Wenn Sie mehrere Organisationen haben, wählen Sie eine aus, in der Sie dieses Projekt erstellen. Sie können Google SecOps nicht an mehrere Projekte binden.

Hinweise

Prüfen Sie, ob Sie die Berechtigungen zum Ausführen der Schritte in diesem Dokument haben. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses finden Sie unter Erforderliche Rollen.

Google Cloud-Projekt erstellen und konfigurieren

Im folgenden Abschnitt werden die Schritte zum Erstellen eines Projekts für Google Security Operations SIEM beschrieben. Weitere Informationen finden Sie unter Projekt erstellen.

  1. Wählen Sie die Organisation aus, in der Sie ein Projekt erstellen möchten.

  2. Klicken Sie auf Projekt erstellen.

  3. Führen Sie im Fenster Neues Projekt die folgenden Schritte aus:

    • Geben Sie einen Projektnamen ein.

      Um zu ermitteln, welches Projekt an Ihre Google SecOps-Instanz gebunden ist, empfehlen wir, das folgende Muster für den Projektnamen zu verwenden:

      `CUSTOMER_FRONTEND_PATH-chronicle`

      Ersetzen Sie CUSTOMER_FRONTEND_PATH durch die kundenspezifische Kennung, die in der URL für den Zugriff auf Ihre Google SecOps-Instanz verwendet wird. Ein Beispiel finden Sie unter In Google SecOps anmelden. Diesen Wert erhalten Sie von Ihrem Google SecOps-Ansprechpartner.

    • Wählen Sie ein Rechnungskonto aus.

    • Geben Sie die übergeordnete Organisation ein.

    • Klicken Sie im Feld Speicherort auf Durchsuchen und wählen Sie die Organisation oder den Ordner aus, in dem sich das Projekt befinden soll.

  4. Aktivieren Sie die Chronicle API im Projekt.

    1. Wählen Sie das Projekt aus, das Sie im vorherigen Schritt erstellt haben.
    2. Rufen Sie APIs & Dienste > Bibliothek auf.
    3. Suchen Sie nach Chronicle API.

    4. Wählen Sie Chronicle API aus und klicken Sie dann auf Aktivieren.

      Weitere Informationen finden Sie unter API im Google Cloud-Projekt aktivieren.

  5. Konfigurieren Sie „Wichtige Kontakte“, um gezielte Benachrichtigungen von Google Cloud zu erhalten. Weitere Informationen finden Sie unter Kontakte für Benachrichtigungen verwalten.

    Möglicherweise stellen Sie fest, dass einem neuen Dienstkonto eine IAM-Berechtigung für das Projekt gewährt wurde. Der Name des Dienstkontos folgt dem Muster service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com, wobei PROJECT_NUMBER für das Projekt eindeutig ist. Dieses Dienstkonto hat die Rolle „Chronicle Service Agent“.

    Das Dienstkonto ist in einem von Google SecOps verwalteten Projekt enthalten. Sie können diese Berechtigung aufrufen, indem Sie die IAM-Seite Ihres Google Cloud-Projekts aufrufen und dann oben rechts das Kästchen Von Google bereitgestellte Rollenzuweisungen einbeziehen anklicken.

    Wenn das neue Dienstkonto nicht angezeigt wird, prüfen Sie, ob die Schaltfläche Von Google bereitgestellte Rollenzuweisungen einschließen auf der IAM-Seite aktiviert ist.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus:

  • Wenden Sie Sicherheits- und Compliancekontrollen auf das Projekt an, um Ihrem geschäftlichen Anwendungsfall und Ihren Organisationsrichtlinien gerecht zu werden. Weitere Informationen hierzu finden Sie in der Dokumentation zu Assured Workloads. Compliancebeschränkungen, die mit Ihrer Google Cloud-Organisation verknüpft sind oder für Projekte erforderlich sind, werden nicht standardmäßig angewendet.

    Wenn Sie Access Transparency in Ihrer Organisation aktiviert haben, schreibt Google SecOps Access Transparency-Logs, wenn Google-Mitarbeiter auf Kundeninhalte zugreifen, die SIEM-Funktionen unterstützen. Weitere Informationen zum Aktivieren von Access Transparency und zum Aufrufen von Access Transparency-Logs

  • Externen Identitätsanbieter für Google Security Operations konfigurieren

  • Aktivieren Sie Google SecOps-Audit-Logging. Google SecOps schreibt Audit-Logs zum Datenzugriff und zu Administratoraktivitäten in das Projekt. Sie können das Datenzugriffs-Logging nicht in der Google Cloud Console deaktivieren. Wenn Sie das Datenzugriffs-Logging deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Er kann dies für Sie tun.