將 Google SecOps 執行個體遷移至 BYOP 專案

本指南可協助 Google Cloud 管理員和安全工程師，使用自備專案 (BYOP) 模型，將現有的 Google SecOps 執行個體 (包括資料) 遷移至其他 Google Cloud 專案。這個程序可協助您整合資源、重新調整帳單，或因應機構變更，同時保留安全資料和執行個體設定。

重要術語

• 自備專案 (BYOP)：您使用自己的 Google Cloud 專案代管及管理 Google Security Operations 執行個體的模型。
• 概念驗證 (POC)：用於評估或測試的非正式環境執行個體。
• 技術聯絡窗口 (TPOC)：貴機構中負責處理遷移作業相關技術通訊的指定聯絡人。

事前準備

開始遷移前，請確認目標 Google Cloud 專案符合下列需求：

• 權限：如要為 POC 執行個體進行自助式遷移，您必須具備 chroniclesm.admin IAM 角色，其中包含 chroniclesm.projectLink.enable 權限。

• 帳單帳戶：您必須將 Google SecOps 執行個體連結至目標 BYOP 專案，該專案使用的 Google Cloud 帳單帳戶必須與原始專案相同。確認帳單帳戶訂閱方案有效。

  • 找出 Cloud Billing 帳戶 ID
  • 管理 Cloud Billing 帳戶
  • 確認已連結的 Cloud Billing 帳戶狀態

• 專案適用性：您可以將現有或新的 Google Cloud 專案做為目標：

  • 現有專案：確認這是有效的 Google Cloud 專案，且尚未連結至有效的 Google SecOps 執行個體。
  • 新專案：請按照「設定 Google SecOps 專案」一文中的說明設定專案。 Google Cloud

• 機構政策：如果目前的 Google Cloud 專案有啟用中的組織政策，例如 VPC Service Controls、CMEK、FedRAMP 或其他法規遵循架構，請在啟動遷移程序前，先與 Google SecOps 支援團隊聯絡，尋求協助。

• Chronicle API：在目標 Google Cloud 專案中啟用 Chronicle API。詳情請參閱「啟用 Chronicle API」。

• 驗證 (僅限 BYOID)：如果執行個體使用自攜身分 (BYOID)，請在目標專案中設定工作團隊集區。詳情請參閱「設定第三方識別資訊提供者」。

• 停機時間：請注意，遷移程序需要停機。為維護資料完整性，Google SecOps 執行個體及其 API 暫時無法使用，並會傳回 HTTP 503 錯誤。擷取和動態饋給也會受到影響。

將執行個體遷移至 BYOP 專案

遷移程序取決於您要遷移 POC 執行個體，還是非 POC 的正式版執行個體。

將概念驗證遷移至正式版 BYOP

如果您要從概念驗證環境移至完整正式環境，可以自行啟動遷移作業。新的製作合約生效後，系統就會自動啟動這項程序。指定 TPOC 會收到合約開始通知電子郵件，內含設定連結。

請按照「將 Google SecOps 執行個體連結至新訂閱方案」一文中的操作說明，特別是「將現有的 POC Google SecOps 執行個體連結至新訂閱方案」一節。

將非 POC 專案遷移至 BYOP

如果是 POC 以外的專案 (例如內部機構重組或受管理服務供應商 (MSP) 轉換)，則由 Google SecOps 支援團隊管理遷移作業。

1. 提出要求：開啟標準支援單，要求遷移專案。請提供詳細資料，例如是否要訂閱新方案，以及是否要變更 Google SecOps 執行個體的連結專案。 Google Cloud
2. 遷移程序：Google SecOps 支援團隊會觸發更新。您不需要在控制台中採取任何行動。系統會在遷移作業進行期間，自動傳送狀態電子郵件給團隊。

遷移程序期間

需要短暫的維護期間，才能將執行個體移至目標專案，並維持資料完整性。

• 在關鍵階段，Google SecOps 執行個體及其 API 會暫時無法使用，並傳回 HTTP 503 (Service Unavailable) 錯誤。這是可預期的情況，專案更新完成後，服務就會自動恢復正常。
• 如要進一步瞭解資料動態饋給受到的影響，請參閱「變更連結的 Cloud 專案對資料動態饋給的影響」。

完成遷移後動作

收到遷移完成通知電子郵件後，TPOC 必須完成下列動作，才能還原完整功能：

• 設定授權：在目標專案中設定所有必要的 IAM 授權規則。詳情請參閱「使用 IAM 設定功能存取權控管機制」。

• 重新建立特定擷取動態饋給： 雖然大部分的擷取動態饋給會繼續運作，但您必須在目標環境中手動重新建立下列動態饋給。請按照「客戶必須採取的行動」中的步驟操作：

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• 驗證其他擷取作業：確認所有其他擷取機制是否正常運作。如果遇到問題，請與 Google SecOps 支援團隊聯絡。

• BigQuery 資料：如果您將資料儲存在與舊專案相關聯的 BigQuery 中，請與 Google SecOps 支援團隊聯絡，協助將資料遷移至目標專案。

• 更新自動化動作：重新設定任何依賴 Chronicle API 的外部自動化動作或指令碼。使用目標專案 ID 更新這些金鑰、產生新的 API 金鑰，並在目標專案中建立任何必要的服務帳戶。

• 遷移 POC 資料：如果您將現有的 POC 執行個體遷移至新訂閱方案，請在啟用後與 Google SecOps 支援團隊或 Google 代表聯絡，以取得 POC 資料遷移作業的協助。

疑難排解

• HTTP 503 錯誤：如「遷移程序期間」一節所述，遷移期間發生這類錯誤是正常現象。完成後，服務應會自動還原。
• 動態消息問題：如果手動重新建立的動態消息以外，其他動態消息在遷移後無法運作，請與 Google SecOps 支援團隊聯絡。
• 權限錯誤：請仔細檢查目標專案中的 IAM 角色和權限。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。