Google SecOps 用に Google Cloud プロジェクトを構成する

以下でサポートされています。

Google SecOps SIEM

Google Cloud プロジェクトは、リンクされた Google SecOps インスタンスの制御レイヤとして機能します。セキュリティテレメトリー、監査ログ、取り込みアラートなどの顧客固有のデータや、その他の機密性の高いインスタンスレベルの情報を保存します。

以降のセクションでは、 Google Cloud プロジェクトを構成する方法について説明します。

前提条件

新しい Google SecOps インスタンスはそれぞれ、1 つのGoogle Cloud プロジェクトにリンクする必要があります。組織の設定と要件に応じて、既存の Google Cloud プロジェクトにリンクするか、新しいプロジェクトを作成できます。

Google SecOps インスタンスごとに新しい専用の Google Cloud プロジェクトを作成することをおすすめします。このアプローチは、Google SecOps インスタンスに固有の機密性の高いセキュリティテレメトリーと監査データを分離するのに役立ちます。

新しい Google Cloud プロジェクトを作成するには、 Google Cloud プロジェクトを作成するをご覧ください。
Google SecOps インスタンスを既存のGoogle Cloud プロジェクトにリンクする場合は、インスタンスの動作やアクセスに影響する可能性のある既存の権限と制限を確認します。

詳細については、Google SecOps インスタンスに権限を付与するをご覧ください。

Google Cloud プロジェクトを構成する

以降のセクションでは、 Google Cloud プロジェクトで Chronicle API を有効にして、緊急連絡先を構成する方法について説明します。

Google Cloud プロジェクトで Chronicle API を有効にする

Google SecOps インスタンスがリンクされた Google Cloud プロジェクトから読み取り、書き込みできるようにするには、次の操作を行います。

Google Cloud コンソールの [リソースの管理] ページに移動します。
[リソースの管理] ページに移動
上部にある [プロジェクト選択ツール] をクリックし、組織リソースを選択します。
新しく作成したプロジェクトを選択します。
[API とサービス] に移動します。
[+ API とサービスの有効化] をクリックします。
[Chronicle API] を検索して選択します。
[有効にする] をクリックして、プロジェクトの Chronicle API を有効にします。

詳細については、 Google Cloud プロジェクトで API を有効にするをご覧ください。

重要な連絡先を構成する

Google Cloudからターゲット通知を受け取るように重要な連絡先を構成します。通知の連絡先の管理の手順を行います。

プロジェクト内の新しいサービスアカウント

新しいサービスアカウントがプロジェクトに追加されます。サービスアカウントは Google SecOps によって管理され、次の属性があります。

サービスアカウントの命名パターンは次のとおりです。ここで、PROJECT_NUMBER はプロジェクトに固有です。

service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
このアカウントには、Chronicle サービスエージェントのロールが割り当てられています。
プロジェクトに IAM 権限が付与されている。

IAM 権限の詳細を表示する手順は次のとおりです。
1. Google Cloud プロジェクトの IAM ページに移動します。
2. 右上にある [Google 提供のロール付与を含める] チェックボックスをオンにします。
  
  新しいサービスアカウントが表示されない場合は、IAM ページで [Google 提供のロール付与を含める] ボタンが有効であることを確認します。

リンクされた Google Cloud プロジェクトを更新した場合の影響

Google Cloud インスタンスにリンクされている Google Cloud プロジェクトを更新すると、特定のデータ取り込みパスに影響します。ソースタイプが AMAZON_S3_V2、AMAZON_SQS_V2、GOOGLE_CLOUD_STORAGE_V2、AZURE_BLOBSTORAGE_V2、AZURE_EVENT_HUB のフィードは、移行時にライブデータの取り込みを停止します。データ取り込みを再開するには、移行後にフィードの UI/API から再作成する必要があります。他のすべてのフィードタイプは、中断されることなく引き続き動作し、手動操作は必要ありません。

移行前に作成された影響を受けるフィードは、読み取り専用の状態に移行します。この更新は、SOAR 機能と、Cloud Storage バケット、サービスアカウント、シークレットなどの特定のリソースにも影響します。

Google SecOps インスタンスがサードパーティの ID プロバイダ（IdP）で認証される場合は、新しい Google Cloud プロジェクトで IdP も構成する必要があります。サードパーティの IdP を設定するには、サードパーティの ID プロバイダを構成するをご覧ください。

詳細については、リンクされた Cloud プロジェクトの変更の影響をご覧ください。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

ビジネスユースケースと組織のポリシーを満たすように、プロジェクトにセキュリティとコンプライアンスの制御を適用します。詳しい手順については、Assured Workloads のドキュメントをご覧ください。

注: Google Cloud 組織で必要なコンプライアンスの制限は、デフォルトでは適用されていません。手動で構成する必要があります。
Google SecOps インスタンスを ID プロバイダ（IdP）（Cloud Identity またはサードパーティの ID プロバイダ）と統合します。
Google Cloud プロジェクトは、次の操作を行うための制御レイヤとして機能します。
- Google SecOps で生成され、Cloud Audit Logs に保存された監査ログへのアクセスを有効化、検査、管理します。
- Cloud Monitoring を使用してカスタム取り込み停止アラートを設定します。
- エクスポートされた過去のデータを保存します。
Google Security Operations の監査ロギング情報の手順に沿って、Google SecOps の監査ロギングを有効にします。Google SecOps は、データアクセスログと管理アクティビティログをプロジェクトに書き込みます。

注: Google Cloud コンソールを使用してデータアクセスのロギングを無効にすることはできません。無効にするには、Google SecOps の担当者にお問い合わせください。
重要: Google SecOps 監査ロギングガイドの手順を使用して監査ロギングが以前に有効になっている場合は、このドキュメントの手順を完了すると、ログ出力が新しい Google Security Operations バウンドプロジェクトにリダイレクトされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。