Configurar um projeto Google Cloud para o Google SecOps
Um projeto Google Cloud atua como uma camada de controle para a instância vinculada do Google SecOps. Ele armazena dados específicos do cliente, como telemetria de segurança, registros de auditoria, alertas de ingestão e outras informações sensíveis no nível da instância.
As seções a seguir descrevem como configurar seu projeto Google Cloud .
Pré-requisitos
Cada nova instância do Google SecOps precisa ser vinculada a um único projetoGoogle Cloud . É possível vincular a um projeto Google Cloud existente ou criar um novo, dependendo da configuração e dos requisitos da organização:
Recomendamos criar um projeto Google Cloud novo e dedicado para cada instância do Google SecOps. Essa abordagem ajuda a isolar dados de telemetria e auditoria de segurança sensíveis específicos da instância do Google SecOps.
Para criar um projeto do Google Cloud , consulte Criar um projeto do Google Cloud .
Se você vincular sua instância do Google SecOps a um projeto do Google Cloud , revise as permissões e restrições atuais que podem afetar o comportamento ou o acesso da instância.
Para mais detalhes, consulte Conceder permissões à instância do Google SecOps.
Configurar um projeto do Google Cloud
As seções a seguir descrevem como ativar a API Chronicle no projeto Google Cloud e configurar os contatos essenciais.
Ativar a API Chronicle no projeto Google Cloud
Para permitir que a instância do Google SecOps leia e grave no projeto Google Cloud vinculado, faça o seguinte:
- Acesse a página Gerenciar recursos no console Google Cloud .
- Na parte de cima, clique no Seletor de projetos e escolha o recurso da sua Organização.
- Selecione o projeto recém-criado.
- Acesse APIs e serviços.
- Clique em + ATIVAR APIS E SERVIÇOS.
- Pesquise e selecione API Chronicle.
- Clique em Ativar para ativar a API Chronicle no projeto.
Para mais detalhes, consulte Como ativar uma API no seu projeto do Google Cloud .
Configurar os contatos essenciais
Configure os contatos essenciais para receber notificações segmentadas do Google Cloud. Siga as etapas em Gerenciar contatos para notificações.
Nova conta de serviço no seu projeto
Uma nova conta de serviço é adicionada ao projeto. A conta de serviço é gerenciada pelo Google SecOps e tem os seguintes atributos:
O padrão de nomenclatura da conta de serviço é o seguinte, em que
PROJECT_NUMBERé exclusivo do projeto:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.comA conta tem o papel de Agente de serviço do Chronicle.
Uma permissão do IAM é concedida ao projeto.
Para conferir os detalhes da permissão do IAM, faça o seguinte:
- Acesse a página IAM do seu Google Cloud projeto.
No canto superior direito, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Se a nova conta de serviço não aparecer, verifique se o botão Incluir concessões de papel fornecidas pelo Google está ativado na página do IAM.
A seguir
Depois de concluir as etapas deste documento, faça o seguinte:
Aplique controles de segurança e compliance ao projeto para atender ao seu caso de uso comercial e às políticas da organização. Para mais informações sobre como fazer isso, consulte a documentação do Assured Workloads.
Integre sua instância do Google SecOps a um provedor de identidade (IdP), seja o Cloud Identity ou um provedor de identidade terceirizado.
O projeto Google Cloud serve como uma camada de controle para que você faça o seguinte:
- Ative, inspecione e gerencie o acesso aos registros de auditoria gerados pelo Google SecOps e armazenados nos registros de auditoria do Cloud.
- Configure alertas personalizados de interrupção da ingestão usando o Cloud Monitoring.
- Armazene dados históricos exportados.
Ative o registro de auditoria do Google SecOps seguindo as etapas em Informações sobre o registro de auditoria do Google Security Operations. O Google SecOps grava registros de acesso a dados e de atividade do administrador no projeto.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.