Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

为 Google SecOps 配置 Google Cloud 项目

支持的平台：

Google SecOps SIEM

Google Cloud 项目充当关联的 Google SecOps 实例的控制层。它存储特定于客户的数据，例如安全遥测数据、审核日志、提取提醒和其他敏感的实例级信息。

以下部分介绍了如何配置 Google Cloud 项目。

前提条件

每个新的 Google SecOps 实例都应关联到单个Google Cloud 项目。您可以关联到现有 Google Cloud 项目 Google Cloud ，也可以创建新项目，具体取决于您的组织设置和要求：

我们建议为每个 Google SecOps 实例创建一个新的专用 Google Cloud 项目。此方法有助于隔离特定于 Google SecOps 实例的敏感安全遥测数据和审核数据。

如需创建新的 Google Cloud 项目，请参阅创建 Google Cloud 项目。
如果您将 Google SecOps 实例关联到现有Google Cloud 项目，请查看可能会影响该实例行为或访问权限的所有现有权限和限制。

如需了解详情，请参阅向 Google SecOps 实例授予权限。

配置 Google Cloud 项目

以下部分介绍了如何在 Google Cloud 项目中启用 Chronicle API 并配置必要联系人。

在 Google Cloud 项目中启用 Chronicle API

如需允许 Google SecOps 实例从关联的 Google Cloud 项目中读取数据和向其中写入数据，请执行以下操作：

前往 Google Cloud 控制台中的管理资源页面。
前往“管理资源”页面
点击顶部的项目选择器，然后选择您的组织资源。
选择新创建的项目。
前往 API 和服务。
点击 + 启用 API 和服务。
搜索 Chronicle API 并将其选中。
点击启用，为项目启用 Chronicle API。

如需了解详情，请参阅在 Google Cloud 项目中启用 API。

配置重要联系人

配置重要联系人，以接收来自Google Cloud的有针对性的通知。按照管理通知联系人中的步骤操作。

项目中的新服务账号

系统会将新服务账号添加到您的项目中。该服务账号由 Google SecOps 管理，具有以下属性：

服务账号命名模式如下所示，其中 PROJECT_NUMBER 是项目的唯一标识符：

service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
该账号具有 Chronicle Service Agent 角色。
向项目授予 IAM 权限。

如需查看 IAM 权限的详细信息，请执行以下操作：
1. 前往 Google Cloud 项目的 IAM 页面。
2. 在右上角，选中包括 Google 提供的角色授权复选框。
  
  如果您没有看到新服务账号，请检查 IAM 页面上的包括 Google 提供的角色授权按钮是否已启用。

更新关联的 Google Cloud 项目的影响

更新与 Google Cloud 实例相关联的 Google Cloud 项目时，会影响特定的数据注入路径。如果 Feed 的来源类型为 AMAZON_S3_V2、AMAZON_SQS_V2、GOOGLE_CLOUD_STORAGE_V2、AZURE_BLOBSTORAGE_V2 和 AZURE_EVENT_HUB，则在迁移后会停止提取实时数据。您必须在迁移后通过 Feed 界面/API 重新创建这些数据源，才能继续数据注入。所有其他 Feed 类型将继续正常运行，无需手动干预。

受影响的 Feed 在迁移过渡期间会变为只读状态。此更新还会影响 SOAR 功能和特定资源，例如 Cloud Storage 存储分区、服务账号和 Secret。

如果您的 Google SecOps 实例通过第三方身份提供方 (IdP) 进行身份验证，您还必须在新 Google Cloud 项目中配置该 IdP。如需设置第三方 IdP，请参阅配置第三方身份提供方。

如需了解详情，请参阅更改关联的云项目的影响。

后续步骤

完成本文档中的步骤后，请执行以下操作：

将安全和合规性控制措施应用于项目，以满足您的业务用例和组织政策。如需详细了解如何执行此操作，请参阅 Assured Workloads 文档。

注意： Google Cloud 组织要求的合规性限制不会默认应用。您必须手动配置这些设置。
将您的 Google SecOps 实例与身份提供方 (IdP)（Cloud Identity 或第三方身份提供方）集成。
Google Cloud 项目充当控制层，可让您执行以下操作：
- 启用、检查和管理对 Google SecOps 生成并存储在 Cloud Audit Logs 中的审核日志的访问权限。
- 使用 Cloud Monitoring 设置自定义数据提取服务中断提醒。
- 存储导出的历史数据。
按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录功能。 Google SecOps 会将数据访问日志和管理员活动日志写入项目。

注意：您无法使用 Google Cloud 控制台停用数据访问日志记录。如需请求停用此功能，请与您的 Google SecOps 代表联系。
重要提示：如果之前已按照 Google SecOps 审核日志记录指南中的步骤启用审核日志记录，那么当您完成本文档中的步骤后，日志输出将重定向到新的 Google Security Operations 绑定项目。