Self-Service-Deaktivierung für Google SecOps
In diesem Dokument wird beschrieben, wie Sie die Self-Service-Funktion zum Aufheben der Bereitstellung in Google Security Operations verwenden, um einen Google SecOps-Mandanten und alle zugehörigen Daten zu löschen. Diese Funktion bietet einen skalierbaren und konformen Prozess für die effiziente Bearbeitung von Löschanfragen.
Durch die Bereitstellungsaufhebung können Sie den Nutzerzugriff auf Google SecOps entfernen und den Mandanten einschließlich aller zugehörigen Daten und Ressourcen löschen. Sie verwalten den Löschvorgang direkt, ohne auf externen Support angewiesen zu sein.
Erforderliche Rollen für die Bereitstellung und Wiederherstellung
Wenn Sie einen Mandanten bereitstellen oder wiederherstellen möchten, muss der Nutzer, der die Aktion initiiert, die angegebene Rolle haben. Diese wird durch die Art der Bereitstellung Ihres Google SecOps-Mandanten bestimmt:
- Wenn Ihr Google SecOps-Mandant in einem Google Cloud -Projekt bereitgestellt wird, das Ihnen gehört (BYOP-Stack): Der Nutzer muss die Rolle Data Governor haben.
- Wenn Ihrem Google SecOps-Mandanten (Legacy-Stack) kein vom Kunden verwaltetes Google Cloud -Projekt zugeordnet ist: Der Nutzer muss im alten RBAC-System (rollenbasierte Zugriffssteuerung) die Rolle Administrator haben.
Auswirkungen des Löschens Ihrer Instanz auf die Abrechnung
Bevor Sie den Prozess zum Aufheben der Bereitstellung starten, sollten Sie sich über die Abrechnungsimplikationen informieren:
- Wenn Sie eine Google SecOps-Instanz löschen, wird die Abrechnung nicht beendet.
- Wenn Sie einen aktiven Vertrag haben, müssen Sie den gesamten Vertragswert bezahlen, auch wenn Sie die Instanz löschen.
- Die Abrechnung erfolgt bis zum Ende der Vertragslaufzeit, unabhängig vom Status des Mandanten.
Phasen der Aufhebung der Bereitstellung
Das Löschen im Self-Service erfolgt in zwei Phasen:
- Phase des vorläufigen Löschens (12-tägiger Kulanzzeitraum)
- Phase des endgültigen Löschens
Phase des vorläufigen Löschens
Nur der Data Governor oder der alte IAM-Administrator kann auf die Seite Profil von Google SecOps zugreifen. Dort hat er folgende Möglichkeiten:
- Hier sehen Sie die verbleibenden Tage in der Phase der vorläufigen Löschung.
- Klicken Sie auf Wiederherstellen, um den Löschvorgang abzubrechen und den Mandanten wiederherzustellen.
Der Data Governor oder der alte IAM-Administrator leitet einen Kulanzzeitraum von 12 Tagen für das vorläufige Löschen ein, bevor die Daten endgültig gelöscht werden. In dieser Phase gelten die folgenden Einschränkungen und Aktionen:
- Das System deaktiviert den UI- und API-Zugriff und die Datenerfassung wird beendet. Nach dem Start des Löschanfrage werden keine neuen Daten in den Google SecOps-Mandanten aufgenommen.
- Alle Rollen können auf die Profilseite zugreifen.
- Der Data Governor kann die verbleibenden 12 Tage der vorläufigen Löschphase sehen und die Schaltfläche Wiederherstellen verwenden, wodurch das vorläufige Löschen rückgängig gemacht und der Mandant wiederhergestellt wird.
- Die meisten Produktfunktionen sind für alle Nutzer deaktiviert.
Phase zum endgültigen Löschen
Nach Ablauf der 12-tägigen Phase des vorläufigen Löschens beginnt der Prozess des Löschens von Daten, bei dem Daten und Ressourcen, die mit dem Google SecOps-Mandanten verknüpft sind, systematisch entfernt werden. Die Dauer des Datenlöschvorgangs hängt von verschiedenen Faktoren ab, darunter regionale Gesetze und Verträge.
Sobald der Prozess beginnt, werden die folgenden irreversiblen Aktionen ausgeführt:
- Alle Kundendaten, einschließlich Sicherungssnapshots, werden dauerhaft gelöscht.
- Der gesamte UI-Zugriff ist dauerhaft deaktiviert.
Bereitstellung eines Google SecOps-Mandanten aufheben
So heben Sie die Bereitstellung eines Google SecOps-Mandanten auf:
- Rufen Sie in Google SecOps die Einstellungen> Profile auf.
Klicken Sie auf Deaktivieren und löschen. In einem Benachrichtigungsfenster werden mehrere Warnmeldungen angezeigt:
Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.Data collection will stop within a few hours.The instance can continue to be charged for a period of time, depending on your billing agreement.All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.
Geben Sie im Bestätigungsfeld Löschen ein.
Klicken Sie auf Deaktivieren und löschen. Die Meldung
Google SecOps has been disabled. All data will be deleted starting [date]wird angezeigt. Das Datum ist 12 Tage nach dem Klicken auf Deaktivieren und löschen. Der Nutzer kann nicht auf der Plattform navigieren. Ein Timer zeigt den Beginn und den Fortschritt der 12-tägigen Phase der vorläufigen Löschung an.
Gelöschten Mandanten wiederherstellen
Sie können Ihren Mandanten innerhalb von 12 Tagen nach dem Einleiten des Löschvorgangs wiederherstellen. Das System versetzt Ihren Mandanten in den ursprünglichen Zustand mit den zuvor vorhandenen Daten zurück. Die Schaltfläche Wiederherstellen wird angezeigt, nachdem Sie auf Deaktivieren und löschen geklickt haben. Klicken Sie auf Wiederherstellen, um den Google SecOps-Mandanten bzw. die Google SecOps-Plattform wiederherzustellen.
Beschränkungen
- Die Funktion zum Aufheben der Bereitstellung bietet nur Selfservicefunktionen, die vom Kundensupport bearbeitet werden. Der Prozess wird nicht über alle Google SecOps-Systeme hinweg vereinheitlicht oder automatisiert.
- Nach der Wiederherstellung eines Mandanten bleiben alle Datenfeeds inaktiv. Sie müssen die benötigten Datenfeeds manuell reaktivieren.
- Das System stellt das SIEM und alle zugehörigen SOAR-Instanzen bereit. Zugehörige VirusTotal- und Mandiant-Instanzen erforderten jedoch eine manuelle Bereitstellung, die über ein Fehler-Ticket nachverfolgt wurde.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten