Deprovisioning self-service per Google SecOps

Supportato in:

Questo documento spiega come utilizzare la funzionalità di deprovisioning self-service in Google Security Operations per eliminare un tenant Google SecOps e tutti i dati correlati. Questa funzionalità fornisce una procedura scalabile e conforme per gestire in modo efficiente le richieste di eliminazione.

Con il deprovisioning, puoi rimuovere l'accesso degli utenti a Google SecOps ed eliminare il tenant, inclusi tutti i dati e le risorse associati. Gestisci la procedura di eliminazione direttamente senza fare affidamento all'assistenza esterna.

Ruoli richiesti per il deprovisioning e il ripristino

Per eseguire il deprovisioning (o il ripristino) di un tenant, l'utente che avvia l'azione deve disporre del ruolo specificato, determinato dal modo in cui viene implementato il tenant Google SecOps:

  • Se il tenant Google SecOps è implementato in un progetto Google Cloud di tua proprietà (stack BYOP): l'utente deve disporre del ruolo Data Governor.
  • Se non è presente alcun progetto Google Cloud di proprietà del cliente associato al tuo tenant Google SecOps (stack legacy): l'utente deve disporre dell'accesso al ruolo Amministratore nel sistema di controllo dell'accesso basato sui ruoli (RBAC) legacy.

Implicazioni per la fatturazione dell'eliminazione dell'istanza

Prima di avviare la procedura di deprovisioning, è importante comprendere le implicazioni di fatturazione, come segue:

  • L'eliminazione di un'istanza Google SecOps non comporta l'annullamento della fatturazione.
  • Se hai un contratto attivo, sei comunque responsabile dell'intero valore del contratto, anche dopo aver eliminato l'istanza.
  • La fatturazione continua fino al termine del contratto, indipendentemente dallo stato dell'inquilino.

Fasi del deprovisioning

L'eliminazione self-service avviene in due fasi:

  • Fase di eliminazione temporanea (periodo di tolleranza di 12 giorni)
  • Fase di eliminazione definitiva

Fase di eliminazione temporanea

Solo il responsabile della governance dei dati o l'amministratore IAM legacy può accedere alla pagina Profilo di Google SecOps, dove può:

  • Visualizza i giorni rimanenti nella fase di eliminazione temporanea.
  • Fai clic su Ripristina per annullare l'eliminazione e ripristinare il tenant.

Il Data Governor o l'amministratore IAM legacy avvia un periodo di tolleranza di 12 giorni per l'eliminazione temporanea prima dell'eliminazione definitiva dei dati. Durante questa fase, si applicano le seguenti limitazioni e azioni:

  • Il sistema disattiva l'accesso all'interfaccia utente e all'API e l'importazione dati viene interrotta; nessun nuovo dato verrà importato nel tenant Google SecOps dopo l'avvio della richiesta di eliminazione.
  • Tutti i ruoli possono accedere alla pagina del profilo.
  • Il Data Governor può visualizzare la fase di eliminazione temporanea rimanente di 12 giorni e utilizzare il pulsante Ripristina, che annulla l'eliminazione temporanea e ripristina il tenant.
  • La maggior parte delle funzioni del prodotto sono disattivate per tutti gli utenti.

Fase di eliminazione definitiva

Al termine della fase di eliminazione temporanea di 12 giorni, inizia la procedura di eliminazione dei dati, che rimuove sistematicamente i dati e le risorse associati al tenant Google SecOps. Il tempo necessario per l'eliminazione dei dati dipende da vari fattori, tra cui leggi e contratti regionali.

Una volta avviato il processo, vengono eseguite le seguenti azioni irreversibili:

  • Tutti i dati dei clienti, inclusi gli snapshot di backup, vengono eliminati definitivamente.
  • Tutto l'accesso all'interfaccia utente è disattivato in modo permanente.

Deprovisioning di un tenant Google SecOps

Per eseguire il deprovisioning di un tenant Google SecOps:

  1. Vai a Impostazioni > Profilo di Google SecOps.

  2. Fai clic su Disattiva ed elimina. Una finestra di notifica mostra diversi messaggi di avviso:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. Inserisci Elimina nel campo di conferma.

  4. Fai clic su Disattiva ed elimina. Viene visualizzato il messaggio Google SecOps has been disabled. All data will be deleted starting [date], dove la data è 12 giorni dopo aver fatto clic su Disattiva ed elimina. L'utente non può navigare all'interno della piattaforma. Un timer mostra l'inizio e l'avanzamento della fase di eliminazione temporanea di 12 giorni.

Ripristinare un tenant eliminato

Puoi ripristinare il tenant entro 12 giorni dall'avvio dell'eliminazione. Il sistema ripristina lo stato originale del tenant con i dati esistenti in precedenza. Il pulsante Ripristina viene visualizzato dopo aver fatto clic su Disattiva ed elimina. Fai clic su Ripristina per ripristinare il tenant/la piattaforma Google SecOps.

Limitazioni

  • La funzionalità di deprovisioning fornisce solo funzionalità self-service gestite dall'assistenza clienti. Non unifica né automatizza la procedura di deprovisioning in tutti i sistemi Google SecOps.
  • Dopo il ripristino di un tenant, tutti i feed di dati rimangono inattivi. Devi riattivare manualmente i feed di dati che ti servono.
  • Il sistema esegue il deprovisioning del SIEM e di tutte le istanze SOAR associate. Tuttavia, le istanze VirusTotal e Mandiant associate richiedono il deprovisioning manuale, monitorato da un ticket di bug.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.