Google SecOps 自助式取消佈建

支援的國家/地區:

本文說明如何使用 Google Security Operations 的自助式取消佈建功能,刪除 Google SecOps 租戶和所有相關資料。這項功能提供可擴充且符合規範的程序,可有效處理刪除要求。

透過取消佈建,您可以移除使用者對 Google SecOps 的存取權,並刪除租戶,包括所有相關聯的資料和資源。您可以直接管理刪除程序,不必依賴外部支援。

取消佈建及還原所需的角色

如要取消佈建 (或還原) 租戶,發起動作的使用者必須具備指定角色,具體取決於 Google SecOps 租戶的部署方式:

  • 如果 Google SecOps 租戶部署在您擁有的專案 (BYOP 堆疊):使用者必須具備「資料管理員」角色。 Google Cloud
  • 如果沒有與 Google SecOps 租戶 (舊版堆疊) 相關聯的客戶自有專案 Google Cloud :使用者必須在舊版角色型存取權控管 (RBAC) 系統中具備「管理員」角色。

刪除執行個體對帳單的影響

啟動取消佈建程序前,請務必瞭解下列計費影響:

  • 刪除 Google SecOps 執行個體不會取消帳單。
  • 如果合約仍在效期內,即使刪除執行個體,您仍須支付合約全額費用。
  • 無論房客狀態為何,系統都會持續計費,直到合約期限結束為止。

取消佈建階段

自助刪除程序分為兩個階段:

  • 虛刪除階段 (12 天寬限期)
  • 實刪除階段 (永久刪除)

虛刪除階段

只有資料管理員或舊版 IAM 管理員可以存取 Google SecOps 的「設定檔」頁面,並執行下列操作:

  • 查看虛刪除階段的剩餘天數。
  • 按一下「還原」,取消刪除並還原租戶。

資料管理員或舊版 IAM 管理員會啟動 12 天的寬限期,之後資料就會永久刪除。在此階段,系統會套用下列限制和動作:

  • 系統會停用 UI 和 API 存取權,並停止擷取資料;發出刪除要求後,系統不會再將新資料擷取到 Google SecOps 租戶。
  • 所有角色都能存取商家檔案頁面。
  • 資料管理者可以查看剩餘的 12 天虛刪除階段,並使用「還原」按鈕,還原虛刪除作業並還原租戶。
  • 所有使用者都無法使用大部分的產品功能。

實刪除階段

12 天的暫時刪除階段結束後,系統會開始刪除資料,有條不紊地移除與 Google SecOps 租戶相關聯的資料和資源。資料刪除程序所需時間取決於多項因素,包括地區法律和合約。

程序開始後,會發生下列無法復原的動作:

  • 所有客戶資料 (包括備份快照) 都會永久刪除。
  • 所有 UI 存取權都會永久停用。

取消佈建 Google SecOps 租戶

如要取消佈建 Google SecOps 租戶,請按照下列步驟操作:

  1. 前往 Google SecOps 的「設定」>「設定檔」

  2. 按一下「停用並刪除」。通知視窗會顯示多則警告訊息:

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. 在確認欄位中輸入「Delete」

  4. 按一下「停用並刪除」。系統會顯示 Google SecOps has been disabled. All data will be deleted starting [date] 訊息,其中的日期是您點選「停用並刪除」後的 12 天。使用者無法在平台中瀏覽。計時器會顯示 12 天虛刪除階段的開始時間和進度。

還原已刪除的租戶

發起刪除程序後,您可以在 12 天內還原租戶。系統會將租戶還原至原始狀態,並保留先前的資料。按一下「停用並刪除」後,系統隨即會顯示「還原」按鈕。按一下「還原」,即可還原 Google SecOps 租戶/平台。

限制

  • 取消佈建功能僅提供自助式功能,由客戶支援處理。不會統一或自動化所有 Google SecOps 系統的取消佈建程序。
  • 還原租戶後,所有資料動態饋給都會維持非使用中狀態。你必須手動重新啟用所需的資料動態饋給。
  • 系統會取消佈建 SIEM 和任何相關聯的 SOAR 執行個體,但相關聯的 VirusTotal 和 Mandiant 執行個體需要手動取消佈建,並透過錯誤單追蹤。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。