Google SecOps のセルフサービス プロビジョニング解除

以下でサポートされています。

このドキュメントでは、Google Security Operations のセルフサービス プロビジョニング解除機能を使用して、Google SecOps テナントと関連するすべてのデータを削除する方法について説明します。この機能は、削除リクエストを効率的に処理するためのスケーラブルで準拠したプロセスを提供します。

プロビジョニング解除では、Google SecOps へのユーザー アクセスを削除し、関連するすべてのデータとリソースを含むテナントを削除できます。外部サポートに頼らずに、削除プロセスを直接管理できます。

プロビジョニング解除と復元に必要なロール

テナントのプロビジョニング解除(または復元)を行うには、アクションを開始するユーザーに、Google SecOps テナントのデプロイ方法に応じて、次のロールが付与されている必要があります。

  • Google SecOps テナントがお客様が所有する Google Cloud プロジェクト(BYOP スタック)にデプロイされている場合: ユーザーには データ ガバナーのロールが必要です。
  • Google SecOps テナント(以前のスタック)に関連付けられているお客様所有の Google Cloud プロジェクトがない場合: ユーザーは、以前のロールベースのアクセス制御(RBAC)システムで Admin ロールへのアクセス権を持っている必要があります。

インスタンスの削除による請求への影響

プロビジョニング解除プロセスを開始する前に、次のような課金への影響を理解しておくことが重要です。

  • Google SecOps インスタンスを削除しても、課金はキャンセルされません。
  • アクティブな契約がある場合、インスタンスを削除した後でも、契約料金の全額をご負担いただく必要があります。
  • テナントのステータスに関係なく、契約期間が終了するまで請求は継続されます。

デプロビジョニングのフェーズ

セルフサービスによる削除は、次の 2 つのフェーズで行われます。

  • 削除(復元可能)フェーズ(12 日間の猶予期間)
  • 削除(復元不可)フェーズ(完全に削除)

削除(復元可能)フェーズ

Google SecOps の [プロファイル] ページにアクセスできるのは、データ ガバナーまたは以前の IAM 管理者のみです。このページでは、次の操作を行うことができます。

  • 削除(復元可能)フェーズの残り日数を表示します。
  • [復元] をクリックして、削除をキャンセルし、テナントを復元します。

データ ガバナーまたは以前の IAM 管理者は、データが完全に削除される前に、削除(復元可能)の 12 日間の猶予期間を開始します。このフェーズでは、次の制限事項とアクションが適用されます。

  • システムは UI と API のアクセスを無効にし、データの取り込みを停止します。削除リクエストが開始された後、新しいデータが Google SecOps テナントに取り込まれることはありません。
  • すべてのロールがプロフィール ページにアクセスできます。
  • データガバナーは、削除(復元可能)フェーズの残り 12 日間を確認し、[復元] ボタンを使用して、削除(復元可能)を元に戻してテナントを復元できます。
  • ほとんどのプロダクト機能がすべてのユーザーに対して無効になっています。

削除(復元不可)フェーズ

12 日間の削除(復元可能)期間が終了すると、データ削除プロセスが開始され、Google SecOps テナントに関連付けられているデータとリソースが体系的に削除されます。データ削除プロセスにかかる時間は、地域の法律や契約など、さまざまな要因によって異なります。

プロセスが開始されると、次の不可逆的なアクションが発生します。

  • バックアップ スナップショットを含むすべての顧客データが完全に削除されます。
  • すべての UI アクセスが完全に無効になります。

Google SecOps テナントのプロビジョニング解除

Google SecOps テナントのプロビジョニングを解除する手順は次のとおりです。

  1. Google SecOps の [設定> プロファイル] に移動します。

  2. [無効にして削除] をクリックします。通知ウィンドウに複数の警告メッセージが表示されます。

    Access to Google SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:

    • Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to Google SecOps and its data.
    • Data collection will stop within a few hours.
    • The instance can continue to be charged for a period of time, depending on your billing agreement.
    • All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.

  3. 確認フィールドに「削除」と入力します。

  4. [無効にして削除] をクリックします。[無効化して削除] をクリックすると、Google SecOps has been disabled. All data will be deleted starting [date] というメッセージが表示されます。この日付は 12 日後です。ユーザーがプラットフォーム内を移動できない。タイマーには、12 日間の削除(復元可能)フェーズの開始と進行状況が表示されます。

削除したテナントを復元する

削除を開始してから 12 日以内であれば、テナントを復元できます。システムは、以前に存在していたデータを使用してテナントを元の状態に戻します。[無効にして削除] をクリックすると、[復元] ボタンが表示されます。[復元] をクリックして、Google SecOps テナント/プラットフォームを復元します。

制限事項

  • プロビジョニング解除機能は、カスタマー サポートが処理するセルフサービス機能のみを提供します。すべての Google SecOps システムでプロビジョニング解除プロセスを統合または自動化しません。
  • テナントを復元した後、すべてのデータフィードは非アクティブのままになります。必要なデータフィードは手動で再度有効にする必要があります。
  • システムは SIEM と関連する SOAR インスタンスのプロビジョニングを解除しますが、関連する VirusTotal インスタンスと Mandiant インスタンスは手動でプロビジョニングを解除する必要があり、バグチケットで追跡されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。