インスタンスを にリンクする Google Cloud
このドキュメントでは、Google SecOps インスタンスを新しいサブスクリプションにリンクする方法について説明します。
サブスクリプションの有効化シナリオ
このドキュメントは、次のサブスクリプションの有効化シナリオに適用されます。
新規のお客様の場合:
- 新しい Google SecOps インスタンスを初めてプロビジョニングする場合。
- 最近完了した概念実証(POC)の POC データを保持する場合。
既存のお客様の場合:
- 既存の Google SecOps インスタンスのサブスクリプションの更新と契約の修正を有効にする場合。
このドキュメントで説明していないサブスクリプションのリンク シナリオ
次のインスタンスのリンク シナリオでは、このドキュメントで説明していない別の操作が必要になります。
マネージド セキュリティ サービス プロバイダ(MSSP)インスタンスをリンクする:
マネージド セキュリティ サービス プロバイダ(MSSP)用の Google SecOps インスタンスをリンクするには、 Google の担当者(または、対応できない場合は Google SecOps サポート)にお問い合わせください。設定をサポートいたします。
コンプライアンス制御されたテナント(インスタンス):
コンプライアンス制御されたテナント(インスタンス)は、次の コンプライアンス制御基準のいずれかに準拠しています。FedRAMP、FedRAMP_MODERATE、 HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1、または DRZ_ADVANCED。
コンプライアンス制御されたテナント(インスタンス)の場合は、 Google の担当者(または、対応できない場合はGoogle SecOps サポート)にお問い合わせください。コンプライアンス制御されたテナントには、別のワークフローに従った個別の招待状が提供されます。
コンプライアンス制御されたワークフローでは、次の点に注意してください。
コンプライアンス制御されたテナント(インスタンス)は、Assured Workloads フォルダ内のプロジェクトに配置する必要があります。詳細については、 Workforce Identity 連携 をご覧ください。
コンプライアンス制御されたテナントを保持する Google Cloud プロジェクトを選択する場合:
- Assured Workloads フォルダを選択して開きます。
- Assured Workloads フォルダ内で、 Google Cloud プロジェクトの名前をクリックします。
- IdP を構成するの説明に沿って構成を完了します。
POC 以外の Google SecOps インスタンスを Google Cloud プロジェクトから Bring Your Own Project(BYOP) Google Cloud プロジェクトに移行する
Google SecOps インスタンス(とそのデータ)を Google Cloud プロジェクトから Bring Your Own Project(BYOP) Google Cloud プロジェクトに移行できます。詳細については、POC 以外のプロジェクトを BYOP に移行するをご覧ください。
既存のレガシー Google SecOps インスタンスを移行する:
既存のレガシー Google SecOps インスタンスは、 Google Cloud 次の条件のいずれか を満たしている場合に に移行できます。
- プロジェクトにデプロイされていない。 Google Cloud
- Google Cloud 認証(Workforce Identity 連携 / Cloud Identity)を使用していない。
- ロールベース アクセス制御(RBAC)に Google Cloud Identity and Access Management(IAM)を使用していない。
このような既存の Google SecOps インスタンスを移行するには、レガシー SIEM インフラを Google Cloud に移行するの手順に沿って操作します。
始める前に
Google SecOps インスタンスを Google Cloud サービスで使用するには、次の操作を行う必要があります。
- 権限を確認する 。このドキュメントの手順を完了するために必要な権限があることを確認してください。オンボーディング プロセスの各フェーズに必要な権限については、 必要なロールと権限をご覧ください。
サービスで新しい Google SecOps インスタンスを作成する前に、次の操作を行う必要があります。 Google Cloud
プロジェクト Google Cloud を選択する: Google SecOps インスタンス用の新しい Google Cloud プロジェクトを作成するか、既存の プロジェクトにリンクできます。 Google Cloud
新しい Google Cloud プロジェクトを作成して Chronicle API を有効にするには、 Google SecOps 用に プロジェクトを構成するの手順に沿って操作します。 Google Cloud
Google SecOps インスタンスの ID プロバイダ(IdP)の設定を計画する:
Google SecOps インスタンスは、シングル サインオン(SSO)と ID プロバイダ(IdP)を使用してユーザー認証を行い、安全なアクセス制御を適用します。Google SecOps インスタンスのユーザー、グループ、認証を管理するには、Cloud Identity、Google Workspace、サードパーティの ID プロバイダ(Okta や Azure AD など)のいずれかを構成します。
サードパーティの IdP を使用するには、Google SecOps 用にサードパーティ ID プロバイダを構成するをご覧ください。
Cloud Identity または Google Workspace を使用するには、Google SecOps 用に Google Cloud ID プロバイダを構成するをご覧ください。
Google SecOps インスタンスを新しいサブスクリプションにリンクする
組織が新しい Google SecOps サブスクリプション契約に署名すると、サブスクリプションの開始日に、サブスクリプションのオンボーディング SME(技術担当者)にサブスクリプションの有効化メールが送信されます。このメールには、サブスクリプションの有効化手順と、60 日間有効な 1 回限りの有効化リンクが含まれています。
Google SecOps インスタンスを新しいサブスクリプションにリンクする手順は次のとおりです。
サブスクリプションを有効にする
Google SecOps サブスクリプションの有効化を完了します。
- 有効化メールに記載されている有効化手順を確認します。
[サブスクリプションを有効にする] リンクをクリックして、[Google Security Operations の有効化] ページを開きます。
有効化ページに、サブスクリプションのエンタイトルメント が表示されます。
サブスクリプションのエンタイトルメントの詳細と請求先アカウント ID を確認します。
- すべての詳細が正しい場合は、[上記に同意し、有効化を進めます] チェックボックスをオンにします。以降の手順で使用するため、請求先アカウント ID をメモします。
- エンタイトルメントの詳細を更新するには、 Google の担当者(または、対応できない場合は Google SecOps サポート)にお問い合わせください。
[既存の SecOps インスタンスを作成または開始する] セクションで、有効化の要件に基づいて、新しいサブスクリプションを既存のインスタンスにリンクするか、新しいインスタンスを作成します。
新しいサブスクリプション用に新しい Google SecOps インスタンスを作成するには:
[新しいインスタンスを作成] を選択して、[SecOps をプロジェクトにリンク] ページを開きます。
既存の POC Google SecOps インスタンスを新しいサブスクリプションにリンクするには:
[既存のインスタンス] を選択します。
POC Google SecOps インスタンス ID を入力して、[検証] をクリックします。
既存の Google SecOps サブスクリプションを更新するか、サブスクリプションの修正を適用するには:
[既存のインスタンス] を選択します。
請求先アカウントにリンクされている既存の Google SecOps インスタンスのリストが表示されます。有効にすると、これらのリンクされたすべてのインスタンスに新しいサブスクリプション エンタイトルメントが適用されます。
インスタンスのリストが正しいことを確認します。
リストにインスタンスが表示されない場合は、次のいずれかを行います。
- 表示されないインスタンスをホストする Google Cloud プロジェクトの請求先アカウントが、新しいサブスクリプションの請求先アカウントと一致していることを確認します。一致しない場合は、 Google Cloud プロジェクトの請求先アカウントを更新して、新しいサブスクリプションの請求先アカウントと一致させます。
- Google の担当者(または、対応できない場合は Google SecOps サポート)にお問い合わせください。
(省略可)サブスクリプションの有効化と同時に新しい Google SecOps インスタンスを作成する場合は、[新しいインスタンスを作成します...] チェックボックスをオンにします。
[サブスクリプションを有効にする] をクリックします。
この請求先アカウントにリンクされているすべてのインスタンスに、新しいサブスクリプション エンタイトルメントが適用されます。
インスタンスをリンクするプロジェクトを選択する
[SecOps をプロジェクトにリンク] ページで、[プロジェクトを選択] をクリックして [リソースを選択] ページを開きます。
[リソースを選択] ページで、リストから組織 を選択します。
省略可: Google SecOps インスタンスごとに専用の新しい Google Cloud プロジェクトを作成することをおすすめします。
[**新しいプロジェクト**] をクリックしてインスタンス用の新しい Google Cloud プロジェクトを作成し、 Google SecOps 用に Google Cloud プロジェクトを構成するの手順に沿って操作します。
Google Cloud [**プロジェクトとフォルダ**] リストから、次のように プロジェクトを選択します。
プロジェクトの選択基準:
警告アイコンの横に [**警告**] が表示されているプロジェクトまたはフォルダは 選択できません。 理由を確認するには、アイコンにポインタを合わせます(権限がない、請求先アカウントが一致しないなど)。
プロジェクトでは、Google SecOps インスタンスと同じ請求先アカウントを使用する必要があります。
プロジェクトは 1 つの Google SecOps インスタンスにのみリンクできます。 Google Cloud
プロジェクトにアクセスして操作するには、必要な IAM 権限が必要です。 プロジェクトを追加する権限をご覧ください。 Google Cloud
プロジェクトを Google Cloud 選択する:
プロジェクトの Google Cloud 名前をクリックします。
プロジェクトを選択した後で別のプロジェクトを選択する場合は、[SecOps をプロジェクトにリンク] ページでプロジェクトをクリックして [リソースを選択] ページを開き、別のプロジェクトを選択します。
重要な連絡先を追加する
技術的な問題、セキュリティの問題、法的な問題、課金に関する問題について重要な通知を受け取るために連絡先を追加してください。
プロジェクトを選択すると、[重要な連絡先] 表が表示されます。この表には、通知のカテゴリ と、連絡先として割り当てたメールアドレス が表示されます。少なくとも、技術 、セキュリティ 、法務 、課金 の 4 つの必須カテゴリに連絡先を割り当てる必要があります。
通知カテゴリに連絡先を割り当てる手順は次のとおりです。
[連絡先の編集] ウィンドウを開くには、[連絡先を追加] をクリックするか、既存の連絡先がある通知 カテゴリで 編集 [編集] をクリックします。
連絡先の担当者のメールアドレス を入力し、1 つ以上の通知カテゴリ を選択します。
[保存] をクリックします。
次の通知カテゴリでこの手順を繰り返します。
連絡先を割り当てたら、[次へ] をクリックして Google SecOps インスタンスを 選択したプロジェクトにリンクし、[デプロイ] ページを開きます。
デプロイの詳細を確認する
[デプロイ] ページには、デプロイ前に確認する最終的な詳細が表示されます。
事前入力された各セクションの詳細を確認します。
デプロイの詳細
このセクションには、契約で設定されたインスタンスの詳細(会社、リージョン、パッケージ階層、データ保持期間など)が表示されます。
インスタンス情報を表示するには、 https://console.cloud.google.com/security/chronicle/settings に移動します。
情報を更新するには、 Google の担当者(または、対応できない場合は Google SecOps サポート)にお問い合わせください。
[次へ] をクリックして、次のセクションに進みます。
サービス アカウントを確認する
システムが作成するサービス アカウントの詳細を確認します。[次へ] をクリックして、次のセクションに進みます。
シングル サインオン(SSO)を構成する
Google SecOps へのユーザーとグループのアクセスを管理するために使用する ID プロバイダに基づいて、次のいずれかの SSO プロバイダ オプションを選択します。
Google Cloud Identity: Cloud Identity または Google Workspace を使用する場合。
Workforce Identity 連携: サードパーティの ID プロバイダ。
ID プロバイダがリストにない場合は、構成してからリストから選択します 。詳細については、 サードパーティの ID プロバイダを構成するをご覧ください。
[次へ] をクリックして、次のセクションに進みます。
利用規約
[上記に同意し、...] チェックボックスをオンにして、利用規約に同意します。
インスタンスの設定を開始する
[設定を開始] をクリックして、表示された詳細に従って Google SecOps インスタンスを設定します。
Chronicle API が有効になっているかどうかが確認されます。API が有効になっている場合は、デプロイ プロセスが実行されます。完了までに最大 30 分かかることがあります。
- デプロイが正常に完了すると、通知が送信されます。
- デプロイが失敗した場合は、Google の担当者(または、対応できない場合は Google SecOps サポート)にお問い合わせください。
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。