將 Google SecOps 執行個體連結至 Google Cloud 服務

本文說明如何將 Google SecOps 執行個體連結至新訂閱方案。

啟用訂閱方案的情境

本文件適用於下列訂閱啟用情境：

新客戶：

• 首次佈建新的 Google SecOps 執行個體。
• 保留最近完成的概念驗證 (POC) 資料。

現有顧客：

• 啟用現有 Google SecOps 執行個體的續訂和合約修訂。

本文未涵蓋的訂閱項目連結情境

下列執行個體連結情境需要採取不同動作，本文未說明這些動作：

• 連結代管安全服務供應商 (MSSP) 執行個體：

  如要為受管理的安全服務供應商 (MSSP) 連結 Google SecOps 執行個體，請與 Google SecOps 支援團隊或 Google 代表聯絡，尋求設定協助。

• 受法規控管的租戶 (執行個體)：

  • 法規遵循控制項租戶 (執行個體) 符合下列其中一項法規遵循控制項標準：FedRAMP、FedRAMP_MODERATE、HIPAA、PCI_DSS、FedRAMP_HIGH、IL4、IL5、CMEK_V1 或 DRZ_ADVANCED。

  • 如果是法規控管的租戶 (執行個體)，請與 Google SecOps 支援團隊或 Google 代表聯絡。他們會提供獨立邀請，遵循不同的工作流程，適用於受法規控管的租戶。

    在受法規控管的工作流程中，請注意下列事項：

    • 您必須在 Assured Workloads 資料夾內的專案中，找到受法規遵循控管的租戶 (執行個體)。詳情請參閱「員工身分聯盟」。

    • 選取要存放法規控管租戶的 Google Cloud 專案時，請注意以下事項：

      1. 選取要開啟的 Assured Workloads 資料夾。
      2. 在 Assured Workloads 資料夾中，按一下專案名稱。Google Cloud
      3. 按照「設定 IdP」一文的說明完成設定。

• 將非 POC Google SecOps 執行個體從專案遷移至自備專案 (BYOP) Google Cloud Google Cloud 專案

  您可以將 Google SecOps 執行個體 (及其資料) 從 Google Cloud 專案遷移至自備專案 (BYOP) Google Cloud 。詳情請參閱「將非 POC 專案遷移至 BYOP」。

• 遷移現有的舊版 Google SecOps 執行個體：

  如果現有的舊版 Google SecOps 執行個體符合任何下列條件，即可遷移至 Google Cloud ：

  • 未部署在您的 Google Cloud 專案中。
  • 不使用 Google Cloud 驗證 (員工身分聯盟 / Cloud Identity)。
  • 不使用 Google Cloud Identity and Access Management (IAM) 進行角色式存取控管 (RBAC)。

  如要遷移這類現有的 Google SecOps 執行個體，請按照「將舊版 SIEM 基礎架構遷移至 Google Cloud」指南中的步驟操作。

事前準備

如要搭配服務使用 Google SecOps 執行個體，請先完成下列步驟： Google Cloud

• 驗證權限。請確認您具備必要權限，可完成本文中的步驟。如要瞭解加入程序各階段的必要權限，請參閱「必要角色和權限」。

如要使用 Google Cloud服務建立新的 Google SecOps 執行個體，請先完成下列步驟：

• 選擇 Google Cloud 專案：您可以為 Google SecOps 執行個體建立新專案 Google Cloud，也可以連結至現有專案 Google Cloud 。

  如要建立新的 Google Cloud 專案並啟用 Chronicle API，請按照「設定 Google SecOps 專案」一文中的步驟操作。 Google Cloud

  Google Cloud

• 規劃 Google SecOps 執行個體的識別資訊提供者 (IdP) 設定：

  Google SecOps 執行個體會使用單一登入 (SSO) 和身分識別提供者 (IdP) 驗證使用者身分，並強制執行安全存取控管。設定下列其中一項，管理 Google SecOps 執行個體的使用者、群組和驗證作業：Cloud Identity、Google Workspace 或第三方識別資訊提供者 (例如 Okta 或 Azure AD)：

  • 如要使用第三方 IdP，請參閱「為 Google SecOps 設定第三方識別資訊提供者」。

  • 如要使用 Cloud Identity 或 Google Workspace，請參閱「為 Google SecOps 設定識別資訊提供者」。 Google Cloud

將 Google SecOps 執行個體連結至新訂閱方案

貴機構簽署新的 Google SecOps 訂閱合約後，Google 會在訂閱開始日期當天，傳送訂閱啟用電子郵件給貴機構的新手上路 SME (您的技術聯絡窗口)。這封電子郵件會提供訂閱啟用說明和一次性啟用連結，效期為 60 天。

如要將 Google SecOps 執行個體連結至新訂閱方案，請完成下列步驟：

1. 啟用訂閱方案
2. 選取 Google Cloud 專案
3. 新增重要聯絡人
4. 驗證部署詳細資料
5. 開始設定執行個體

啟用訂閱

完成 Google SecOps 訂閱啟用程序：

1. 閱讀啟用電子郵件中的啟用說明。

2. 按一下「啟用訂閱」連結，開啟「Google Security Operations 啟用」頁面。

3. 啟用頁面會顯示訂閱方案的權利。

   閱讀並檢查訂閱授權詳細資料和帳單帳戶 ID。

   • 確認所有詳細資料正確無誤後，請勾選「我已詳閱並同意上述條款，確定要啟用」核取方塊。記下帳單帳戶 ID，供後續步驟使用。
   • 如要更新任何授權詳細資料，請洽詢 Google SecOps 支援團隊或您的 Google 代表。

4. 在「建立或使用現有的 SecOps 執行個體」部分，根據啟用需求將新訂閱方案連結至現有執行個體，或建立新執行個體：

   • 如要為新訂閱項目建立新的 Google SecOps 執行個體：

     選取「建立新執行個體」，開啟「將 SecOps 連結至專案」頁面。

   • 如要將現有的 POC Google SecOps 執行個體連結至新訂閱方案：

     1. 選取「現有執行個體」。

     2. 輸入 POC Google SecOps 執行個體 ID，然後按一下「驗證」。

   • 如要續訂現有的 Google SecOps 訂閱方案或套用訂閱方案修正內容，請按照下列步驟操作：

     1. 選取「現有執行個體」。

        系統會顯示與帳單帳戶連結的現有 Google SecOps 執行個體清單。啟用後，系統會將新的訂閱授權套用至所有已連結的執行個體。

     2. 確認執行個體清單正確無誤。

        如果清單中缺少任何執行個體，請執行下列任一操作：

        • 確認代管遺失執行個體的 Google Cloud 專案帳單帳戶，與新訂閱方案的帳單帳戶相符。如果不相符，請更新 Google Cloud 專案的帳單帳戶，使其與新訂閱方案的帳單帳戶相符。
        • 請與 Google SecOps 支援團隊或 Google 代表聯絡。

     3. (選用) 如要在啟用訂閱方案的同時建立其他新的 Google SecOps 執行個體，請選取「我想建立新的執行個體...」核取方塊。

     4. 按一下「啟用訂閱」。

        系統會將新的訂閱授權套用至連結這個帳單帳戶的所有執行個體。

選取要將執行個體連結至的專案

1. 在「將 SecOps 連結至專案」頁面中，按一下「選取專案」開啟「選取資源」頁面。

2. 在「選取資源」頁面，從清單中選取「機構」。

3. 選用：建議您為每個 Google SecOps 執行個體建立專用的 Google Cloud 專案。

   按一下「New Project」(新專案)，為執行個體建立新的 Google Cloud 專案，然後按照「設定 Google SecOps 專案」一文中的步驟操作。 Google Cloud

4. 從「專案和資料夾」 Google Cloud 清單中選取專案，方法如下：

   • 專案入選條件：

     • 您無法選取旁邊有 警告 警告圖示的專案或資料夾。如要查看原因，請將指標懸停在圖示上，例如缺少權限或帳單帳戶不符。

       • 專案必須與 Google SecOps 執行個體使用相同的帳單帳戶。

       • Google Cloud 專案只能連結至一個 Google SecOps 執行個體。

       • 您必須具備必要的 IAM 權限，才能存取及使用專案，請參閱「新增專案的權限 Google Cloud 」。

   • 選取 Google Cloud 專案：

     • 按一下 Google Cloud 專案名稱。

     • 選取專案後，如要選取其他專案，請按照下列步驟操作：在「將 SecOps 連結至專案」頁面中，按一下專案開啟「選取資源」頁面，然後選取其他專案。

新增重要聯絡人

新增要接收重大通知的聯絡人，傳達技術、安全性、法律和帳單問題。

選取專案後，系統會顯示「重要聯絡人」表格。這個表格會顯示通知類別，以及您指派為聯絡人的電子郵件地址。您必須為至少四個必要類別指派聯絡人：技術、安全性、法律和帳單。

如要將聯絡人指派給通知類別，請按照下列步驟操作：

1. 如要開啟「編輯聯絡人」視窗，請按一下「新增聯絡人」，或在有現有聯絡人的通知類別中，按一下「編輯」 。

2. 輸入聯絡人的電子郵件地址，然後選取一或多個通知類別。

3. 按一下 [儲存]。

   針對下一個通知類別重複執行上述步驟。

4. 指派聯絡人後，按一下「下一步」，將 Google SecOps 執行個體連結至所選專案，並開啟「部署」頁面。

驗證部署作業詳細資料

「部署」頁面會顯示最終詳細資料，供您在部署前檢查。

驗證每個預先填入的區段中的詳細資料：

1. 部署作業詳細資料

   這個部分會顯示合約設定的執行個體詳細資料，例如公司、區域、套裝方案層級和資料保留時間。

   • 如要查看執行個體資訊，請前往 security/chronicle/settings。https://console.cloud.google.com/

   • 如要更新任何資訊，請與 Google SecOps 支援團隊或 Google 代表聯絡。

   按一下「下一步」前往下一個部分。

2. 查看服務帳戶

   查看系統建立的服務帳戶詳細資料。按一下「下一步」前往下一個部分。

3. 設定單一登入 (SSO)

   根據您用來管理使用者和群組 Google SecOps 存取權的身分識別提供者，選擇下列其中一個單一登入 (SSO) 提供者選項：

   • Google Cloud Identity：使用 Cloud Identity 或 Google Workspace。

   • 員工身分聯盟：第三方識別資訊提供者。

     如果沒有列出您的身分識別提供者，請設定該提供者，然後從清單中選取。詳情請參閱「設定第三方識別資訊提供者」。

     按一下「下一步」前往下一個部分。

4. 服務條款

   選取「我同意...」核取方塊，表示同意條款。

開始設定執行個體

按一下「開始設定」，根據顯示的詳細資料設定 Google SecOps 執行個體。

系統會檢查 Chronicle API 是否已啟用。如果已啟用 API，系統會執行部署程序，最多可能需要 30 分鐘才能完成。

• 部署作業成功完成後，系統會傳送通知。
• 如果部署失敗，請與 Google SecOps 支援團隊或 Google 代表聯絡。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。