Configura un progetto Google Cloud per Google SecOps

Supportato in:

Google SecOps SIEM

Un progetto Google Cloud funge da livello di controllo per l'istanza di Google SecOps collegata. Archivia dati specifici del cliente, come telemetria di sicurezza, log di controllo, avvisi di importazione e altre informazioni sensibili a livello di istanza.

Le sezioni seguenti descrivono come configurare il progetto Google Cloud .

Prerequisiti

Ogni nuova istanza di Google SecOps deve essere collegata a un singolo progettoGoogle Cloud . Puoi collegarti a un progetto Google Cloud esistente o crearne uno nuovo, a seconda della configurazione e dei requisiti dell'organizzazione:

Ti consigliamo di creare un nuovo progetto Google Cloud dedicato per ogni istanza di Google SecOps. Questo approccio consente di isolare i dati di audit e di telemetria di sicurezza sensibili specifici dell'istanza Google SecOps.

Per creare un nuovo progetto, consulta Creare un progetto. Google Cloud Google Cloud
Se colleghi la tua istanza Google SecOps a un progettoGoogle Cloud esistente, esamina eventuali permessi e limitazioni esistenti che potrebbero influire sul comportamento o sull'accesso dell'istanza.

Per maggiori informazioni, vedi Concedere autorizzazioni all'istanza Google SecOps.

Configurare un progetto Google Cloud

Le sezioni seguenti descrivono come attivare l'API Chronicle nel progetto Google Cloud e configurare i contatti essenziali.

Abilita l'API Chronicle nel progetto Google Cloud

Per consentire all'istanza Google SecOps di leggere e scrivere nel progetto Google Cloud collegato, procedi nel seguente modo:

Vai alla pagina Gestisci risorse nella console Google Cloud .
Vai alla pagina Gestisci risorse
In alto, fai clic sul selettore di progetti e seleziona la risorsa Organizzazione.
Seleziona il progetto appena creato.
Vai ad API e servizi.
Fai clic su + ABILITA API E SERVIZI.
Cerca API Chronicle e selezionala.
Fai clic su Abilita per abilitare l'API Chronicle per il progetto.

Per saperne di più, vedi Abilitazione di un'API nel tuo progetto Google Cloud .

Configurare i contatti fondamentali

Configura i contatti fondamentali per ricevere notifiche mirate da Google Cloud. Segui i passaggi descritti in Gestione dei contatti per le notifiche.

Nuovo account di servizio nel tuo progetto

Al tuo progetto viene aggiunto un nuovo account di servizio. Il account di servizio è gestito da Google SecOps e ha i seguenti attributi:

Il pattern di denominazione del account di servizio è il seguente, dove PROJECT_NUMBER è univoco per il progetto:

service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
L'account ha il ruolo Agente di servizio Chronicle.
Al progetto viene concessa un'autorizzazione IAM.

Per visualizzare i dettagli dell'autorizzazione IAM:
1. Vai alla pagina IAM del tuo progetto Google Cloud .
2. In alto a destra, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
  
  Se non vedi il nuovo account di servizio, verifica che il pulsante Includi concessioni di ruoli fornite da Google sia attivato nella pagina IAM.

Impatto dell'aggiornamento di un progetto Google Cloud collegato

Quando aggiorni il progetto collegato alla tua istanza, vengono interessati percorsi di importazione dati specifici. Google Cloud Google Cloud I feed con i tipi di origine AMAZON_S3_V2, AMAZON_SQS_V2, GOOGLE_CLOUD_STORAGE_V2, AZURE_BLOBSTORAGE_V2 e AZURE_EVENT_HUB interrompono l'importazione dei dati live dopo la migrazione. Devi ricrearli dall'interfaccia utente/API Feeds dopo la migrazione per riprendere l'importazione importazione dati. Tutti gli altri tipi di feed continuano a funzionare senza interruzioni e non richiedono interventi manuali.

I feed interessati creati prima della transizione della migrazione passano allo stato di sola lettura. Questo aggiornamento influisce anche sulla funzionalità SOAR e su risorse specifiche come bucket Cloud Storage, service account e secret.

Se la tua istanza di Google SecOps esegue l'autenticazione con un provider di identità (IdP) di terze parti, devi configurare l'IdP anche nel nuovo progetto Google Cloud . Per configurare un IdP di terze parti, vedi Configurare un provider di identità di terze parti.

Per maggiori informazioni, vedi Impatto della modifica del progetto Cloud collegato.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, esegui le seguenti operazioni:

Applica i controlli di sicurezza e conformità al progetto per soddisfare il caso d'uso aziendale e le norme dell'organizzazione. Per saperne di più su come fare, consulta la documentazione di Assured Workloads.

Nota: le limitazioni di conformità richieste dalla tua Google Cloud organizzazione non vengono applicate per impostazione predefinita. Devi configurarli manualmente.
Integra la tua istanza di Google SecOps con un provider di identità (IdP), Cloud Identity o un provider di identità di terze parti.
Il progetto Google Cloud funge da livello di controllo per consentirti di eseguire le seguenti operazioni:
- Abilita, ispeziona e gestisci l'accesso agli audit log generati da Google SecOps e archiviati in Cloud Audit Logs.
- Configura avvisi personalizzati per interruzioni dell'importazione utilizzando Cloud Monitoring.
- Archivia i dati storici esportati.
Attiva la registrazione dei controlli di Google SecOps seguendo i passaggi descritti in Informazioni sulla registrazione dei controlli di Google Security Operations. Google SecOps scrive i log di accesso ai dati e delle attività di amministrazione nel progetto.

Nota: non puoi disattivare la registrazione dell'accesso ai dati utilizzando la console Google Cloud . Per richiedere la disattivazione, contatta il tuo rappresentante di Google SecOps.
Importante: se la registrazione degli audit è stata attivata in precedenza seguendo i passaggi della guida alla registrazione degli audit di Google SecOps, quando completi i passaggi descritti in questo documento, l'output dei log viene reindirizzato al nuovo progetto vincolato a Google Security Operations.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.