Cette page a été traduite par l'API Cloud Translation.

Configurer un projet Google Cloud pour Google SecOps

Compatible avec :

Google SecOps SIEM

Un projet Google Cloud sert de couche de contrôle pour l'instance Google SecOps associée. Il stocke des données spécifiques aux clients, telles que la télémétrie de sécurité, les journaux d'audit, les alertes d'ingestion et d'autres informations sensibles au niveau de l'instance.

Les sections suivantes expliquent comment configurer votre projet Google Cloud .

Prérequis

Chaque nouvelle instance Google SecOps doit être associée à un seul projetGoogle Cloud . Vous pouvez associer un projet Google Cloud existant ou en créer un, en fonction de la configuration et des exigences de votre organisation :

Nous vous recommandons de créer un projet Google Cloud dédié pour chaque instance Google SecOps. Cette approche permet d'isoler les données de télémétrie et d'audit de sécurité sensibles spécifiques à l'instance Google SecOps.

Pour créer un projet Google Cloud , consultez Créer un projet Google Cloud .
Si vous associez votre instance Google SecOps à un projetGoogle Cloud existant, vérifiez les autorisations et restrictions existantes qui pourraient affecter le comportement ou l'accès de l'instance.

Pour en savoir plus, consultez Accorder des autorisations à l'instance Google SecOps.

Configurer un projet Google Cloud

Les sections suivantes expliquent comment activer l'API Chronicle dans le projet Google Cloud et configurer les contacts essentiels.

Activer l'API Chronicle dans le projet Google Cloud

Pour autoriser l'instance Google SecOps à lire et à écrire dans le projet Google Cloud associé, procédez comme suit :

Accédez à la page Gérer les ressources dans la console Google Cloud .
Accéder à la page "Gérer les ressources"
En haut de la page, cliquez sur l'outil de sélection de projet, puis sélectionnez votre ressource Organisation.
Sélectionnez le projet que vous venez de créer.
Accédez à API et services.
Cliquez sur + ACTIVER LES API ET LES SERVICES.
Recherchez l'API Chronicle et sélectionnez-la.
Cliquez sur Activer pour activer l'API Chronicle pour le projet.

Pour en savoir plus, consultez Activer une API dans votre projet Google Cloud .

Configurer les contacts essentiels

Configurez les contacts essentiels pour recevoir des notifications ciblées deGoogle Cloud. Suivez les étapes décrites dans Gérer les contacts pour les notifications.

Nouveau compte de service dans votre projet

Un compte de service est ajouté à votre projet. Le compte de service est géré par Google SecOps et possède les attributs suivants :

Le format de nommage des comptes de service est le suivant, où PROJECT_NUMBER est unique au projet :

service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
Le compte dispose du rôle Agent de service Chronicle.
Une autorisation IAM est accordée au projet.

Pour afficher les détails de l'autorisation IAM :
1. Accédez à la page IAM de votre projet Google Cloud .
2. En haut à droite, cochez la case Inclure les attributions de rôles fournies par Google.
  
  Si le nouveau compte de service ne s'affiche pas, vérifiez que le bouton Inclure les attributions de rôles fournies par Google est activé sur la page IAM.

Étapes suivantes

Une fois les étapes de ce document effectuées, procédez comme suit :

Appliquez des contrôles de sécurité et de conformité au projet pour répondre à votre cas d'utilisation métier et règles d'administration. Pour en savoir plus, consultez la documentation Assured Workloads.

Remarque : Les restrictions de conformité requises par votre organisation Google Cloud ne sont pas appliquées par défaut. Vous devez les configurer manuellement.
Intégrez votre instance Google SecOps à un fournisseur d'identité (IdP), Cloud Identity ou un fournisseur d'identité tiers.
Le projet Google Cloud sert de couche de contrôle pour vous permettre d'effectuer les opérations suivantes :
- Activez, inspectez et gérez l'accès aux journaux d'audit générés par Google SecOps et stockés dans Cloud Audit Logs.
- Configurez des alertes personnalisées en cas d'indisponibilité de l'ingestion à l'aide de Cloud Monitoring.
- Stockez les données historiques exportées.
Activez la journalisation d'audit Google SecOps en suivant la procédure décrite dans Informations sur la journalisation d'audit Google Security Operations. Google SecOps écrit les journaux d'accès aux données et d'activité d'administration dans le projet.

Remarque : Vous ne pouvez pas désactiver la journalisation des accès aux données à l'aide de la console Google Cloud . Pour demander à le désactiver, contactez votre représentant Google SecOps.
Important : Si la journalisation d'audit a déjà été activée en suivant les étapes du guide Google SecOps sur la journalisation d'audit, lorsque vous suivrez les étapes de ce document, la sortie du journal sera redirigée vers le nouveau projet lié à Google Security Operations.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.