Mengonfigurasi Google Cloud project untuk Google SecOps

Project Google Cloud berfungsi sebagai lapisan kontrol untuk instance Google SecOps yang ditautkan. Layanan ini menyimpan data khusus pelanggan seperti telemetri keamanan, log audit, pemberitahuan penyerapan, dan informasi tingkat instance sensitif lainnya.

Bagian berikut menjelaskan cara mengonfigurasi project Google Cloud .

Prasyarat

Setiap instance Google SecOps baru harus ditautkan ke satu projectGoogle Cloud . Anda dapat menautkan ke project Google Cloud yang ada atau membuat project baru, bergantung pada penyiapan dan persyaratan organisasi Anda:

• Sebaiknya buat project Google Cloud baru khusus untuk setiap instance Google SecOps. Pendekatan ini membantu mengisolasi telemetri keamanan sensitif dan data audit khusus untuk instance Google SecOps.

  Untuk membuat project Google Cloud baru, lihat Membuat project Google Cloud .

• Jika Anda menautkan instance Google SecOps ke projectGoogle Cloud yang ada, tinjau izin dan batasan yang ada yang dapat memengaruhi perilaku atau akses instance.

  Untuk mengetahui detailnya, lihat Memberikan izin ke instance Google SecOps.

Mengonfigurasi project Google Cloud

Bagian berikut menjelaskan cara mengaktifkan Chronicle API dalam project Google Cloud dan mengonfigurasi Kontak Penting.

Mengaktifkan Chronicle API di project Google Cloud

Untuk mengizinkan instance Google SecOps membaca dari dan menulis ke project Google Cloud tertaut, lakukan hal berikut:

1. Buka halaman Manage resources di Google Cloud konsol.

   Buka halaman Kelola Resource

2. Di bagian atas, klik Project picker, lalu pilih resource Organization Anda.
3. Pilih project yang baru dibuat.
4. Buka APIs & Services.
5. Klik + ENABLE APIS AND SERVICES.
6. Telusuri Chronicle API, lalu pilih API tersebut.
7. Klik Enable untuk mengaktifkan Chronicle API untuk project.

Untuk mengetahui detail selengkapnya, lihat Mengaktifkan API di Google Cloud project.

Mengonfigurasi Kontak Penting

Konfigurasikan Kontak Penting untuk menerima notifikasi yang ditargetkan dari Google Cloud. Lakukan langkah-langkah di Mengelola kontak untuk notifikasi.

Akun layanan baru di project Anda

Akun layanan baru akan ditambahkan ke project Anda. Akun layanan dikelola oleh Google SecOps dan memiliki atribut berikut:

• Pola penamaan akun layanan adalah sebagai berikut, dengan PROJECT_NUMBER bersifat unik untuk project:

  service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com

• Akun memiliki peran Chronicle Service Agent.

• Izin IAM diberikan ke project.

  Untuk melihat detail izin IAM, lakukan langkah berikut:

  1. Buka halaman IAM di project Google Cloud Anda.

  2. Di kanan atas, pilih kotak centang Sertakan pemberian peran yang diberikan Google.

     Jika Anda tidak melihat akun layanan baru, pastikan tombol Sertakan pemberian peran yang disediakan Google diaktifkan di halaman IAM.

Langkah berikutnya

Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut:

• Terapkan kontrol keamanan dan kepatuhan ke project untuk memenuhi kasus penggunaan bisnis dan kebijakan organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara melakukannya, lihat dokumentasi Assured Workloads.

• Integrasikan instance Google SecOps Anda dengan Penyedia Identitas (IdP), baik Cloud Identity maupun Penyedia identitas pihak ketiga.

• Project Google Cloud berfungsi sebagai lapisan kontrol bagi Anda untuk melakukan hal-hal berikut:

  • Aktifkan, periksa, dan kelola akses ke log audit yang dihasilkan oleh Google SecOps dan disimpan di Cloud Audit Logs.
  • Siapkan pemberitahuan pemadaman proses transfer kustom menggunakan Cloud Monitoring.
  • Menyimpan data historis yang diekspor.

  Aktifkan logging audit Google SecOps dengan mengikuti langkah-langkah di informasi logging audit Google Security Operations. Google SecOps menulis log Akses Data dan Aktivitas Admin ke project.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.