Configurar um Google Cloud projeto para o Google SecOps
Um projeto Google Cloud funciona como uma camada de controle para a instância vinculada do Google SecOps. Ele armazena dados específicos do cliente, como telemetria de segurança, registros de auditoria, alertas de ingestão e outras informações sensíveis no nível da instância.
As seções a seguir descrevem como configurar o projeto Google Cloud .
Pré-requisitos
Cada nova instância do Google SecOps precisa ser vinculada a um único projetoGoogle Cloud . É possível vincular o app a um projeto Google Cloud existente ou criar um novo, dependendo da configuração e dos requisitos da organização:
Recomendamos criar um projeto Google Cloud novo e dedicado para cada instância do Google SecOps. Essa abordagem ajuda a isolar a telemetria de segurança sensível e os dados de auditoria específicos da instância do Google SecOps.
Para criar um novo projeto Google Cloud , consulte Criar um Google Cloud projeto.
Se você vincular sua instância do Google SecOps a um projeto Google Cloud , revise todas as permissões e restrições que possam afetar o comportamento ou o acesso da instância.
Saiba mais em Conceder permissões à instância do Google SecOps.
Configurar um projeto do Google Cloud
As seções a seguir descrevem como ativar a API Chronicle no projeto Google Cloud e configurar os Contatos essenciais.
Ativar a API Chronicle no projeto do Google Cloud
Para permitir que a instância do Google SecOps leia e grave no projeto Google Cloud vinculado, faça o seguinte:
- Acesse a página Gerenciar recursos no console Google Cloud .
- Na parte de cima, clique no Seletor de projetos e selecione o recurso da Organização.
- Selecione o projeto recém-criado.
- Acesse APIs e serviços.
- Clique em + ATIVAR APIS E SERVIÇOS.
- Pesquise API Chronicle e selecione-a.
- Clique em Ativar para ativar a API Chronicle no projeto.
Para mais detalhes, consulte Como ativar uma API no seu Google Cloud projeto.
Configurar os contatos essenciais
Configure os contatos essenciais para receber notificações direcionadas de Google Cloud. Siga as etapas em Como gerenciar contatos de notificações.
Nova conta de serviço no projeto
Uma nova conta de serviço é adicionada ao projeto. A conta de serviço é gerenciada pelo Google SecOps e tem os seguintes atributos:
O padrão de nomenclatura da conta de serviço é o seguinte, em que
PROJECT_NUMBERé exclusivo do projeto:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.comA conta tem o papel de Agente de serviço do Chronicle.
Uma permissão do IAM é concedida ao projeto.
Para conferir os detalhes da permissão do IAM, faça o seguinte:
- Acesse a página do IAM do seu Google Cloud projeto.
No canto superior direito, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Se a nova conta de serviço não aparecer, verifique se o botão Incluir concessões de papel fornecidas pelo Google está ativado na página do IAM.
A seguir
Depois de concluir as etapas deste documento, faça o seguinte:
Aplique controles de segurança e compliance ao projeto para atender ao seu caso de uso de negócios e às políticas da organização. Para mais informações sobre como fazer isso, consulte a documentação do Assured Workloads.
Integre sua instância do Google SecOps a um provedor de identidade (IdP, na sigla em inglês), seja o Cloud Identity ou um provedor de identidade de terceiros.
O projeto Google Cloud serve como uma camada de controle para que você faça o seguinte:
- Ative, inspecione e gerencie o acesso aos registros de auditoria gerados pelo Google SecOps e armazenados nos registros de auditoria do Cloud.
- Configure alertas personalizados de interrupção de transferência usando o Cloud Monitoring.
- Armazenar dados históricos exportados.
Ative o registro de auditoria do Google SecOps seguindo as etapas em Informações sobre o registro de auditoria do Google Security Operations. O Google SecOps grava os registros de acesso a dados e de atividade do administrador no projeto.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.