为 Google SecOps 配置 Google Cloud 项目
Google Cloud 项目充当关联的 Google SecOps 实例的控制层。它存储特定于客户的数据,例如安全遥测数据、审核日志、提取提醒和其他敏感的实例级信息。
以下部分介绍了如何配置 Google Cloud 项目。
前提条件
每个新的 Google SecOps 实例都应与一个Google Cloud 项目相关联。您可以关联到现有项目,也可以创建新项目,具体取决于您的组织设置和要求: Google Cloud
我们建议为每个 Google SecOps 实例创建一个新的专用 Google Cloud 项目。这种方法有助于隔离特定于 Google SecOps 实例的敏感安全遥测数据和审核数据。
如需创建新 Google Cloud 项目,请参阅创建 Google Cloud 项目。
如果您将 Google SecOps 实例关联到现有Google Cloud 项目,请检查可能会影响实例行为或访问权限的所有现有权限和限制。
有关详情,请参阅向 Google SecOps 实例授予权限。
配置 Google Cloud 项目
以下部分介绍了如何在项目中启用 Chronicle API Google Cloud 并配置必需的联系人。
在 Google Cloud 项目中启用 Chronicle API
如需允许 Google SecOps 实例读取和写入关联的 Google Cloud 项目,请执行以下操作:
- 前往 Google Cloud 控制台中的管理资源页面。
- 点击顶部的项目选择器,然后选择您的组织资源。
- 选择新创建的项目。
- 前往 API 和服务。
- 点击 + 启用 API 和服务。
- 搜索 Chronicle API 并将其选中。
- 点击启用,为项目启用 Chronicle API。
如需了解详情,请参阅在 Google Cloud 项目中启用 API。
配置重要联系人
配置重要联系人,以接收来自Google Cloud的定向通知。请执行管理通知联系人中的步骤。
项目中的新服务账号
系统会向您的项目添加一个新的服务账号。该服务账号由 Google SecOps 管理,具有以下属性:
服务账号命名模式如下所示,其中
PROJECT_NUMBER是项目的唯一标识符:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com该账号具有 Chronicle Service Agent 角色。
向项目授予 IAM 权限。
如需查看 IAM 权限的详细信息,请执行以下操作:
- 前往 Google Cloud 项目的 IAM 页面。
在右上角,选中包括 Google 提供的角色授权复选框。
如果您没有看到新服务账号,请检查 IAM 页面上是否已启用收录的 Google 提供的角色授权按钮。
后续步骤
完成本文档中的步骤后,请执行以下操作:
对项目应用安全和合规性控制,以满足您的业务用例和组织政策。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。
将您的 Google SecOps 实例与身份提供方 (IdP) 集成,可以是 Cloud Identity,也可以是第三方身份提供方。
Google Cloud 项目可用作控制层,以便您执行以下操作:
- 启用、检查和管理对 Google SecOps 生成并存储在 Cloud Audit Logs 中的审核日志的访问权限。
- 使用 Cloud Monitoring 设置自定义提取中断提醒。
- 存储导出的历史数据。
按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问日志和管理员活动日志写入项目。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。