为 Google SecOps 配置 Google Cloud 项目

支持的平台:

在初始配置流程中,您的 Google SecOps 代表会与您合作,将您的 Google SecOps 实例绑定到您拥有的 Google Cloud 组织内的 Google Cloud 项目。

该项目会创建一个控制层,以便您启用、检查和管理对写入 Cloud Audit Logs 的 Google SecOps 生成的审核日志的访问权限,使用 Cloud Monitoring 创建自定义提取中断提醒,以及存储导出的历史数据。您可以在项目中设置权限,以向其授予对 Chronicle API 的访问权限,从而允许 Google SecOps 读取和写入项目中的数据。

在 Google SecOps 中,由 Google Cloud项目创建的已建立控制层会存储敏感的安全遥测数据,因此我们建议您预配一个新的Google Cloud 项目。您还可以选择将 Google SecOps 绑定到现有项目,但请注意关联的现有权限和限制可能会对其 Google SecOps 体验产生怎样的影响。

项目是存储客户专用数据的位置。您需要在项目中设置权限,以便项目可以访问 Chronicle API,并且 Google Security Operations 可以读取和写入项目中的数据。

Google SecOps 实例与 Google Cloud项目之间存在 1:1 的关系。您可以选择一个要与 Google SecOps 绑定的项目。如果您有多个组织,请选择一个组织来创建此项目。您无法将 Google SecOps 绑定到多个项目。

  1. 如果您有 Google Cloud 组织,但尚未创建要绑定到 Google SecOps 的项目,请执行创建项目中的步骤。

  2. 在项目中启用 Chronicle API。

    1. 选择您在上一步中创建的项目。
    2. 前往 API 和服务 >
    3. 搜索“Chronicle API”。
    4. 选择 Chronicle API,然后点击 Enable(启用)。

如需了解详情,请参阅在 Google Cloud 项目中启用 API

  1. 配置重要联系人以接收来自 Google Cloud的定向通知。如需了解详情,请参阅管理通知联系人

    您可能会注意到,新服务账号已获得对项目的 IAM 权限授予。服务账号名称遵循 service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com 模式,

    其中 PROJECT_NUMBER 是项目的唯一标识符。此服务账号具有“Chronicle 服务代理”角色。

    该服务账号位于 Google SecOps 维护的项目中。如需查看此权限授予,请前往 Google Cloud 项目的 IAM 页面,然后选中右上角的包括 Google 提供的角色授权复选框。

    如果您没有看到新服务账号,请检查 IAM 页面上是否已启用收录的 Google 提供的角色授权按钮。

后续步骤

完成本文档中的步骤后,请执行以下操作:

  • 对项目应用安全和合规性控制,以满足您的业务用例和组织政策。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档。默认情况下,系统不会应用与您的组织相关联或由项目要求的合规性限制。 Google Cloud
  • 将 Google SecOps 与 Cloud Identity第三方身份提供方集成。
  • 按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录。Google SecOps 会将数据访问审核日志和管理员活动审核日志写入项目。您无法使用 Google Cloud 控制台停用数据访问日志记录。如果您想停用数据访问日志记录,请与您的 Google SecOps 代表联系,对方可以为您停用此功能。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。