为 Google SecOps 配置 Google Cloud 项目

支持的语言:

Google Cloud 项目充当关联的 Google SecOps 实例的控制层。它存储特定于客户的数据,例如安全遥测数据、审核日志、提取提醒和其他敏感的实例级信息。

以下部分介绍了如何配置 Google Cloud 项目。

前提条件

每个新的 Google SecOps 实例都应关联到单个Google Cloud 项目。您可以关联到现有 Google Cloud 项目,也可以创建新项目,具体取决于您的组织设置和要求:

  • 我们建议为每个 Google SecOps 实例创建一个新的专用 Google Cloud 项目。此方法有助于隔离特定于 Google SecOps 实例的敏感安全遥测数据和审核数据。

    如需创建新的 Google Cloud 项目,请参阅创建 Google Cloud 项目

  • 如果您将 Google SecOps 实例关联到现有Google Cloud 项目,请查看可能会影响实例行为或访问权限的所有现有权限和限制。

    有关详情,请参阅向 Google SecOps 实例授予权限

配置 Google Cloud 项目

以下部分介绍了如何在 Google Cloud 项目中启用 Chronicle API 并配置必要联系人。

在 Google Cloud 项目中启用 Chronicle API

如需允许 Google SecOps 实例从关联的 Google Cloud 项目中读取数据和向其中写入数据,请执行以下操作:

  1. 前往 Google Cloud 控制台中的管理资源页面。

    前往“管理资源”页面

  2. 点击顶部的项目选择器,然后选择您的组织资源。
  3. 选择新创建的项目。
  4. 前往 API 和服务
  5. 点击 + 启用 API 和服务
  6. 搜索 Chronicle API 并将其选中。
  7. 点击启用,为项目启用 Chronicle API。

如需了解详情,请参阅在 Google Cloud 项目中启用 API

配置重要联系人

配置重要联系人,以接收来自Google Cloud的有针对性的通知。按照管理通知联系人中的步骤操作。

项目中的新服务账号

系统会将新服务账号添加到您的项目中。该服务账号由 Google SecOps 管理,具有以下属性:

  • 服务账号命名模式如下所示,其中 PROJECT_NUMBER 是项目的唯一标识符:

    service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com

  • 该账号具有 Chronicle Service Agent 角色。

  • 向项目授予 IAM 权限。

    如需查看 IAM 权限的详细信息,请执行以下操作:

    1. 前往 Google Cloud 项目的 IAM 页面。

    2. 在右上角,选中包括 Google 提供的角色授权复选框。

      如果您没有看到新服务账号,请检查 IAM 页面上的包括 Google 提供的角色授权按钮是否已启用。

后续步骤

完成本文档中的步骤后,请执行以下操作:

  • 将安全和合规性控制措施应用于项目,以满足您的业务应用场景和组织政策。如需详细了解如何执行此操作,请参阅 Assured Workloads 文档

  • 将您的 Google SecOps 实例与身份提供商 (IdP)(Cloud Identity第三方身份提供商)集成。

  • Google Cloud 项目充当控制层,可让您执行以下操作:

    • 启用、检查和管理对 Google SecOps 生成并存储在 Cloud Audit Logs 中的审核日志的访问权限。
    • 使用 Cloud Monitoring 设置自定义数据提取中断提醒。
    • 存储导出的历史数据。

    按照 Google Security Operations 审核日志记录信息中的步骤启用 Google SecOps 审核日志记录功能。 Google SecOps 会将数据访问日志和管理员活动日志写入项目。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。