設定 Google SecOps 專案 Google Cloud
Google Cloud 專案是連結的 Google SecOps 執行個體的控制層。當中儲存的資料包括安全性遙測資料、稽核記錄、擷取警報,以及其他例項層級的機密資訊。
以下各節說明如何設定 Google Cloud 專案。
必要條件
每個新的 Google SecOps 執行個體都應連結至單一Google Cloud 專案。視貴機構的設定和需求而定,您可以連結至現有 Google Cloud 專案或建立新專案:
建議您為每個 Google SecOps 執行個體建立專用的新 Google Cloud 專案。這種做法有助於隔離 Google SecOps 執行個體專屬的敏感安全性遙測和稽核資料。
如要建立新專案,請參閱「建立專案 Google Cloud 」。 Google Cloud
如果將 Google SecOps 執行個體連結至現有Google Cloud 專案,請檢查可能影響執行個體行為或存取權的現有權限和限制。
詳情請參閱「授予 Google SecOps 執行個體權限」。
設定 Google Cloud 專案
以下各節說明如何在 Google Cloud 專案中啟用 Chronicle API,以及設定重要聯絡人。
在 Google Cloud 專案中啟用 Chronicle API
如要允許 Google SecOps 執行個體從連結的 Google Cloud 專案讀取及寫入資料,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Manage resources」(管理資源) 頁面。
- 按一下頂端的專案挑選器,然後選取機構資源。
- 選取新建立的專案。
- 前往「APIs & Services」(API 和服務) 頁面。
- 按一下「+ 啟用 API 和服務」。
- 搜尋「Chronicle API」並加以選取。
- 按一下「啟用」,為專案啟用 Chronicle API。
詳情請參閱「在專案中啟用 API Google Cloud 」。
設定重要聯絡人
設定重要聯絡人,接收Google Cloud的目標通知。按照「管理通知聯絡人」一文中的步驟操作。
專案中的新服務帳戶
專案中會新增服務帳戶。這個服務帳戶由 Google SecOps 管理,並具備下列屬性:
服務帳戶的命名模式如下,其中
PROJECT_NUMBER是專案專屬的:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com帳戶具備「Chronicle 服務代理人」角色。
系統會將 IAM 權限授予專案。
如要查看 IAM 權限的詳細資料,請按照下列步驟操作:
- 前往 Google Cloud 專案的「IAM」IAM頁面。
選取右上方的「包含 Google 提供的角色授予項目」核取方塊。
如果沒有看到新的服務帳戶,請確認 IAM 頁面已啟用「包含 Google 提供的角色授權」按鈕。
後續步驟
完成本文中的步驟後,請執行下列操作:
對專案套用安全性和法規遵循控制項,以滿足您的業務用途和機構政策。如要進一步瞭解如何操作,請參閱 Assured Workloads 說明文件。
將 Google SecOps 執行個體與識別資訊提供者 (IdP) 整合,可以是 Cloud Identity 或第三方識別資訊提供者。
Google Cloud 專案可做為控制層,讓您執行下列操作:
- 啟用、檢查及管理對 Google SecOps 產生的稽核記錄的存取權,這些記錄會儲存在 Cloud 稽核記錄中。
- 使用 Cloud Monitoring 設定自訂擷取中斷快訊。
- 儲存匯出的歷來資料。
按照「Google Security Operations 稽核記錄資訊」一文的步驟,啟用 Google SecOps 稽核記錄。Google SecOps 會將資料存取和管理員活動記錄寫入專案。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。