Mengonfigurasi project Google Cloud untuk Google SecOps

Didukung di:

Project Google Cloud berfungsi sebagai lapisan kontrol untuk instance Google SecOps yang ditautkan. Cloud Audit Logs menyimpan data khusus pelanggan seperti telemetri keamanan, log audit, pemberitahuan penyerapan, dan informasi sensitif tingkat instance lainnya.

Bagian berikut menjelaskan cara mengonfigurasi project Google Cloud Anda.

Prasyarat

Setiap instance Google SecOps baru harus ditautkan ke satu projectGoogle Cloud . Anda dapat menautkan ke project Google Cloud yang sudah ada atau membuat project baru, bergantung pada penyiapan dan persyaratan organisasi Anda:

  • Sebaiknya buat project Google Cloud baru khusus untuk setiap instance Google SecOps. Pendekatan ini membantu mengisolasi data audit dan telemetri keamanan sensitif yang khusus untuk instance SecOps Google.

    Untuk membuat project Google Cloud baru, lihat Membuat Google Cloud project.

  • Jika Anda menautkan instance Google SecOps ke projectGoogle Cloud yang ada, tinjau izin dan batasan yang ada yang dapat memengaruhi perilaku atau akses instance.

    Untuk mengetahui detailnya, lihat Memberikan izin ke instance Google SecOps.

Mengonfigurasi Google Cloud project

Bagian berikut menjelaskan cara mengaktifkan Chronicle API di project Google Cloud dan mengonfigurasi Kontak Penting.

Aktifkan Chronicle API di Google Cloud project

Untuk mengizinkan instance Google SecOps membaca dan menulis ke project yang ditautkan, lakukan hal berikut: Google Cloud

  1. Buka halaman Manage resources di konsol Google Cloud .

    Buka halaman Kelola Resource

  2. Di bagian atas, klik Pemilih project, lalu pilih resource Organisasi Anda.
  3. Pilih project yang baru dibuat.
  4. Buka APIs & Services.
  5. Klik + ENABLE APIS AND SERVICES.
  6. Telusuri Chronicle API, lalu pilih API tersebut.
  7. Klik Enable untuk mengaktifkan Chronicle API untuk project.

Untuk mengetahui detail selengkapnya, lihat Mengaktifkan API di project Google Cloud .

Mengonfigurasi Kontak Penting

Mengonfigurasi Kontak Penting untuk menerima notifikasi yang ditargetkan dari Google Cloud. Lakukan langkah-langkah di Mengelola kontak untuk notifikasi.

Akun layanan baru di project Anda

Akun layanan baru ditambahkan ke project Anda. Akun layanan dikelola oleh Google SecOps dan memiliki atribut berikut:

  • Pola penamaan akun layanan adalah sebagai berikut, dengan PROJECT_NUMBER yang unik untuk project:

    service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com

  • Akun memiliki peran Chronicle Service Agent.

  • Izin IAM diberikan ke project.

    Untuk melihat detail izin IAM, lakukan langkah berikut:

    1. Buka halaman IAM di Google Cloud project Anda.

    2. Di kanan atas, centang kotak Include Google-provided role grants.

      Jika Anda tidak melihat akun layanan baru, periksa apakah tombol Sertakan pemberian peran yang disediakan Google diaktifkan di halaman IAM.

Langkah berikutnya

Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut:

  • Terapkan kontrol keamanan dan kepatuhan pada project untuk memenuhi kasus penggunaan bisnis dan kebijakan organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara melakukannya, lihat dokumentasi Assured Workloads.

  • Integrasikan instance Google SecOps Anda dengan Penyedia Identitas (IdP), baik Cloud Identity maupun penyedia identitas pihak ketiga.

  • Project Google Cloud berfungsi sebagai lapisan kontrol bagi Anda untuk melakukan hal berikut:

    • Mengaktifkan, memeriksa, dan mengelola akses ke log audit yang dihasilkan oleh Google SecOps dan disimpan di Cloud Audit Logs.
    • Siapkan pemberitahuan pemadaman penyerapan kustom menggunakan Cloud Monitoring.
    • Menyimpan data historis yang diekspor.

    Aktifkan pencatatan audit Google SecOps dengan mengikuti langkah-langkah di Informasi pencatatan audit Google Security Operations. Google SecOps menulis log Akses Data dan Aktivitas Admin ke project.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.