Désactivation en libre-service pour Google SecOps
Ce document explique comment utiliser la fonctionnalité de désactivation en libre-service dans Google Security Operations pour supprimer un locataire Google SecOps et toutes les données associées. Cette fonctionnalité fournit un processus évolutif et conforme pour traiter efficacement les demandes de suppression.
La désactivation vous permet de supprimer l'accès des utilisateurs à Google SecOps et de supprimer le locataire, y compris toutes les données et ressources associées. Vous gérez le processus de suppression directement, sans avoir besoin d'une assistance externe.
Utiliser le rôle de gouverneur de données pour supprimer le provisionnement et restaurer
Pour lancer le désapprovisionnement ou restaurer un locataire, vous devez utiliser un compte administrateur disposant du rôle de gouverneur de données.
Implications en termes de facturation de la suppression de votre instance
Avant de lancer le processus de désactivation, il est important de comprendre les implications en termes de facturation, comme suit :
- La suppression d'une instance Google SecOps n'annule pas votre facturation.
- Si vous avez un contrat actif, vous restez responsable de la valeur totale du contrat, même après avoir supprimé l'instance.
- La facturation se poursuit jusqu'à la fin de la durée du contrat, quel que soit l'état du locataire.
Phases de déprovisionnement
La suppression en libre-service s'effectue en deux phases :
- Phase de suppression réversible (délai de grâce de 12 jours)
- Phase de suppression définitive (suppression définitive sous 62 jours)
Phase de suppression réversible
Seul le responsable des données peut accéder à la page Profil de Google SecOps, où il peut :
- Affichez le nombre de jours restants dans la période de suppression réversible.
- Cliquez sur Restaurer pour annuler la suppression et restaurer le locataire.
Le responsable des données lance un délai de grâce de 12 jours pour la suppression réversible avant que les données ne soient définitivement supprimées. Au cours de cette phase, les restrictions et actions suivantes s'appliquent :
- Le système désactive l'accès à l'UI et à l'API, et l'ingestion de données est interrompue. Aucune nouvelle donnée ne sera ingérée dans le locataire SecOps une fois la demande de suppression lancée.
- Tous les rôles peuvent accéder à la page du profil.
- Le gouverneur de données peut voir la phase de suppression réversible restante de 12 jours et utiliser le bouton Restaurer, qui annule la suppression réversible et restaure le locataire.
- La plupart des fonctionnalités du produit sont désactivées pour tous les utilisateurs.
Phase de suppression définitive
Une fois la phase de suppression réversible de 12 jours terminée, le processus de suppression des données commence. Il supprime systématiquement les données et les ressources associées au locataire Google SecOps. Ce processus peut prendre jusqu'à deux jours.
Une fois le processus lancé, les actions irréversibles suivantes se produisent :
- Toutes les données client, y compris les instantanés de sauvegarde, sont définitivement supprimées dans les 62 jours suivant la demande initiale.
- L'accès à l'UI est définitivement désactivé.
Déprovisionner un locataire Google SecOps
Pour désactiver un locataire Google SecOps :
- Accédez à Google SecOps Settings > Profile.
Cliquez sur Désactiver et supprimer. Une fenêtre de notification s'affiche et contient plusieurs messages d'avertissement :
Access to SecOps will stop immediately; by proceeding with disabling and deleting this instance, the following occurs:
Only Admin users with the Data Governor role can restore the instance within 12 days. All other users will immediately lose access to SecOps and its data.
Data collection will stop within a few hours.
The instance can continue to be charged for a period of time, depending on your billing agreement.
All data, including cases, alerts, detection rules, settings, and logs will be permanently deleted after 12 days and can't be recovered.
Saisissez Supprimer dans le champ de confirmation.
Cliquez sur Désactiver et supprimer. Le message
SecOps has been disabled. All data will be deleted starting [date]
s'affiche, où la date correspond à 12 jours après que vous avez cliqué sur Désactiver et supprimer. L'utilisateur ne peut pas naviguer sur la plate-forme. Un minuteur affiche le début et la progression de la phase de suppression réversible de 12 jours.
Restaurer un locataire supprimé
Vous pouvez restaurer votre locataire dans les 12 jours suivant le début de la suppression. Le système rétablit l'état d'origine de votre locataire avec les données existantes. Le bouton Restaurer s'affiche après que vous avez cliqué sur Désactiver et supprimer. Cliquez sur Restaurer pour restaurer le locataire ou la plate-forme Google SecOps.
Limites
- La fonctionnalité de désactivation ne fournit que des fonctionnalités en libre-service gérées par l'assistance client. Il n'unifie ni n'automatise le processus de suppression des comptes dans tous les systèmes Google SecOps.
- Après la restauration d'un locataire, tous les flux de données restent inactifs. Vous devez réactiver manuellement les flux de données dont vous avez besoin.
- Le système supprime les instances SIEM et SOAR associées. Toutefois, les instances VirusTotal et Mandiant associées nécessitaient une suppression manuelle, qui était suivie par un ticket de bug.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.