Permite que la Detección de eventos de amenazas acceda a los perímetros de los Controles del servicio de VPC

En este documento, se describe cómo agregar reglas de entrada para permitir que Event Threat Detection supervise los flujos de registro en Security Command Center dentro de los perímetros de los Controles del servicio de VPC. Realiza esta tarea si tu organización usa los Controles del servicio de VPC para restringir los servicios en los proyectos que deseas que supervise Event Threat Detection. Para obtener más información sobre Event Threat Detection, consulta la Descripción general de Event Threat Detection.

Antes de comenzar

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige uno.
  6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
  7. Haz clic en Guardar.

    8. Crea las reglas de entrada

    Para permitir que Event Threat Detection supervise los flujos de registros en Security Command Center dentro de los perímetros de los Controles del servicio de VPC, agrega las reglas de entrada requeridas en esos perímetros. Realiza estos pasos para cada perímetro que desees que supervise Event Threat Detection.

    Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio en la documentación de los Controles del servicio de VPC.

    Console

    1. En la consola de Google Cloud , ve a la página Controles del servicio de VPC.

      Ir a los Controles del servicio de VPC

    2. Selecciona tu organización o proyecto.
    3. Si seleccionaste una organización, haz clic en Selecciona una política de acceso y, luego, selecciona la política de acceso asociada al perímetro que deseas actualizar.

    4. Haz clic en el nombre del perímetro que deseas actualizar.

      Para encontrar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, verifica el campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Haz clic en Editar perímetro.
    6. Haz clic en Política de entrada.
    7. Haz clic en Agregar una regla de entrada.

    8. En la sección FROM, configura los siguientes detalles:

      1. En Identidad, selecciona Seleccionar identidades y grupos.
      2. Haz clic en Agregar identidades.

      3. Ingresa la dirección de correo electrónico del agente de servicio de Security Center. La dirección del agente de servicio tiene el siguiente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Reemplaza ORGANIZATION_ID por el ID de tu organización.

      4. Selecciona el agente de servicio o presiona INTRO y, luego, haz clic en Agregar identidades.
      5. En Fuentes, selecciona Todas las fuentes.

    9. En la sección PARA, configura los siguientes detalles:

      1. En Proyecto, selecciona Todos los proyectos.
      2. En Operaciones o roles de IAM, selecciona Seleccionar operaciones.

      3. Haz clic en Agregar operaciones y, luego, agrega las siguientes operaciones:

        • Agrega el servicio cloudasset.googleapis.com.
          1. Haz clic en Todos los métodos.
          2. Haz clic en Agregar todos los métodos.
    10. Haz clic en Guardar.

    gcloud

    1. Si aún no se configuró un proyecto de cuota, configúralo. Elige un proyecto que tenga habilitada la API de Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Reemplaza QUOTA_PROJECT_ID por el ID del proyecto que deseas usar para la facturación y la cuota.

    2. Crea un archivo llamado ingress-rule.yaml con el siguiente contenido:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      Reemplaza ORGANIZATION_ID por el ID de tu organización.

    3. Agrega la regla de entrada al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Reemplaza lo siguiente:

      • PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, verifica el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Consulta las reglas de entrada y salida para obtener más información.

    ¿Qué sigue?