Mengizinkan Event Threat Detection mengakses perimeter Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan masuk untuk mengizinkan Deteksi Ancaman Peristiwa memantau aliran logging di Security Command Center dalam perimeter Kontrol Layanan VPC. Lakukan tugas ini jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan di project yang ingin Anda pantau dengan Event Threat Detection. Untuk mengetahui informasi selengkapnya tentang Event Threat Detection, lihat Ringkasan Event Threat Detection.

Sebelum memulai

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

  5. Di daftar Select a role, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Buat aturan ingress

    Untuk mengizinkan Event Threat Detection memantau aliran logging di Security Command Center dalam perimeter VPC Service Controls, tambahkan aturan ingress yang diperlukan di perimeter tersebut. Lakukan langkah-langkah ini untuk setiap perimeter yang ingin dipantau oleh Event Threat Detection.

    Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

    Konsol

    1. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka Kontrol Layanan VPC

    2. Pilih organisasi atau project Anda.
    3. Jika Anda memilih organisasi, klik Pilih kebijakan akses, lalu pilih kebijakan akses yang terkait dengan perimeter yang ingin Anda perbarui.

    4. Klik nama perimeter yang ingin Anda perbarui.

      Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa entri log yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Klik Edit perimeter.
    6. Klik Ingress policy.
    7. Klik Tambahkan aturan ingress.

    8. Di bagian DARI, tetapkan detail berikut:

      1. Untuk Identity, pilih Select identities & groups.
      2. Klik Tambahkan identitas

      3. Masukkan alamat email agen layanan Pusat Keamanan. Alamat agen layanan memiliki format berikut: 

        service-org-ORGANIZATION_ID@security-center-api.

        Ganti ORGANIZATION_ID dengan ID organisasi Anda.

      4. Pilih agen layanan atau tekan ENTER, lalu klik Tambahkan identitas.
      5. Untuk Sumber, pilih Semua sumber

    9. Di bagian KE, tetapkan detail berikut:

      1. Untuk Project, pilih Semua project.
      2. Untuk Operasi atau peran IAM, pilih Pilih operasi.

      3. Klik Tambahkan operasi, lalu tambahkan operasi berikut:

        • Tambahkan layanan cloudasset.googleapis.com.
          1. Klik Semua metode.
          2. Klik Tambahkan semua metode.
    10. Klik Simpan.

    gcloud

    1. Jika project kuota belum ditetapkan, tetapkan project kuota. Pilih project yang mengaktifkan Access Context Manager API. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

    2. Buat file bernama ingress-rule.yaml dengan konten berikut:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    3. Tambahkan aturan traffic masuk ke perimeter:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Ganti kode berikut:

      • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Lihat Aturan traffic masuk dan keluar untuk informasi selengkapnya.

    Langkah berikutnya