Consenti a Event Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata per consentire a Event Threat Detection di monitorare i flussi di logging in Security Command Center all'interno dei perimetri di Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che Event Threat Detection monitori. Per saperne di più su Event Threat Detection, consulta Panoramica di Event Threat Detection.

Prima di iniziare

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Crea le regole in entrata

    Per consentire a Event Threat Detection di monitorare i flussi di logging in Security Command Center all'interno dei perimetri di Controlli di servizio VPC, aggiungi le regole di ingresso richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Event Threat Detection monitori.

    Per ulteriori informazioni, consulta la sezione Aggiornamento dei criteri in entrata e in uscita per un perimetro di servizio nella documentazione dei Controlli di servizio VPC.

    Console

    1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

      Vai a Controlli di servizio VPC

    2. Seleziona la tua organizzazione o il tuo progetto.
    3. Se hai selezionato un'organizzazione, fai clic su Seleziona un criterio di accesso e poi seleziona il criterio di accesso associato al perimetro che vuoi aggiornare.

    4. Fai clic sul nome del perimetro da aggiornare.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Fai clic su Modifica perimetro.
    6. Fai clic su Criterio in entrata.
    7. Fai clic su Aggiungi una regola in entrata.

    8. Nella sezione DA, imposta i seguenti dettagli:

      1. Per Identità, seleziona Seleziona identità e gruppi.
      2. Fai clic su Aggiungi identità.

      3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sostituisci ORGANIZATION_ID con l'ID organizzazione.

      4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
      5. In Origini, seleziona Tutte le origini.

    9. Nella sezione A, imposta i seguenti dettagli:

      1. In Progetto, seleziona Tutti i progetti.
      2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

      3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

        • Aggiungi il servizio cloudasset.googleapis.com.
          1. Fai clic su Tutti i metodi.
          2. Fai clic su Aggiungi tutti i metodi.
    10. Fai clic su Salva.

    gcloud

    1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

    2. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    3. Aggiungi la regola in entrata al perimetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Sostituisci quanto segue:

      • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Per ulteriori informazioni, consulta le regole di ingresso e uscita.

    Passaggi successivi