Mengonfigurasi Kontrol Layanan VPC untuk Google SecOps

Panduan ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google Security Operations.

Kontrol Layanan VPC memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Konfigurasikan Google Security Operations dengan Kontrol Layanan VPC sehingga Google SecOps dapat mengakses resource dan layanan di luar perimeter layanannya.

Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC. Anda juga dapat melihat entri Google Security Operations di tabel produk yang didukung Kontrol Layanan VPC.

Sebelum memulai

• Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

• Untuk menggunakan Google SecOps dengan Kontrol Layanan VPC, Anda hanya dapat menggunakan fitur yang mematuhi Kontrol Layanan VPC. Berikut adalah daftar fitur yang mematuhi Kontrol Layanan VPC:

  • Google SecOps dengan Kontrol Layanan VPC hanya mendukung Google Cloud Autentikasi identitas, penyedia identitas pihak ketiga, dan Workforce Identity Federation.
  • RBAC fitur Google SecOps harus diaktifkan untuk menggunakan Kontrol Layanan VPC dengan Google SecOps.

  • Google SecOps dengan Kontrol Layanan VPC hanya mendukung API publik berikut:

    • chronicle.googleapis.com
    • chronicleservicemanager.googleapis.com

    Untuk melakukan orientasi ke Kontrol Layanan VPC, Anda harus memigrasikan semua endpoint yang sesuai ke chronicle.googleapis.com API.

  • Google SecOps dengan Kontrol Layanan VPC hanya mendukung ekspor data Unified Data Model (UDM) Google SecOps ke project BigQuery yang dikelola sendiri atau menggunakan Ekspor BigQuery Lanjutan.

  • Kontrol Layanan VPC hanya mendukung Dasbor Google SecOps Dashboards.

  • Anda hanya dapat membuat feed Cloud Storage dengan jenis sumber GOOGLE_CLOUD_STORAGE_V2 menggunakan konektor v2.

  • Saat Anda membuat langganan Pub/Sub baru saat Google SecOps dibatasi dalam perimeter Kontrol Layanan VPC, Google SecOps mengharuskan Anda menulis log ke Cloud Storage dan menggunakan GOOGLE_CLOUD_STORAGE_V2 atau GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN, bukan feed CLOUD_PUB_SUB Anda.

• Untuk instance Google SecOps yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Google sangat menyarankan agar Anda menyimpan project Cloud Key Management Service dalam perimeter yang sama dengan project yang ditautkan ke Google SecOps Google Cloud atau menyimpan kunci di dalam project yang ditautkan ke Google SecOps Google Cloud .

Batasan

• Endpoint Google SecOps Chronicle API ImportPushLogs tidak mendukung Kontrol Layanan VPC. Namun, batasan ini tidak menimbulkan risiko pemindahan data yang tidak sah, karena endpoint ImportPushLogs hanya digunakan untuk mengirim data ke instance Google SecOps, bukan untuk mengakses data.

• Google SecOps dengan Kontrol Layanan VPC tidak mendukung dasbor Looker.

• Google Cloud Pub/Sub tidak mendukung pembuatan langganan Pub/Sub baru yang menggunakan endpoint Chronicle API untuk menyerap log (entri Pub/Sub di tabel produk yang didukung Kontrol Layanan VPC). Namun, langganan Pub/Sub yang ada (dibuat sebelum memindahkan Google Cloud project di dalam perimeter Kontrol Layanan VPC) akan terus menyerap log seperti yang diharapkan.

• Google SecOps dengan Kontrol Layanan VPC tidak mendukung konektor feed API pihak ketiga dan bucket cloud lama.

Mengonfigurasi aturan ingress dan egress

Konfigurasikan aturan ingress dan egress berdasarkan konfigurasi perimeter layanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan perimeter layanan.

Jika Anda mengalami masalah dengan Kontrol Layanan VPC, gunakan penganalisis pelanggaran Kontrol Layanan VPC untuk men-debug dan menganalisis masalah tersebut. Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis penolakan akses di penganalisis pelanggaran.

Mengonfigurasi aturan untuk SOAR

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk sisi SOAR platform.

Konfigurasikan aturan ingress berikut untuk Google Cloud akun pengguna yang Anda tentukan saat menyiapkan Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan nomor project yang ditautkan ke Google SecOps Google Cloud .

Mengonfigurasi aturan untuk SIEM

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk sisi SIEM platform.

Jika Anda menggunakan tabel data, konfigurasikan aturan berikut untuk Google Cloud akun pengguna yang Anda tentukan saat menyiapkan Google SecOps:

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan nomor project yang ditautkan ke Google SecOps Google Cloud .

Mengonfigurasi aturan untuk Google SecOps dengan Security Command Center

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps dengan Security Command Center.

Akun layanan dalam aturan berikut hanya dibuat selama penyediaan Google SecOps. Oleh karena itu, Anda harus mengonfigurasi aturan Security Command Center setelah penyediaan, tetapi sebelum mulai menggunakan Security Command Center.

Selesaikan tugas berikut untukakun pengguna yang Anda tentukan saat menyiapkan Google SecOps: Google Cloud

1. Konfigurasikan aturan ingress berikut:

   - ingressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: chronicle.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: orgpolicy.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: serviceusage.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: dns.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • GOOGLE_ORGANIZATION_NUMBER: nomor Google Cloud organisasi Anda
   • PROJECT_NUMBER: nomor project yang ditautkan ke Google SecOps Google Cloud

2. Konfigurasikan aturan egress berikut:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • GOOGLE_ORGANIZATION_NUMBER: nomor Google Cloud organisasi Anda
   • PROJECT_NUMBER: nomor project yang ditautkan ke Google SecOps Google Cloud

Mengonfigurasi aturan untuk kunci enkripsi yang dikelola pelanggan (CMEK)

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps dengan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service.

Konfigurasikan aturan ingress berikut:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Ganti kode berikut:

• SECRET_MANAGER_PROJECT_NUMBER: project yang digunakan Google untuk menyimpan secret untuk beberapa fitur penyerapan, yang dapat Anda peroleh dari perwakilan Google SecOps Anda
• CMEK_PROJECT_NUMBER: nomor project yang menyimpan CMEK