Configurar o VPC Service Controls para o Google SecOps
Este guia descreve como configurar o VPC Service Controls para o Google Security Operations.
O VPC Service Controls permite configurar um perímetro de serviço para evitar a exfiltração de dados. Configure o Google Security Operations com o VPC Service Controls para que o Google SecOps possa acessar recursos e serviços fora do perímetro de serviço.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls. Você também pode consultar a entrada do Google Security Operations na tabela de produtos compatíveis com o VPC Service Controls.
Antes de começar
- Verifique se você tem os papéis necessários para configurar o VPC Service Controls na organização.
Para usar o Google SecOps com o VPC Service Controls, só é possível usar recursos compatíveis com o VPC Service Controls. A lista a seguir mostra os recursos compatíveis com o VPC Service Controls:
- O Google SecOps com o VPC Service Controls oferece suporte apenas à autenticação de identidade Google Cloud , a provedores de identidade de terceiros e à Federação de Identidade de Colaboradores.
- O RBAC do recurso do Google SecOps precisa estar ativado para usar o VPC Service Controls com o Google SecOps.
O Google SecOps com o VPC Service Controls oferece suporte apenas às seguintes APIs públicas:
chronicle.googleapis.comchronicleservicemanager.googleapis.com
Para fazer a integração ao VPC Service Controls, migre todos os endpoints correspondentes para a API
chronicle.googleapis.com.O Google SecOps com o VPC Service Controls oferece suporte à exportação de dados do Modelo de Dados Unificado (UDM, na sigla em inglês) do Google SecOps apenas para um projeto do BigQuery autogerenciado ou usando o Advanced BigQuery Export.
O VPC Service Controls oferece suporte apenas aos painéis do Google SecOps.
Só é possível criar feeds do Cloud Storage com o tipo de origem
GOOGLE_CLOUD_STORAGE_V2usando conectores da versão 2.Ao criar novas assinaturas do Pub/Sub quando o Google SecOps está restrito em um perímetro do VPC Service Controls, o Google SecOps exige que você grave registros no Cloud Storage e use GOOGLE_CLOUD_STORAGE_V2 ou GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN em vez dos feeds CLOUD_PUB_SUB.
Para uma instância do Google SecOps que usa chaves de criptografia gerenciadas pelo cliente (CMEK), o Google recomenda manter o projeto do Cloud Key Management Service no mesmo perímetro do projeto vinculado ao Google SecOps Google Cloud ou manter as chaves dentro do próprio projeto vinculado ao Google SecOps Google Cloud .
Limitações
O endpoint de API Chronicle do Google SecOps
ImportPushLogsnão oferece suporte ao VPC Service Controls. No entanto, essa limitação não representa um risco de exfiltração de dados, porque o endpointImportPushLogsé usado apenas para enviar dados a uma instância do Google SecOps, não para acessar dados.O Google SecOps com o VPC Service Controls não oferece suporte a painéis do Looker.
Google Cloud O Pub/Sub não oferece suporte à criação de uma nova assinatura do Pub/Sub que use os endpoints da API Chronicle para ingerir registros (entrada do Pub/Sub na tabela de produtos compatíveis com o VPC Service Controls). No entanto, todas as assinaturas do Pub/Sub atuais (criadas antes de mover Google Cloud o projeto para dentro do perímetro do VPC Service Controls) continuarão ingerindo registros conforme o esperado.
O Google SecOps com o VPC Service Controls não oferece suporte a conectores de feed de API de terceiros e de bucket do Cloud legados.
Configurar as regras de entrada e saída
Configure as regras de entrada e saída com base na configuração do perímetro de serviço. Para mais informações, consulte Visão geral do perímetro de serviço.
Se você encontrar problemas com o VPC Service Controls, use o analisador de violações do VPC Service Controls para depurar e analisar o problema. Para mais informações, consulte Diagnosticar uma negação de acesso no analisador de violações.
Configurar a regra de entrada para SOAR
Esta seção descreve como configurar o VPC Service Controls para o lado SOAR da plataforma.
Configure a seguinte regra de entrada para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Substitua PROJECT_NUMBER pelo número do projeto vinculado ao Google SecOps Google Cloud .
Configurar as regras para SIEM
Esta seção descreve como configurar o VPC Service Controls para o lado SIEM da plataforma.
Regra de entrada para o Advanced BigQuery Export
Se você estiver usando o recurso Advanced BigQuery Export, configure a seguinte regra para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:
- ingressFrom:
identities:
- serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
- serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Substitua PROJECT_NUMBER pelo número do projeto vinculado ao Google SecOps Google Cloud .
Regra de entrada para tabelas de dados
Se você estiver usando tabelas de dados, configure a seguinte regra para a Google Cloud conta de usuário especificada ao configurar o Google SecOps:
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Substitua PROJECT_NUMBER pelo número do projeto vinculado ao Google SecOps Google Cloud .
Configurar as regras para o Google SecOps com o Security Command Center
Esta seção descreve como configurar o VPC Service Controls para o Google SecOps com o Security Command Center.
As contas de serviço nas regras a seguir são criadas apenas durante o provisionamento do Google SecOps. Portanto, configure as regras do Security Command Center após o provisionamento, mas antes de começar a usar o Security Command Center.
Conclua as tarefas a seguir para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:
Configure a seguinte regra de entrada:
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERSubstitua:
GOOGLE_ORGANIZATION_NUMBER: o número da sua Google Cloud organizaçãoPROJECT_NUMBER: o número do projeto vinculado ao Google SecOps Google Cloud
Configure a seguinte regra de saída:
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBERSubstitua:
GOOGLE_ORGANIZATION_NUMBER: o número da sua Google Cloud organizaçãoPROJECT_NUMBER: o número do projeto vinculado ao Google SecOps Google Cloud
Configurar a regra de entrada para chaves de criptografia gerenciadas pelo cliente (CMEK)
Esta seção descreve como configurar o VPC Service Controls para o Google SecOps com chaves de criptografia gerenciadas pelo cliente (CMEK). As CMEK são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service.
Configure a seguinte regra de entrada:
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
Substitua:
SECRET_MANAGER_PROJECT_NUMBER: o projeto que o Google usa para armazenar Secrets para alguns recursos de ingestão, que podem ser obtidos com o representante do Google SecOpsCMEK_PROJECT_NUMBER: o número do projeto que armazena as CMEK