Configura i Controlli di servizio VPC per Google SecOps

Questa guida descrive come configurare i Controlli di servizio VPC per Google Security Operations.

I Controlli di servizio VPC consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Google Security Operations con i Controlli di servizio VPC in modo che Google SecOps possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.

Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC. Puoi anche visualizzare la voce Google Security Operations nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Prima di iniziare

• Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.

• Per utilizzare Google SecOps con i Controlli di servizio VPC, puoi utilizzare solo le funzionalità conformi ai Controlli di servizio VPC. Di seguito sono elencate le funzionalità conformi ai Controlli di servizio VPC:

  • Google SecOps con Controlli di servizio VPC supporta solo l'autenticazione dell'identità, i provider di identità di terze parti e la federazione delle identità per la forza lavoro. Google Cloud
  • Per utilizzare i Controlli di servizio VPC con Google SecOps, deve essere attivato il controllo degli accessi basato sui ruoli (RBAC) di Google SecOps.

  • Google SecOps con i Controlli di servizio VPC supporta solo le seguenti API pubbliche:

    • chronicle.googleapis.com
    • chronicleservicemanager.googleapis.com

    Per eseguire l'onboarding ai Controlli di servizio VPC, devi eseguire la migrazione di tutti gli endpoint corrispondenti all'API chronicle.googleapis.com.

  • Google SecOps con i controlli di servizio VPC supporta l'esportazione dei dati del modello UDM (Unified Data Model) di Google SecOps solo in un progetto BigQuery autogestito o utilizzando l'esportazione avanzata di BigQuery.

  • Controlli di servizio VPC supporta solo le dashboard di Google SecOps.

  • Puoi creare feed Cloud Storage solo con il tipo di origine GOOGLE_CLOUD_STORAGE_V2 utilizzando i connettori v2.

  • Quando crei nuove sottoscrizioni Pub/Sub quando Google SecOps è limitato all'interno di un perimetro dei Controlli di servizio VPC, Google SecOps richiede di scrivere i log in Cloud Storage e di utilizzare GOOGLE_CLOUD_STORAGE_V2 o GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN anziché i feed CLOUD_PUB_SUB.

• Per un'istanza Google SecOps che utilizza chiavi di crittografia gestite dal cliente (CMEK), Google consiglia vivamente di mantenere il progetto Cloud Key Management Service all'interno dello stesso perimetro del progetto Google Cloud collegato a Google SecOps o di conservare le chiavi all'interno del progetto Google Cloud collegato a Google SecOps.

Limitazioni

• L'endpoint API Google SecOps Chronicle ImportPushLogs non supporta i Controlli di servizio VPC. Tuttavia, questa limitazione non comporta un rischio di esfiltrazione dei dati, perché l'endpoint ImportPushLogs viene utilizzato solo per il push dei dati in un'istanza di Google SecOps, non per l'accesso ai dati.

• Google SecOps con Controlli di servizio VPC non supporta i dashboard Looker.

• Google Cloud Pub/Sub non supporta la creazione di una nuova sottoscrizione Pub/Sub che utilizza gli endpoint API Chronicle per l'importazione dei log (Voce Pub/Sub nella tabella dei prodotti supportati dai Controlli di servizio VPC). Tuttavia, tutti gli abbonamenti Pub/Sub esistenti (creati prima di spostare il progetto all'interno del perimetro dei Controlli di servizio VPC) continueranno a importare i log come previsto. Google Cloud

• Google SecOps con Controlli di servizio VPC non supporta i connettori legacy per bucket cloud e feed API di terze parti.

Configura le regole in entrata e in uscita

Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta la panoramica del perimetro di servizio.

Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso nello strumento di analisi delle violazioni.

Configura la regola per SOAR

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SOAR della piattaforma.

Configura la seguente regola di ingresso per l' Google Cloud account utente che hai specificato durante la configurazione di Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto Google Cloud collegato a Google SecOps.

Configura la regola per SIEM

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SIEM della piattaforma.

Se utilizzi le tabelle di dati, configura la seguente regola per l' Google Cloud account utente che hai specificato durante la configurazione di Google SecOps:

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto Google Cloud collegato a Google SecOps.

Configura le regole per Google SecOps con Security Command Center

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con Security Command Center.

I service account nelle seguenti regole vengono creati solo durante il provisioning di Google SecOps, pertanto devi configurare le regole di Security Command Center dopo il provisioning, ma prima di iniziare a utilizzare Security Command Center.

Completa le seguenti attività per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

1. Configura la seguente regola in entrata:

   - ingressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: chronicle.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: orgpolicy.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: serviceusage.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: dns.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • GOOGLE_ORGANIZATION_NUMBER: il tuo Google Cloud numero di organizzazione
   • PROJECT_NUMBER: il numero del tuo progetto Google Cloud collegato a Google SecOps

2. Configura la seguente regola in uscita:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • GOOGLE_ORGANIZATION_NUMBER: il tuo Google Cloud numero di organizzazione
   • PROJECT_NUMBER: il numero del tuo progetto Google Cloud collegato a Google SecOps

Configura la regola per le chiavi di crittografia gestite dal cliente (CMEK)

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con chiavi di crittografia gestite dal cliente (CMEK). Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service.

Configura la seguente regola in entrata:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Sostituisci quanto segue:

• SECRET_MANAGER_PROJECT_NUMBER: il progetto che Google utilizza per archiviare i secret per alcune funzionalità di importazione, che puoi ottenere dal tuo rappresentante di Google SecOps
• CMEK_PROJECT_NUMBER: il numero del progetto che archivia le chiavi CMEK