VPC Service Controls für Google SecOps konfigurieren
In dieser Anleitung wird beschrieben, wie Sie VPC Service Controls für Google Security Operations konfigurieren.
Mit VPC Service Controls können Sie einen Dienstperimeter einrichten, der vor Daten-Exfiltration schützt. Konfigurieren Sie Google Security Operations mit VPC Service Controls, damit Google SecOps auf Ressourcen und Dienste außerhalb des Dienstperimeters zugreifen kann.
Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls. Sie können auch den Google Security Operations-Eintrag in der Tabelle der von VPC Service Controls unterstützten Produkte aufrufen.
Hinweis
- Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
Wenn Sie Google SecOps mit VPC Service Controls verwenden möchten, können Sie nur Funktionen verwenden, die mit VPC Service Controls kompatibel sind. In den folgenden Listen sind die VPC Service Controls-kompatiblen Funktionen aufgeführt:
- Google SecOps mit VPC Service Controls unterstützt nur Google Cloud Identitätsauthentifizierung, externe Identitätsanbieter und die Mitarbeiteridentitätsföderation.
- Die RBAC-Funktion von Google SecOps muss aktiviert sein, damit VPC Service Controls mit Google SecOps verwendet werden können.
Google SecOps mit VPC Service Controls unterstützt nur die folgenden öffentlichen APIs:
chronicle.googleapis.comchronicleservicemanager.googleapis.com
Wenn Sie VPC Service Controls einführen möchten, müssen Sie alle entsprechenden Endpunkte zur
chronicle.googleapis.comAPI migrieren.Google SecOps mit VPC Service Controls unterstützt den Export von Daten des Unified Data Model (UDM) von Google SecOps nur in ein selbstverwaltetes BigQuery-Projekt oder über den erweiterten BigQuery-Export.
VPC Service Controls unterstützt nur Google SecOps-Dashboards.
Sie können Cloud Storage-Feeds nur mit dem Quelltyp
GOOGLE_CLOUD_STORAGE_V2und V2-Connectors erstellen.Wenn Sie neue Pub/Sub-Abos erstellen, während Google SecOps innerhalb eines VPC Service Controls-Perimeters eingeschränkt ist, müssen Sie Logs in Cloud Storage schreiben und GOOGLE_CLOUD_STORAGE_V2 oder GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN anstelle Ihrer CLOUD_PUB_SUB-Feeds verwenden.
Für eine Google SecOps-Instanz, die kundenverwaltete Verschlüsselungsschlüssel (CMEK) verwendet, empfiehlt Google dringend, dass Sie Ihr Cloud Key Management Service-Projekt entweder im selben Perimeter wie Ihr mit Google SecOps verknüpftes Google Cloud Projekt oder Ihre Schlüssel im mit Google SecOps verknüpften Google Cloud Projekt selbst aufbewahren.
Beschränkungen
Der Google SecOps Chronicle API-Endpunkt
ImportPushLogsunterstützt VPC Service Controls nicht. Diese Einschränkung birgt jedoch kein Risiko für Daten-Exfiltration, da derImportPushLogs-Endpunkt nur zum Übertragen von Daten an eine Google SecOps-Instanz und nicht für den Zugriff auf Daten verwendet wird.Google SecOps mit VPC Service Controls unterstützt keine Looker-Dashboards.
Google Cloud Pub/Sub unterstützt nicht das Erstellen eines neuen Pub/Sub-Abos, das die Chronicle API-Endpunkte zum Erfassen von Logs verwendet (Pub/Sub-Eintrag in der Tabelle der von VPC Service Controls unterstützten Produkte). Vorhandene Pub/Sub-Abos, die vor dem Verschieben des Google Cloud Projekts in den VPC Service Controls-Perimeter erstellt wurden, erfassen jedoch weiterhin Logs wie erwartet.
Google SecOps mit VPC Service Controls unterstützt keine Legacy-Cloud-Bucket- und Drittanbieter-API-Feed-Connectors.
Regeln für ein- und ausgehenden Traffic konfigurieren
Konfigurieren Sie Regeln für ein- und ausgehenden Traffic basierend auf der Dienstperimeterkonfiguration. Weitere Informationen finden Sie unter Übersicht über Dienstperimeter.
Wenn Probleme mit VPC Service Controls auftreten, können Sie das Analysetool für Verstöße gegen VPC Service Controls verwenden, um das Problem zu beheben und zu analysieren. Weitere Informationen finden Sie unter Zugriffsverweigerung im Analysetool für Verstöße diagnostizieren.
Regel für eingehenden Traffic für SOAR konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SOAR-Seite der Plattform konfigurieren.
Konfigurieren Sie die folgende Regel für eingehenden Traffic für das Google Cloud -Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.
Regeln für SIEM konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SIEM-Seite der Plattform konfigurieren.
Eingangsregel für den erweiterten BigQuery-Export
Wenn Sie die Funktion Erweiterter BigQuery Export verwenden, konfigurieren Sie die folgende Regel für das Google Cloud -Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:
- ingressFrom:
identities:
- serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
- serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.
Regel für eingehenden Traffic für Datentabellen
Wenn Sie Datentabellen verwenden, konfigurieren Sie die folgende Regel für das Google Cloud Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.
Regeln für Google SecOps mit Security Command Center konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit Security Command Center konfigurieren.
Die Dienstkonten in den folgenden Regeln werden nur während der Google SecOps-Bereitstellung erstellt. Sie sollten die Security Command Center-Regeln daher nach der Bereitstellung, aber vor der Verwendung von Security Command Center konfigurieren.
Führen Sie die folgenden Aufgaben für das Nutzerkonto Google Cloud aus, das Sie bei der Einrichtung von Google SecOps angegeben haben:
Konfigurieren Sie die folgende Regel für eingehenden Traffic:
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERErsetzen Sie Folgendes:
GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud OrganisationsnummerPROJECT_NUMBER: Ihre Google SecOps-Projektnummer Google Cloud
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBERErsetzen Sie Folgendes:
GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud OrganisationsnummerPROJECT_NUMBER: Ihre Google SecOps-Projektnummer Google Cloud
Eingangsregel für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit kundenverwalteten Verschlüsselungsschlüsseln (CMEKs) konfigurieren. CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern.
Konfigurieren Sie die folgende Regel für eingehenden Traffic:
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
Ersetzen Sie Folgendes:
SECRET_MANAGER_PROJECT_NUMBER: Das Projekt, das Google zum Speichern von Secrets für einige Aufnahmefunktionen verwendet. Sie können es von Ihrem Google SecOps-Ansprechpartner erhalten.CMEK_PROJECT_NUMBER: die Projektnummer, in der die CMEKs gespeichert sind