Configura los Controles del servicio de VPC para Google SecOps
En esta guía, se describe cómo configurar los Controles del servicio de VPC para Google Security Operations.
Los Controles del servicio de VPC te permiten configurar un perímetro de servicio para protegerte contra el robo de datos. Configura Google Security Operations con los Controles del servicio de VPC para que Google SecOps pueda acceder a recursos y servicios fuera de su perímetro de servicio.
Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos. También puedes ver la entrada de Google Security Operations en la tabla de productos compatibles con los Controles del servicio de VPC.
Antes de comenzar
- Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.
Para usar Google SecOps con los Controles del servicio de VPC, solo puedes usar las funciones que cumplen con los Controles del servicio de VPC. A continuación, se enumeran las funciones que cumplen con los Controles del servicio de VPC:
- Google SecOps con Controles del servicio de VPC solo admite la autenticación de identidad, los proveedores de identidad externos y la federación de identidades de personal. Google Cloud
- La función RBAC de Google SecOps debe estar habilitada para usar los Controles del servicio de VPC con Google SecOps.
Google SecOps con Controles del servicio de VPC solo admite las siguientes APIs públicas:
chronicle.googleapis.comchronicleservicemanager.googleapis.com
Para incorporar los Controles del servicio de VPC, debes migrar todos los extremos correspondientes a la API de
chronicle.googleapis.com.Google SecOps con Controles del servicio de VPC admite la exportación de datos del Modelo de datos unificado (UDM) de Google SecOps solo a un proyecto de BigQuery autoadministrado o con la BigQuery Export avanzada.
Los Controles del servicio de VPC solo admiten los paneles de Google SecOps.
Solo puedes crear feeds de Cloud Storage con el tipo de fuente
GOOGLE_CLOUD_STORAGE_V2con conectores de la versión 2.Cuando creas suscripciones nuevas a Pub/Sub y Google SecOps está restringido dentro de un perímetro de Controles del servicio de VPC, Google SecOps requiere que escribas registros en Cloud Storage y uses GOOGLE_CLOUD_STORAGE_V2 o GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN en lugar de tus feeds de CLOUD_PUB_SUB.
En el caso de una instancia de Google SecOps que use claves de encriptación administradas por el cliente (CMEK), Google recomienda que mantengas tu proyecto de Cloud Key Management Service dentro del mismo perímetro que tu proyecto Google Cloud vinculado a Google SecOps o que mantengas tus claves dentro del proyecto Google Cloud vinculado a Google SecOps.
Limitaciones
El extremo de API de Google SecOps Chronicle
ImportPushLogsno admite los Controles del servicio de VPC. Sin embargo, esta limitación no representa un riesgo de robo de datos, ya que el extremoImportPushLogssolo se usa para enviar datos a una instancia de Google SecOps, no para acceder a ellos.Google SecOps con Controles del servicio de VPC no admite los paneles de Looker.
Google Cloud Pub/Sub no admite la creación de una suscripción nueva a Pub/Sub que use los extremos de la API de Chronicle para ingerir registros (entrada de Pub/Sub en la tabla de productos compatibles con los Controles del servicio de VPC). Sin embargo, las suscripciones existentes a Pub/Sub (creadas antes de mover el proyecto Google Cloud dentro del perímetro de los Controles del servicio de VPC) seguirán transfiriendo registros según lo previsto.
Google SecOps con Controles del servicio de VPC no admite conectores heredados de bucket de Cloud ni feeds de APIs de terceros.
Configura las reglas de entrada y salida
Configura las reglas de entrada y salida según la configuración del perímetro de servicio. Para obtener más información, consulta la Descripción general del perímetro de servicio.
Si tienes problemas con los Controles del servicio de VPC, usa el analizador de incumplimientos de los Controles del servicio de VPC para depurar y analizar el problema. Para obtener más información, consulta Diagnostica una denegación de acceso en el analizador de incumplimientos.
Configura la regla de entrada para SOAR
En esta sección, se describe cómo configurar los Controles del servicio de VPC para el lado de SOAR de la plataforma.
Configura la siguiente regla de entrada para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud vinculado a Google SecOps.
Configura las reglas para la SIEM
En esta sección, se describe cómo configurar los Controles del servicio de VPC para el lado del SIEM de la plataforma.
Regla de Ingress para BigQuery Export avanzado
Si usas la función Advanced BigQuery Export, configura la siguiente regla para la Google Cloud cuenta de usuario que especificaste cuando configuraste Google SecOps:
- ingressFrom:
identities:
- serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
- serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud vinculado a Google SecOps.
Regla de entrada para tablas de datos
Si usas tablas de datos, configura la siguiente regla para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud vinculado a Google SecOps.
Configura las reglas para Google SecOps con Security Command Center
En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps con Security Command Center.
Las cuentas de servicio de las siguientes reglas se crean solo durante el aprovisionamiento de Google SecOps. Por lo tanto, debes configurar las reglas de Security Command Center después del aprovisionamiento, pero antes de comenzar a usar Security Command Center.
Completa las siguientes tareas para la cuenta de usuario de Google Cloud que especificaste cuando configuraste Google SecOps:
Configura la siguiente regla de entrada:
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERReemplaza lo siguiente:
GOOGLE_ORGANIZATION_NUMBER: El número de tu organización Google CloudPROJECT_NUMBER: Es el número de tu proyecto de Google vinculado a SecOps. Google Cloud
Configura la siguiente regla de salida:
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBERReemplaza lo siguiente:
GOOGLE_ORGANIZATION_NUMBER: El número de tu organización Google CloudPROJECT_NUMBER: Es el número de tu proyecto de Google vinculado a SecOps. Google Cloud
Configura la regla de entrada para las claves de encriptación administradas por el cliente (CMEK)
En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps con claves de encriptación administradas por el cliente (CMEK). Las CMEK son claves de encriptación que te pertenecen, que administras y que almacenas en Cloud Key Management Service.
Configura la siguiente regla de entrada:
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
Reemplaza lo siguiente:
SECRET_MANAGER_PROJECT_NUMBER: Es el proyecto que Google usa para almacenar secretos de algunas funciones de transferencia de datos, que puedes obtener de tu representante de Google SecOps.CMEK_PROJECT_NUMBER: Es el número del proyecto que almacena las CMEK.