In diesem Dokument wird beschrieben, wie Sie Regeln für eingehenden Traffic hinzufügen, um Mandiant Attack Surface Management innerhalb von VPC Service Controls-Perimetern zuzulassen. Wenn Ihre Organisation VPC Service Controls verwendet und Sie Dienste in Projekten einschränken möchten, die von Mandiant Attack Surface Management überwacht werden sollen, führen Sie diese Aufgabe aus. Weitere Informationen zu Mandiant Attack Surface Management finden Sie in der Übersicht zu Mandiant Attack Surface Management.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Access Context Manager-Bearbeiter“ (`roles/accesscontextmanager.policyEditor`) für Ihre Organisation zu gewähren, um die Berechtigungen zu erhalten, die
Sie für die Verwendung von Mandiant Attack Surface Management innerhalb von VPC Service Controls-Perimetern benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten. roles/accesscontextmanager.policyEditor
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie Mandiant Attack Surface Management in Security Command Center innerhalb von VPC Service Controls-Perimetern zulassen möchten, fügen Sie in diesen Perimetern die erforderlichen Regeln für eingehenden Traffic hinzu.
Um Mandiant Attack Surface Management in Security Command Center innerhalb von VPC Service Controls-Perimetern zuzulassen, fügen Sie in diesen Perimetern die erforderlichen Ingress-Regeln hinzu. Führen Sie diese Schritte für jeden Perimeter aus, den Sie von Mandiant Attack Surface Management überwachen lassen möchten.
Console Updating ingress and egress policies for a service perimeter.
Zum Dienstperimeter navigieren
Wechseln Sie in derConsole zur Seite **VPC Service Controls**.
-
Zu „VPC Service Controls“ Google Cloud
- Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.
-
Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, dem Sie Zugriff gewähren möchten.
Klicken Sie auf den Namen des Dienstperimeters, den Sie aktualisieren möchten.
-
Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die `RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER`-Verstöße enthalten.
Prüfen Sie in diesen Einträgen das Feld `servicePerimeterName`:
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETERIn diesen Einträgen, überprüfen Sie dasservicePerimeterNameFeld:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
- Klicken Sie auf Bearbeiten.
Klicken Sie auf **Richtlinie für eingehenden Traffic**.
- Klicken Sie auf Regel für eingehenden Traffic hinzufügen.
- Legen Sie im Abschnitt Von die folgenden Details fest:
-
Wählen Sie unter Identitäten > Identität die Option Identitäten und Gruppen auswählen aus.
- Klicken Sie auf Identitäten hinzufügen.
- Klicken Sie auf Identitäten hinzufügen.
Diese Adresse hat folgendes Format: Diese Adresse hat das folgende Format:
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID.- Wählen Sie den Service-Agenten aus oder drücken Sie ENTER, und klicken Sie dann auf Identitäten hinzufügen.
-
Wählen Sie unter Ressourcen > Projekte die Option Alle Projekte aus.
- Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.
- Klicken Sie auf Vorgänge hinzufügen und fügen Sie dann die folgenden Vorgänge hinzu:
-
Klicken Sie auf Vorgänge hinzufügen und fügen Sie dann die folgenden Vorgänge hinzu:
- Klicken Sie auf cloudasset.googleapis.com.
- Klicken Sie auf Alle Methoden hinzufügen.
- Fügen Sie den Dienst cloudresourcemanager.googleapis.com hinzu.
- Klicken Sie auf cloudresourcemanager.googleapis.com.
- Klicken Sie auf Alle Methoden hinzufügen.
- Fügen Sie den Dienst dns.googleapis.com hinzu.
- Klicken Sie auf dns.googleapis.com.
- Klicken Sie auf Alle Methoden hinzufügen.
- Klicken Sie auf Speichern.
- Klicken Sie auf cloudasset.googleapis.com.
- gcloud Click Save.
gcloud
-
Wenn noch kein Kontingentprojekt festgelegt ist, legen Sie es fest. Wählen Sie ein Projekt aus, für das die Access Context Manager API aktiviert ist.
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Ersetzen Sie
QUOTA_PROJECT_IDdurch die ID des Projekts, das Sie für Abrechnung und Kontingent verwenden möchten. -
Erstellen Sie eine Datei mit dem Namen
ingress-rule.yamlmit folgendem Inhalt:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: '*' - serviceName: cloudresourcemanager.googleapis.com methodSelectors: - method: '*' - serviceName: dns.googleapis.com methodSelectors: - method: '*' resources: - '*'
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. -
Ersetzen Sie Folgendes:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress-rule.yaml
`PERIMETER_NAME`: der Name des Perimeters.
-
PERIMETER_NAME: der Name des Perimeters. Zum Beispiel:accessPolicies/1234567890/servicePerimeters/example_perimeter.Prüfen Sie in diesen Einträgen das Feld `servicePerimeterName`:
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETERWeitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.servicePerimeterNameaccessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
Weitere Informationen finden Sie unter Ingress- und Egress-Regeln.