Esta página se ha traducido con Cloud Translation API.

Usar Mandiant Attack Surface Management con Controles de Servicio de VPC

En este documento se describe cómo añadir reglas de entrada para permitir Mandiant Attack Surface Management en perímetros de Controles de Servicio de VPC. Si tu organización usa Controles de Servicio de VPC, realiza esta tarea para restringir los servicios de los proyectos que quieras que monitorice Mandiant Attack Surface Management. Para obtener más información sobre Mandiant Attack Surface Management, consulta el resumen de Mandiant Attack Surface Management.

Roles obligatorios

Para obtener los permisos que necesitas para usar Mandiant Attack Surface Management en los perímetros de Controles de Servicio de VPC. , pídele a tu administrador que te conceda el rol de gestión de identidades y accesos Editor de Access Context Manager (roles/accesscontextmanager.policyEditor) en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear las reglas de entrada

Para permitir Mandiant Attack Surface Management en Security Command Center dentro de los perímetros de Controles de Servicio de VPC, añade las reglas de entrada necesarias en esos perímetros. Sigue estos pasos con cada perímetro que quieras que monitorice Mandiant Attack Surface Management.

Para obtener más información, consulta Actualizar las políticas de entrada y salida de un perímetro de servicio.

Consola

En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

Ir a Controles de Servicio de VPC
Selecciona tu organización o proyecto.
En la lista desplegable, selecciona la política de acceso que contenga el perímetro de servicio al que quieras conceder acceso.

Los perímetros de servicio asociados a la política de acceso aparecen en la lista.
Haga clic en el nombre del perímetro de servicio que quiera actualizar.

Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Haz clic en Editar.
Haz clic en Política de entrada.
Haz clic en Añadir una regla de entrada.
En la sección De, indica los siguientes detalles:
1. En Identidades > Identidad, selecciona Seleccionar identidades y grupos.
2. Haz clic en Añadir identidades.
3. Introduce la dirección de correo del agente del servicio Attack Surface Management Service Agent. La dirección del agente de servicio tiene el siguiente formato:
```
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
```
  Sustituye ORGANIZATION_ID por el ID de tu organización.
4. Selecciona el agente de servicio o pulsa INTRO y, a continuación, haz clic en Añadir identidades.
5. En Fuentes, selecciona Todas las fuentes.
En la sección Para, define los siguientes detalles:
1. En Recursos > Proyectos, selecciona Todos los proyectos.
2. En Roles de operaciones o de gestión de identidades y accesos, selecciona Seleccionar operaciones.
3. Haz clic en Añadir operaciones y, a continuación, añade las siguientes operaciones:
  - Añade el servicio cloudasset.googleapis.com.
    1. Haz clic en Todos los métodos.
    2. Haz clic en Añadir todos los métodos.
  - Añade el servicio cloudresourcemanager.googleapis.com.
    1. Haz clic en Todos los métodos.
    2. Haz clic en Añadir todos los métodos.
  - Añade el servicio dns.googleapis.com.
    1. Haz clic en Todos los métodos.
    2. Haz clic en Añadir todos los métodos.
Haz clic en Guardar.

gcloud

Si aún no se ha definido un proyecto de cuota, hazlo. Elige un proyecto que tenga habilitada la API Access Context Manager.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Sustituye QUOTA_PROJECT_ID por el ID del proyecto que quieras usar para la facturación y la cuota.

Crea un archivo llamado ingress-rule.yaml con el siguiente contenido:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Sustituye ORGANIZATION_ID por el ID de tu organización.

Añade la regla de entrada al perímetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Haz los cambios siguientes:
- PERIMETER_NAME: el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Consulta más información sobre las reglas de entrada y salida.

Siguientes pasos

Consulta más información sobre Mandiant Attack Surface Management.