Utilizzare Mandiant Attack Surface Management con i Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata per consentire Mandiant Attack Surface Management all'interno dei perimetri dei Controlli di servizio VPC. Per limitare i servizi nei progetti che vuoi che Mandiant Attack Surface Management monitori se la tua organizzazione utilizza i Controlli di servizio VPC, esegui questa attività. Per saperne di più su Mandiant Attack Surface Management, consulta la panoramica di Mandiant Attack Surface Management.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare Mandiant Attack Surface Management all'interno dei perimetri dei Controlli di servizio VPC, chiedi all'amministratore di concederti il ruolo IAM Gestore contesto accesso Editor (roles/accesscontextmanager.policyEditor) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea le regole in entrata

Per consentire Mandiant Attack Surface Management in Security Command Center all'interno dei perimetri dei Controlli di servizio VPC, aggiungi le regole in entrata richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Mandiant Attack Surface Management monitori.

Per ulteriori informazioni, scopri come aggiornare le policy in entrata e in uscita per un perimetro di servizio.

Console

Vai al perimetro di servizio

Nella Google Cloud console, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Seleziona la tua organizzazione.
Nell'elenco a discesa, seleziona la policy di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

I perimetri di servizio associati alla policy di accesso vengono visualizzati nell'elenco.
Fai clic sul nome del perimetro di servizio che vuoi aggiornare.

Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Fai clic su Modifica.

Aggiungi una regola in entrata

Fai clic su Criterio in entrata.
Fai clic su Aggiungi una regola in entrata.
Nella sezione Da, imposta i seguenti dettagli:
1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
2. Fai clic su Aggiungi identità.
3. Inserisci l'indirizzo email che identifica l'agente di servizio di Attack Surface Management. Questo indirizzo ha il seguente formato:
```
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
```
  Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
4. Seleziona il service agent o premi INVIO, quindi fai clic su Aggiungi identità.
Nella sezione A, imposta i seguenti dettagli:
1. Per Risorse > Progetti, seleziona Tutti i progetti.
2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.
3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:
  - Aggiungi il servizio cloudasset.googleapis.com.
    1. Fai clic su Tutti i metodi.
    2. Fai clic su Aggiungi tutti i metodi.
  - Aggiungi il servizio cloudresourcemanager.googleapis.com.
    1. Fai clic su Tutti i metodi.
    2. Fai clic su Aggiungi tutti i metodi.
  - Aggiungi il servizio dns.googleapis.com.
    1. Fai clic su Tutti i metodi.
    2. Fai clic su Aggiungi tutti i metodi.
Fai clic su Salva.

gcloud

Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l' API Gestore contesto accesso.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Aggiungi la regola in entrata al perimetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Sostituisci quanto segue:
- PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violazioni. In queste voci, controlla il campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Per saperne di più, consulta Regole in entrata e in uscita.

Passaggi successivi

Scopri di più su Mandiant Attack Surface Management.