Usar o Mandiant Attack Surface Management com o VPC Service Controls

Este documento descreve como adicionar regras de entrada para permitir o Mandiant Attack Surface Management nos perímetros do VPC Service Controls. Para restringir serviços em projetos que você quer que o Mandiant Attack Surface Management monitore se sua organização usa o VPC Service Controls, execute esta tarefa. Para mais informações sobre o Mandiant Attack Surface Management, consulte Visão geral do Mandiant Attack Surface Management.

Funções exigidas

Para receber as permissões que você precisa para usar o Mandiant Attack Surface Management nos perímetros do VPC Service Controls. , peça ao administrador para conceder a você o papel do IAM de editor do Access Context Manager (roles/accesscontextmanager.policyEditor) na sua organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Criar as regras de entrada

Para permitir o Mandiant Attack Surface Management no Security Command Center nos perímetros do VPC Service Controls, adicione as regras de entrada necessárias nesses perímetros. Execute estas etapas para cada perímetro que você quer que o Mandiant Attack Surface Management monitore.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço.

Console

Navegar até o perímetro de serviço

No Google Cloud console do, acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Selecione a organização.
Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

Os perímetros de serviço associados à política de acesso aparecem na lista.
Clique no nome do perímetro de serviço que você quer atualizar.

Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Clique em Editar.

Adicionar regra de entrada

Clique em Política de entrada.
Clique em Adicionar uma regra de entrada.
Na seção De, defina os seguintes detalhes:
1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
2. Clique em Adicionar identidades.
3. Insira o endereço de e-mail que identifica o agente de serviço do Attack Surface Management. Esse endereço tem o seguinte formato:
```
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
```
  Substitua ORGANIZATION_ID pelo ID da organização.
4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
Na seção Para, defina os seguintes detalhes:
1. Em Recursos > Projetos, selecione Todos os projetos.
2. Em Operações ou papéis do IAM, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione as seguintes operações:
  - Adicione o serviço cloudasset.googleapis.com.
    1. Clique em Todos os métodos.
    2. Clique em Adicionar todos os métodos.
  - Adicione o serviço cloudresourcemanager.googleapis.com.
    1. Clique em Todos os métodos.
    2. Clique em Adicionar todos os métodos.
  - Adicione o serviço dns.googleapis.com.
    1. Clique em Todos os métodos.
    2. Clique em Adicionar todos os métodos.
Clique em Salvar.

gcloud

Se um projeto de cota ainda não estiver definido, defina-o. Escolha um projeto que tenha a API Access Context Manager ativada.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Substitua QUOTA_PROJECT_ID pelo ID do projeto que você quer usar para faturamento e cota.

Crie um arquivo chamado ingress-rule.yaml com o seguinte conteúdo:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Substitua ORGANIZATION_ID pelo ID da organização.

Adicione a regra de entrada ao perímetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Substitua:
- PERIMETER_NAME: o nome do perímetro. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violações. Nessas entradas, verifique o campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Para mais informações, consulte Regras de entrada e de saída.

A seguir

Saiba mais sobre o Mandiant Attack Surface Management.