Autoriser Event Threat Detection à accéder aux périmètres VPC Service Controls

Ce document explique comment ajouter des règles d'entrée pour permettre à Event Threat Detection de surveiller les flux de journaux dans Security Command Center à l'intérieur des périmètres VPC Service Controls. Effectuez cette tâche si votre organisation utilise VPC Service Controls pour restreindre les services dans les projets que vous souhaitez surveiller avec Event Threat Detection. Pour en savoir plus sur Event Threat Detection, consultez la présentation d'Event Threat Detection.

Avant de commencer

Assurez-vous de disposer du ou des rôles suivants au niveau de l'organisation : Agent de service Cloud Asset (roles/cloudasset.serviceAgent).

Vérifier les rôles

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez toutes les lignes qui vous identifient ou identifient un groupe dont vous faites partie. Pour savoir à quels groupes vous appartenez, contactez votre administrateur.

  4. Pour toutes les lignes qui vous spécifient ou vous incluent, consultez la colonne Rôle pour vous assurer que la liste inclut les rôles requis.

Attribuer les rôles

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur  Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Cliquez sur Sélectionner un rôle, puis recherchez le rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

Créer les règles d'entrée

Pour autoriser Event Threat Detection à surveiller les flux de journaux dans Security Command Center à l'intérieur des périmètres de VPC Service Controls, ajoutez les règles d'entrée requises dans ces périmètres. Effectuez ces étapes pour chaque périmètre que vous souhaitez surveiller avec Event Threat Detection.

Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service dans la documentation de VPC Service Controls.

Console

  1. Dans la console Google Cloud , accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  2. Sélectionner votre organisation.

  3. Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

    Les périmètres de service associés à la règle d'accès apparaissent dans la liste.

  4. Cliquez sur le nom du périmètre de service que vous souhaitez modifier.

    Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Cliquez sur Modifier.

Ajouter une règle d'entrée

  1. Cliquez sur Règle d'entrée.
  2. Cliquez sur Ajouter une règle d'entrée.

  3. Dans la section De, définissez les détails suivants :

    1. Pour Identités > Identité, sélectionnez Sélectionner des identités et des groupes.
    2. Cliquez sur Ajouter des identités.

    3. Saisissez l'adresse e-mail qui identifie l'agent de service Cloud Security Command Center. Cette adresse est au format suivant : 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Remplacez ORGANIZATION_ID par votre ID d'organisation.

    4. Sélectionnez l'agent de service ou appuyez sur ENTRÉE, puis cliquez sur Ajouter des identités.

  4. Dans la section À, définissez les détails suivants :

    1. Pour Ressources > Projets, sélectionnez Tous les projets.
    2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.

    3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :

      • Ajoutez le service cloudasset.googleapis.com.
        1. Cliquez sur Tous les modes.
        2. Cliquez sur Ajouter toutes les méthodes.
  5. Cliquez sur Enregistrer.

gcloud

  1. Si aucun projet de quota n'est déjà défini, définissez-en un. Choisissez un projet pour lequel l'API Access Context Manager est activée. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Remplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et le quota.

  2. Créez un fichier nommé ingress-rule.yaml avec le contenu suivant :

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Remplacez ORGANIZATION_ID par votre ID d'organisation.

  3. Ajoutez la règle d'entrée au périmètre :

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Remplacez les éléments suivants :

    • PERIMETER_NAME : nom du périmètre. Exemple : accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Pour en savoir plus, consultez Règles d'entrée et de sortie.

Étapes suivantes