Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מתן גישה ל-Event Threat Detection ל-VPC Service Controls perimeters

במסמך הזה מתואר איך להוסיף כללי כניסה כדי לאפשר ל-Event Threat Detection לעקוב אחרי זרמי רישום ביומן ב-Security Command Center בתוך היקפי VPC Service Controls. צריך לבצע את המשימה הזו אם הארגון שלכם משתמש ב-VPC Service Controls כדי להגביל את השירותים בפרויקטים שאתם רוצים ש-Event Threat Detection ינטר. מידע נוסף על Event Threat Detection זמין במאמר סקירה כללית על Event Threat Detection.

לפני שמתחילים

צריך לוודא שיש לכם בארגון את התפקיד או התפקידים הבאים: סוכן השירות ב-Cloud Asset‏ (roles/cloudasset.serviceAgent).

בדיקת התפקידים

נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
בוחרים את הארגון.
בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.
בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.

מתן התפקידים

נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
בוחרים את הארגון.
לוחצים על Grant access.
בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.
‫
לוחצים על Select a role ומחפשים את התפקיד.
כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
לוחצים על Save.

יצירת כללי תעבורת נתונים נכנסת (ingress)

כדי לאפשר ל-Event Threat Detection לעקוב אחרי זרמי רישום ביומן ב-Security Command Center בתוך היקפי VPC Service Controls, צריך להוסיף את כללי הכניסה הנדרשים להיקפים האלה. מבצעים את השלבים האלה לכל גבול גזרה שרוצים שהתכונה Event Threat Detection תנטר.

מידע נוסף זמין במאמר עדכון של מדיניות כניסה ויציאה לגבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

המסוף

מעבר אל גבולות גזרה לשירות

נכנסים לדף VPC Service Controls במסוף Google Cloud .

מעבר אל VPC Service Controls
בוחרים את הארגון.
ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.
לוחצים על השם של גבולות גזרה לשירות שרוצים לעדכן.

כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
לוחצים על עריכה.

הוספת כלל לכניסת תנועה

לוחצים על Ingress policy (מדיניות כניסה).
לוחצים על הוספת כלל תעבורה נכנסת.
בקטע מאת, מגדירים את הפרטים הבאים:
1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
2. לוחצים על הוספת זהויות.
3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  מחליפים את ORGANIZATION_ID במזהה הארגון.
4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.
בקטע To (אל), מגדירים את הפרטים הבאים:
1. בקטע משאבים > פרויקטים, בוחרים באפשרות כל הפרויקטים.
2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).
3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:
  - מוסיפים את השירות cloudasset.googleapis.com.
    1. לוחצים על כל השיטות.
    2. לוחצים על הוספת כל השיטות.
לוחצים על Save.

gcloud

אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

מחליפים את ORGANIZATION_ID במזהה הארגון.

מוסיפים את כלל הכניסה להיקף:
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים את הרשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

מידע נוסף על כללי כניסה ויציאה

המאמרים הבאים

איך משתמשים ב-Event Threat Detection