Mengizinkan Event Threat Detection mengakses perimeter Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan ingress untuk mengizinkan Event Threat Detection memantau aliran logging di Security Command Center dalam perimeter Kontrol Layanan VPC. Lakukan tugas ini jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan di project yang ingin Anda pantau dengan Event Threat Detection. Untuk mengetahui informasi selengkapnya tentang Event Threat Detection, lihat Ringkasan Event Threat Detection.

Sebelum memulai

Pastikan Anda memiliki peran berikut di organisasi: Agen Layanan Cloud Asset (roles/cloudasset.serviceAgent).

Memeriksa peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.

  4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Pilih peran, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
  7. Klik Simpan.

Buat aturan ingress

Untuk mengizinkan Event Threat Detection memantau aliran logging di Security Command Center dalam perimeter Kontrol Layanan VPC, tambahkan aturan ingress yang diperlukan di perimeter tersebut. Lakukan langkah-langkah ini untuk setiap perimeter yang ingin dipantau oleh Event Threat Detection.

Untuk mengetahui informasi selengkapnya, lihat artikel Memperbarui kebijakan ingress dan egress untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Pilih organisasi Anda.

  3. Di menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda beri akses.

    Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

  4. Klik nama perimeter layanan yang ingin Anda perbarui.

    Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Klik Edit.

Menambahkan aturan traffic masuk

  1. Klik Ingress policy.
  2. Klik Add an ingress rule.

  3. Di bagian Dari, tetapkan detail berikut:

    1. Untuk Identitas > Identitas, pilih Pilih identitas & grup.
    2. Klik Add identities.

    3. Masukkan alamat email yang mengidentifikasi Agen Layanan Cloud Security Command Center. Alamat ini memiliki format berikut: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    4. Pilih agen layanan atau tekan ENTER, lalu klik Tambahkan identitas.

  4. Di bagian Tujuan, tetapkan detail berikut:

    1. Untuk Resources > Projects, pilih All projects.
    2. Untuk Operations or IAM roles, pilih Select operations.

    3. Klik Tambahkan operasi, lalu tambahkan operasi berikut:

      • Tambahkan layanan cloudasset.googleapis.com.
        1. Klik Semua metode.
        2. Klik Tambahkan semua metode.
  5. Klik Simpan.

gcloud

  1. Jika project kuota belum ditetapkan, tetapkan project kuota. Pilih project yang mengaktifkan Access Context Manager API. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

  2. Buat file bernama ingress-rule.yaml dengan konten berikut:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Ganti ORGANIZATION_ID dengan ID organisasi Anda.

  3. Tambahkan aturan ingress ke perimeter:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Ganti kode berikut:

    • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Untuk mengetahui informasi selengkapnya, lihat Aturan ingress dan egress.

Langkah berikutnya