Permitir que o Event Threat Detection acesse os perímetros do VPC Service Controls

Este documento descreve como adicionar regras de entrada para permitir que o Event Threat Detection monitore fluxos de geração de registros no Security Command Center dentro dos perímetros do VPC Service Controls. Realize essa tarefa se sua organização usar o VPC Service Controls para restringir serviços em projetos que você quer que o Event Threat Detection monitore. Para mais informações sobre o Event Threat Detection, consulte Visão geral do Event Threat Detection.

Antes de começar

Verifique se você tem o papel Agente de serviço de recursos do Cloud (roles/cloudasset.serviceAgent) na organização.

Verificar os papéis

  1. No Google Cloud console, acesse a página IAM.

    Acessar IAM
  2. Selecione a organização.

  3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.

  4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No Google Cloud console, acesse a página IAM.

    Acessar IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Clique em Selecionar um papel e pesquise o papel.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

Criar as regras de entrada

Para permitir que o Event Threat Detection monitore fluxos de geração de registros no Security Command Center dentro dos perímetros do VPC Service Controls, adicione as regras de entrada necessárias nesses perímetros. Execute essas etapas para cada perímetro que você quer que o Event Threat Detection monitore.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço na documentação do VPC Service Controls.

Console

  1. No Google Cloud console do, acesse a página VPC Service Controls.

    Acessar o VPC Service Controls

  2. Selecione a organização.

  3. Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

    Os perímetros de serviço associados à política de acesso aparecem na lista.

  4. Clique no nome do perímetro de serviço que você quer atualizar.

    Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Clique em Editar.

Adicionar regra de entrada

  1. Clique em Política de entrada.
  2. Clique em Adicionar uma regra de entrada.

  3. Na seção De, defina os seguintes detalhes:

    1. Em Identidades > Identidade, selecione Identidades e grupos selecionados.
    2. Clique em Adicionar identidades.

    3. Insira o endereço de e-mail que identifica o Cloud Security Command Center agente de serviço. Esse endereço tem o seguinte formato: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Substitua ORGANIZATION_ID pelo ID da organização.

    4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.

  4. Na seção Para, defina os seguintes detalhes:

    1. Em Recursos > Projetos, selecione Todos os projetos.
    2. Em Operações ou papéis do IAM, selecione Selecionar operações.

    3. Clique em Adicionar operações e adicione as seguintes operações:

      • Adicione o serviço cloudasset.googleapis.com.
        1. Clique em Todos os métodos.
        2. Clique em Adicionar todos os métodos.
  5. Clique em Salvar.

gcloud

  1. Se um projeto de cota ainda não estiver definido, defina-o. Escolha um projeto que tenha a API Access Context Manager ativada. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Substitua QUOTA_PROJECT_ID pelo ID do projeto que você quer usar para faturamento e cota.

  2. Crie um arquivo chamado ingress-rule.yaml com o seguinte conteúdo:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Substitua ORGANIZATION_ID pelo ID da organização.

  3. Adicione a regra de entrada ao perímetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Substitua:

    • PERIMETER_NAME: o nome do perímetro. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violações. Nessas entradas, verifique o campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Para mais informações, consulte Regras de entrada e de saída.

A seguir