Menggunakan Mandiant Attack Surface Management dengan Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan masuk untuk mengizinkan Mandiant Attack Surface Management dalam perimeter Kontrol Layanan VPC. Untuk membatasi layanan di project yang ingin Anda pantau dengan Mandiant Attack Surface Management jika organisasi Anda menggunakan Kontrol Layanan VPC, lakukan tugas ini. Untuk mengetahui informasi selengkapnya tentang Mandiant Attack Surface Management, lihat Ringkasan Mandiant Attack Surface Management.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna menggunakan Mandiant Attack Surface Management dalam perimeter Kontrol Layanan VPC. , minta administrator untuk memberi Anda peran IAM Access Context Manager Editor (roles/accesscontextmanager.policyEditor) di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran kustom atau peran yang telah ditentukan lainnya.

Buat aturan ingress

Untuk mengizinkan Mandiant Attack Surface Management di Security Command Center dalam perimeter Kontrol Layanan VPC, tambahkan aturan masuk yang diperlukan di perimeter tersebut. Lakukan langkah-langkah berikut untuk setiap perimeter yang ingin Anda pantau dengan Mandiant Attack Surface Management.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Pilih organisasi atau project Anda.

  3. Di menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda beri akses.

    Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

  4. Klik nama perimeter layanan yang ingin Anda perbarui.

    Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa entri log yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Klik Edit.
  6. Klik Ingress policy.
  7. Klik Tambahkan aturan ingress.

  8. Di bagian Dari, tetapkan detail berikut:

    1. Untuk Identitas > Identitas, pilih Pilih identitas & grup.
    2. Klik Tambahkan identitas.

    3. Masukkan alamat email agen layanan Attack Surface Management Service Agent. Alamat agen layanan memiliki format berikut: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    4. Pilih agen layanan atau tekan ENTER, lalu klik Tambahkan identitas.
    5. Untuk Sumber, pilih Semua sumber.

  9. Di bagian Tujuan, tetapkan detail berikut:

    1. Untuk Resources > Projects, pilih All projects.
    2. Untuk Operasi atau peran IAM, pilih Pilih operasi.

    3. Klik Tambahkan operasi, lalu tambahkan operasi berikut:

      • Tambahkan layanan cloudasset.googleapis.com.
        1. Klik Semua metode.
        2. Klik Tambahkan semua metode.
      • Tambahkan layanan cloudresourcemanager.googleapis.com.
        1. Klik Semua metode.
        2. Klik Tambahkan semua metode.
      • Tambahkan layanan dns.googleapis.com.
        1. Klik Semua metode.
        2. Klik Tambahkan semua metode.
  10. Klik Simpan.

gcloud

  1. Jika project kuota belum ditetapkan, tetapkan project kuota. Pilih project yang mengaktifkan Access Context Manager API. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

  2. Buat file bernama ingress-rule.yaml dengan konten berikut:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Ganti ORGANIZATION_ID dengan ID organisasi Anda.

  3. Tambahkan aturan traffic masuk ke perimeter:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Ganti kode berikut:

    • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Lihat Aturan traffic masuk dan keluar untuk informasi selengkapnya.

Langkah berikutnya