GCP CSPM 快速入门
编辑GCP CSPM 快速入门
编辑概述
编辑本页介绍如何使用云安全态势管理 (CSPM) 功能开始监控 GCP 云资产的安全态势。
设置 GCP CSPM
编辑您可以通过注册单个项目或注册包含多个项目的组织来设置 GCP CSPM。无论哪种方式,您都需要先添加 CSPM 集成,然后启用云帐户访问。有两种部署技术可用:无代理和基于代理。无代理部署允许您收集云态势数据,而无需管理在云中部署代理。基于代理的部署要求您在要监控的云帐户中部署和管理代理。
无代理部署
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能的支持 SLA 的约束。
- 在导航菜单中找到集成,或使用全局搜索字段。
- 搜索
CSPM,然后点击结果。 - 点击添加云安全态势管理 (CSPM)。
- 选择GCP,然后选择GCP 组织以加入整个组织,或选择单个帐户以加入单个帐户。
- 为您的集成命名,使其与您要监控的 GCP 订阅/组织的目的或团队相匹配,例如
dev-gcp-account。 - 点击高级选项,然后选择无代理 (测试版)。
- 接下来,您需要对 GCP 进行身份验证。展开生成 GCP 帐户凭据的步骤部分,然后按照显示的说明使用 Google Cloud Shell 自动创建必要的凭据。
- 提供必要的凭据后,点击保存并继续以完成部署。您的数据应该会在几分钟内开始显示。
基于代理的部署
编辑添加您的 CSPM 集成
编辑- 在导航菜单中找到集成,或使用全局搜索字段。
- 搜索
CSPM,然后点击结果。 - 点击添加云安全态势管理 (CSPM)。
- 在配置集成下,选择GCP,然后选择GCP 组织(推荐)或单个帐户。
- 为您的集成命名,使其与您要监控的 GCP 帐户的目的或团队相匹配,例如
dev-gcp-project。
设置云帐户访问
编辑要为 GCP 项目设置 CSPM,您需要该项目的管理员权限。
对于大多数用户而言,最简单的选项是使用 Google Cloud Shell 脚本在您的 GCP 帐户中自动配置必要的资源和权限。下面将介绍此方法以及两种手动选项。
Cloud Shell 脚本设置(推荐)
编辑- 在设置访问下,选择Google Cloud Shell。输入您的 GCP 项目 ID,对于 GCP 组织部署,请输入您的 GCP 组织 ID。
-
在添加此集成的目标位置下
- 选择新主机。
- 命名 Elastic Agent 策略。使用与您要监控的云帐户或帐户的目的或团队相匹配的名称。例如,
dev-gcp-account。 - 点击保存并继续,然后点击将 Elastic Agent 添加到您的主机。添加代理向导将出现并提供 Elastic Agent 二进制文件,您可以将其下载并部署到 GCP 帐户中的虚拟机。
- 点击保存并继续。
- 复制出现的命令,然后点击启动 Google Cloud Shell。它将在新窗口中打开。
-
选中复选框以信任 Elastic 的
cloudbeat存储库,然后点击确认
- 在 Google Cloud Shell 中,执行您复制的命令。完成后,返回 Kibana 并等待确认从您的新集成接收到的数据。然后,您可以点击查看资产以查看您的数据。
如果您在运行命令时遇到任何问题,请返回 Kibana 并再次导航到 Google Cloud Shell。
在 Cloud Shell 设置期间,CSPM 集成会向 Google 的默认服务帐户添加角色,这将启用自定义角色创建和将服务帐户附加到计算实例。设置后,这些角色将从服务帐户中删除。如果您尝试删除部署但发现部署管理器缺少必要的权限,请考虑将缺少的角色添加到服务帐户:项目 IAM 管理员,角色管理员。
手动身份验证(GCP 组织)
编辑要手动进行身份验证以监控 GCP 组织,您需要创建一个新的 GCP 服务帐户,为其分配必要的角色,生成凭据,然后将这些凭据提供给 CSPM 集成。
使用以下命令,替换<SA_NAME>为新服务帐户的名称,<ORG_ID>为 GCP 组织的 ID,<PROJECT_ID>为要在其中配置将运行 CSPM 的计算实例的 GCP 项目 ID。
创建一个新的服务帐户
gcloud iam service-accounts create <SA_NAME> \
--description="Elastic agent service account for CSPM" \
--display-name="Elastic agent service account for CSPM" \
--project=<PROJECT_ID>
为服务帐户分配必要的角色
gcloud organizations add-iam-policy-binding <ORG_ID> \
--member=serviceAccount:<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com \
--role=roles/cloudasset.viewer
gcloud organizations add-iam-policy-binding <ORG_ID> \
--member=serviceAccount:<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com \
--role=roles/browser
Cloud Asset Viewer角色授予对云资产元数据的读取访问权限。Browser角色授予对项目层次结构的读取访问权限。
下载凭据 JSON(首先,将<KEY_FILE>替换为您要保存它的位置)
gcloud iam service-accounts keys create <KEY_FILE> \
--iam-account=<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com
将凭据 JSON 保存在安全位置;稍后您将需要它。
将凭据提供给 CSPM 集成
- 在 CSPM 设置屏幕上的设置访问下,选择手动。
- 输入您的 GCP 组织 ID。输入要在其中配置将运行 CSPM 的计算实例的 GCP 项目 ID。
- 选择凭据 JSON,然后输入您之前生成的 value。
- 在添加此集成的目标位置下,选择新主机。
- 命名 Elastic Agent 策略。使用与您要监控的云帐户或帐户的目的或团队相匹配的名称。例如,
dev-gcp-account。 - 点击保存并继续,然后按照说明在您选择的 GCP 项目中安装 Elastic Agent。
等待 Kibana 确认已从您的新集成接收数据。然后,您可以点击查看资产以查看您的数据。
手动身份验证(GCP 项目)
编辑要手动进行身份验证以监控单个 GCP 项目,您需要创建一个新的 GCP 服务帐户,为其分配必要的角色,生成凭据,然后将这些凭据提供给 CSPM 集成。
使用以下命令,替换<SA_NAME>为新服务帐户的名称,<PROJECT_ID>为您的 GCP 项目 ID。
创建一个新的服务帐户
gcloud iam service-accounts create <SA_NAME> \
--description="Elastic agent service account for CSPM" \
--display-name="Elastic agent service account for CSPM" \
--project=<PROJECT_ID>
为服务帐户分配必要的角色
gcloud projects add-iam-policy-binding <PROJECT_ID> \
--member=serviceAccount:<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com \
--role=roles/cloudasset.viewer
gcloud projects add-iam-policy-binding <PROJECT_ID> \
--member=serviceAccount:<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com \
--role=roles/browser
Cloud Asset Viewer角色授予对云资产元数据的读取访问权限。Browser角色授予对项目层次结构的读取访问权限。
下载凭据 JSON(首先,将<KEY_FILE>替换为您要保存它的位置)
gcloud iam service-accounts keys create <KEY_FILE> \
--iam-account=<SA_NAME>@<PROJECT_ID>.iam.gserviceaccount.com
将凭据 JSON 保存在安全位置;稍后您将需要它。
将凭据提供给 CSPM 集成
- 在 CSPM 设置屏幕上的设置访问下,选择手动。
- 输入您的 GCP 项目 ID。
- 选择凭据 JSON,然后输入您之前生成的 value。
- 在添加此集成的目标位置下,选择新主机。
- 命名 Elastic Agent 策略。使用与您要监控的云帐户或帐户的目的或团队相匹配的名称。例如,
dev-gcp-account。 - 点击保存并继续,然后按照说明在您选择的 GCP 项目中安装 Elastic Agent。
等待 Kibana 确认已从您的新集成接收数据。然后,您可以点击查看资产以查看您的数据。