As notificações de aviso fornecem recomendações de políticas de IAM para garantir que as partes certas na sua organização têm acesso à visualização de notificações críticas de segurança e privacidade na Google Cloud consola. Estas recomendações são geradas automaticamente através da análise da sua configuração de contactos essenciais e da sua política de IAM. Use estas recomendações para garantir que os seus administradores de segurança podem receber e resolver rapidamente as notificações de segurança.
Como funcionam as recomendações de notificações de aviso
As recomendações de notificações consultivas monitorizam as configurações de políticas de IAM e de contactos essenciais, e fazem recomendações com base nos dados do dia anterior.
As recomendações incluem o seguinte:
Se nenhum utilizador tiver autorização para ver notificações, as notificações de aviso recomendam conceder acesso às partes adequadas na sua organização.
Se um principal estiver listado como um contacto essencial de segurança, mas não tiver autorização para ver notificações de aviso naGoogle Cloud consola, as notificações de aviso recomendam conceder acesso ao principal. As recomendações de notificações consultivas não têm em conta as funções personalizadas. Se estiver a conceder a um principal autorização para receber notificações consultivas através de uma função personalizada, ignore ou rejeite a recomendação.
Veja recomendações de notificações de aviso
As notificações consultivas disponibilizam estatísticas e recomendações através do Recommender com a CLI Google Cloud, a API ou a funcionalidade de exportação do BigQuery.
Antes de começar
Antes de poder ver as estatísticas e as recomendações, tem de fazer o seguinte:
- Tem de ativar a API Recommender. Só tem de ativar a API num único projeto de faturação. Em seguida, pode usar este mesmo projeto de faturação para examinar recomendações e estatísticas de outros projetos, de toda a organização ou da conta de faturação, especificando o projeto de faturação nos comandos gcloud e nos pedidos API.
- Certifique-se de que tem as autorizações necessárias
Ver recomendações
gcloud
Para ver as suas recomendações, use o seguinte comando gcloud recommender recommendations list:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organização.FORMAT: o seu formato de saída preferido. Por exemplo,yaml,textejson. Para ver todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevaluerequerem projeções não vazias.QUOTA_PROJECT: o ID do projeto a usar para a quota e a faturação.
O resultado do comando gcloud recommender recommendations list inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação da recomendação legível.associatedInsights: uma lista de estatísticas associadas.
Também pode ver as estatísticas associadas a estas recomendações. Para ver as suas estatísticas, use o comando gcloud recommender insights list
abaixo.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organização.FORMAT: o seu formato de saída preferido. Por exemplo,yaml,textejson. Para ver todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevaluerequerem projeções não vazias.QUOTA_PROJECT: o ID do projeto a usar para a quota e a faturação.
O resultado do comando gcloud recommender insights list inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação da estatística legível por humanos.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte os documentos do Recommender.
API
Para ver as suas recomendações, use a
API Recommender com
o ID do recomendador google.cloud.security.GeneralRecommender.
O exemplo de script bash seguinte usa um token de acesso devolvido pelas
credenciais predefinidas da aplicação para um pedido curl. Para obter informações sobre a configuração das Credenciais padrão da aplicação, consulte o artigo Forneça credenciais para as Credenciais padrão da aplicação.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organização.QUOTA_PROJECT: o ID do projeto a usar para a quota e a faturação.
A resposta inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação da recomendação legível por humanos.associatedInsights: uma lista de estatísticas associadas.
Para ver as suas estatísticas, use a
API Recommender com o
tipo de estatísticas google.cloud.security.GeneralInsight.
O exemplo de script bash seguinte usa um token de acesso devolvido pelas
credenciais predefinidas da aplicação para um pedido curl. Para obter informações sobre a configuração das Credenciais padrão da aplicação, consulte o artigo Forneça credenciais para as Credenciais padrão da aplicação.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organização.QUOTA_PROJECT: o ID do projeto a usar para a quota e a faturação.
A resposta inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação da recomendação legível por humanos.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte o artigo Usar a API Recommender.
BigQuery Export
As recomendações e as estatísticas também podem ser exportadas em massa para uma tabela do BigQuery. Para mais detalhes, consulte a documentação do BigQuery Export.
Tome medidas com base nas recomendações das notificações de aviso
As secções seguintes fornecem conselhos específicos sobre como agir com base em recomendações de notificações de aviso específicas. Cada secção corresponde a um subtipo do Recomendador de notificações consultivas. A lista seguinte menciona as secções do subtipo do recomendador.
Conceda acesso às notificações de aviso
Esta secção ajuda a tomar medidas com base nas recomendações com o SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONSsubtipo de recomendador.
Recebeu esta recomendação porque alguns dos seus contactos essenciais nas categorias Segurança e Tudo não têm acesso a notificações de aviso. Isto significa que estes contactos recebem notificações por email, mas não podem ver a notificação na Google Cloud consola.
Recomendamos que cada contacto essencial tenha acesso às notificações consultivas em vez de conceder acesso através de grupos ou domínios principais. A concessão de acesso a cada contacto essencial torna menos provável que o acesso seja revogado acidentalmente no futuro. Além disso, pode usar a função Leitor do visualizador de notificações consultivas de autocertificação para esclarecer o motivo da existência da associação.
Para aplicar esta recomendação, faça o seguinte:
Encontrar todos os contactos essenciais de segurança ao nível da organização na configuração dos contactos essenciais. Estes são os contactos nas categorias Segurança e Todos.
Conceda a cada contacto autorização para ver as notificações consultivas na página de administração da gestão de identidades e acessos atribuindo-lhe a função de visualizador de notificações consultivas (
roles/advisorynotifications.viewer). Consulte o artigo Ver notificações de aviso se quiser saber as autorizações específicas necessárias para ver as notificações de aviso.
Configure os visualizadores das suas notificações de aviso
Esta secção ajuda a tomar medidas com base nas recomendações com o NO_VIEWERS_OF_ADVISORY_NOTIFICATIONSsubtipo de recomendador.
Recebeu esta recomendação porque não foi possível identificar nenhum principal na sua organização com acesso às notificações consultivas.
Recomendamos que configure os contactos essenciais e as notificações de aviso para estar preparado para receber notificações importantes de segurança e privacidade.
Para aplicar esta recomendação, faça o seguinte:
Configure os contactos essenciais de nível organizacional na página Contactos essenciais.
Conceda a cada contacto autorização para ver as notificações consultivas atribuindo-lhe a função de leitor de notificações consultivas (
roles/advisorynotifications.viewer) na página de administração da gestão de identidades e acessos. Consulte o artigo Ver notificações de aviso se quiser saber as autorizações específicas necessárias para ver as notificações de aviso.
Se preferir não usar os contactos essenciais, recomendamos que conceda autorizações de visualização para notificações consultivas às partes adequadas na sua organização, como um administrador de segurança. A concessão de autorizações de visualização para notificações de aviso sem configurar os contactos essenciais não garante que as partes recebam notificações por email das notificações de aviso.
Preços
Para informações de preços, consulte a secção Preços do Recommender.
O que se segue?
- Saiba mais acerca das notificações consultivas.
- Saiba mais sobre o Recommender e a respetiva API