Créer et gérer des profils de sécurité

Cette page explique comment créer et gérer des profils de sécurité à l'aide de la console Google Cloud et de Google Cloud CLI.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Créer un profil de sécurité

Vous ne pouvez créer qu'un profil de sécurité de type threat-prevention.

Lorsque vous créez un profil de sécurité, vous pouvez spécifier le nom du profil de sécurité sous forme de chaîne ou d'identifiant d'URL unique. L'URL unique d'un profil de sécurité à l'échelle de l'organisation peut présenter le format suivant :

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si vous utilisez un identifiant d'URL unique pour le nom du profil de sécurité, l'organisation et l'emplacement du profil de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du profil de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du profil de sécurité.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le menu de sélection du projet, sélectionnez votre organisation.

  3. Sélectionnez l'onglet Profils de sécurité.

Configurez un profil de sécurité de prévention des menaces :

  1. Cliquez sur Créer un profil.
  2. Saisissez un nom dans le champ Nom.
  3. Facultatif : saisissez une description dans le champ Description.
  4. Cliquez sur Continuer.

Vous pouvez également ajouter des remplacements de gravité et de menace :

  1. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité que vous souhaitez remplacer.
  2. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.
  3. Pour ajouter un remplacement de signature de menace, cliquez sur Ajouter une signature par ID.
  4. Dans le champ ID de signature, saisissez l'ID de menace que vous souhaitez remplacer. Vous pouvez afficher les ID de menaces dans le tableau de bord des menaces.
  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour l'ID de menace.
  6. Cliquez sur Créer.

gcloud

Pour créer un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention create :

gcloud network-security security-profiles threat-prevention \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --description DESCRIPTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • DESCRIPTION : description facultative pour le profil de sécurité.

Lister les profils de sécurité

Vous pouvez lister tous les profils de sécurité de prévention des menaces dans une organisation.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

gcloud

Pour répertorier tous les profils de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention list :

gcloud network-security security-profiles threat-prevention list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Remplacez les éléments suivants :

  • ORGANIZATION_ID : organisation dans laquelle les profils de sécurité sont créés.

  • LOCATION : emplacement des profils de sécurité. L'emplacement est toujours défini sur global.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

Supprimer un profil de sécurité

Vous pouvez supprimer un profil de sécurité de prévention des menaces en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité est référencé par un groupe de profils de sécurité, il ne peut pas être supprimé.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité que vous souhaitez supprimer, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention delete :

gcloud network-security security-profiles threat-prevention \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité que vous souhaitez supprimer. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

Ajouter des actions de remplacement dans un profil de sécurité

Vous pouvez remplacer les actions associées à des signatures de menace ou des niveaux de gravité spécifiques dans un profil de sécurité existant.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité pour lequel vous souhaitez remplacer les actions, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité que vous souhaitez remplacer.

  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.

  6. Cliquez sur Confirmer.

  7. Cliquez sur Enregistrer.

gcloud

Pour ajouter une action de remplacement dans un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention add-override :

gcloud network-security security-profiles threat-prevention \
   add-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels l'action doit être remplacée. Le point de terminaison de pare-feu applique l'option --action configurée à toutes les menaces associées aux niveaux de gravité spécifiés. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels l'action doit être remplacée. Le point de terminaison de pare-feu applique l'option --action configurée à toutes les menaces associées aux ID de menaces spécifiés.

  • ACTION : action par défaut pour les ID de menaces ou les niveaux de gravité spécifiés. Les actions possibles sont les suivantes :

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Lister les actions de remplacement dans un profil de sécurité

Vous pouvez lister toutes les actions de remplacement d'un profil de sécurité.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité pour afficher les actions de remplacement de gravité et les actions de remplacement de signature de menace configurées.

gcloud

Pour répertorier toutes les actions de remplacement d'un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention list-overrides :

gcloud network-security security-profiles threat-prevention \
    list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

Mettre à jour les actions de remplacement dans un profil de sécurité

Vous pouvez mettre à jour les actions de remplacement existantes pour les niveaux de gravité ou les signatures de menace dans un profil de sécurité.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité pour lequel vous souhaitez mettre à jour l'action de remplacement.

  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.

  6. Cliquez sur Confirmer.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour une action de remplacement dans un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention update-override :

gcloud network-security security-profiles threat-prevention \
   update-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS] \
   --action ACTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels vous souhaitez mettre à jour les remplacements. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels vous souhaitez mettre à jour les remplacements.

  • ACTION : action par défaut pour les ID de menaces ou les niveaux de gravité spécifiés. Les actions possibles sont les suivantes :

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Supprimer les actions de remplacement d'un profil de sécurité

Vous pouvez supprimer les actions de remplacement existantes pour les niveaux de gravité ou les signatures de menace dans un profil de sécurité.

Console

  1. Dans la console Google Cloud, accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité pour lequel vous souhaitez supprimer l'action de remplacement.

  5. Dans la liste Action de remplacement, sélectionnez Aucun remplacement.

  6. Cliquez sur Confirmer.

  7. Sous Remplacements de signature, sélectionnez l'ID de menace que vous souhaitez supprimer.

  8. Cliquez sur Supprimer.

  9. Cliquez sur Enregistrer.

gcloud

Pour supprimer une action de remplacement d'un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention delete-override :

gcloud network-security security-profiles threat-prevention \
   delete-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS]

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels vous souhaitez supprimer les remplacements. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels vous souhaitez supprimer les remplacements.

Étapes suivantes