Configure o período de observação e o ciclo de atualização

Esta página descreve como configurar um período de observação e um ciclo de atualização no Firewall Insights.

Para uma vista geral das estatísticas disponíveis, consulte o artigo Categorias e estados das Estatísticas da firewall.

Para ver uma lista de métricas de utilização da firewall, consulte o artigo Veja as métricas das Estatísticas da firewall.

Funções e autorizações necessárias

Para receber a autorização de que precisa para configurar o período de observação e o ciclo de atualização, peça ao seu administrador para lhe conceder a função IAM Administrador do Firewall Recommender (roles/recommender.firewallAdmin) no seu projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém a autorização recommender.computeFirewallInsightTypeConfigs.update , que é necessária para configurar o período de observação e o ciclo de atualização.

Também pode receber esta autorização com funções personalizadas ou outras funções predefinidas.

Configure o período de observação

Para algumas estatísticas, pode configurar um período de observação, ou seja, o intervalo de tempo abrangido pela estatística. Por exemplo, pode configurar o período de observação para estatísticas de regras deny e excessivamente permissivas. O período de observação predefinido é de seis semanas, e pode configurar o período de observação entre sete dias e um ano.

Por exemplo, se definir o período de observação das denyestatísticas das regras para dois meses, quando rever a lista de regras com acessos após o período de observação, o Firewall Insights mostra-lhe apenas as que tiveram acessos durante os últimos dois meses.deny Suponhamos que altera posteriormente o período de observação para um mês. O Firewall Insights pode identificar um número diferente de regras porque analisaria um intervalo de tempo mais curto.

Ao rever as estatísticas e configurar os períodos de observação, tenha em atenção o seguinte:

  • Quando configura o período de observação para regras com resultados, o Firewall Insights atualiza imediatamente os resultados das estatísticas.deny

  • Quando atualiza o período de observação para estatísticas de regras excessivamente permissivas, as estatísticas da firewall podem demorar até 48 horas a atualizar os resultados existentes. Entretanto, o período de observação dos resultados existentes corresponde ao período de observação configurado anteriormente.

  • Para estatísticas excessivamente permissivas, se a estatística não tiver identificado regras de firewall, as Estatísticas da firewall não apresentam o período de observação para identificar as estatísticas usadas.

  • As estatísticas de regras ocultadas não têm um período de observação porque não avaliam os dados do histórico. A análise de regras ocultadas avalia a configuração das regras de firewall existentes a cada 24 horas.

  • Os dados do registo de tráfego das últimas 24 horas podem não ser incluídos quando gera estatísticas.

Consola

Configure um período de observação:

  1. Na Google Cloud consola, aceda à página Estatísticas da firewall.

    Aceder ao Firewall Insights

  2. Clique em Configuração.

  3. Clique em Período de observação.

  4. Conforme adequado, defina a lista pendente Período de observação para o tempo adequado para cada um dos seguintes:

    • Informações sobre regras excessivamente permissivas

    • Estatísticas de regras de recusa

API

Para definir o período de observação para regras de deny com resultados, tem de usar a Google Cloud consola. No entanto, pode usar a API Recommender para definir o período de observação para estatísticas de regras demasiado permissivas. Também pode usar a API para ativar estatísticas e obter detalhes de configuração.

Para definir o período de observação para as estatísticas de regras excessivamente permissivas, use o método updateConfig.

Para usar o método updateConfig, defina valores para todos os respetivos parâmetros. Também especifique se as estatísticas de regras ocultadas e as estatísticas de regras excessivamente permissivas estão ativadas ou desativadas.

Para fazer este tipo de atualização, use o seguinte pedido.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Substitua os seguintes valores:

  • PROJECT_ID: o ID do seu projeto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: o tempo, em segundos, do período de observação para estatísticas de regras excessivamente permissivas
  • ENABLEMENT_SHADOWED: um valor booleano que representa se as estatísticas das regras ocultadas estão ativadas
  • ENABLEMENT_OVERLY_PERMISSIVE: um valor booleano que representa se as estatísticas de regras excessivamente permissivas estão ativadas
  • ETAG: o valor etag da política de IAM; para obter o valor etag, use o método getConfig, conforme descrito na secção seguinte

Exemplo

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Obtenha detalhes da configuração

Para obter detalhes sobre como o Firewall Insights está configurado, use o método getConfig, conforme mostrado no exemplo seguinte. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Agende um ciclo de atualização personalizado

Configure um ciclo de atualização para gerar estatísticas de regras ocultadas para o seu projeto.

Pode agendar o ciclo de atualização para começar numa data especificada e personalizar a frequência do ciclo. A frequência do ciclo predefinida é de um dia (24 horas).

Consola

Configure um ciclo de atualização personalizado para as estatísticas:

  1. Na Google Cloud consola, aceda à página Estatísticas da firewall.

    Aceder ao Firewall Insights

  2. Clique em Configuração.

  3. Clique em Ativação.

  4. Para ativar as estatísticas de regras ocultadas, clique no botão de ativação/desativação.

  5. No campo Começar em, introduza uma data a partir da qual o ciclo de atualização personalizado começa.

  6. No campo Repetir a cada, selecione a frequência do ciclo de atualização a partir da data de início do ciclo:

    • dia: a cada 24 horas
    • Semanal: todas as semanas nos dias que selecionar
    • mês: todos os meses
    • trimestre: todos os trimestres

    A nova programação de geração de estatísticas entra em vigor 24 horas após guardar as alterações à programação.

O que se segue?