Auf dieser Seite wird beschrieben, wie Sie die APIs und Funktionen aktivieren, die für die Verwendung von Firewall Insights erforderlich sind.
Wählen Sie ein Projekt aus, bevor Sie Firewall Insights verwenden, prüfen Sie, ob Sie die erforderlichen Rollen und Berechtigungen haben, und führen Sie dann die erforderlichen Einrichtungsaufgaben aus. Weitere Informationen zu den ersten beiden Schritten finden Sie unter Rollen und Berechtigungen.
Die Einrichtungsaufgaben variieren je nach den Messwerten und Statistiken, die Sie verwenden möchten. Weitere Informationen finden Sie in der folgenden Tabelle.
| Task | Alle Messwerte | Statistiken für verdeckte Regeln | Statistiken für zu moderate Regeln | Deny-Regeln mit Treffern |
|---|---|---|---|---|
| Firewall Insights API aktivieren | ✔ | ✔ | ✔ | ✔ |
| Logging von Firewallregeln aktivieren | ✔ | ✔ | ✔ | |
| Aktivieren Sie die Recommender API | ✔ | ✔ | ||
| Diesen Typ von Insight aktivieren | ✔ | ✔ | ||
| Beobachtungszeitraum konfigurieren | ✔ | ✔ | ||
| Benutzerdefinierten Aktualisierungszyklus planen | ✔ |
In den folgenden Abschnitten wird beschrieben, wie Sie die APIs und Funktionen aktivieren.
Firewall Insights API aktivieren
Bevor Sie Aufgaben mit Firewall Insights ausführen können, müssen Sie die Firewall Insights API aktivieren.
Zum Aktivieren der API können Sie die folgenden Schritte oder die API-Bibliothek der Google Cloud Console verwenden, wie unter APIs aktivieren in der Dokumentation zu Cloud APIs beschrieben.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Seite Firewall Insights API auf Aktivieren.
gcloud
Verwenden Sie den folgenden Befehl:
gcloud services enable firewallinsights.googleapis.com
Logging von Firewallregeln aktivieren
Wenn Sie eine der folgenden Optionen aufrufen möchten, müssen Sie das Logging von Firewallregeln aktivieren:
- Messwerte zu Firewallregeln
- Statistiken für zu moderate Regeln oder
deny-Regeln. Diese Insights werden allgemein als logbasierte Statistiken bezeichnet
Firewall Insights generiert nur für diese Regeln Messwerte und logbasierte Statistiken, für die Logging aktiviert ist. Weitere Informationen finden Sie unter Logging von Firewallregeln – Übersicht.
Recommender API aktivieren
Aktivieren Sie die Recommender API, um Folgendes auszuführen:
- Statistiken für verdeckte Regeln verwenden
- Statistiken für zu moderate Regeln verwenden
Daten durch API-Aufrufe oder die Google Cloud CLI abrufen
Console
Rufen Sie in der Google Cloud Console die Seite Zugriff auf API aktivieren auf.
Achten Sie darauf, dass das richtige Projekt ausgewählt ist, und klicken Sie auf Weiter.
Klicken Sie auf Aktivieren.
gcloud
Verwenden Sie den folgenden Befehl:
gcloud services enable recommender.googleapis.com
Statistiken für verdeckte Regeln oder zu moderate Regeln aktivieren
Firewall Insights generiert keine Statistiken zu verdeckten oder zu moderaten Regeln, es sei denn, Sie aktivieren diese Features auf der Seite „Firewall Insights“ aktiv.
Nachdem Sie eine der Funktionen aktiviert haben, kann es bis zu 48 Stunden dauern, bis die generierten Statistiken angezeigt werden.
Nach dem Erstellen oder Aktualisieren einer Firewallregel kann es bis zu zehn Tage dauern, bis Vorhersagen für maschinelles Lernen für Statistiken zu zu moderaten Regeln angezeigt werden. In der Zwischenzeit können Sie Statistiken basierend auf Daten ansehen, die aus Logging von Firewallregeln gesammelt wurden.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Konfiguration.
Klicken Sie auf Aktivierung.
Schieben Sie den Schieberegler bei Bedarf für einen oder beide der folgenden Werte auf Aktiviert oder Deaktiviert:
Statistiken für verdeckte Regeln
Statistiken für zu moderate Regeln
API
Mit der Recommender API können Sie Statistiken für verdeckte Regeln und für zu moderate Regeln aktivieren oder deaktivieren. Sie können die API auch verwenden, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen und Konfigurationsdetails abzurufen.
Verwenden Sie die Methode updateConfig, um Statistiken für verdeckte Regeln und für zu moderate Regeln zu aktivieren.
Wenn Sie die Methode updateConfig verwenden möchten, müssen Sie Werte für alle Parameter festlegen. Wenn Sie Statistiken aktivieren oder deaktivieren, müssen Sie auch den Beobachtungszeitraum für zu moderate Statistiken konfigurieren.
Verwenden Sie die folgende Anfrage, um diese Art von Aktualisierung durchzuführen.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Ersetzen Sie die folgenden Werte:
- PROJECT_ID: die Projekt-ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: die Dauer des Beobachtungszeitraums in Sekunden für Statistiken für zu moderate Regeln
- ENABLEMENT_SHADOWED: ein boolescher Wert, der angibt, ob Statistiken für verdeckte Regeln aktiviert sind
- ENABLEMENT_OVERLY_PERMISSIVE: ein boolescher Wert, der angibt, ob Statistiken für zu moderate Regeln aktiviert sind
- ETAG: Wert der Etag-Richtlinie von IAM. Zum Abrufen des etag-Werts verwenden Sie die Methode
getConfig, wie im folgenden Abschnitt beschrieben
Beispiel
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Konfigurationsdetails abrufen
Wenn Sie Details zur Konfiguration von Firewall Insights abrufen möchten, verwenden Sie die Methode getConfig, wie im folgenden Beispiel gezeigt.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Beobachtungszeitraum konfigurieren
Für einige Statistiken können Sie einen Beobachtungszeitraum oder das Zeitintervall konfigurieren, das die Statistik abdeckt. Weitere Informationen finden Sie unter Beobachtungszeitraum konfigurieren im Artikel Beobachtungszeitraum und Aktualisierungszyklus einrichten.
Benutzerdefinierten Aktualisierungszyklus planen
Sie können einen Aktualisierungszyklus einrichten, um Statistiken für verdeckte Regeln für Ihr Projekt zu generieren. Weitere Informationen finden Sie unter Benutzerdefinierten Aktualisierungszyklus planen im Abschnitt Beobachtungszeitraum und Aktualisierungszyklus einrichten.