Gérer et exporter des insights

Cette page explique comment répertorier, décrire, ignorer, restaurer et exporter des insights.

Rôles et autorisations requis

Pour obtenir les autorisations dont vous avez besoin pour gérer et exporter des insights, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour gérer et exporter les insights. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour gérer et exporter les insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Répertorier les insights d'un projet

Pour répertorier les insights d'un projet, procédez comme suit:

gcloud

Exécutez la commande gcloud recommender insights list :

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Remplacez PROJECT_ID par l'ID du projet pour lequel vous souhaitez répertorier des insights.

L'option location utilise toujours l'emplacement nommé global. L'option insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight. Le résultat de la commande est tabulaire, sauf si vous utilisez le format JSON.

Les champs suivants sont facultatifs :

  • EXPRESSION : appliquez ce filtre booléen à chaque ressource que vous souhaitez répertorier.

    Si l'expression renvoie la valeur True, cet élément est répertorié. Pour plus de détails et d'exemples d'expressions de filtre, exécutez $ gcloud topic filters ou consultez la documentation gcloud topic filters.

  • LIMIT : nombre maximal de ressources à répertorier. Le nombre par défaut de ressources répertoriées est illimité.

  • PAGE_SIZE : nombre maximal de ressources à répertorier par page.

    La taille de page par défaut est déterminée par le service. Sinon, il n'y a pas de pagination. La pagination peut être appliqué avant ou après FILTER et LIMIT.

  • SORT_BY : liste de noms de clés de champ séparés par une virgule en fonction desquels trier pour une ressource.

    L'ordre par défaut est croissant. Pour spécifier un ordre décroissant, ajoutez un préfixe ~ (un tilde) à un champ.

API

Envoyez une requête GET à la méthode projects.locations.insightTypes.insights :

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

L'exemple suivant illustre un exemple de réponse pour cette commande :

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Décrire les insights

Pour décrire les détails d'une règle de pare-feu particulière d'un projet, procédez comme suit:

gcloud

Exécutez la commande gcloud recommender insights describe :

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Remplacez les éléments suivants :

  • INSIGHT_ID : ID de l'insight à décrire.
  • PROJECT_NAME : nom du projet pour lequel vous souhaitez répertorier des insights.

L'option location utilise toujours l'emplacement nommé global. L'option insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight.

API

Envoyez une requête GET à la méthode projects.locations.insightTypes.insights :

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet
  • LOCATION : utilisez toujours l'emplacement nommé global.
  • INSIGHT_TYPE_ID: utilisez toujours la valeur google.compute.firewall.Insight.
  • INSIGHT_ID: ID de l'insight

Marquer un insight comme ignoré

Si un insight n'est pas pertinent ou si vous souhaitez le masquer pour une autre raison, vous pouvez l'ignorer. Une fois un insight ignoré, la console Google Cloud n'affiche plus cet insight, que ce soit pour vous ou pour les autres utilisateurs.

Pour marquer un insight comme ignoré, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Recherchez la fiche appropriée, puis cliquez sur Afficher la liste complète.

  3. Sélectionnez les règles que vous souhaitez ignorer, puis cliquez sur Ignorer.

Restaurer un insight ignoré

Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un autre utilisateur pouvez le restaurer et le rendre visible dans la console Google Cloud.

Pour restaurer un insight ignoré, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Ignorer l'historique. En réponse, la console Google Cloud affiche la page Insights ignorés.

  3. Sélectionnez les insights que vous souhaitez restaurer, puis cliquez sur Restaurer.

Exporter les insights

Si nécessaire, vous pouvez exporter les insights sur les règles bloquées et trop permissives au format CSV ou JSON. Impossible d'exporter les informations Deny rules with hits, car elles sont basées sur les métriques Stackdriver de pare-feu et non sur les insights.

Vous pouvez exporter les insights pour l'une des raisons suivantes :

  • Vous devez importer les données dans un autre système.
  • Vous souhaitez accéder aux données lorsque vous êtes hors connexion.
  • Vous avez l'intention de désactiver Firewall Insights, mais vous souhaitez conserver l'accès aux insights générés précédemment.

Pour exporter des insights, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Enregistrer sous.

  3. Suivez les instructions pour choisir le format des insights et téléchargez-les.

Vous pouvez également exporter des insights vers BigQuery. Lorsque vous exportez des insights vers BigQuery, vous pouvez afficher des instantanés quotidiens des insights de votre organisation. Pour en savoir plus, consultez Exporter des recommandations vers BigQuery.

Étapes suivantes