Benutzerdefinierte Module mit Security Health Analytics verwenden

Auf dieser Seite wird erläutert, wie Sie mit der Google Cloud Console oder der Google Cloud CLI benutzerdefinierte Module für Security Health Analytics erstellen, aufrufen, aktualisieren und löschen.

Weitere einführende Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Hinweis

Bevor Sie mit benutzerdefinierten Modulen arbeiten können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Sie benötigen die Premium-Stufe von Security Command Center. Weitere Informationen zu den Security Command Center-Stufen finden Sie unter Security Command Center aktivieren.
  • Security Health Analytics muss aktiviert sein. Informationen zum Aktivieren von Security Health Analytics finden Sie unter Einen integrierten Dienst aktivieren oder deaktivieren.
  • Ihrem Nutzerkonto müssen eine oder mehrere IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Erforderliche IAM-Berechtigungen.
  • Wenn Sie eigene benutzerdefinierte Module schreiben und mithilfe von gcloud-Befehlen in Security Command Center hochladen möchten, benötigen Sie die Google Cloud CLI. Informationen zur Installation der gcloud CLI finden Sie unter gcloud CLI installieren.
  • Wenn die Security Command Center API noch nicht aktiviert ist, müssen Sie sie aktivieren bevor Sie benutzerdefinierte Module für Security Health Analytics verwenden können. Sie können die Security Command Center API auf der Seite API-Bibliothek in der Google Cloud Console aktivieren.
  • Informationen zu den Nutzungslimits für Security Health Analytics finden Sie unter Kontingente für benutzerdefinierte Module.

Erforderliche IAM-Berechtigungen

Zum Arbeiten mit benutzerdefinierten Modulen benötigen Sie die folgenden IAM-Berechtigungen (Identity and Access Management):

Berechtigung Rolle
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor
roles/securitycenter.admin

Weitere Informationen zu IAM-Berechtigungen und -Rollen sowie wie Sie sie gewähren, finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird erläutert, wie Sie benutzerdefinierte Module mithilfe der Google Cloud Console oder die gcloud CLI verwenden.

Wenn Sie Ihr benutzerdefiniertes Modul als Schritt im Erstellungsprozess testen möchten, müssen Sie Testressourcendefinitionen in einer YAML-Datei vorbereiten. Eine Anleitung dazu finden Sie unter Testressourcen in einer YAML-Datei erstellen.

Wählen Sie auf einem der folgenden Tabs die gewünschte Methode aus, um ein benutzerdefiniertes Modul zu erstellen:

Google Cloud Console

Zum Erstellen eines benutzerdefinierten Moduls in der Google Cloud Console führen Sie die folgenden Schritte aus: folgenden Schritten:

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie bei Aufforderung die Organisation, den Ordner oder das Projekt aus, in dem Sie das benutzerdefinierte Modul erstellen möchten.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Klicke auf den Tab Module.

  5. Klicken Sie auf Modul erstellen. Die Seite Modul für Security Health Analytics erstellen wird geöffnet.

  6. Definieren Sie im Bereich Modul konfigurieren den Anzeigenamen, die zu scannenden Ressourcen und die Erkennungslogik:

    1. Geben Sie im Feld Modulname einen Namen für das Modul an. Der Name muss zwischen 1 und 128 Zeichen lang sein und mit einem Kleinbuchstaben beginnen. Er darf nur alphanumerische Zeichen oder Unterstriche enthalten. Dieser Name wird zur Ergebniskategorie der Ergebnisse, die dieser Detektor erzeugt. Der Name kann nach dem Modul nicht mehr geändert werden. erstellt wird.

    2. Geben Sie unter Ressourcentyp hinzufügen einen bis fünf Ressourcentypen an, die gescannt werden sollen. Sie können einen Ressourcentyp nicht mehrmals angeben.

      Eine Liste der unterstützten Ressourcentypen finden Sie unter Unterstützte Ressourcentypen.

    3. Erstellen Sie im Expression Editor CEL-Ausdrücke, um boolesche Prüfungen für eine oder mehrere Eigenschaften der im letzten Schritt angegebenen Ressourcen auszuführen. Um ein Ergebnis auszulösen, Ausdruck muss in TRUE aufgelöst werden. Mit dem folgenden Ausdruck wird beispielsweise eine Abweichung erkannt, wenn für eine CryptoKey-Ressource ein Rotationszeitraum festgelegt ist und dieser länger als 2.592.000 Sekunden (30 Tage) ist:

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
      

      Hier finden Sie weitere Informationen:

    4. Klicken Sie auf Weiter. Der Bereich Ergebnisdetails definieren wird geöffnet.

  7. Beschreiben Sie im Bereich Ergebnisdetails definieren das Problem, das das benutzerdefinierte Modul erkennt, sein Schweregrad, worin das Problem besteht, wie das Problem behoben werden kann und welche Daten in die Spalte Ergebnisse als benutzerdefinierte Quell-Properties:

    1. Geben Sie im Feld Schweregrad den Schweregrad des Problems an. Sie können Low, Medium, High oder Critical angeben. Standardmäßig ist Medium ausgewählt.

      Informationen zu Schweregraden finden Sie unter Schweregradklassifizierungen für Ergebnisse.

    2. Erläutern Sie im Feld Ergebnisbeschreibung das Problem, das benutzerdefinierte Modul erkennt. Diese Erklärung erscheint in jedem Ergebnis damit Sicherheitsteams die Probleme erkanntes Problem.

    3. Erläutern Sie im Feld Nächste Schritte finden, welche Schritte Ihr Sicherheitsteam ausführen kann, um das erkannte Problem zu beheben oder anderweitig zu beheben.

      Die Schritte werden bei jeder Ergebnisinstanz angezeigt. Spezifische Maßnahmen, die das Sicherheitsteam ergreifen kann, um das Problem schnell wie möglich.

    4. Optional: Geben Sie im Feld Benutzerdefinierte Ergebnisattribute an. bis zu 10 Name/Wert-Paare zur Definition benutzerdefinierter Quell-Properties mit jeder Ergebnisinstanz zurückgeben. Die Informationen werden als Quelleigenschaften im JSON-Objekt für den Sicherheitsverstoß zurückgegeben und in der Google Cloud Console in den Details zum Sicherheitsverstoß auf dem Tab Quelleigenschaften angezeigt. Geben Sie die Text- oder Attributwerte als Schlüssel/Wert-Paare an:

      • Geben Sie im Feld Property-Name einen Namen für die benutzerdefinierte Quell-Property. Der Name muss den folgenden Regeln entsprechen:
        • Der Name muss mit einem Kleinbuchstaben beginnen.
        • Der Name darf nur alphanumerische Zeichen oder Unterstriche enthalten.
        • Der Name muss zwischen 1 und 128 Zeichen lang sein.
        • Jeder Name muss unter den anderen Quelleigenschaften eindeutig sein.
      • Geben Sie im Feld Property-Wert einen der folgenden Werte mit maximal 1.024 Zeichen ein:
        • Ein Textstring in Anführungszeichen. Die Anführungszeichen sind in der Beschränkung auf 1.024 Zeichen enthalten. Beispiel: "This string provides additional useful information.".
        • Eine beliebige Property der gescannten Ressource. Wenn Sie beispielsweise die Ressource CryptoKey prüfen möchten, können Sie resource.rotationPeriod angeben. Der Wert der Property rotationPeriod wird zurückgegeben.
    5. Klicken Sie auf Weiter. Der Bereich Modul aktivieren wird geöffnet.

  8. Optional: Verwenden Sie das Drop-down-Menü im Bereich Modul aktivieren, um Geben Sie an, ob das benutzerdefinierte Modul bei der Erstellung aktiviert oder deaktiviert wird. Benutzerdefinierte Module sind standardmäßig bei der Erstellung aktiviert. Wenn Sie Deaktivieren auswählen, können Sie das Modul später auf der Seite „Security Health Analytics-Einstellungen“ auf dem Tab Module aktivieren.

  9. Klicken Sie auf Weiter. Der Bereich Testmodul wird geöffnet.

  10. Optional: Bevor Sie Ihr benutzerdefiniertes Modul erstellen, sollten Sie und testen Sie es.

    So testen Sie ein benutzerdefiniertes Modul:

    1. Erstellen Sie eine YAML-Datei mit Testressourcendefinitionen für die Ressourcen, die Ihr benutzerdefiniertes Modul prüft.

      Informationen zum Erstellen einer Testdatendatei finden Sie unter Testressourcen in einer YAML-Datei erstellen

    2. Klicken Sie unter Upload the YAML file (YAML-Datei hochladen) auf Browse (Durchsuchen), um die YAML-Datei hochzuladen. die die Definitionen der Testressourcen enthält. Der Test beginnt automatisch beim Hochladen der Datei.

    3. Sehen Sie sich die Ergebnisse unter Vorschau der Testergebnisse an.

      • Wenn die YAML-Datei Syntax- oder andere Fehler enthält, wird unten auf der Browserseite angezeigt.
      • Wenn der Test erfolgreich ist, werden die folgenden Informationen zurückgegeben:

        • Der Anzeigename des benutzerdefinierten Moduls.
        • Der beliebige Name, den Sie in der Testdatendatei für die Property resource angegeben haben.
        • Die Organisation, der Ordner oder das Projekt, in dem das benutzerdefinierte Modul erstellt wurde oder erstellt wird.

    Testergebnisse werden nicht in Security Command Center gespeichert oder geschrieben.

    Weitere Informationen finden Sie unter Benutzerdefinierte Module testen.

  11. Klicken Sie auf Erstellen. Sie sind zurückgekehrt auf der Seite Module auf. Hier sollte das Modul zu sehen sein, das Sie erstellt haben. mit dem Status Enabled.

Neue benutzerdefinierte Module stehen nicht sofort zur Verwendung durch Security Health Analytics in Scans. Weitere Informationen finden Sie unter Erkennungslatenz.

gcloud-CLI

Um ein benutzerdefiniertes Modul mit gcloud-Befehlen zu erstellen, müssen Sie zuerst die Definition des benutzerdefinierten Moduls in einer YAML-Datei CEL-Ausdrücke für die Erkennungslogik und Ausgabeattribute.

Sobald die Definition abgeschlossen ist, laden Sie sie in Security Command Center mithilfe der gcloud CLI-Befehle verwenden.

  1. Codieren Sie die Definition eines benutzerdefinierten Moduls gemäß der Anweisungen in Programmieren Sie ein benutzerdefiniertes Modul für Security Health Analytics.
  2. Speichern Sie die YAML-Datei an einem Speicherort, auf den Ihre Instanz der gcloud CLI zugreifen kann.
  3. Laden Sie die benutzerdefinierte Definition in Security Command Center hoch:

    gcloud scc custom-modules sha create \
        PARENT_FLAG=PARENT_ID \
        --display-name="MODULE_DISPLAY_NAME" \
        --enablement-state="ENABLEMENT_STATE" \
        --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ersetzen Sie Folgendes:

    • PARENT_FLAG: das Niveau, auf dem Sie sich gerade befinden Erstellen des benutzerdefinierten Moduls, entweder --organization, --folder oder --project.
    • PARENT_ID: die ID der Organisation, des Ordners, oder Projekt, in dem Sie das benutzerdefinierte Modul erstellen.
    • ENABLEMENT_STATE: entweder enabled oder disabled.
    • MODULE_DISPLAY_NAME: Der Name der Kategorie für den Befund, der angezeigt werden soll, wenn das benutzerdefinierte Modul einen Befund zurückgibt. Der Name muss zwischen 1 und 128 Zeichen lang sein und mit einem Kleinbuchstaben beginnen Buchstaben und dürfen nur alphanumerische Zeichen oder Unterstriche enthalten.
    • MODULE_FILE_NAME: Pfad und Dateiname von der YAML-Datei, die die Definition des benutzerdefinierten Moduls enthält.

Latenz der Erkennung

Nachdem Sie die Definition eines benutzerdefinierten Moduls erstellt oder aktualisiert haben, kann es bis zu mehrere Stunden dauern, bis das neue oder aktualisierte benutzerdefinierte Modul für die Verwendung in Scans verfügbar ist.

Durch das Erstellen oder Ändern eines benutzerdefinierten Moduls wird kein Scan ausgelöst. Sobald ein benutzerdefiniertes Modul zur Verwendung verfügbar ist, beginnen Sie mit der Verwendung der benutzerdefinierten Module, bis Sie löst eine Änderung an der Konfiguration der Zielressource eine in Echtzeit zu scannen.

Weitere Informationen zu den Security Health Analytics-Scantypen finden Sie unter Security Health Analytics-Scantypen.

Benutzerdefiniertes Modul aktualisieren

Sie können die meisten benutzerdefinierten Attribute von Security Health Analytics aktualisieren Module.

Die folgenden Eigenschaften eines benutzerdefinierten Moduls können nicht geändert werden:

  • Der Anzeigename.
  • Die ID des benutzerdefinierten Moduls.
  • Der vollständige Ressourcenname des benutzerdefinierten Moduls.

Wenn Sie ein benutzerdefiniertes Modul aktualisieren, werden alle Ergebnisse, die das benutzerdefinierte Modul ausgegeben hat, werden nicht gleichzeitig aktualisiert. Wenn die Änderungen am Modul zu Änderungen an den gemeldeten Ergebnissen führen, werden diese erst nach dem nächsten Security Health Analytics-Batch- oder Echtzeit-Scan berücksichtigt.

Sie können ein benutzerdefiniertes Modul entweder über die Google Cloud Console oder die gcloud CLI ändern. Klicken Sie auf eine der folgenden Registerkarten Anleitung.

Google Cloud Console

So aktualisieren Sie ein vorhandenes benutzerdefiniertes Modul in der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie in der Projektauswahl die Organisation, den Ordner oder das Projekt aus, in dem das benutzerdefinierte Modul ursprünglich erstellt wurde. Sie können Folgendes nicht bearbeiten: benutzerdefiniertes Modul an anderer Stelle.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Wählen Sie den Tab Module aus. Alle Erkennungsfunktionen von Security Health Analytics werden angezeigt.

  5. Verwenden Sie das Filterfeld oben in der Liste der Module oder scrollen Sie zu dem benutzerdefinierten Modul, das Sie ändern möchten.

  6. Klicken Sie rechts in der Zeile Ihres benutzerdefinierten Moduls auf Aktion Dreipunkt-Menü .

  7. Klicken Sie im Menü Aktion auf das Symbol Bearbeiten. (). Die Die Seite Modul anzeigen wird geöffnet und zeigt den Tab Modul konfigurieren an.

  8. Bearbeiten Sie die benutzerdefinierten Modulfelder auf jedem Tab der Seite Modul ansehen nach Bedarf.

  9. Optional: Bevor Sie Ihre Änderungen speichern, empfehlen wir Ihnen, sie zu testen.

    So testen Sie ein benutzerdefiniertes Modul:

    1. Erstellen Sie eine YAML-Datei mit Testressourcendefinitionen für die Ressourcen, die von Ihrem benutzerdefinierten Modul geprüft werden.

      Informationen zum Erstellen einer Testdatendatei finden Sie unter Testressourcen in einer YAML-Datei erstellen.

    2. Klicken Sie unter YAML-Datei hochladen auf Durchsuchen, um die YAML-Datei mit den Testressourcendefinitionen hochzuladen. Der Test wird automatisch gestartet, sobald die Datei hochgeladen wurde.

    3. Sehen Sie sich die Ergebnisse unter Vorschau der Testergebnisse an.

      • Wenn die YAML-Datei Syntax- oder andere Fehler enthält, wird unten auf der Browserseite angezeigt.
      • Wenn der Test erfolgreich ist, werden die folgenden Informationen zurückgegeben:

        • Der Anzeigename des benutzerdefinierten Moduls.
        • Der beliebige Name, den Sie in der Testdatendatei für die Property resource angegeben haben.
        • Die Organisation, der Ordner oder das Projekt, in dem das benutzerdefinierte Modul erstellt wurde oder erstellt wird.

    Testergebnisse werden nicht im Security Command Center gespeichert oder geschrieben.

    Weitere Informationen finden Sie unter Benutzerdefinierte Module testen.

  10. Klicken Sie unten auf der Seite auf Speichern. Ihre Änderungen werden auf das benutzerdefinierte Modul angewendet.

gcloud-CLI

Wenn Sie ein benutzerdefiniertes Modul mit der gcloud CLI aktualisieren möchten, bearbeiten Sie zuerst die YAML-Definition des benutzerdefinierten Moduls und aktualisieren Sie es dann mithilfe von gcloud-Befehlen in Security Health Analytics.

  1. Bearbeiten Sie die Definition des benutzerdefinierten Moduls. Informationen zum Codieren einer benutzerdefinierten Moduldefinition finden Sie unter Benutzerdefiniertes Modul für Security Health Analytics programmieren.

  2. Speichern Sie die bearbeitete YAML-Datei an einem Speicherort, auf den die gcloud-Befehlszeile zugreifen kann.

  3. Aktualisieren Sie das benutzerdefinierte Modul in Security Health Analytics, indem Sie Folgendes ausgeben: Befehl:

    gcloud scc custom-modules sha update MODULE_ID \
       PARENT_FLAG=PARENT_ID \
       --enablement-state="ENABLED" \
       --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ersetzen Sie Folgendes:

    • MODULE_ID: die ID oder der vollständige Ressourcenname von das benutzerdefinierte Modul.
    • PARENT_FLAG: Ebene, auf der die benutzerdefinierte Modul erstellt, entweder --organization, --folder oder --project.
    • PARENT_ID: die ID der Organisation, des Ordners, oder Projekt, in dem das benutzerdefinierte Modul erstellt wurde.
    • MODULE_FILE_NAME: Pfad und Dateiname der YAML-Datei, die die Definition des benutzerdefinierten Moduls enthält.

Benutzerdefiniertes Modul ansehen

Wählen Sie einen Tab aus, um zu erfahren, wie Sie eine benutzerdefinierte Moduldefinition aufrufen.

Google Cloud Console

So rufen Sie benutzerdefinierte Module in der Google Cloud Console auf:

  1. Rufen Sie in den Security Command Center-Einstellungen die Seite Security Health Analytics auf.

    Einstellungen aufrufen

  2. Klicke auf den Tab Module. Der Bereich Module wird geöffnet.

  3. Verwenden Sie bei Bedarf das Filterfeld oben in der Liste der Module um das benutzerdefinierte Modul zu finden, das Sie ändern müssen.

  4. Wenn Sie die Details der Definition des benutzerdefinierten Moduls aufrufen möchten, klicken Sie rechts neben der Zeile des benutzerdefinierten Moduls auf das Symbol Aktionsmenü .

  5. Klicken Sie im Aktionsmenü auf das Symbol Bearbeiten . Die Seite Modul ansehen wird geöffnet und der Tab Modul konfigurieren wird angezeigt.

  6. Klicken Sie sich auf der Seite Modul ansehen durch die Tabs, um alle Felder der benutzerdefinierten Moduldefinition zu sehen.

gcloud-CLI

Geben Sie den folgenden Befehl ein, um die Details eines benutzerdefinierten Moduls aufzurufen:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • MODULE_ID: die ID oder der vollständige Ressourcenname von das benutzerdefinierte Modul.
  • PARENT_FLAG: Ebene, auf der die benutzerdefinierte Modul erstellt, entweder --organization, --folder oder --project.
  • PARENT_ID: die ID der Organisation, des Ordners, oder Projekt, in dem das benutzerdefinierte Modul erstellt wurde.

Benutzerdefinierte Module auflisten

Wählen Sie einen Tab aus, um zu erfahren, wie Sie eine Liste benutzerdefinierter Module anzeigen lassen.

Google Cloud Console

  1. Rufen Sie in Security Command Center die Seite Security Health Analytics auf. Einstellungen.

    Einstellungen aufrufen

  2. Klicke auf den Tab Module. Der Bereich Module wird geöffnet.

  3. Klicken Sie oben in der Liste der Module in das Filterfeld, um die Liste der Filtertypen aufzurufen.

  4. Wählen Sie Typ aus und geben Sie Custom ein. Die Modulliste wurde aktualisiert auf Nur benutzerdefinierte Module anzeigen.

gcloud-CLI

Um eine Liste benutzerdefinierter Module anzuzeigen, geben Sie den Parameter folgenden Befehl:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • PARENT_FLAG: Die Ebene, auf der das benutzerdefinierte Modul erstellt wurde, entweder --organization, --folder oder --project.
  • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.

Benutzerdefiniertes Modul löschen

Sie können ein benutzerdefiniertes Modul aus der Organisation, dem Ordner oder dem Projekt löschen in der er erstellt wurde, oder einer übergeordneten Organisation bzw. einem übergeordneten Ordner. Sie können ein benutzerdefiniertes Modul nicht aus einem Ordner oder Projekt löschen, in dem es übernommen wird.

Wählen Sie eine der folgenden Registerkarten aus, um zu erfahren, wie Sie ein benutzerdefiniertes Modul löschen.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Wählen Sie den Tab Module aus. Alle Erkennungsfunktionen von Security Health Analytics werden angezeigt.

  5. Verwenden Sie das Filterfeld oben in der Liste der Module oder scrollen Sie zu dem benutzerdefinierten Modul, das Sie ändern möchten.

  6. Klicken Sie rechts in der Zeile Ihres benutzerdefinierten Moduls auf das Symbol Aktionsmenü .

  7. Klicken Sie im Menü Aktion auf Löschen. Das Dialogfeld Benutzerdefiniertes Modul löschen wird geöffnet.

  8. Klicken Sie im Dialogfeld auf Löschen.

gcloud-CLI

Geben Sie den folgenden Befehl ein, um ein benutzerdefiniertes Modul zu löschen:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • MODULE_ID: die ID oder der vollständige Ressourcenname von das benutzerdefinierte Modul.
  • PARENT_FLAG: Ebene, auf der die benutzerdefinierte Modul erstellt, entweder --organization, --folder oder --project.
  • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.

Ergebnisse für gelöschte benutzerdefinierte Module werden beim nächsten Batch-Scan von Security Health Analytics als inaktiv markiert.

Ergebnisse prüfen

Die von benutzerdefinierten Modulen generierten Ergebnisse können in der Google Cloud Console, Security Operations Console (für Unternehmenskunden) oder die Security Command Center API.

Console

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Security Health Analytics Custom aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie Security Health Analytics Benutzerdefiniert aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

gcloud-CLI

So rufen Sie die Ergebnisse auf:

  1. Öffnen Sie ein Terminalfenster.
  2. So rufen Sie die Quell-ID für Security Health Analytics ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name='Security Health Analytics Custom'
    

    Die Ausgabe sollte in etwa so aussehen: In diesem Beispiel SOURCE_ID ist eine vom Server zugewiesene ID aus Sicherheitsgründen Quellen.

    description: ...
    displayName: Security Health Analytics Custom
    name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
    
  3. Führen Sie den folgenden Befehl aus, um alle von Ihren benutzerdefinierten Modulen generierten Ergebnisse aufzulisten:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
    
  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
    

Nächste Schritte

Sie können die von benutzerdefinierten Modulen generierten Ergebnisse wie alle Ergebnisse in Security Command Center. Eine Anleitung dazu finden Sie hier: