Utilizzo di moduli personalizzati con Security Health Analytics

Questa pagina spiega come creare, visualizzare, aggiornare ed eliminare i moduli personalizzati per Security Health Analytics utilizzando la console Google Cloud o Google Cloud CLI.

Per ulteriori informazioni introduttive, consulta Panoramica dei moduli personalizzati per Security Health Analytics.

Prima di iniziare

Prima di poter utilizzare i moduli personalizzati, sono necessari i seguenti prerequisiti:

  • Devi avere il livello Premium di Security Command Center. Per ulteriori informazioni sui livelli di Security Command Center, Panoramica dell'attivazione di Security Command Center.
  • Security Health Analytics deve essere abilitato. Per informazioni sull'attivazione Security Health Analytics, vedi Attivare o disattivare un servizio integrato.
  • Al tuo account utente deve essere concesso uno o più IAM (Identity and Access Management) ruoli che contengono le autorizzazioni richieste. Per ulteriori informazioni, vedi Autorizzazioni IAM richieste.
  • Se intendi scrivere i tuoi moduli personalizzati e caricarli in Security Command Center utilizzando i comandi gcloud, devi disporre di Google Cloud CLI. Per informazioni sull'installazione gcloud CLI, consulta Installare gcloud CLI.
  • Se l'API Security Command Center non è già abilitata, devi farlo prima di poter utilizzare i moduli personalizzati per Security Health Analytics. Puoi abilitare l'API Security Command Center Pagina della libreria API nella console Google Cloud.
  • Per comprendere i limiti di utilizzo di Security Health Analytics, consulta Quote per moduli personalizzati.

Autorizzazioni IAM richieste

Per utilizzare i moduli personalizzati, devi disporre delle seguenti autorizzazioni IAM (Gestione di identità e accessi):

Autorizzazione Ruolo
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor
roles/securitycenter.admin

Per saperne di più sui ruoli e sulle autorizzazioni IAM e su come concederli, consulta Concedere un ruolo IAM utilizzando la console Google Cloud.

Crea un modulo personalizzato

Questa sezione spiega come creare moduli personalizzati utilizzando la console Google Cloud o la CLI gcloud.

Per testare il modulo personalizzato come passaggio del processo di creazione, devi e preparare le definizioni delle risorse di test in un file YAML. Per istruzioni, vedi Crea risorse di test in un file YAML.

Per creare un modulo personalizzato, seleziona il metodo da utilizzare le seguenti schede:

Console Google Cloud

Per creare un modulo personalizzato nella console Google Cloud, completa i seguenti passaggi:

  1. Vai alla pagina Impostazioni di Security Command Center nella console Google Cloud.

    Vai alle impostazioni

  2. Se richiesto, seleziona l'organizzazione, la cartella o il progetto in cui devi creare il modulo personalizzato.

  3. Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.

  4. Fai clic sulla scheda Moduli.

  5. Fai clic su Crea modulo. Viene visualizzata la pagina Crea modulo per Security Health Analytics.

  6. Nel riquadro Configura modulo, definisci il nome visualizzato, le risorse da scansionare e la logica di rilevamento:

    1. Nel campo Nome modulo, specifica un nome per il modulo. Il nome deve essere compreso tra 1 e 128 caratteri, deve iniziare con una lettera minuscola e contenere solo caratteri alfanumerici o trattini bassi. Questo nome diventa la categoria dei risultati che prodotto dal rilevatore. Non puoi modificare il nome dopo il modulo viene creato.

    2. In Aggiungi tipo di risorsa, specifica da uno a cinque tipi di risorse da scansionare. Non puoi specificare un tipo di risorsa più di una volta.

      Per un elenco dei tipi di risorse supportati, consulta Tipi di risorse supportati.

    3. Nell'editor di espressioni, scrivi le espressioni CEL eseguire controlli booleani su una o più proprietà della risorsa specificato nell'ultimo passaggio. Per attivare un rilevamento, l'espressione deve risolvere in TRUE. Ad esempio, la seguente espressione attiva un risultato se per una risorsa CryptoKey è stato definito un periodo di rotazione e di rotazione superiore a 2.592.000 secondi (30 giorni):

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
      

      Per ulteriori informazioni, consulta le seguenti risorse:

    4. Fai clic su Avanti. Viene visualizzato il riquadro Definire i dettagli del risultato.

  7. Nel riquadro Definisci i dettagli del risultato, descrivi il problema che il modulo personalizzato rileva, inclusa la gravità, qual è il problema, come risolvere il problema e i dati che vuoi includere nel risultati come proprietà sorgente personalizzate:

    1. Nel campo Gravità, specifica la gravità del problema. Puoi specificare Low, Medium, High o Critical. Medium è il valore predefinito.

      Per informazioni sui livelli di gravità, vedi Classificazioni della gravità per i risultati.

    2. Nel campo Descrizione del rilevamento, spiega il problema rilevato dal modulo personalizzato. Questa spiegazione viene visualizzata in ogni risultato per aiutare i team di sicurezza a comprendere e affrontare è stato rilevato un problema.

    3. Nel campo Passaggi successivi, spiega i passaggi che il tuo team di sicurezza può intraprendere per risolvere o gestire in altro modo il problema rilevato.

      I passaggi vengono visualizzati con ogni istanza del rilevamento. Includi passaggi specifici che il team di sicurezza può seguire per risolvere il problema il più rapidamente possibile.

    4. (Facoltativo) Nel campo Proprietà dei risultati personalizzati, specifica fino a 10 coppie nome-valore per definire le proprietà sorgente personalizzate con ogni istanza di risultato. Le informazioni vengono restituite come proprietà sorgente nel file JSON dei risultati e viene visualizzato nella scheda Proprietà sorgente nei dettagli del risultato in nella console Google Cloud. Specifica i valori di testo o proprietà come coppie chiave-valore:

      • Nel campo Nome proprietà, specifica un nome per la proprietà dell'origine personalizzata. Il nome deve essere conforme alle seguenti regole:
        • Il nome deve iniziare con una lettera minuscola.
        • Il nome deve contenere solo caratteri alfanumerici o trattini bassi.
        • Il nome deve avere una lunghezza compresa tra 1 e 128 caratteri.
        • Ogni nome deve essere univoco tra le altre proprietà di origine.
      • Nel campo Valore proprietà, specifica una delle seguenti opzioni: valori con un massimo di 1024 caratteri:
        • Una stringa di testo racchiusa tra virgolette. Le virgolette sono incluse nel limite di 1024 caratteri. Ad esempio: "This string provides additional useful information."
        • Qualsiasi proprietà della risorsa sottoposta a scansione. Ad esempio, se controlli la risorsa CryptoKey, potresti specificare resource.rotationPeriod. Il valore di viene restituita la proprietà rotationPeriod.
    5. Fai clic su Avanti. Viene visualizzato il riquadro Attiva modulo.

  8. (Facoltativo) Utilizza il menu a discesa del riquadro Attiva modulo per specificare se il modulo personalizzato è abilitato o disabilitato al momento della creazione. Per impostazione predefinita, i moduli personalizzati vengono attivati al momento della creazione. Se specifichi Disattiva, puoi attivare il modulo in un secondo momento nella scheda Moduli della pagina delle impostazioni di Security Health Analytics.

  9. Fai clic su Avanti. Viene visualizzato il riquadro Test del modulo.

  10. (Facoltativo) Prima di creare il modulo personalizzato, ti consigliamo di: testarlo.

    Per testare un modulo personalizzato:

    1. Crea un file YAML che contiene le definizioni delle risorse di test per le risorse controllate dal modulo personalizzato.

      Per informazioni su come creare un file di dati di test, consulta Crea risorse di test in un file YAML.

    2. In Carica il file YAML, fai clic su Sfoglia per caricare il file YAML contenente le definizioni delle risorse di test. Il test inizia automaticamente al caricamento del file.

    3. In Anteprima dei risultati del test, controlla i risultati.

      • Se il file YAML contiene errori di sintassi o di altro tipo, nella parte inferiore della pagina del browser viene visualizzato un messaggio di errore.
      • Se ha esito positivo, il test restituisce le seguenti informazioni:

        • Il nome visualizzato del modulo personalizzato.
        • Il nome arbitrario specificato per la proprietà resource nel file di dati di test.
        • L'organizzazione, la cartella o il progetto in cui è stato o verrà creato il modulo personalizzato.

    I risultati dei test non vengono archiviati o scritti in Security Command Center.

    Per ulteriori informazioni, consulta Testare i moduli personalizzati.

  11. Fai clic su Crea. Sei restituito alla pagina Moduli e dovresti vedere il modulo che hai creato con lo stato Attivato.

I nuovi moduli personalizzati non sono immediatamente disponibili per Security Health Analytics nelle analisi. Per ulteriori informazioni, consulta la sezione Latenza del rilevamento.

Interfaccia a riga di comando gcloud

Per creare un modulo personalizzato utilizzando i comandi gcloud, devi prima codice la definizione del modulo personalizzato in un file YAML che include Espressioni CEL per la logica di rilevamento e le proprietà di output.

Una volta completata la definizione, caricala in Security Command Center mediante i comandi della gcloud CLI.

  1. Codifica la definizione di un modulo personalizzato in un file YAML in base al istruzioni in Codifica un modulo personalizzato per Security Health Analytics.
  2. Salva il file YAML in una posizione accessibile alla tua istanza dell'interfaccia a riga di comando gcloud.
  3. Carica la definizione personalizzata in Security Command Center:

    gcloud scc custom-modules sha create \
        PARENT_FLAG=PARENT_ID \
        --display-name="MODULE_DISPLAY_NAME" \
        --enablement-state="ENABLEMENT_STATE" \
        --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Sostituisci quanto segue:

    • PARENT_FLAG: il livello a cui ti trovi creando il modulo personalizzato --organization, --folder o --project.
    • PARENT_ID: l'ID dell'organizzazione, della cartella o del progetto in cui stai creando il modulo personalizzato.
    • ENABLEMENT_STATE: enabled o disabled.
    • MODULE_DISPLAY_NAME: la categoria dei risultati del nome da visualizzare quando il modulo personalizzato restituisce un risultato. Il nome deve essere compreso tra 1 e 128 caratteri, iniziare con una lettera minuscola e contenere solo caratteri alfanumerici o trattini bassi.
    • MODULE_FILE_NAME: il percorso e il nome del file YAML che contiene la definizione del modulo personalizzato.

Latenza di rilevamento

Dopo aver creato o aggiornato la definizione di un modulo personalizzato, è possibile potrebbe richiedere diverse ore prima che il modulo personalizzato nuovo o aggiornato disponibile per l'uso nelle scansioni.

La creazione o la modifica di un modulo personalizzato non attiva una scansione. Quando un modulo personalizzato è disponibile per l'uso, Security Health Analytics non iniziare a utilizzare i moduli personalizzati fino alla prima analisi batch una modifica alla configurazione della risorsa di destinazione attiva un scansione in tempo reale.

Per ulteriori informazioni sui tipi di analisi di Security Health Analytics, consulta Tipi di analisi di Security Health Analytics.

Aggiornare un modulo personalizzato

Puoi aggiornare la maggior parte delle proprietà dei moduli personalizzati di Security Health Analytics.

Le seguenti proprietà di un modulo personalizzato non possono essere modificate:

  • Il nome visualizzato.
  • L'ID del modulo personalizzato.
  • Il nome completo della risorsa del modulo personalizzato.

Quando aggiorni un modulo personalizzato, tutti i risultati restituiti da quel modulo in precedenza non vengono aggiornati contemporaneamente. Se le modifiche al modulo modifiche ai risultati emessi, i risultati rifletteranno modifiche solo dopo la successiva scansione batch o in tempo reale di Security Health Analytics.

Per modificare un modulo personalizzato, puoi utilizzare la console Google Cloud o l'interfaccia a riga di comando gcloud. Fai clic su una delle seguenti schede istruzioni.

Console Google Cloud

Per aggiornare un modulo personalizzato esistente nella console Google Cloud, segui questi passaggi:

  1. Vai alla pagina Impostazioni di Security Command Center nel nella console Google Cloud.

    Vai alle impostazioni

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto in cui è stato creato inizialmente il modulo personalizzato. Non puoi modificare un modulo personalizzato altrove.

  3. Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.

  4. Seleziona la scheda Moduli. Vengono visualizzati tutti i moduli di rilevamento di Security Health Analytics.

  5. Utilizza il campo del filtro nella parte superiore dell'elenco dei moduli o scorri per trovare il modulo personalizzato che devi modificare.

  6. Sul lato destro della riga del modulo personalizzato, fai clic sull'icona del menu di azioni .

  7. Dal menu Azione, fai clic sull'icona Modifica. (). La La pagina Visualizza modulo si apre in cui viene visualizzata la scheda Configura modulo.

  8. Modifica i campi del modulo personalizzato di ogni scheda nella pagina Visualizza modulo in base alle tue esigenze.

  9. (Facoltativo) Prima di salvare gli aggiornamenti, ti consigliamo di testarli.

    Per testare un modulo personalizzato:

    1. Crea un file YAML contenente definizioni di risorse di test per le risorse controllate dal modulo personalizzato.

      Per informazioni su come creare un file di dati di test, consulta Crea risorse di test in un file YAML.

    2. In Carica il file YAML, fai clic su Sfoglia per caricare il file YAML. contenente le definizioni delle risorse di test. Il test inizia automaticamente al momento del caricamento del file.

    3. In Anteprima dei risultati del test, controlla i risultati.

      • Se il file YAML contiene errori di sintassi o di altro tipo, nella parte inferiore della pagina del browser viene visualizzato un messaggio di errore.
      • Se ha esito positivo, il test restituisce le seguenti informazioni:

        • Il nome visualizzato del modulo personalizzato.
        • Il nome arbitrario specificato per la proprietà resource nel file di dati di test.
        • L'organizzazione, la cartella o il progetto in cui è stato o verrà creato il modulo personalizzato.

    I risultati dei test non vengono archiviati o scritti in Security Command Center.

    Per ulteriori informazioni, consulta Testare i moduli personalizzati.

  10. Fai clic su Salva in fondo alla pagina. Le modifiche vengono applicate a il modulo personalizzato.

Interfaccia a riga di comando gcloud

Per aggiornare un modulo personalizzato utilizzando la CLI gcloud, innanzitutto modifica la definizione YAML del modulo personalizzato e poi utilizza i comandi gcloud per aggiornarlo in Security Health Analytics.

  1. Modifica la definizione del modulo personalizzato. Per informazioni su come codificare una definizione di modulo personalizzato, consulta Codificare un modulo personalizzato per Security Health Analytics.

  2. Salva il file YAML modificato in una posizione accessibile alla CLI gcloud.

  3. Aggiorna il modulo personalizzato in Security Health Analytics emettendo il seguente comando:

    gcloud scc custom-modules sha update MODULE_ID \
       PARENT_FLAG=PARENT_ID \
       --enablement-state="ENABLED" \
       --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Sostituisci quanto segue:

    • MODULE_ID: l'ID o il nome completo della risorsa del modulo personalizzato.
    • PARENT_FLAG: il livello a cui è stato creato il modulo personalizzato, --organization, --folder o --project.
    • PARENT_ID: l'ID dell'organizzazione, della cartella o del progetto in cui è stato creato il modulo personalizzato.
    • MODULE_FILE_NAME: il percorso e il nome del file YAML che contiene la definizione del modulo personalizzato.

Visualizzare un modulo personalizzato

Seleziona una scheda per scoprire come visualizzare una definizione di modulo personalizzato.

Console Google Cloud

Per visualizzare i moduli personalizzati nella console Google Cloud, segui questi passaggi:

  1. Vai alla pagina Security Health Analytics in Security Command Center. impostazioni.

    Vai alle impostazioni

  2. Fai clic sulla scheda Moduli. Si apre il riquadro Moduli.

  3. Se necessario, utilizza il campo di filtro nella parte superiore dell'elenco dei moduli per trovare il modulo personalizzato da modificare.

  4. Per visualizzare i dettagli della definizione del modulo personalizzato, fai clic sull'icona del menu Azioni sul lato destro della riga del modulo personalizzato.

  5. Dal menu Azione, fai clic sull'icona Modifica. . Viene visualizzata la pagina Visualizza modulo con la scheda Configura modulo.

  6. Fai clic a turno sulle schede della pagina Visualizza modulo per vedere tutti i della definizione del modulo personalizzato.

Interfaccia a riga di comando gcloud

Per visualizzare i dettagli di un modulo personalizzato, inserisci il seguente comando:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Sostituisci quanto segue:

  • MODULE_ID: l'ID o il nome completo della risorsa del modulo personalizzato.
  • PARENT_FLAG: il livello a cui è stato creato il modulo personalizzato, --organization, --folder o --project.
  • PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.

Elenca i moduli personalizzati

Seleziona una scheda per scoprire come visualizzare un elenco di moduli personalizzati.

Console Google Cloud

  1. Vai alla pagina Security Health Analytics nelle impostazioni di Security Command Center.

    Vai alle impostazioni

  2. Fai clic sulla scheda Moduli. Si apre il riquadro Moduli.

  3. Fai clic nel campo del filtro nella parte superiore dell'elenco dei moduli per visualizzare l'elenco dei tipi di filtro.

  4. Seleziona Tipo e inserisci Custom. Gli elenchi di moduli vengono aggiornati in mostrare solo i moduli personalizzati.

Interfaccia a riga di comando gcloud

Per visualizzare un elenco di moduli personalizzati, inserisci il seguente comando:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Sostituisci quanto segue:

  • PARENT_FLAG: il livello a cui l'elemento è stato creato il modulo --organization, --folder o --project.
  • PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.

Elimina un modulo personalizzato

Puoi eliminare un modulo personalizzato dall'organizzazione, dalla cartella o dal progetto in cui è stato creato o da un'organizzazione o una cartella principale. Non puoi eliminare un modulo personalizzato da una cartella o un progetto che lo eredita.

Per scoprire come eliminare un modulo personalizzato, seleziona una delle seguenti schede.

Console Google Cloud

  1. Vai alla pagina Impostazioni di Security Command Center nella console Google Cloud.

    Vai alle impostazioni

  2. Se richiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.

  4. Seleziona la scheda Moduli. Vengono visualizzati tutti i moduli di rilevamento di Security Health Analytics.

  5. Utilizza il campo del filtro nella parte superiore dell'elenco dei moduli o scorri per trovare il modulo personalizzato che devi modificare.

  6. Sul lato destro della riga del modulo personalizzato, fai clic sull'icona del menu di azioni .

  7. Dal menu Azione, fai clic su Elimina. Il riquadro Elimina modulo personalizzato si apre la finestra di dialogo.

  8. Nella finestra di dialogo, fai clic su Elimina.

Interfaccia a riga di comando gcloud

Per eliminare un modulo personalizzato, inserisci il seguente comando:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Sostituisci quanto segue:

  • MODULE_ID: l'ID o il nome completo della risorsa del modulo personalizzato.
  • PARENT_FLAG: il livello a cui è stato creato il modulo personalizzato, --organization, --folder o --project.
  • PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.

I risultati dei moduli personalizzati eliminati sono contrassegnati come non attivi da Security Health Analytics nella prossima scansione batch.

Esaminare i risultati

I risultati generati dai moduli personalizzati possono essere visualizzati nel Console Google Cloud, Security Operations Console (per clienti Enterprise) oppure l'API Security Command Center.

Console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Security Health Analytics personalizzato. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Console operativa di sicurezza

  1. In Security Operations Console, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Security Health Analytics Custom (Personalizzato di Security Health Analytics). I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Interfaccia a riga di comando gcloud

Per visualizzare i risultati:

  1. Apri una finestra del terminale.
  2. Per ottenere l'ID origine per Security Health Analytics, esegui il seguente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name='Security Health Analytics Custom'
    

    L'output visualizzato dovrebbe essere simile al seguente. Nell'esempio,SOURCE_ID è un ID assegnato dal server per le origini di sicurezza.

    description: ...
    displayName: Security Health Analytics Custom
    name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
    
  3. Per elencare tutti i risultati generati dai moduli personalizzati, esegui questo comando :

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
    
  4. Per elencare i risultati per un modulo personalizzato specifico, esegui il seguente comando:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
    

Passaggi successivi

Puoi gestire i risultati generati dai moduli personalizzati come tutti i risultati in Security Command Center. Per istruzioni, consulta le seguenti informazioni: