Benutzerdefinierte Module für Security Health Analytics testen

Auf dieser Seite wird erläutert, wie Sie benutzerdefinierte Security Health Analytics-Module in der Google Cloud Console testen, indem Sie eine YAML-Datei mit Testdaten hochladen.

Hinweis

Bevor Sie benutzerdefinierte Module testen können, müssen folgende Voraussetzungen erfüllt sein: Voraussetzungen:

• Alle allgemeinen Voraussetzungen für die Verwendung von Security Health Analytics benutzerdefinierte Module, einschließlich der folgenden:

  • Aktivierung der Premium-Dienststufe
  • Security Command Center API aktivieren

  Eine vollständige Liste der Voraussetzungen findest du unter Benutzerdefinierte Module für Security Health Analytics verwenden

• Ihrem Nutzerkonto muss mindestens eine Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gewährt werden mit denen Sie nicht nur mit Security Command Center und benutzerdefinierten Module, enthält aber auch die Berechtigung „securitycenter.securityhealthanalyticscustommodules.test“. Weitere Informationen zu den Berechtigungen und Rollen, die Sie zum Arbeiten mit benutzerdefinierten Modulen benötigen, finden Sie unter Erforderliche IAM-Berechtigungen.

• Für API-Aufrufe zum Testen benutzerdefinierter Module gilt ein Kontingent. Weitere Informationen finden Sie unter Kontingente für benutzerdefinierte Module.

Testressourcen in einer YAML-Datei erstellen

Zum Testen eines benutzerdefinierten Moduls definieren Sie fiktive Ressourcendefinitionen, fiktive Richtlinien Definitionen oder beides in einer YAML-Datei.

Die Definitionen entsprechen nicht den tatsächlichen Ressourcen- oder Richtlinieninstanzen, aber die Definitionen müssen den Schemas der Ressourcen- oder Richtlinientypen entsprechen die in Ihren benutzerdefinierten Modulen angegeben sind.

In Ihren Testdefinitionen müssen Sie nur die folgenden Attribute angeben: die von Ihren benutzerdefinierten Modulen ausgewertet werden. Ressourceneigenschaften, auf die das benutzerdefinierte Modul nicht verweist, müssen nicht angegeben werden.

Wenn Sie Ihre CEL-Ausdrücke im benutzerdefinierten Modul testen möchten, geben Sie in der Testdatei Attributwerte an, die dazu führen, dass die CEL-Ausdrücke in true aufgelöst werden.

Format der Testdaten

Beginnen Sie die Datei mit testData: in der ersten Zeile, gefolgt von eine oder mehrere - asset-Definitionen.

testData:
- asset:
    resource: ARBITRARY_ASSET_NAME_1
    assetType: RESOURCE_TYPE_1
    resourceData:
      PROPERTIES_TO_TEST_1: PROPERTY_VALUE_1
        SUB_PROPERTY: SUB_PROPERTY_VALUE
      PROPERTIES_TO_TEST_2: PROPERTY_VALUE_2
- asset:
    resource: ARBITRARY_ASSET_NAME_2
    assetType: RESOURCE_TYPE_2
    iamPolicyData:
      PROPERTIES_TO_TEST_3: PROPERTY_VALUE_3
      PROPERTIES_TO_TEST_4: PROPERTY_VALUE_4

Ersetzen Sie Folgendes:

• ARBITRARY_ASSET_NAME_N: Ein beliebiger Wert, der wird in den Testergebnissen angezeigt, wenn der Test erfolgreich ist.
• RESOURCE_TYPE_N: Der Typ des Assets oder der Ressource. die das benutzerdefinierte Modul überprüft, angegeben als Domainname der API- Dienstendpunkt und Ressourcenname, z. B. cloudkms.googleapis.com/CryptoKey.
• PROPERTIES_TO_TEST_N: Die verwendeten Attribute. in der Erkennungslogik des benutzerdefinierten Moduls ein, um ein Ergebnis auszulösen.
• PROPERTY_VALUE_N: Ein Wert der Eigenschaft, der ein Ergebnis auslöst.
• SUB_PROPERTY: Eine untergeordnete Property oder Property von eine andere Ressource, auf die die Zielressource in ihrer Ressource verweist Definition.

Beispieldefinitionen für Tests

Dieser Abschnitt enthält ein Beispiel für eine Testressourcendefinition und eine Testrichtliniendefinition. Obwohl die beiden Beispiele in separaten Dateien definiert sind, können asset-Definitionen für Ressourcen und Richtlinien in einer einzigen testData-Datei kombiniert werden.

Beispiel für eine Ressourcendefinition

Im folgenden Beispiel einer Testressourcendefinition wird ein benutzerdefiniertes Modul getestet. mit der geprüft wird, ob das Attribut rotationPeriod CryptoKey Ressourcen überschreiten 2592000 Sekunden (30 Tage). Die anderen Eigenschaften in der Definition werden im benutzerdefinierten Modul nicht verwendet, entsprechen aber dem Schema der Ressource. Für die vollständige Definition des benutzerdefinierten Moduls, das in diesem Beispiel getestet wird, Beispiel für die Definition eines benutzerdefinierten Moduls

testData:
- asset:
    resource: THE CRYPTOKEY TEST WAS SUCCESSFUL!
    assetType: cloudkms.googleapis.com/CryptoKey
    resourceData:
      nextRotationTime:  '2020-02-05T12:00:55.192645Z'
      primary:
        state: 'ENABLED'
      purpose: 'ENCRYPT_DECRYPT'
      rotationPeriod: '2592001s'

Beispiel für eine Richtliniendefinition

Das folgende Beispiel zeigt eine Testdefinition für eine IAM-Richtlinie:

testData:
- asset:
    resource: //cloudresourcemanager.googleapis.com/projects/fake-project
    assetType: cloudresourcemanager.googleapis.com/Project
    iamPolicyData:
      bindings:
      - role: "roles/viewer"
        members:
        - "serviceAccount:fake-service-account@compute-system.iam.gserviceaccount.com"
        - "user:fake-email-account"

Benutzerdefiniertes Modul testen

Sie können neue oder vorhandene benutzerdefinierte Module im Google Cloud Console

So testen Sie ein benutzerdefiniertes Modul:

1. Rufen Sie in Security Command Center die Seite Module von Security Health Analytics auf. Einstellungen.

   Zu den Modulen

2. So öffnen oder erstellen Sie ein benutzerdefiniertes Modul für den Test:

   • Wenn Sie ein neues benutzerdefiniertes Modul erstellen möchten, klicken Sie auf Modul erstellen und folgen Sie der Anleitung unter Benutzerdefinierte Module erstellen.
   • Wenn Sie ein vorhandenes benutzerdefiniertes Modul öffnen möchten, klicken Sie rechts in der Zeile des zu testenden Moduls unter Aktionen auf das Symbol „Bearbeiten“ edit.

3. Wählen Sie den Tab Testmodul (Testmodul) aus.

4. Klicken Sie unter YAML-Datei hochladen auf Durchsuchen, um eine Datei mit Beispiel-Asset-Daten hochzuladen. Der Test wird ausgeführt, sobald die YAML-Datei hochgeladen wurde.

5. Sehen Sie sich unter Vorschau der Testergebnisse die Ergebnisse an.

   • Wenn die YAML-Datei Syntax- oder andere Fehler enthält, wird unten auf der Browserseite angezeigt.

   • Wenn der Test erfolgreich ist, werden die folgenden Informationen zurückgegeben:

     • Der Anzeigename des benutzerdefinierten Moduls.
     • Der beliebige Name, den Sie in der Testdatendatei für das Attribut resource angeben.
     • Die Organisation, der Ordner oder das Projekt, in der bzw. dem sich das benutzerdefinierte Modul befand, oder erstellt wird.

   Testergebnisse werden nicht im Security Command Center gespeichert oder geschrieben.

Nächste Schritte

• Informationen zur Arbeit mit benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module für Security Health Analytics verwenden
• Informationen zum Arbeiten mit Ergebnissen in der Google Cloud Console finden Sie unter Mit Ergebnissen arbeiten