Ergebnisse zur Analyse in BigQuery streamen

Auf dieser Seite wird beschrieben, wie Sie neue und aktualisierte Ergebnisse mit der Exportfunktion von Security Command Center für BigQuery in ein BigQuery-Dataset streamen. Vorhandene Ergebnisse werden nicht an BigQuery, es sei denn, sie werden aktualisiert.

BigQuery ist die vollständig verwaltete und vollständig verwaltete Kostengünstiges Data Warehouse für Analysen, mit dem Sie umfangreiche Analysen große Datenmengen nahezu in Echtzeit. Mit BigQuery können Sie Abfragen von neuen und aktualisierten Ergebnissen durchführen, Daten nach Bedarf filtern und Benutzerdefinierte Berichte zu erstellen. Um mehr über BigQuery zu erfahren, lesen Sie die BigQuery-Dokumentation.

Übersicht

Wenn Sie diese Funktion aktivieren, werden neue Ergebnisse Security Command Center werden nahezu echt in eine BigQuery-Tabelle exportiert, . Sie können die Daten dann in vorhandene Workflows einbinden und benutzerdefinierte Analysen. Sie können diese Funktion auf Organisations-, Ordner- und Projektebene aktivieren, um Ergebnisse entsprechend Ihren Anforderungen zu exportieren.

Dieses Feature ist die empfohlene Methode zum Exportieren von Security Command Center-Ergebnissen in BigQuery, da es vollständig verwaltet wird und keine manuellen Vorgänge oder das Schreiben von benutzerdefiniertem Code erfordert.

Dataset-Struktur

Dieses Feature fügt jedes neue Ergebnis und die nachfolgenden Aktualisierungen als neue Zeilen in die findings-Tabelle ein. Diese ist geclustert nach source_id, finding_id und event_time.

Wenn ein Ergebnis aktualisiert wird, erstellt diese Funktion mehrere Ergebnisdatensätze mit dieselben source_id- und finding_id-Werte, aber mit unterschiedlichem event_time Werte. Mit dieser Dataset-Struktur können Sie sehen, wie sich der Status jedes Ergebnisses ändert im Laufe der Zeit.

Beachten Sie, dass doppelte Einträge in Ihrem Dataset vorhanden sein können. Um sie zu parsen, die DISTINCT-Klausel verwenden, wie in der erste Beispielabfrage.

Jedes Dataset enthält eine findings-Tabelle mit den folgenden Feldern:

Feld Beschreibung
source_id

Eine eindeutige Kennung, die Security Command Center der Quelle eines Ergebnisses zuweist. Beispielsweise haben alle Ergebnisse aus der Quelle der Cloud-Anomalieerkennung "source_id" an.

Beispiel: 1234567890
finding_id Eindeutige Kennung für das Ergebnis. Sie ist innerhalb eines Quelle für eine Organisation. Sie ist alphanumerisch und besteht aus höchstens 32 Zeichen.
event_time

Die Zeit, zu der das Ereignis aufgetreten ist, oder die Zeit, zu der eine Aktualisierung des Ergebnisses erfolgt ist. Wenn das Ergebnis z. B. eine offene Firewall, dann erfasst event_time die Zeit, zu der der Detektor denkt, dass die Firewall geöffnet wurde. Wenn das Ergebnis später behoben wird, gibt dieser Zeitpunkt an, wann das Ergebnis behoben wurde.

Beispiel: 2019-09-26 12:48:00.985000 UTC
finding

Ein Datensatz von Bewertungsdaten wie Sicherheit, Risiko, Zustand oder Datenschutz, die in Security Command Center für Darstellung, Benachrichtigung, Analyse, Richtlinientests und Durchsetzung aufgenommen werden. Beispiel: Cross-Site-Scripting (XSS) in einer App Engine-Umgebung ist eine Erkenntnis.

Weitere Informationen zu den verschachtelten Feldern finden Sie in der API-Referenz zum Objekt Finding.

Ressource

Informationen zur Google Cloud-Ressource, die die mit diesem Ergebnis verknüpft sind.

Weitere Informationen zu den verschachtelten Feldern finden Sie in der API-Referenz für die Resource -Objekt enthält.

Kosten

Für diese Funktion fallen BigQuery-Gebühren an. Weitere Informationen finden Sie unter BigQuery-Preise.

Hinweis

Führen Sie die folgenden Schritte aus, bevor Sie diese Funktion aktivieren.

Berechtigungen einrichten

Zum Durcharbeiten dieser Anleitung benötigen Sie die folgenden IAM-Rollen (Identity and Access Management):

BigQuery-Dataset erstellen

BigQuery-Dataset erstellen Weitere Informationen finden Sie unter Datasets erstellen.

Datenstandort planen

Wenn der Datenstandort für Security Command Center, die Konfigurationen, die Streamingexporte in Für BigQuery (BigQueryExport Ressourcen) gelten Datenstandortkontrolle und werden in einem Speicherort von Security Command Center die Sie auswählen.

So exportieren Sie Ergebnisse an einem Security Command Center-Speicherort nach BigQuery: müssen Sie den BigQuery-Export in derselben Security Command Center-Standort als Ergebnisse.

Da die Filter, die in BigQuery-Exporten verwendet werden, Daten enthalten können, die den Steuerregeln für Personen mit Wohnsitz in der EU unterliegen, müssen Sie vor dem Erstellen den richtigen Standort angeben. Security Command Center schränkt nicht ein, Standort, an dem Sie Exporte erstellen.

BigQuery-Exporte werden nur an dem Ort gespeichert, an dem sie erstellt und können an anderen Orten nicht angezeigt oder bearbeitet werden.

Nachdem Sie einen BigQuery-Export erstellt haben, können Sie seinen Speicherort nicht mehr ändern. Wenn Sie den Speicherort ändern möchten, müssen Sie den BigQuery-Export löschen und am neuen Speicherort neu erstellen.

Wenn Sie einen BigQuery-Export mit API-Aufrufen abrufen möchten, müssen Sie den Speicherort im vollständigen Ressourcennamen der bigQueryExport angeben. Beispiel:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/bigQueryExports/my-export-01}

Um einen BigQuery-Export mithilfe der Methode gcloud CLI verwenden, müssen Sie den Standort entweder im vollständigen Ressourcennamen der Konfiguration oder mithilfe des Flags --locations. Beispiel:

gcloud scc scc bqexports get myBigQueryExport organizations/123 \
    --location=locations/us

Ergebnisse aus Security Command Center in BigQuery exportieren

Aktivieren Sie zum Exportieren der Ergebnisse zuerst die Security Command Center API.

Security Command Center API aktivieren

So aktivieren Sie das Security Command Center API:

  1. Rufen Sie in der Google Cloud Console die Seite „API-Bibliothek“ auf.

    Zur API-Bibliothek

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktivieren möchten.

  3. Geben Sie im Feld Suchen Security Command Center ein und klicken Sie dann in den Suchergebnissen auf Security Command Center.

  4. Klicken Sie auf der angezeigten API-Seite auf Aktivieren.

Die Security Command Center API ist für Ihr Projekt aktiviert. Als Nächstes verwenden Sie gcloud CLI verwenden, um eine neue Exportkonfiguration zu erstellen, BigQuery

Perimeterzugriff in VPC Service Controls gewähren

Wenn Sie VPC Service Controls verwenden und Ihr Das BigQuery-Dataset ist Teil eines Projekts innerhalb eines Dienstperimeters. muss Zugriff auf Projekte gewähren, um Ergebnisse exportieren zu können.

Wenn Sie Zugriff auf Projekte gewähren möchten, erstellen Sie Regeln für eingehenden und ausgehenden Traffic für die Hauptpersonen und Projekte, aus denen Sie Ergebnisse exportieren. Die Regeln ermöglichen den Zugriff auf geschützte Ressourcen und ermöglichen es BigQuery, zu prüfen, ob Nutzer die Berechtigung setIamPolicy für das BigQuery-Dataset haben.

Bevor Sie einen neuen Export nach BigQuery einrichten

  1. Rufen Sie in der Google Cloud Console die Seite „VPC Service Controls“ auf.

    Zu „VPC Service Controls“

  2. Wählen Sie gegebenenfalls Ihre Organisation aus.

  3. Klicken Sie auf den Namen des Dienstperimeters, den Sie ändern möchten.

    Den zu ändernden Dienstperimeter finden Sie in Ihren Logs. für Einträge, die RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER Verstöße zeigen. Prüfen Sie in diesen Einträgen das Feld servicePerimeterName: accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME.

  4. Klicken Sie auf Perimeter bearbeiten.

  5. Klicken Sie im Navigationsmenü auf Richtlinie für eingehenden Traffic.

  6. Verwenden Sie die folgenden Parameter, um Regeln für eingehenden Traffic für Nutzer oder Dienstkonten zu konfigurieren:

    • FROM-Attribute des API-Clients:
      • Wählen Sie im Menü Identitäten die Option Ausgewählte Identitäten aus.
      • Wählen Sie im Menü Quelle die Option Alle Quellen aus.
      • Klicken Sie auf Auswählen und geben Sie dann den Nutzer ein, mit dem die Security Command Center API aufgerufen wird.
    • TO-Attribute von Google Cloud-Diensten/-Ressourcen:
      • Wählen Sie im Menü Projekt die Option Ausgewählte Projekte aus.
      • Klicken Sie auf Auswählen und geben Sie dann das Projekt ein, das die BigQuery-Dataset
      • Wählen Sie im Menü Dienste die Option Ausgewählte Dienste aus. Wählen Sie dann BigQuery API aus.
      • Wählen Sie im Menü Methoden die Option Alle Aktionen aus.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie im Navigationsmenü auf Richtlinie für ausgehenden Traffic.

  9. Klicken Sie auf Add Rule (Regel hinzufügen).

  10. Geben Sie folgende Parameter ein, um Regeln für ausgehenden Traffic für Nutzer- oder Dienstkonten zu konfigurieren:

    • FROM-Attribute des API-Clients:
      • Wählen Sie im Menü Identitäten die Option Ausgewählte Identitäten aus.
      • Klicken Sie auf Auswählen und geben Sie dann das Hauptkonto ein, das zum Aufrufen der Security Command Center API.
    • TO-Attribute von Google Cloud-Diensten/-Ressourcen:
      • Wählen Sie im Menü Projekt die Option Alle Projekte aus.
      • Wählen Sie im Menü Dienste die Option Ausgewählte Dienste und dann BigQuery API aus.
      • Wählen Sie im Menü Methoden die Option Alle Aktionen aus.

  11. Klicken Sie auf Speichern.

Neuen Export nach BigQuery einrichten

In diesem Schritt erstellen Sie eine Exportkonfiguration, um Ergebnisse in eine BigQuery-Instanz. Sie können Exportkonfigurationen auf der Projekt-, Ordner- oder Organisationsebene. Wenn Sie beispielsweise Ergebnisse aus einem Projekt in ein BigQuery-Dataset exportieren möchten, erstellen Sie eine Exportkonfiguration auf Projektebene, um nur die Ergebnisse zu exportieren, die sich auf dieses Projekt beziehen. Optional können Sie Filter angeben, um bestimmte Ergebnisse zu exportieren .

Erstellen Sie Ihre Exportkonfigurationen auf der entsprechenden Ebene. Für Wenn Sie beispielsweise eine Exportkonfiguration in Projekt B erstellen, um Ergebnisse zu exportieren, aus Projekt A und Sie definieren Filter wie resource.project_display_name: project-a-id, die Konfiguration wird nicht exportiert alle Ergebnisse.

Sie können für Ihre Organisation maximal 500 Exportkonfigurationen in BigQuery erstellen. Sie können dasselbe Dataset für mehrere Exportkonfigurationen verwenden. Wenn Sie dasselbe Dataset verwenden, werden alle Aktualisierungen in derselben Ergebnistabelle vorgenommen.

Wenn Sie Ihre erste Exportkonfiguration erstellen, wird ein Dienstkonto automatisch für Sie erstellt. Dieses Dienstkonto ist erforderlich, um die Ergebnistabelle in einem Dataset zu erstellen oder zu aktualisieren und Ergebnisse in die Tabelle zu exportieren. Sie hat die Form service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gservicaccount.com und erhält die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor) am BigQuery-Dataset-Ebene.

gcloud

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.

  3. Klicken Sie auf Cloud Shell aktivieren .

  4. Führen Sie den folgenden Befehl aus, um eine neue Exportkonfiguration zu erstellen:

    gcloud scc bqexports create BIG_QUERY_EXPORT \
    --dataset=DATASET_NAME \
    --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \
    --location=LOCATION \
    [--description=DESCRIPTION] \
    [--filter=FILTER]

    Ersetzen Sie Folgendes:

    • BIG_QUERY_EXPORT durch einen Namen für diesen Export Konfiguration.
    • DATASET_NAME durch den Namen des BigQuery-Dataset, z. B. projects/PROJECT_ID/datasets/DATASET_ID.
    • FOLDER_ID, ORGANIZATION_ID oder PROJECT_ID durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Für Ordner und Organisationen, ist der Name die Ordner-ID oder die Organisations-ID. Für Projekte enthält, ist der Name die Projektnummer oder die Projekt-ID.

    • LOCATION: Wenn die Datenspeicherung aktiviert ist, geben Sie den Speicherort im Security Command Center an, an dem der BigQuery-Export erstellt werden soll. Die Die BigQuery-Exportkonfiguration wird an diesem Speicherort gespeichert. Nur Ergebnisse aus diesem Speicherort werden in den Export aufgenommen.

      Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags --location erstellt, den BigQuery-Export mit der Security Command Center API v2 und ist der einzige gültige Wert für das Flag global.

    • DESCRIPTION mit einer für Menschen lesbaren Beschreibung der Exportkonfiguration. Diese Variable ist optional.

    • FILTER durch einen Ausdruck, der definiert, welche Ergebnisse in den Export aufzunehmen. Wenn Sie beispielsweise nach der XSS_SCRIPTING-Kategorie filtern möchten, geben Sie "category=\"XSS_SCRIPTING\" ein. Diese Variable ist optional.

Java

Richten Sie zur Authentifizierung bei Security Command Center die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten

Im folgenden Beispiel wird die v1 API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie der Ressource /locations/LOCATION hinzu, um Ergebnisse zu erhalten Name nach /sources/SOURCE_ID, wobei SOURCE_ID ist die ID des Security Command Center-Dienst die das Fundament erhalten haben. 


import com.google.cloud.securitycenter.v1.BigQueryExport;
import com.google.cloud.securitycenter.v1.CreateBigQueryExportRequest;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import java.io.IOException;
import java.util.UUID;

public class CreateBigQueryExport {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Modify the following variable values.

    // parent: Use any one of the following resource paths:
    //              - organizations/{organization_id}
    //              - folders/{folder_id}
    //              - projects/{project_id}
    String parent = String.format("projects/%s", "your-google-cloud-project-id");

    // filter: Expression that defines the filter to apply across create/update events of findings.
    String filter =
        "severity=\"LOW\" OR severity=\"MEDIUM\" AND "
            + "category=\"Persistence: IAM Anomalous Grant\" AND "
            + "-resource.type:\"compute\"";

    // bigQueryDatasetId: The BigQuery dataset to write findings' updates to.
    String bigQueryDatasetId = "your-bigquery-dataset-id";

    // bigQueryExportId: Unique identifier provided by the client.
    // For more info, see:
    // https://cloud.google.com/security-command-center/docs/how-to-analyze-findings-in-big-query#export_findings_from_to
    String bigQueryExportId = "default-" + UUID.randomUUID().toString().split("-")[0];

    createBigQueryExport(parent, filter, bigQueryDatasetId, bigQueryExportId);
  }

  // Create export configuration to export findings from a project to a BigQuery dataset.
  // Optionally specify filter to export certain findings only.
  public static void createBigQueryExport(
      String parent, String filter, String bigQueryDatasetId, String bigQueryExportId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      // Create the BigQuery export configuration.
      BigQueryExport bigQueryExport =
          BigQueryExport.newBuilder()
              .setDescription(
                  "Export low and medium findings if the compute resource "
                      + "has an IAM anomalous grant")
              .setFilter(filter)
              .setDataset(String.format("%s/datasets/%s", parent, bigQueryDatasetId))
              .build();

      CreateBigQueryExportRequest bigQueryExportRequest =
          CreateBigQueryExportRequest.newBuilder()
              .setParent(parent)
              .setBigQueryExport(bigQueryExport)
              .setBigQueryExportId(bigQueryExportId)
              .build();

      // Create the export request.
      BigQueryExport response = client.createBigQueryExport(bigQueryExportRequest);

      System.out.printf("BigQuery export request created successfully: %s\n", response.getName());
    }
  }
}

Python

Richten Sie zur Authentifizierung bei Security Command Center die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

Im folgenden Beispiel wird die v1-API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie der Ressource /locations/LOCATION hinzu, um Ergebnisse zu erhalten Name nach /sources/SOURCE_ID, wobei SOURCE_ID ist die ID des Security Command Center-Dienst die das Fundament erhalten haben. 



def create_bigquery_export(
    parent: str, export_filter: str, bigquery_dataset_id: str, bigquery_export_id: str
):
    from google.cloud import securitycenter

    """
    Create export configuration to export findings from a project to a BigQuery dataset.
    Optionally specify filter to export certain findings only.

    Args:
        parent: Use any one of the following resource paths:
             - organizations/{organization_id}
             - folders/{folder_id}
             - projects/{project_id}
        export_filter: Expression that defines the filter to apply across create/update events of findings.
        bigquery_dataset_id: The BigQuery dataset to write findings' updates to.
        bigquery_export_id: Unique identifier provided by the client.
             - example id: f"default-{str(uuid.uuid4()).split('-')[0]}"
        For more info, see:
        https://cloud.google.com/security-command-center/docs/how-to-analyze-findings-in-big-query#export_findings_from_to
    """
    client = securitycenter.SecurityCenterClient()

    # Create the BigQuery export configuration.
    bigquery_export = securitycenter.BigQueryExport()
    bigquery_export.description = "Export low and medium findings if the compute resource has an IAM anomalous grant"
    bigquery_export.filter = export_filter
    bigquery_export.dataset = f"{parent}/datasets/{bigquery_dataset_id}"

    request = securitycenter.CreateBigQueryExportRequest()
    request.parent = parent
    request.big_query_export = bigquery_export
    request.big_query_export_id = bigquery_export_id

    # Create the export request.
    response = client.create_big_query_export(request)

    print(f"BigQuery export request created successfully: {response.name}\n")

Die Ergebnisse sollten innerhalb von etwa 15 Minuten nach dem Erstellen der Exportkonfiguration in Ihrem BigQuery-Dataset angezeigt werden. Nachdem die BigQuery-Tabelle erstellt wurde, werden neue und aktualisierte Ergebnisse, die Ihrem Filter und Bereich entsprechen, nahezu in Echtzeit in der Tabelle angezeigt.

Informationen zum Ansehen der Ergebnisse finden Sie unter Ergebnisse prüfen.

Ingress-Regel für den neuen Export nach BigQuery erstellen

Wenn Sie VPC Service Controls verwenden und Ihr Das BigQuery-Dataset ist Teil eines Projekts innerhalb eines Dienstperimeters. muss für einen neuen Export nach BigQuery eine Regel für eingehenden Traffic erstellen.

  1. Öffnen Sie den Dienstperimeter von Richten Sie einen neuen Export nach BigQuery ein.

    Zu „VPC Service Controls“

  2. Klicken Sie auf Richtlinie für eingehenden Traffic.

  3. Klicken Sie auf Add Rule (Regel hinzufügen).

  4. Geben Sie die folgenden Parameter ein, um die Regel für eingehenden Traffic für die Exportkonfigurationen zu konfigurieren:

    • FROM-Attribute des API-Clients:
      • Wählen Sie im Drop-down-Menü Quelle die Option Alle Quellen aus.
      • Wählen Sie im Drop-down-Menü Identitäten die Option Ausgewählte Identitäten aus.
      • Klicken Sie auf Auswählen und geben Sie den Namen des Dienstkontos für die BigQuery-Exportkonfiguration ein: service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • TO-Attribute von GCP-Diensten/-Ressourcen:
      • Wählen Sie im Drop-down-Menü Projekt die Option Ausgewählte Projekte aus.
      • Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den BigQuery-Dataset
      • Wählen Sie im Drop-down-Menü Services die Option Ausgewählte Services aus. Wählen Sie dann BigQuery API aus.
      • Wählen Sie im Drop-down-Menü Methoden die Option Alle Aktionen aus.

  5. Klicken Sie im Navigationsmenü auf Speichern.

Die ausgewählten Projekte, Nutzer und Dienstkonten können jetzt auf die geschützten und die Ergebnisse exportieren.

Wenn Sie alle Schritte in dieser Anleitung befolgt haben und die Exporte funktionieren können Sie Folgendes löschen:

  • Die Regel für eingehenden Traffic für das Hauptkonto
  • Die Ausgangsregel für das Hauptkonto

Diese Regeln wurden nur zum Konfigurieren der Exportkonfiguration benötigt. Damit Exportkonfigurationen jedoch weiterhin funktionieren, müssen Sie die zuvor erstellte Regel für eingehenden Traffic beibehalten, damit Security Command Center Ergebnisse in Ihr BigQuery-Dataset hinter dem Dienstperimeter exportieren kann.

Details einer Exportkonfiguration aufrufen

gcloud

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.

  3. Klicken Sie auf Cloud Shell aktivieren .

  4. Führen Sie den folgenden Befehl aus, um die Details der Exportkonfiguration zu prüfen:

    gcloud scc bqexports get BIG_QUERY_EXPORT \
    --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • BIG_QUERY_EXPORT durch den Namen dieses Exports Konfiguration.
    • FOLDER_ID, ORGANIZATION_ID oder PROJECT_ID durch den Namen Ihres Ordners, Ihrer Organisation, oder ein Projekt erstellen. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.

    • LOCATION: erforderlich, wenn entweder der Datenstandort aktiviert ist oder die Ressource BigQueryExport wurde mit der API V2 erstellt.

      Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort in dem der Export gespeichert wird.

      Wenn der Datenstandort nicht aktiviert ist, fügen Sie /locations/LOCATION nur, wenn die BigQueryExport Ressource wurde mit der Security Command Center API Version 2 erstellt, in der ist der einzige gültige Standort global.

      Für den Abruf einer Exportkonfiguration mit dem Namen my-bq-export aus einer Organisation mit der Organisations-ID 123, führen Sie Folgendes aus:

      gcloud scc bqexports get my-bq-export \
    --organization=123

Java

Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

Im folgenden Beispiel wird die v1 API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie der Ressource /locations/LOCATION hinzu, um Ergebnisse zu erhalten Name nach /sources/SOURCE_ID, wobei SOURCE_ID ist die ID des Security Command Center-Dienst die das Fundament erhalten haben. 


import com.google.cloud.securitycenter.v1.BigQueryExport;
import com.google.cloud.securitycenter.v1.GetBigQueryExportRequest;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import java.io.IOException;

public class GetBigQueryExport {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Modify the following variable values.

    // parent: Use any one of the following resource paths:
    //              - organizations/{organization_id}
    //              - folders/{folder_id}
    //              - projects/{project_id}
    String parent = String.format("projects/%s", "your-google-cloud-project-id");

    // bigQueryExportId: Unique identifier that is used to identify the export.
    String bigQueryExportId = "export-id";

    getBigQueryExport(parent, bigQueryExportId);
  }

  // Retrieve an existing BigQuery export.
  public static void getBigQueryExport(String parent, String bigQueryExportId) throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      GetBigQueryExportRequest bigQueryExportRequest =
          GetBigQueryExportRequest.newBuilder()
              .setName(String.format("%s/bigQueryExports/%s", parent, bigQueryExportId))
              .build();

      BigQueryExport response = client.getBigQueryExport(bigQueryExportRequest);
      System.out.printf("Retrieved the BigQuery export: %s", response.getName());
    }
  }
}

Python

Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

Im folgenden Beispiel wird die v1 API verwendet. So ändern Sie die Einstellungen: im Beispiel für v2, ersetzen Sie v1 durch v2 und fügen Sie /locations/LOCATION für den Ressourcennamen.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie der Ressource /locations/LOCATION hinzu, um Ergebnisse zu erhalten Name nach /sources/SOURCE_ID, wobei SOURCE_ID ist die ID des Security Command Center-Dienst die das Fundament erhalten haben. 

def get_bigquery_export(parent: str, bigquery_export_id: str):
    from google.cloud import securitycenter

    """
    Retrieve an existing BigQuery export.
    Args:
        parent: Use any one of the following resource paths:
                 - organizations/{organization_id}
                 - folders/{folder_id}
                 - projects/{project_id}
        bigquery_export_id: Unique identifier that is used to identify the export.
    """

    client = securitycenter.SecurityCenterClient()

    request = securitycenter.GetBigQueryExportRequest()
    request.name = f"{parent}/bigQueryExports/{bigquery_export_id}"

    response = client.get_big_query_export(request)
    print(f"Retrieved the BigQuery export: {response.name}")

Exportkonfiguration aktualisieren

Bei Bedarf können Sie den Filter, das Dataset und die Beschreibung einer vorhandenen Exportkonfiguration ändern. Der Name der Exportkonfiguration kann nicht geändert werden.

gcloud

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.

  3. Klicken Sie auf Cloud Shell aktivieren .

  4. Führen Sie den folgenden Befehl aus, um eine Exportkonfiguration zu aktualisieren:

    gcloud scc bqexports update BIG_QUERY_EXPORT \
    --dataset=DATASET_NAME \
    --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \
    --location=LOCATION \
    [--description=DESCRIPTION] \
    [--filter=FILTER]

    Ersetzen Sie Folgendes:

    • BIG_QUERY_EXPORT durch den Namen der Exportkonfiguration, die Sie aktualisieren möchten.
    • DATASET_NAME durch den Namen des BigQuery-Datasets, z. B. projects/PROJECT_ID/datasets/DATASET_ID.
    • FOLDER_ID, ORGANIZATION_ID oder PROJECT_ID durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.

    • LOCATION: erforderlich, wenn entweder der Datenstandort gleich ist aktiviert oder die Ressource BigQueryExport mit der API V2 erstellt wurde.

      Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort an, an dem der Export gespeichert wird.

      Wenn der Datenstandort nicht aktiviert ist, geben Sie /locations/LOCATION in den vollständigen Namen ein oder geben Sie das Flag --location nur an, wenn die BigQueryExport-Ressource mit der Security Command Center API v2 erstellt wurde. In diesem Fall ist global der einzige gültige Speicherort.

    • DESCRIPTION durch eine menschenlesbare Beschreibung des Exportkonfiguration. Diese Variable ist optional.

    • FILTER durch einen Ausdruck, der definiert, welche Ergebnisse in den Export einbezogen werden. Wenn Sie beispielsweise nach der XSS_SCRIPTING-Kategorie filtern möchten, geben Sie "category=\"XSS_SCRIPTING\" ein. Diese Variable ist optional.

Java

Richten Sie zur Authentifizierung bei Security Command Center die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten

Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen: im Beispiel für v2, ersetzen Sie v1 durch v2 und fügen Sie /locations/LOCATION für den Ressourcennamen.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie bei Ergebnissen dem Ressourcennamen nach /sources/SOURCE_ID die Zeichenfolge /locations/LOCATION hinzu. Dabei ist SOURCE_ID die ID des Security Command Center-Dienstes, der das Ergebnis ausgegeben hat. 


import com.google.cloud.securitycenter.v1.BigQueryExport;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import com.google.cloud.securitycenter.v1.UpdateBigQueryExportRequest;
import com.google.protobuf.FieldMask;
import java.io.IOException;

public class UpdateBigQueryExport {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Modify the following variable values.

    // parent: Use any one of the following resource paths:
    //              - organizations/{organization_id}
    //              - folders/{folder_id}
    //              - projects/{project_id}
    String parent = String.format("projects/%s", "your-google-cloud-project-id");

    // filter: Expression that defines the filter to apply across create/update events of findings.
    String filter =
        "severity=\"LOW\" OR severity=\"MEDIUM\" AND "
            + "category=\"Persistence: IAM Anomalous Grant\" AND "
            + "-resource.type:\"compute\"";

    // bigQueryExportId: Unique identifier provided by the client.
    // For more info, see:
    // https://cloud.google.com/security-command-center/docs/how-to-analyze-findings-in-big-query#export_findings_from_to
    String bigQueryExportId = "big-query-export-id";

    updateBigQueryExport(parent, filter, bigQueryExportId);
  }

  // Updates an existing BigQuery export.
  public static void updateBigQueryExport(String parent, String filter, String bigQueryExportId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      //  Set the new values for export configuration.
      BigQueryExport bigQueryExport =
          BigQueryExport.newBuilder()
              .setName(String.format("%s/bigQueryExports/%s", parent, bigQueryExportId))
              .setFilter(filter)
              .build();

      UpdateBigQueryExportRequest request =
          UpdateBigQueryExportRequest.newBuilder()
              .setBigQueryExport(bigQueryExport)
              // Set the update mask to specify which properties should be updated.
              // If empty, all mutable fields will be updated.
              // For more info on constructing field mask path, see the proto or:
              // https://cloud.google.com/java/docs/reference/protobuf/latest/com.google.protobuf.FieldMask
              .setUpdateMask(FieldMask.newBuilder().addPaths("filter").build())
              .build();

      BigQueryExport response = client.updateBigQueryExport(request);
      if (!response.getFilter().equalsIgnoreCase(filter)) {
        System.out.println("Failed to update BigQueryExport!");
        return;
      }
      System.out.println("BigQueryExport updated successfully!");
    }
  }
}

Python

Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten

Im folgenden Beispiel wird die v1 API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie bei Ergebnissen dem Ressourcennamen nach /sources/SOURCE_ID die Zeichenfolge /locations/LOCATION hinzu. Dabei ist SOURCE_ID die ID des Security Command Center-Dienstes, der das Ergebnis ausgegeben hat. 

def update_bigquery_export(parent: str, export_filter: str, bigquery_export_id: str):
    """
    Updates an existing BigQuery export.
    Args:
        parent: Use any one of the following resource paths:
                 - organizations/{organization_id}
                 - folders/{folder_id}
                 - projects/{project_id}
        export_filter: Expression that defines the filter to apply across create/update events of findings.
        bigquery_export_id: Unique identifier provided by the client.
        For more info, see:
        https://cloud.google.com/security-command-center/docs/how-to-analyze-findings-in-big-query#export_findings_from_to
    """
    from google.cloud import securitycenter
    from google.protobuf import field_mask_pb2

    client = securitycenter.SecurityCenterClient()

    # Set the new values for export configuration.
    bigquery_export = securitycenter.BigQueryExport()
    bigquery_export.name = f"{parent}/bigQueryExports/{bigquery_export_id}"
    bigquery_export.filter = export_filter

    # Field mask to only update the export filter.
    # Set the update mask to specify which properties should be updated.
    # If empty, all mutable fields will be updated.
    # For more info on constructing field mask path, see the proto or:
    # https://googleapis.dev/python/protobuf/latest/google/protobuf/field_mask_pb2.html
    field_mask = field_mask_pb2.FieldMask(paths=["filter"])

    request = securitycenter.UpdateBigQueryExportRequest()
    request.big_query_export = bigquery_export
    request.update_mask = field_mask

    response = client.update_big_query_export(request)

    if response.filter != export_filter:
        print("Failed to update BigQueryExport!")
        return
    print("BigQueryExport updated successfully!")

Alle Exportkonfigurationen anzeigen

Sie können alle Exportkonfigurationen in Ihrer Organisation, in Ihrem Ordner oder in Ihrem Projekt anzeigen.

gcloud

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.

  3. Klicken Sie auf Cloud Shell aktivieren .

  4. Führen Sie den folgenden Befehl aus, um die Exportkonfigurationen aufzulisten:

    gcloud scc bqexports list \
    --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \
    --location=LOCATION \
    [--limit=LIMIT] \
    [--page-size=PAGE_SIZE]

    Ersetzen Sie Folgendes:

    • FOLDER_ID, ORGANIZATION_ID oder PROJECT_ID durch den Namen Ihres Ordners, Ihrer Organisation, oder ein Projekt erstellen. Sie müssen eine dieser Optionen festlegen. Für Ordner und Organisationen, ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.

      Wenn Sie eine Organisations-ID angeben, enthält die Liste alle Exporte Konfigurationen, die in dieser Organisation definiert wurden, einschließlich jener im Ordner und auf Projektebene. Wenn Sie eine Ordner-ID angeben, enthält die Liste alle Konfigurationen exportieren, die auf Ordnerebene und in den Projekten definiert wurden in diesem Ordner. Wenn Sie eine Projektnummer oder Projekt-ID angeben, enthält die Liste alle Exportkonfigurationen nur für dieses Projekt.

    • LOCATION: erforderlich, wenn entweder der Datenstandort aktiviert ist oder die BigQueryExport-Ressourcen wurden mit der v2-API erstellt.

      Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort in dem die Exporte gespeichert werden.

      Wenn der Datenstandort nicht aktiviert ist, werden mit dem Flag --location nur die BigQueryExport-Ressourcen aufgelistet, die mit der Security Command Center API v2 erstellt wurden. Der einzige gültige Speicherort ist dann global.

    • LIMIT durch die Anzahl der Exportkonfigurationen, die Sie anzeigen möchten. Diese Variable ist optional.

    • PAGE_SIZE mit einem Wert der Seitengröße. Diese Variable ist optional.

Java

Richten Sie zur Authentifizierung bei Security Command Center die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen: im Beispiel für v2, ersetzen Sie v1 durch v2 und fügen Sie /locations/LOCATION für den Ressourcennamen.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie der Ressource /locations/LOCATION hinzu, um Ergebnisse zu erhalten Name nach /sources/SOURCE_ID, wobei SOURCE_ID ist die ID des Security Command Center-Dienst die das Fundament erhalten haben. 


import com.google.cloud.securitycenter.v1.BigQueryExport;
import com.google.cloud.securitycenter.v1.ListBigQueryExportsRequest;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import com.google.cloud.securitycenter.v1.SecurityCenterClient.ListBigQueryExportsPagedResponse;
import java.io.IOException;

public class ListBigQueryExports {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Modify the following variable values.

    // parent: The parent, which owns the collection of BigQuery exports.
    //         Use any one of the following resource paths:
    //              - organizations/{organization_id}
    //              - folders/{folder_id}
    //              - projects/{project_id}
    String parent = String.format("projects/%s", "your-google-cloud-project-id");

    listBigQueryExports(parent);
  }

  // List BigQuery exports in the given parent.
  public static void listBigQueryExports(String parent) throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      ListBigQueryExportsRequest request =
          ListBigQueryExportsRequest.newBuilder().setParent(parent).build();

      ListBigQueryExportsPagedResponse response = client.listBigQueryExports(request);

      System.out.println("Listing BigQuery exports:");
      for (BigQueryExport bigQueryExport : response.iterateAll()) {
        System.out.println(bigQueryExport.getName());
      }
    }
  }
}

Python

Richten Sie zur Authentifizierung bei Security Command Center die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen: im Beispiel für v2, ersetzen Sie v1 durch v2 und fügen Sie /locations/LOCATION für den Ressourcennamen.

Für die meisten Ressourcen fügen Sie /locations/LOCATION zum Ressourcenname nach /PARENT/PARENT_ID, wobei PARENT ist der organizations, folders, oder projects.

Fügen Sie bei Ergebnissen dem Ressourcennamen nach /sources/SOURCE_ID die Zeichenfolge /locations/LOCATION hinzu. Dabei ist SOURCE_ID die ID des Security Command Center-Dienstes, der das Ergebnis ausgegeben hat. 

def list_bigquery_exports(parent: str):
    from google.cloud import securitycenter

    """
    List BigQuery exports in the given parent.
    Args:
         parent: The parent which owns the collection of BigQuery exports.
             Use any one of the following resource paths:
                 - organizations/{organization_id}
                 - folders/{folder_id}
                 - projects/{project_id}
    """

    client = securitycenter.SecurityCenterClient()

    request = securitycenter.ListBigQueryExportsRequest()
    request.parent = parent

    response = client.list_big_query_exports(request)

    print("Listing BigQuery exports:")
    for bigquery_export in response:
        print(bigquery_export.name)

Exportkonfiguration löschen

Wenn Sie eine Exportkonfiguration nicht mehr benötigen, können Sie sie löschen.

gcloud

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.

  3. Klicken Sie auf Cloud Shell aktivieren .

  4. Führen Sie den folgenden Befehl aus, um eine Exportkonfiguration zu löschen:

    gcloud scc bqexports delete BIG_QUERY_EXPORT \
    --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • BIG_QUERY_EXPORT durch einen Namen für die Exportkonfiguration, die Sie löschen möchten.
    • FOLDER_ID, ORGANIZATION_ID oder PROJECT_ID durch den Namen Ihres Ordners, Ihrer Organisation, oder ein Projekt erstellen. Sie müssen eine dieser Optionen festlegen. Für Ordner und Organisationen, ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.

    • LOCATION: Erforderlich, wenn entweder die Datenspeicherung aktiviert ist oder die BigQueryExport-Ressource mit der v2 API erstellt wurde.

      Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort an, an dem der Export gespeichert wird.

      Wenn die Datenspeicherorte nicht aktiviert sind, geben Sie /locations/LOCATION nur an, wenn die BigQueryExport-Ressource mit der Security Command Center API v2 erstellt wurde. In diesem Fall ist global der einzige gültige Standort.

      So löschen Sie beispielsweise eine Exportkonfiguration mit dem Namen my-bq-export. Führen Sie für eine Organisation mit der Organisations-ID 123 folgenden Befehl aus:

      gcloud scc bqexports delete my-bq-export \
    --organization=123

Java

Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten

Im folgenden Beispiel wird die v1 API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Fügen Sie bei den meisten Ressourcen dem Ressourcennamen nach /PARENT/PARENT_ID die Zahl /locations/LOCATION hinzu. Dabei steht PARENT für organizations, folders oder projects.

Fügen Sie bei Ergebnissen dem Ressourcennamen nach /sources/SOURCE_ID die Zeichenfolge /locations/LOCATION hinzu. Dabei ist SOURCE_ID die ID des Security Command Center-Dienstes, der das Ergebnis ausgegeben hat. 


import com.google.cloud.securitycenter.v1.DeleteBigQueryExportRequest;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import java.io.IOException;

public class DeleteBigQueryExport {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Modify the following variable values.

    // parent: Use any one of the following resource paths:
    //              - organizations/{organization_id}
    //              - folders/{folder_id}
    //              - projects/{project_id}
    String parent = String.format("projects/%s", "your-google-cloud-project-id");

    // bigQueryExportId: Unique identifier that is used to identify the export.
    String bigQueryExportId = "export-id";

    deleteBigQueryExport(parent, bigQueryExportId);
  }

  // Delete an existing BigQuery export.
  public static void deleteBigQueryExport(String parent, String bigQueryExportId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      DeleteBigQueryExportRequest bigQueryExportRequest =
          DeleteBigQueryExportRequest.newBuilder()
              .setName(String.format("%s/bigQueryExports/%s", parent, bigQueryExportId))
              .build();

      client.deleteBigQueryExport(bigQueryExportRequest);
      System.out.printf("BigQuery export request deleted successfully: %s", bigQueryExportId);
    }
  }
}

Python

Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten

Im folgenden Beispiel wird die v1-API verwendet. Wenn Sie das Beispiel für Version 2 anpassen möchten, ersetzen Sie v1 durch v2 und fügen Sie dem Ressourcennamen /locations/LOCATION hinzu.

Fügen Sie bei den meisten Ressourcen dem Ressourcennamen nach /PARENT/PARENT_ID die Zahl /locations/LOCATION hinzu. Dabei steht PARENT für organizations, folders oder projects.

Fügen Sie bei Ergebnissen dem Ressourcennamen nach /sources/SOURCE_ID die Zeichenfolge /locations/LOCATION hinzu. Dabei ist SOURCE_ID die ID des Security Command Center-Dienstes, der das Ergebnis ausgegeben hat. 

def delete_bigquery_export(parent: str, bigquery_export_id: str):
    """
    Delete an existing BigQuery export.
    Args:
        parent: Use any one of the following resource paths:
                 - organizations/{organization_id}
                 - folders/{folder_id}
                 - projects/{project_id}
        bigquery_export_id: Unique identifier that is used to identify the export.
    """
    from google.cloud import securitycenter

    client = securitycenter.SecurityCenterClient()

    request = securitycenter.DeleteBigQueryExportRequest()
    request.name = f"{parent}/bigQueryExports/{bigquery_export_id}"

    client.delete_big_query_export(request)
    print(f"BigQuery export request deleted successfully: {bigquery_export_id}")

Nachdem Sie die Exportkonfiguration gelöscht haben, können Sie die Daten aus Looker Studio Weitere Informationen finden Sie unter Datenquelle entfernen, löschen und wiederherstellen.

Ergebnisse in BigQuery prüfen

Nachdem Sie eine Exportkonfiguration erstellt haben, werden neue Ergebnisse in das BigQuery-Dataset in dem von Ihnen angegebenen Projekt exportiert.

So prüfen Sie die Ergebnisse in BigQuery:

  1. Wechseln Sie zum Projekt in BigQuery.

    BigQuery aufrufen

  2. Wenn Sie sich nicht im richtigen Projekt befinden, gehen Sie so vor:

    1. Klicken Sie in der Symbolleiste auf die Projektauswahl .
    2. Wählen Sie neben Auswählen aus Ihre Organisation aus.
    3. Wählen Sie in der Projektliste Ihr Projekt aus.

  3. Maximieren Sie im Bereich Explorer den Knoten für Ihr Projekt.

  4. Erweitern Sie Ihr Dataset.

  5. Klicken Sie auf die Tabelle Ergebnisse.

  6. Klicken Sie im geöffneten Tab auf Vorschau. Ein Beispielsatz mit Daten wird angezeigt.

Nützliche Abfragen

Dieser Abschnitt enthält Beispielabfragen für die Analyse von Ergebnisdaten. Ersetzen Sie in den folgenden Beispielen DATASET durch den Ihrem Dataset zugewiesenen Namen und PROJECT_ID durch den Projektnamen für Ihr Dataset.

Informationen zur Behebung von Fehlern finden Sie unter Fehlermeldungen.

Die Anzahl neuer Ergebnisse, die täglich erstellt und aktualisiert werden

SELECT
    FORMAT_DATETIME("%Y-%m-%d", event_time) AS date,
    count(DISTINCT finding_id)
FROM `PROJECT_ID.DATASET.findings`
GROUP BY date
ORDER BY date DESC

Der neueste Ergebnisdatensatz für jedes Ergebnis

SELECT
    * EXCEPT(row)
FROM (
    SELECT *, ROW_NUMBER() OVER(
        PARTITION BY finding_id
        ORDER BY event_time DESC, finding.mute_update_time DESC
    ) AS row
    FROM `PROJECT_ID.DATASET.findings`
)
WHERE row = 1

Aktive Ergebnisse, sortiert nach Zeit

WITH latestFindings AS (
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
ORDER BY event_time DESC

Aktuelle Ergebnisse in einem Projekt

WITH latestFindings AS (
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
WHERE resource.project_display_name = 'PROJECT'

Ersetzen Sie PROJECT durch den Projektnamen.

Aktuelle Ergebnisse in einem Ordner

WITH latestFindings AS(
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
CROSS JOIN UNNEST(resource.folders) AS folder
WHERE folder.resource_folder_display_name = 'FOLDER'

Ersetzen Sie FOLDER durch den Ordnernamen.

Aktuelle Ergebnisse des Scanners Logging Scanner

WITH latestFindings AS (
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
CROSS JOIN UNNEST(finding.source_properties) AS source_property
WHERE source_property.key = "ScannerName"
  AND source_property.value = "LOGGING_SCANNER"

Aktuell aktive Ergebnisse vom Typ Persistence: IAM Anomalous Grant

WITH latestFindings AS(
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
  AND finding.category = "Persistence: IAM Anomalous Grant"

Aktive Ergebnisse eines bestimmten Typs mit Cloud-Audit-Logs korrelieren

Diese Beispielabfrage hilft, anomale IAM-Erteilungsergebnisse aus Event Threat Detection mithilfe von Cloud-Audit-Logs zu untersuchen. Dazu wird die Sequenz der Administratoraktivitätsaktion während des Zeitfensters vor und auf die Ausführung der anomalen IAM-Zuweisungsaktion angezeigt. Die folgende Abfrage korreliert Administratoraktivitätslogs zwischen einer Stunde vor und einer Stunde nach dem Zeitstempel des Ergebnisses.

WITH latestFindings AS(
    SELECT * EXCEPT(row)
    FROM (
        SELECT *, ROW_NUMBER() OVER(
            PARTITION BY finding_id
            ORDER BY event_time DESC, finding.mute_update_time DESC
        ) AS row
        FROM `PROJECT_ID.DATASET.findings`
    ) WHERE row = 1
)
SELECT
  finding_id,
  ANY_VALUE(event_time) as event_time,
  ANY_VALUE(finding.access.principal_email) as grantor,
  JSON_VALUE_ARRAY(ANY_VALUE(finding.source_properties_json), '$.properties.sensitiveRoleGrant.members') as grantees,
  ARRAY_AGG(
    STRUCT(
      timestamp,
      IF(timestamp < event_time, 'before', 'after') as timeline,
      protopayload_auditlog.methodName,
      protopayload_auditlog.resourceName,
      protopayload_auditlog.serviceName
    )
    ORDER BY timestamp ASC
  ) AS recent_activity
FROM (
  SELECT
    f.*,
    a.*,
  FROM latestFindings AS f
  LEFT JOIN `PROJECT_ID.DATASET.cloudaudit_googleapis_com_activity` AS a
  ON a.protopayload_auditlog.authenticationInfo.principalEmail = f.finding.access.principal_email
  WHERE f.finding.state = "ACTIVE"
    AND f.finding.category = "Persistence: IAM Anomalous Grant"
    AND a.timestamp >= TIMESTAMP_SUB(f.event_time, INTERVAL 1 HOUR)
    AND a.timestamp <= TIMESTAMP_ADD(f.event_time, INTERVAL 1 HOUR)
  )
GROUP BY
  finding_id
ORDER BY
  event_time DESC

Die Ausgabe sieht in etwa so aus:

Screenshot von Abfrageergebnissen mit Ergebnissen korrelierter Audit-Logs

Diagramme in Looker Studio erstellen

Mit Looker Studio können Sie interaktive Berichte und Dashboards erstellen.

Im Allgemeinen fallen Kosten für die BigQuery-Nutzung an, wenn Sie über Looker Studio auf BigQuery zugreifen. Weitere Informationen finden Sie unter BigQuery-Daten mit Looker Studio visualisieren.

So erstellen Sie ein Diagramm, das die Ergebnisdaten nach Schweregrad und Kategorie visualisiert:

  1. Öffnen Sie Looker Studio und melden Sie sich an.
  2. Wenn Sie dazu aufgefordert werden, geben Sie zusätzliche Informationen an und richten Sie andere Einstellungen ein. Lesen Sie die Nutzungsbedingungen und fahren Sie fort, wenn Sie zufrieden sind.
  3. Klicken Sie auf Leerer Bericht.
  4. Klicken Sie auf dem Tab Datenverbindung herstellen auf die Karte BigQuery.
  5. Wenn Sie dazu aufgefordert werden, gewähren Sie Looker Studio Zugriff auf BigQuery-Projekte

  6. Stellen Sie eine Verbindung zu Ihren Ergebnisdaten her:

    1. Wählen Sie unter Projekt das Projekt für Ihr Dataset aus. Oder in der Meine Projekte Ihre Projekt-ID ein, um danach zu suchen.
    2. Klicken Sie unter Dataset auf den Namen Ihres Datasets.
    3. Klicken Sie unter Tabelle auf Ergebnisse.
    4. Klicken Sie auf Add.
    5. Klicken Sie im Dialogfeld auf Zum Bericht hinzufügen.

  7. Nachdem der Bericht hinzugefügt wurde, klicken Sie auf Diagramm hinzufügen.

  8. Klicken Sie auf Gestapeltes Säulendiagramm und dann auf den Bereich, den Sie platziere es.

    Screenshot der Diagrammauswahl

  9. Legen Sie im Bereich Diagramm > Balken auf dem Tab Daten die folgenden Felder fest:

    1. Wählen Sie im Feld Dimension die Option finding.severity aus.
    2. Wählen Sie im Feld Aufschlüsselungsdimension die Option finding.category aus.
    Screenshot eines Diagramms mit Ergebnissen, die nach Schweregrad und nach Kategorie unterteilt

Der Bericht wird so aktualisiert, dass er mehrere Spalten mit nach Schweregrad und Kategorie aufgeschlüsselten Ergebnissen enthält.

Nächste Schritte

Hier erfahren Sie, wie Sie Eine Abfrage in BigQuery ausführen