In diesem Leitfaden wird beschrieben, wie Sie mit der Security Command Center API Sicherheitsmarkierungen verwalten. Sicherheitsmarkierungen oder „Markierungen“ sind anpassbare Annotationen für Assets oder Ergebnisse in Security Command Center, mit denen Sie Objekten Ihren eigenen geschäftlichen Kontext hinzufügen können.
Sie können Sicherheitsmarkierungen nur für Assets hinzufügen oder aktualisieren, die von Security Command Center unterstützt werden. Eine Liste der von Security Command Center unterstützten Assets finden Sie unter Unterstützte Asset-Typen in Security Command Center.
Hinweise
Bevor Sie mit Sicherheitsmarkierungen arbeiten können, müssen Sie ein Dienstkonto und SDK einrichten.
Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:
- Asset-Markierungen: Autor für Asset-Sicherheitsmarkierungen,
securitycenter.assetSecurityMarksWriter
- Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen,
securitycenter.findingSecurityMarksWriter
Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung. Informationen zur effektiven Verwendung von Sicherheitsmarkierungen finden Sie unter Sicherheitsmarkierungen im Security Command Center verwenden.
Sicherheitsmarkierungen für Assets hinzufügen oder aktualisieren
Wenn die Security Command Center API verwendet wird, erfolgt das Hinzufügen und Aktualisieren von Sicherheitsmarkierungen auf dieselbe Weise. Das folgende Beispiel zeigt, wie Sie Sicherheitsmarkierungen für zwei Schlüssel/Wert-Paare (key_a, value_a)
und (key_b, value_b)
hinzufügen.
Im folgenden Code werden Feldmasken verwendet, damit nur diese Werte aktualisiert werden. Wenn keine Feldmasken angegeben sind, werden alle Sicherheitsmarkierungen gelöscht, bevor die jeweiligen Schlüssel und Werte hinzugefügt werden.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
ASSET_ID
: das zu aktualisierende Asset.PARENT
: Die Ebene der Ressourcenhierarchie, in der sich das Asset befindet. Verwenden Sieorganization
,folder
oderproject
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der Security Command Center-Standort, an dem ein Sicherheitshinweis für ein Asset aktualisiert werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.SECURITY_MARKS
: Komma getrennte Schlüssel/Wert-Paare, die Sicherheitszeichen und ihre Werte darstellen, z. B.key_a=value_a,key_b=value_b
.UPDATE_MASK
: durch Kommas getrennte Liste der Felder für Sicherheitsmarkierungen, die für das Asset aktualisiert werden sollen, z. B.marks.key_a,marks.key_b
.
Go
Python
Informationen zu dedizierten Asset-Markierungen für Detektoren von Security Health Analytics finden Sie unter Richtlinien verwalten.
Sicherheitsmarkierungen für Assets löschen
Das Löschen bestimmter Sicherheitsmarkierungen erfolgt auf ähnliche Weise wie das Hinzufügen oder Aktualisieren, insbesondere das Aufrufen der Aktualisierung mit einer Feldmaske, jedoch ohne entsprechenden Wert. Im folgenden Beispiel werden Sicherheitsmarkierungen mit den Schlüsseln key_a
und key_b
gelöscht.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: das zu aktualisierende Asset.PARENT
: Die Ebene der Ressourcenhierarchie, in der sich das Asset befindet. Verwenden Sieorganization
,folder
oderproject
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Speicherort, an dem ein Sicherheitskennzeichen aus einem Asset gelöscht werden soll. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.UPDATE_MASK
: durch Kommas getrennte Liste der Felder für Sicherheitskennzeichen, die aus dem Asset gelöscht werden sollen, z. B.marks.key_a,marks.key_b
.
Node.js
Python
Sicherheitsmarkierungen in derselben Anfrage hinzufügen und löschen
Die Technik zum Hinzufügen und Aktualisieren von Sicherheitsmarkierungen und zum Löschen von Sicherheitsmarkierungen kann in derselben Anfrage kombiniert werden. Im folgenden Beispiel wird key_a
aktualisiert, während key_b
gelöscht wird.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: das zu aktualisierende Asset.PARENT
: Die Ebene der Ressourcenhierarchie, in der sich das Asset befindet. Verwenden Sieorganization
,folder
oderproject
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der Security Command Center-Speicherort, an dem Sicherheitsmarkierungen für ein Asset aktualisiert und gelöscht werden sollen. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.SECURITY_MARKS
: Komma getrennte Schlüssel/Wert-Paare, die Sicherheitshinweise darstellen, die Sie aktualisieren möchten, z. B.key_a=value_a
. Sicherheitshinweise, die Sie löschen möchten, müssen weggelassen werden.UPDATE_MASK
: eine durch Kommas getrennte Liste der Felder für Sicherheitskennzeichen, die aktualisiert oder gelöscht werden sollen, z. B.marks.key_a,marks.key_b
.
Node.js
Python
Sicherheitsmarkierungen zu Ergebnissen hinzufügen
Das Hinzufügen, Aktualisieren und Löschen von Sicherheitsmarkierungen für Ergebnisse erfolgt auf die gleiche Weise wie das Aktualisieren von Sicherheitsmarkierungen in Assets. Der einzige Unterschied ist der Name der im API-Aufruf verwendeten Ressource. Geben Sie anstelle einer Asset-Ressource einen Ressourcennamen für die Suche an.
Verwenden Sie beispielsweise den folgenden Code, um Sicherheitsmarkierungen für ein Ergebnis zu aktualisieren:
gcloud
gcloud scc findings update-marks \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
PARENT
: die Ebene der Ressourcenhierarchie, in der sich der Wert befindet. Verwenden Sieorganizations
,folders
oderprojects
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.SOURCE_ID
: die Quell-ID.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der Security Command Center-Speicherort, an dem ein Sicherheitshinweis für ein Ergebnis aktualisiert werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.FINDING_NAME
: die zu aktualisierende Feststellung.SECURITY_MARKS
: Komma getrennte Schlüssel/Wert-Paare, die Sicherheitszeichen und ihre Werte darstellen, z. B.key_a=value_a,key_b=value_b
.UPDATE_MASK
: durch Kommas getrennte Liste der Felder für Sicherheitsmarkierungen, die für das Asset aktualisiert werden sollen, z. B.marks.key_a,marks.key_b
.
Java
Node.js
Python
Sicherheitsmarkierungen werden während Batch-Scans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann 12 bis 24 Stunden dauern, bis Sicherheitsmarkierungen verarbeitet und Erzwingungsrichtlinien angewendet werden, die Ergebnisse auflösen oder wieder öffnen.
Assets mit Sicherheitsmarkierungsfiltern auflisten
Wenn Sicherheitsmarkierungen für ein Asset festgelegt sind, können sie im Filterargument für den API-Aufruf ListAssets
verwendet werden. Wenn Sie beispielsweise alle Assets abfragen möchten, bei denen key_a = value_a
verwendet wird, verwenden Sie den folgenden Code:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter="$FILTER"
Go
Java
Node.js
Python
Ergebnisse mit Sicherheitsmarkierungsfiltern auflisten
Wenn Sicherheitsmarkierungen für ein Ergebnis festgelegt sind, können sie im Filterargument für den API-Aufruf ListFindings
verwendet werden. Wenn Sie beispielsweise alle Assets mit key_a != value_a
abfragen möchten, verwenden Sie den folgenden Code:
gcloud
gcloud scc findings list PARENT/PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --filter=FILTER
PARENT
: die Ebene der Ressourcenhierarchie, in der sich der Wert befindet. Verwenden Sieorganizations
,folders
oderprojects
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, der Standort im Security Command Center, an dem die Ergebnisse aufgeführt werden sollen. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.SOURCE_ID
: die Quell-ID.FILTER
: Der Filter, der auf die Ergebnisse angewendet werden soll. Wenn Sie beispielsweise Ergebnisse mit der Sicherheitsmarkierungkey_a=value_a
ausschließen möchten, verwenden Sie"NOT security_marks.marks.key_a=\"value_a\""
.
Go
Java
Node.js
Python
Nächste Schritte
- Weitere Informationen finden Sie unter Ergebnisse auflisten und Assets auflisten.