Questa guida descrive come utilizzare l'API Security Command Center per gestire i segni di sicurezza. I contrassegni di sicurezza, o "contrassegni", sono annotazioni personalizzabili su asset o risultati in Security Command Center che ti consentono di aggiungere il contesto della tua attività a questi oggetti.
Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, consulta Tipi di asset supportati in Security Command Center.
Prima di iniziare
Prima di poter utilizzare i segni di sicurezza, devi configurare un account di servizio e un SDK.
Per aggiungere o modificare i segni di sicurezza, devi disporre di un ruolo Identity and Access Management che includa le autorizzazioni per il tipo di segno che vuoi utilizzare:
- Contrassegni delle risorse: Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter
- Contrassegni di sicurezza per risultati: Finding Security Marks Writer,
securitycenter.findingSecurityMarksWriter
Per saperne di più sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso. Per scoprire come utilizzare i contrassegni di sicurezza in modo efficace, consulta Utilizzare i contrassegni di sicurezza di Security Command Center.
Aggiunta o aggiornamento dei contrassegni di sicurezza sugli asset
Quando utilizzi l'API Security Command Center, l'aggiunta e l'aggiornamento dei segni di sicurezza sono la stessa operazione. L'esempio seguente mostra come aggiungere segni di sicurezza per due coppie chiave-valore (key_a, value_a)
e (key_b, value_b)
.
Il seguente codice utilizza le maschere di campo per assicurarsi che vengano aggiornati solo questi valori. Se non vengono fornite maschere di campo, tutti i segni di sicurezza vengono cancellati prima di aggiungere le chiavi e i valori specificati.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Sostituisci quanto segue:
ASSET_ID
: la risorsa da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova la risorsa. Utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto principale oppure l'ID alfanumerico del progetto principale.LOCATION
: se la residenza dei dati è attivata, la posizione di Security Command Center in cui aggiornare un contrassegno di sicurezza in una risorsa. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.SECURITY_MARKS
: coppie chiave-valore separate da virgole che rappresentano i segni di sicurezza e i relativi valori; ad esempio,key_a=value_a,key_b=value_b
.UPDATE_MASK
: elenco separato da virgole dei campi del contrassegno di sicurezza da aggiornare per la risorsa, ad esempiomarks.key_a,marks.key_b
.
Vai
Python
Leggi la sezione Gestire i criteri per informazioni sui segni delle risorse dedicati per i rilevatori di Security Health Analytics.
Eliminazione dei contrassegni di sicurezza sugli asset
L'eliminazione di indicatori di sicurezza specifici viene eseguita in modo simile all'aggiunta o all'aggiornamento, chiamando in particolare l'aggiornamento con una maschera di campo, ma senza alcun valore corrispondente. Nell'esempio seguente, i segni di sicurezza con le chiavi key_a
e key_b
vengono eliminati.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: la risorsa da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova la risorsa. Utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto principale oppure l'ID alfanumerico del progetto principale.LOCATION
: se la residenza dei dati è attivata, la località di Security Command Center in cui eliminare un contrassegno di sicurezza da una risorsa. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.UPDATE_MASK
: elenco separato da virgole di campi del contrassegno di sicurezza da eliminare dalla risorsa; ad esempio,marks.key_a,marks.key_b
.
Node.js
Python
Aggiunta ed eliminazione di contrassegni di sicurezza nella stessa richiesta
La tecnica per aggiungere e aggiornare i contrassegni di sicurezza ed eliminarli può essere combinata nella stessa richiesta. Nell'esempio seguente, key_a
viene aggiornato mentre key_b
viene eliminato.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: la risorsa da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova la risorsa. Utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto principale oppure l'ID alfanumerico del progetto principale.LOCATION
: se la residenza dei dati è attivata, la località di Security Command Center in cui aggiornare ed eliminare i segni di sicurezza per una risorsa. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.SECURITY_MARKS
: coppie chiave-valore separate da virgola che rappresentano i segni di sicurezza da aggiornare; ad esempio,key_a=value_a
; ometti i segni di sicurezza da eliminareUPDATE_MASK
: elenco separato da virgole dei campi del contrassegno di sicurezza da aggiornare o eliminare, ad esempiomarks.key_a,marks.key_b
.
Node.js
Python
Aggiunta di contrassegni di sicurezza ai risultati
L'aggiunta, l'aggiornamento e l'eliminazione dei contrassegni di sicurezza per i risultati seguono la stessa procedura di aggiornamento dei contrassegni di sicurezza per gli asset. L'unica modifica è il nome della risorsa utilizzata nella chiamata all'API. Anziché una risorsa asset, fornisci un nome della risorsa di ricerca.
Ad esempio, per aggiornare i contrassegni di sicurezza in un esito, utilizza il seguente codice:
gcloud
gcloud scc findings update-marks \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Sostituisci quanto segue:
PARENT
: il livello della gerarchia delle risorse in cui si trova il rilevamento. Utilizzaorganizations
,folders
oprojects
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto principale oppure l'ID alfanumerico del progetto principale.SOURCE_ID
: l'ID origine.LOCATION
: se la residenza dei dati è attivata, la località di Security Command Center in cui aggiornare un contrassegno di sicurezza in un risultato. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.FINDING_NAME
: il rilevamento da aggiornare.SECURITY_MARKS
: coppie chiave-valore separate da virgole che rappresentano i segni di sicurezza e i relativi valori; ad esempio,key_a=value_a,key_b=value_b
.UPDATE_MASK
: elenco separato da virgole dei campi del contrassegno di sicurezza da aggiornare per la risorsa, ad esempiomarks.key_a,marks.key_b
.
Java
Node.js
Python
I segni di sicurezza vengono elaborati durante le analisi collettive, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i segni di sicurezza vengano elaborati e vengano applicati i criteri di applicazione che risolvono o riaprono i risultati.
Asset della scheda con filtri per contrassegno di sicurezza
Dopo aver impostato i segni di sicurezza su una risorsa, puoi utilizzarli nell'argomento
filter della chiamata API ListAssets
. Ad esempio, per eseguire una query su tutti gli asset
in cui key_a = value_a
, utilizza il seguente codice:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter="$FILTER"
Vai
Java
Node.js
Python
Risultati della scheda con filtri per contrassegno di sicurezza
Dopo aver impostato i segni di sicurezza su un rilevamento, questi possono essere utilizzati nell'argomento di filtro della chiamata API ListFindings
. Ad esempio, per eseguire query su tutti gli asset in cui
key_a != value_a
, utilizza il seguente codice:
gcloud
gcloud scc findings list PARENT/PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --filter=FILTER
PARENT
: il livello della gerarchia delle risorse in cui si trova il rilevamento. Utilizzaorganizations
,folders
oprojects
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto principale oppure l'ID alfanumerico del progetto principale.LOCATION
: se la residenza dei dati è attivata, la località di Security Command Center in cui elencare i risultati. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.SOURCE_ID
: l'ID origine.FILTER
: il filtro da applicare ai risultati. Per esempio, per escludere i risultati con il contrassegno di sicurezzakey_a=value_a
, utilizza"NOT security_marks.marks.key_a=\"value_a\""
Vai
Java
Node.js
Python
Passaggi successivi
- Scopri di più su risultati della scheda e su asset scheda.