En esta guía, se describe cómo usar la API de Security Command Center para administrar las marcas de seguridad. Las marcas de seguridad, o “marcas”, son anotaciones personalizables sobre los elementos o resultados en Security Command Center que te permiten agregar tu propio contexto empresarial a estos objetos.
Puedes agregar o actualizar marcas de seguridad solo en los recursos compatibles Security Command Center. Para obtener una lista de los recursos que Security Command Center compatibles, consulta Tipos de recursos admitidos en Security Command Center.
Antes de comenzar
Antes de poder trabajar con marcas de seguridad, debes configurar una cuenta de servicio y SDK.
A fin de agregar o cambiar marcas de seguridad, debes tener una función de administración de identidades y accesos que incluya permisos para el tipo de marca que desees usar:
- Marcas del recurso: escritor de marcas de seguridad de recursos,
securitycenter.assetSecurityMarksWriter
- Marcas de los resultados: escritor de marcas de seguridad de resultados,
securitycenter.findingSecurityMarksWriter
Para obtener más información sobre los roles de IAM en Security Command Center, consulta Control de acceso. Para aprender a usar las políticas eficazmente, descubre Usa las marcas de seguridad de Security Command Center.
Agrega o actualiza las marcas de seguridad de los activos
Cuando usas la API de Security Command Center, agregar y actualizar marcas de seguridad es la misma operación. En el siguiente ejemplo, se muestra cómo agregar marcas de seguridad para dos pares clave-valor (key_a, value_a)
y (key_b, value_b)
.
En el siguiente código, se usan máscaras de campo para garantizar que solo se actualicen esos valores. Si no se proporcionan máscaras de campo, todas las marcas de seguridad se borran antes de agregar las claves y los valores dados.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=value_a,key_b=value_b" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Lee Administra políticas. a fin de obtener información sobre marcas de activos dedicadas para los detectores de Security Health Analytics.
Elimina marcas de seguridad en elementos
La eliminación de las marcas de seguridad específicas se realiza de forma similar a fin de agregarlas o actualizarlas. En particular, llama a la actualización con una máscara de campo, pero sin cualquier valor correspondiente. En el siguiente ejemplo, se borran las marcas de seguridad con claves key_a
y key_b
.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --update-mask $UPDATE_MASK
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Agrega y borra marcas de seguridad en la misma solicitud
La técnica para agregar y actualizar las marcas de seguridad y borrar las marcas de seguridad se puede combinar en la misma solicitud. En el siguiente ejemplo, key_a
se actualiza mientras se borra key_b
.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=new_value_for_a" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc assets update-marks --help
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=new_value_for_a" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Agregar marcas de seguridad a los resultados
Agregar, actualizar y borrar marcas de seguridad de los resultados sigue el mismo proceso que actualizar las marcas de seguridad en los elementos. El único cambio es el nombre del recurso que se usa en la llamada a la API. En lugar de un recurso de elemento, debes proporcionar un nombre de recurso de búsqueda.
Por ejemplo, para actualizar las marcas de seguridad en un resultado, usa el siguiente código:
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid SECURITY_MARKS="key_a=value_a,key_b=value_b" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc findings update-marks $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc findings update-marks --help
Python
Java
Go
Node.js
Las marcas de seguridad se procesan durante los análisis por lotes (que se ejecutan dos veces por día) y no en tiempo real. Puede haber un retraso de 12 a 24 horas antes de que se muestren las marcas de seguridad se aplican las políticas procesadas y de aplicación que resuelven o vuelven a abrir los hallazgos.
Enumera elementos con filtros de marcas de seguridad
Después de establecer las marcas de seguridad en un recurso, se pueden usar en el argumento del filtro para la llamada a la API ListAssets
. Por ejemplo, para consultar todos los elementos en los que key_a = value_a
, usa el siguiente código:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter "$FILTER"
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc assets list --help
Python
Java
Go
Node.js
Enumera los resultados con los filtros de marcas de seguridad
Después de establecer las marcas de seguridad en un resultado, se pueden usar en el argumento del filtro a la llamada a la API ListFindings
. Por ejemplo, para consultar todos los elementos en los que key_a != value_a
, usa el siguiente código:
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 FILTER="NOT security_marks.marks.key_a=\"value_a\"" gcloud scc findings list $ORGANIZATION \ --source $SOURCE \ --filter "$FILTER"
Para obtener más ejemplos, ejecuta lo siguiente:
gcloud scc findings list --help
Python
Java
Go
Node.js
¿Qué sigue?
- Obtén más información sobre enumerar los resultados y de fichas.