Questa guida illustra come creare e aggiornare i risultati utilizzando l'API Security Command Center.
Prima di iniziare
Prima di creare e aggiornare i risultati, devi completare quanto segue:
Per completare la guida, devi disporre del ruolo Editor risultati Security Center (securitycenter.findingsEditor
) di Identity and Access Management (IAM) a livello di organizzazione. Per maggiori informazioni sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Se vuoi creare risultati con contrassegni di sicurezza, devi disporre anche di un ruolo IAM che includa le autorizzazioni per il tipo di contrassegno che vuoi utilizzare:
- Asset Security Marks Writer (
securitycenter.assetSecurityMarksWriter
) - Finding Security Marks Writer (
securitycenter.findingSecurityMarksWriter
)
Per maggiori informazioni sui contrassegni, consulta la pagina relativa all'utilizzo dei contrassegni di sicurezza di Security Command Center.
Creare un risultato
Crea un risultato attivo per un'origine.
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid # EVENT_TIME follows the format YYYY-MM-DDThh:mm:ss.ffffffZ EVENT_TIME=2019-02-28T07:00:06.861Z STATE=ACTIVE CATEGORY=MEDIUM_RISK_ONE RESOURCE_NAME=//cloudresourcemanager.googleapis.com/projects/PROJECT_ID gcloud scc findings create $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --state $STATE \ --category $CATEGORY \ --event-time $EVENT_TIME --resource-name $RESOURCE_NAME
Per altri esempi, esegui:
gcloud scc findings create --help
Python
Java
Go
Node.js
Per informazioni sul tempo di archiviazione dei dati dei risultati in Security Command Center, consulta Conservazione dei risultati.
Creazione di un risultato con le proprietà sorgente
Security Command Center consente alle origini di aggiungere contesto ai risultati tramite metadati chiave-valore denominati "Proprietà sorgente". Le proprietà sorgente possono essere inizializzate al momento della creazione. L'esempio seguente mostra come creare un risultato con le proprietà sorgente.
Crea un risultato con le proprietà sorgente. La lunghezza dei nomi delle chiavi nella mappa source_properties
deve essere compresa tra 1 e 255 caratteri, deve iniziare con una lettera e contenere solo caratteri alfanumerici o trattini bassi.
Security Command Center supporta solo i valori booleano, numero e stringa.
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid # EVENT_TIME follows the format YYYY-MM-DDThh:mm:ss.ffffffZ EVENT_TIME=2019-02-28T07:00:06.861Z STATE=ACTIVE CATEGORY=MEDIUM_RISK_ONE SOURCE_PROPERTY_KEY=gcloud_client_test SOURCE_PROPERTY_VALUE=value RESOURCE_NAME=//cloudresourcemanager.googleapis.com/projects/PROJECT_ID gcloud scc findings create $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --state $STATE \ --category $CATEGORY \ --event-time $EVENT_TIME \ --source-properties $SOURCE_PROPERTY_KEY=$SOURCE_PROPERTY_VALUE --resource-name $RESOURCE_NAME
- Puoi aggiungere altre proprietà sorgente utilizzando un elenco separato da virgole di coppie chiave/valore.
Per altri esempi, esegui:
gcloud scc findings create --help
Python
Java
Go
Node.js
Aggiornare le proprietà sorgente di un risultato
Questo esempio mostra come aggiornare singole proprietà sorgente e l'ora dell'evento. Utilizza le maschere dei campi solo per aggiornare campi specifici. Senza le maschere di campo, i nuovi valori sostituiscono tutti i campi modificabili del risultato.
Come nel caso della creazione di un nuovo risultato, i nomi delle chiavi nella mappa source_properties
devono contenere da 1 a 255 caratteri, iniziare con una lettera e contenere solo caratteri alfanumerici o trattini bassi. Security Command Center supporta solo
i valori booleano, numero e stringa.
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid # EVENT_TIME follows the format YYYY-MM-DDThh:mm:ss.ffffffZ EVENT_TIME=2019-02-28T08:00:06.861Z SOURCE_PROPERTY_KEY=gcloud_client_test SOURCE_PROPERTY_VALUE=VALUE UPDATE_MASK=source_properties,event_time gcloud scc findings update $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --event-time $EVENT_TIME \ --source-properties $SOURCE_PROPERTY_KEY=$SOURCE_PROPERTY_VALUE \ --update-mask=$UPDATE_MASK
- Utilizza --update-mask '' (vuoto) per sostituire tutti i campi modificabili.
- Puoi aggiungere altre proprietà sorgente utilizzando un elenco separato da virgole di coppie chiave/valore.
Per altri esempi, esegui:
gcloud scc findings update --help
Python
Java
Go
Node.js
Aggiornamento dello stato di un risultato
Security Command Center fornisce inoltre un'API per aggiornare solo lo stato di un risultato. Questa API serve a fornire un mezzo per aggiornare solo lo stato di un risultato. È un'API semplice che consente alle entità di concedere le autorizzazioni solo di modificare lo stato e nessun altro aspetto di un risultato. L'esempio seguente mostra come modificare lo stato di un risultato in inattivo.
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid # EVENT_TIME follows the format YYYY-MM-DDThh:mm:ss.ffffffZ EVENT_TIME=2019-02-28T09:00:06.861Z STATE=INACTIVE gcloud scc findings update $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --state $STATE \ --event-time $EVENT_TIME
Per altri esempi, esegui:
gcloud scc findings update --help
Python
Java
Go
Node.js
Verifica delle autorizzazioni dei risultati in corso...
La creazione e l'aggiornamento dei risultati richiede una delle seguenti autorizzazioni IAM:
- Creazione e aggiornamento dei risultati:
securitycenter.findings.update
. - Aggiornamento dei soli risultati in corso:
securitycenter.findings.setState
.
Se non riesci a creare risultati per un'origine, utilizza il codice seguente per confermare che il tuo account disponga delle autorizzazioni richieste elencate nella sezione Prima di iniziare. Se non disponi delle autorizzazioni necessarie, consulta Creazione e gestione delle origini di sicurezza per configurare i criteri IAM appropriati.
Python
Java
Go
Node.js
Passaggi successivi
Scopri di più sull'accesso a Security Command Center tramite un SDK.