En esta guía, se explica cómo crear y actualizar resultados con la API de Security Command Center.
Antes de comenzar
Antes de crear y actualizar los resultados, debes completar lo siguiente:
Para completar esta guía, debes tener la función de Identity and Access Management (IAM) Editor de hallazgos del centro de seguridad (securitycenter.findingsEditor
) en el nivel de la organización. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Si deseas crear resultados con marcas de seguridad, también debes tener una función de IAM que incluya permisos para el tipo de marca que deseas usar:
- Escritor de marcas de seguridad de activos (
securitycenter.assetSecurityMarksWriter
) - Escritor de marcas de seguridad de resultados (
securitycenter.findingSecurityMarksWriter
)
Para obtener más información sobre las marcas, consulta Usa marcas de seguridad de Security Command Center.
Crea un resultado
Crea un resultado activo para una fuente.
gcloud
gcloud scc findings create FINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Reemplaza lo siguiente:
FINDING_NAME
: Es el nombre del hallazgo.PARENT_ID
: El ID numérico de la organización superior.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se creará un hallazgo. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: Es el ID numérico de la fuente del resultado.STATE
: Es el estado del hallazgo. UsaACTIVE
si el hallazgo requiere atención oINACTIVE
si se solucionó.CATEGORY
: Es el grupo de taxonomía al que pertenece el hallazgo, por ejemplo,AUDIT_LOGGING_DISABLED
.EVENT_TIME
: La hora en la que ocurrió el evento, con el formato de una marca de tiempo RFC 822 o de otro formato de marca de tiempo que gcloud CLI de gcloud.RESOURCE_NAME
: Es el nombre completo del recurso al que se aplica el hallazgo.
Go
Java
Node.js
Python
Para obtener información sobre durante cuánto tiempo se almacenan los datos de resultados en Security Command Center, lee Retención de resultados.
Actualiza el estado de un resultado
Security Command Center también proporciona una API para actualizar solo el estado de un resultado. Esta API existe para proporcionar un medio de actualización solo el estado de un resultado. Es una API simple que también permite que los principales de permiso solo puedan modificar el estado y no otro aspecto de un resultado. En el siguiente ejemplo, se muestra cómo cambiar el estado de un resultado a inactivo.
gcloud
gcloud scc findings update \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --state=STATE
Reemplaza lo siguiente:
PARENT
: Es el nivel de la jerarquía de recursos en el que se encuentra el hallazgo. Usaorganizations
,folders
oprojects
.PARENT_ID
: El ID numérico de la organización, la carpeta o el proyecto superior, o el ID alfanumérico del proyecto superior.SOURCE_ID
: Es el ID numérico de la fuente del resultado.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se actualizará un hallazgo. Si la residencia de datos no está habilitada, usa el valorglobal
.FINDING_NAME
: Es el hallazgo que se actualizará.STATE
: Es el estado del hallazgo. UsaACTIVE
si el hallazgo requiere atención oINACTIVE
si se solucionó.
Go
Java
Node.js
¿Qué sigue?
Obtén más información para acceder a Security Command Center con bibliotecas cliente.