Neste guia, você aprende a criar e atualizar descobertas usando a API Security Command Center.
Antes de começar
Antes de criar e atualizar descobertas, você precisa concluir o seguinte:
Para concluir este guia, você precisa ter o papel Editor de descobertas da Central
de segurança (securitycenter.findingsEditor
) do Identity and Access Management (IAM) no nível da
organização. Para mais informações sobre
os papéis do Security Command Center, consulte
Controle de acesso.
Para criar descobertas com marcações de segurança, é preciso ter também um papel do IAM que inclua permissões para o tipo de marcação que você quer usar:
- Gravador de marcação de segurança de recursos (
securitycenter.assetSecurityMarksWriter
) - Como encontrar o gravador de marcações de segurança (
securitycenter.findingSecurityMarksWriter
)
Para mais informações sobre marcações, consulte Como usar marcações de segurança do Security Command Center.
Como criar uma descoberta
Crie uma descoberta ativa para uma fonte.
gcloud scc findings createFINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Substitua:
FINDING_NAME
: o nome da descoberta.PARENT_ID
: o ID numérico da organização mãe.LOCATION
: se a residência de dados estiver ativada, o local do Security Command Center em que uma descoberta será criada. Se a residência de dados não estiver ativada, use o valorglobal
.SOURCE_ID
: o ID numérico da origem da descoberta.STATE
: o estado da descoberta. UseACTIVE
se a descoberta precisar de atenção ouINACTIVE
se ela tiver sido resolvida.CATEGORY
: o grupo de taxonomia ao qual a descoberta pertence. Por exemplo,AUDIT_LOGGING_DISABLED
.EVENT_TIME
: o horário em que o evento ocorreu, formatado como um carimbo de data/hora RFC 822 ou outro formato de carimbo de data/hora compatível com a CLI gcloud.RESOURCE_NAME
: o nome completo do recurso a que a descoberta se aplica.
Para informações sobre como os dados de descobertas são armazenados no Security Command Center, leia Retenção de descobertas.
Como atualizar o estado de uma descoberta
O Security Command Center também fornece uma API para atualizar apenas o estado de uma descoberta. Essa API existe para fornecer uma maneira de atualizar apenas o estado de uma descoberta. É uma API simples que também permite que os principais permissões só possam modificar o estado e nenhum outro aspecto de uma descoberta. Veja no exemplo abaixo como alterar o estado de uma descoberta para inativa.
gcloud scc findings update \PARENT /PARENT_ID /sources/SOURCE_ID /locations/LOCATION /findings/FINDING_NAME \ --state=STATE
Substitua:
PARENT
: o nível da hierarquia de recursos em que a descoberta está localizada. Useorganizations
,folders
ouprojects
.PARENT_ID
: o ID numérico da organização, pasta ou projeto pai ou o ID alfanumérico do projeto pai.SOURCE_ID
: o ID numérico da origem da descoberta.LOCATION
: se a residência de dados estiver ativada, o local do Security Command Center em que uma descoberta será atualizada. Se a residência de dados não estiver ativada, use o valorglobal
.FINDING_NAME
: a descoberta a ser atualizada.STATE
: o estado da descoberta. UseACTIVE
se a descoberta precisar de atenção ouINACTIVE
se ela tiver sido resolvida.
A seguir
Saiba mais sobre como acessar o Security Command Center usando bibliotecas de cliente.