Auf dieser Seite wird die Verwendung das Benachrichtigungsfeature der Security Command Center API beschrieben, einschließlich der folgenden Beispiele:
NotificationConfigerstellenNotificationConfigabrufenNotificationConfigaktualisierenNotificationConfiglöschenNotificationConfigauflisten- Pub/Sub-Benachrichtigungen empfangen
Hinweis
Um die Beispiele auf dieser Seite zu verwenden, müssen Sie die Anleitung zum Einrichten von Benachrichtigungen abschließen.
Zur Ausführung der folgenden Beispiele benötigen Sie eine IAM-Rolle (Identity and Access Management) mit den entsprechenden Berechtigungen:
NotificationConfigabrufen und auflisten: Sicherheitscenter-Benachrichtigungsbetrachter oder -bearbeiterNotificationConfigaktualisieren und löschen: Sicherheitscenter-Benachrichtigungsbearbeiter
Hier erhalten Sie weitere Informationen zu den Security Command Center-Rollen.
NotificationConfig erstellen
Zum Erstellen einer NotificationConfig benötigen Sie Folgendes:
- Ein vorhandenes Pub/Sub-Thema, an das Sie Benachrichtigungen senden möchten.
- Erforderliche IAM-Rollen für Ihr Dienstkonto oder das Konto, das Sie zum Ausführen von
gcloud-Toolbefehlen verwenden.
Weitere Informationen finden Sie im Abschnitt Pub/Sub-Thema einrichten in der Anleitung Ergebnis-Benachrichtigungen einrichten.
Beachten Sie vor dem Erstellen eines NotificationConfig Folgendes:
- Jede Organisation kann maximal eine begrenzte Anzahl von
NotificationConfig-Dateien haben. Weitere Informationen finden Sie unter Kontingente und Beschränkungen. - Sie benötigen die IAM-Rolle Organisationsadministrator, um dem Benachrichtigungsdienstkonto oder dem
gcloud-Toolkonto die entsprechenden Rollen zuzuweisen.
Das Feld NotificationConfig enthält ein Feld filter, das Benachrichtigungen auf nützliche Ereignisse beschränkt. In diesem Feld werden alle Filter akzeptiert, die in der Methode findings.list der Security Command Center API verfügbar sind.
So weisen Sie dem Konto mithilfe des gcloud-Befehlszeilentools die IAM-Rolle Sicherheitscenter-Benachrichtigungskonfigurationsbearbeiter zu:
Legen Sie Umgebungsvariablen fest:
Geben Sie den Namen Ihrer Organisation ein:
export ORGANIZATION_ID=organization-idGeben Sie die E-Mail-Adresse des Dienstkontos an, das Sie beim Einrichten von Benachrichtigungen erstellt haben, oder das Konto, das Sie zum Ausführen von
gcloud-Toolbefehlen verwenden:Legen Sie die E-Mail-Adresse für das Konto fest, mit dem
gcloud-Tool-Befehle ausgeführt werden:export EMAIL=your-username@email.comOder legen Sie die E-Mail-Adresse des Dienstkontos fest:
export EMAIL=service-account-name@$CONSUMER_PROJECT.iam.gserviceaccount.com
Weisen Sie dem Dienstkonto oder dem Konto, das Sie mit
gcloud-Toolbefehlen verwendet haben, die erforderliche Rolle zu:Weisen Sie die Rolle dem Konto zu, mit dem die Befehle des
gcloud-Tools ausgeführt werden:gcloud organizations add-iam-policy-binding \ $ORGANIZATION_ID \ --member="user:$EMAIL" \ --role='roles/securitycenter.notificationConfigEditor'Oder weisen Sie dem Dienstkonto die Rolle zu:
gcloud organizations add-iam-policy-binding \ $ORGANIZATION_ID \ --member="serviceAccount:$EMAIL" \ --role='roles/securitycenter.notificationConfigEditor'
Nachdem Sie dem Dienstkonto oder dem gcloud-Toolkonto Berechtigungen erteilt haben, erstellen Sie NotificationConfig mit der gewünschten Programmiersprache oder Plattform:
gcloud
# The numeric ID of the organization
ORGANIZATION_ID=organization-id
# The topic to which the notifications are published
PUBSUB_TOPIC="projects/project-id/topics/topic-id"
# The description for the NotificationConfig
DESCRIPTION="Notifies for active findings"
# Filters for active findings
FILTER="state=\"ACTIVE\""
gcloud scc notifications create notification-name \
--organization "$ORGANIZATION_ID" \
--description "$DESCRIPTION" \
--pubsub-topic $PUBSUB_TOPIC \
--filter "$FILTER"
Python
Java
Go
Node.js
PHP
Ruby
C#
Benachrichtigungen werden jetzt in dem von Ihnen angegebenen Pub/Sub-Thema veröffentlicht. Zum Veröffentlichen von Benachrichtigungen verwendet Security Command Center ein Dienstkonto auf Organisationsebene im Format service-org-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com mit der Rolle securitycenter.notificationServiceAgent. Diese Dienstkontorolle auf Organisationsebene ist erforderlich, damit Benachrichtigungen funktionieren.
NotificationConfig abrufen
Zum Abrufen eines NotificationConfig benötigen Sie eine IAM-Rolle mit der Berechtigung securitycenter.notification.get.
gcloud
# The numeric ID of the organization and the name of the notification that you want to get
NOTIFICATION="organizations/organization-id/notificationConfigs/notification-name"
gcloud scc notifications describe $NOTIFICATION
Python
Java
Go
Node.js
PHP
Ruby
C#
NotificationConfig aktualisieren
Zum Aktualisieren eines NotificationConfig benötigen Sie eine IAM-Rolle mit der Berechtigung securitycenter.notification.update.
Wenn Sie das Feld mithilfe einer Feldmaske aktualisieren, werden nur die von Ihnen angegebenen Felder aktualisiert. Wenn Sie keine Feldmaske verwenden, werden alle veränderlichen Felder in NotificationConfig durch die neuen Werte ersetzt. Sie können das Pub/Sub-Thema und die Beschreibung mit einer Feldmaske aktualisieren.
Um dieses Beispiel abzuschließen, müssen Sie das neue Thema abonniert haben und Ihr Benachrichtigungsdienstkonto muss die Berechtigung pubsub.topics.setIamPolicy für das Thema haben. So weisen Sie eine entsprechende Rolle zu:
Legen Sie Umgebungsvariablen fest:
Legen Sie die Themen-ID fest:
export TOPIC_ID=topic-idLegen Sie die Projekt-ID für das Projekt fest, in dem Sie die Benachrichtigungs-API aktiviert haben:
export CONSUMER_PROJECT=project-idLegen Sie die E-Mail-Adresse des Dienstkontos fest, das Sie in den vorherigen Schritten erstellt haben:
export SERVICE_ACCOUNT_EMAIL=service-account-name@$CONSUMER_PROJECT.iam.gserviceaccount.com
Gewähren Sie dem Benachrichtigungsdienstkonto eine Rolle mit dem Berechtigungs-
pubsub.topics.setIamPolicy:gcloud pubsub topics add-iam-policy-binding \ projects/$CONSUMER_PROJECT/topics/$TOPIC_ID \ --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \ --role='roles/pubsub.admin'
Nachdem Sie die Dienstkontorolle zugewiesen haben, aktualisieren Sie die NotificationConfig-Beschreibung, das Pub/Sub-Thema und den Filter mit der Sprache Ihrer Wahl:
gcloud
# The topic to which the notifications are published
PUBSUB_TOPIC="projects/project-id/topics/topic-id"
# The description for the NotificationConfig
DESCRIPTION="description"
# The numeric ID of the organization and the name of the notification that you want to update
NOTIFICATION="organizations/organization-id/notificationConfigs/notification-name"
gcloud scc notifications update $NOTIFICATION
--description "$DESCRIPTION" \
--pubsub-topic $PUBSUB_TOPIC \
--filter $FILTER
Python
Java
Go
Node.js
PHP
Ruby
C#
NotificationConfig löschen
Zum Löschen eines NotificationConfig benötigen Sie eine IAM-Rolle mit der Berechtigung securitycenter.notification.delete.
Wenn Sie einen NotificationConfig löschen, bleibt die Rolle securitycenter.notificationServiceAgent im Pub/Sub-Thema. Wenn Sie das Pub/Sub-Thema in keinem anderen NotificationConfig verwenden, entfernen Sie die Rolle aus dem Thema. Weitere Informationen finden Sie unter Zugriffssteuerung.
Löschen Sie einen NotificationConfig mit der Sprache Ihrer Wahl:
gcloud
# The numeric ID of the organization and the name of the notification that you want to delete
NOTIFICATION="organizations/organization-id/notificationConfigs/notification-name"
gcloud scc notifications delete $NOTIFICATION
Python
Java
Go
Node.js
PHP
Ruby
C#
NotificationsConfigs auflisten
Sie benötigen eine IAM-Rolle mit der Berechtigung securitycenter.notification.list, um NotificationConfigs aufzulisten.
Alle Security Command Center API-Listen sind paginiert. Jede Antwort gibt eine Seite mit Ergebnissen und ein Token zurück, um die nächste Seite zurückzugeben. Der Standardwert von pageSize ist 10. Sie können die Seitengröße auf mindestens 1 und maximal 1.000 festlegen.
Listen Sie NotificationConfigs mit der gewünschten Sprache auf:
gcloud
# The numeric ID of the organization
ORGANIZATION=organization-id
gcloud scc notifications list $ORGANIZATION
Python
Java
Go
Node.js
PHP
Ruby
C#
Pub/Sub-Benachrichtigungen erhalten
Dieser Abschnitt enthält eine Beispielbenachrichtigung und Beispiele, die zeigen, wie eine Pub/Sub-Nachricht in eine NotificationMessage umgewandelt wird, die ein Ergebnis enthält.
Benachrichtigungen werden im JSON-Format in Pub/Sub veröffentlicht.
Hier ein Beispiel für eine Benachrichtigung:
{
"notificationConfigName": "organizations/organization-id/notificationConfigs/config-id",
"finding": {
"name": "organizations/organization-id/sources/source-id/findings/finding-id",
"parent": "organizations/organization-id/sources/source-id",
"state": "ACTIVE",
"category": "TEST-CATEGORY",
"securityMarks": {
"name": "organizations/organization-id/sources/source-id/findings/finding-id/securityMarks"
},
"eventTime": "2019-07-26T07:32:37Z",
"createTime": "2019-07-29T18:45:27.243Z"
}
}
Konvertieren Sie eine Pub/Sub-Nachricht mit der Sprache Ihrer Wahl in einen NotificationMessage:
gcloud
Das gcloud-Tool unterstützt nicht die Konvertierung einer Pub/Sub-Nachricht in eine NotificationMessage. Mit dem gcloud-Tool können Sie eine NotificationMessage abrufen und JSON direkt in Ihrem Terminal ausgeben:
# The subscription used to receive published messages from a topic
PUBSUB_SUBSCRIPTION="projects/project-id/subscriptions/subscription-id"
gcloud pubsub subscriptions pull $PUBSUB_SUBSCRIPTION
Python
Java
Go
Node.js
Nächste Schritte
- Weitere Informationen zum Filtern von Benachrichtigungen