Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:
- Exportações únicas para descobertas, recursos e marcações de segurança
- Exportações contínuas que exportam automaticamente novas descobertas para o Pub/Sub
É possível exportar dados do Security Command Center usando o console do Google Cloud, a Google Cloud CLI ou a API Security Command Center.
Também é possível transmitir descobertas para o BigQuery. Para mais informações, consulte Fazer streaming das descobertas no BigQuery para análise.
Exportações únicas
As exportações únicas permitem transferir e fazer o download manualmente das descobertas e recursos atuais e históricos.
Para as descobertas, use o console do Google Cloud para transferir dados em formato JSON, JSONL ou CSV para um bucket do Cloud Storage. Também é possível fazer o download de um número limitado de resultados para sua estação de trabalho no formato CSV.
Para recursos, é possível fazer o download dos dados do console do Google Cloud para a estação de trabalho local como um arquivo CSV.
Permissões
Para fazer exportações únicas, você precisa de:
O papel Leitor da Central de segurança (
roles/securitycenter.adminViewer
) do Identity and Access Management (IAM) ou qualquer papel que tenha as seguintes permissões:resourcemanager.organizations.get
(obrigatório apenas para ativações no nível da organização do Security Command Center)resourcemanager.projects.get
(obrigatório para ativações no nível do projeto do Security Command Center)securitycenter.assets.group
securitycenter.assets.list
securitycenter.findings.group
securitycenter.findings.list
securitycenter.sources.get
securitycenter.sources.list
securitycenter.userinterfacemetadata.get
O papel Administrador do Storage, que permite armazenar dados em buckets do Cloud Storage.
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Residência de dados e exportações únicas
Não é possível incluir dados sujeitos ao controle de residência de dados no filtro de uma exportação única para o Cloud Storage.
Se você especificar uma propriedade que contém dados controlados no filtro de descoberta, o Security Command Center vai retornar uma mensagem de erro quando você tentar a exportação.
Exportar dados usando o Console do Google Cloud
Com o console do Google Cloud, é possível fazer o seguinte:
- Exportar descobertas para um bucket do Cloud Storage
- Fazer o download das descobertas em um arquivo CSV
- Exportar recursos para um arquivo CSV
Exportar descobertas para um bucket do Cloud Storage
Nesta seção, descrevemos como exportar dados do Security Command Center para um bucket do Cloud Storage. Ao clicar em Exportar na página Descobertas no console do Google Cloud, o Security Command Center recebe credenciais automaticamente ou permissões para gravar no bucket do Cloud Storage.
As descobertas são exportadas em operações separadas. É possível exportar um arquivo JSON, JSONL ou CSV para um bucket do Cloud Storage ou criar um durante o processo de exportação. Você pode exportar todas as descobertas atuais ou selecionar os filtros que quiser usar antes de exportar.
Não é possível exportar descobertas para um bucket do Cloud Storage que tenha a política de retenção definida.
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Na barra de ferramentas, clique no seletor de projetos
e selecione seu projeto, pasta ou organização.Selecione as descobertas que você precisa exportar aplicando filtros à consulta de descobertas. Para mais informações sobre como criar filtros, consulte Encontrar e visualizar descobertas específicas.
Quando terminar de criar um filtro, clique em Exportar e depois, em Uma vez, clique em Cloud Storage.
Na página Exportar, configure a exportação:
- Na seção Exportar para, especifique os seguintes campos:
- No campo Project name, especifique o projeto que contém o bucket do Cloud Storage.
- No campo Caminho da exportação, que só aparece depois que você especifica um projeto, clique em Procurar.
- No painel Selecionar objeto, selecione um bucket existente do Cloud Storage ou crie um bucket de armazenamento.
- Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação.
- Clique em Selecionar.
- Na seção Critérios de exportação, especifique os seguintes campos:
- Clique em Agrupar resultados por e selecione como quer agrupar os dados de exportação.
- Clique no campo Formato e selecione JSON, JSONL ou CSV.
- Clique no campo Período e selecione o período de referência para exportar as descobertas.
- Na seção Consulta de descobertas, confirme se a consulta aparece como esperado.
- Abaixo da consulta, confirme se o número e o tipo de resultados correspondentes são os esperados.
- Clique em Exportar.
Se você tiver selecionado um arquivo existente no bucket, a caixa de diálogo Confirmar substituição será exibida.
- Para substituir o arquivo atual, clique em Confirmar.
- Para alterar o arquivo em que você está gravando, clique em Cancelar e depois em Procurar na caixa Caminho da exportação e selecione ou crie um arquivo diferente.
- Na seção Exportar para, especifique os seguintes campos:
Os dados configurados são salvos no bucket do Cloud Storage especificado.
Fazer o download dos dados exportados de um bucket do Cloud Storage
Para fazer o download dos dados JSON, JSONL ou CSV exportados, siga estas etapas:
Acesse a página Navegador de armazenamento no Console do Google Cloud.
Selecione o projeto e clique no bucket para o qual você exportou dados.
Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.
Na caixa de diálogo Salvar arquivo, selecione o local em que você quer salvar o arquivo e clique em Salvar.
O arquivo JSON, JSONL ou CSV é transferido para o local especificado.
Exportar descobertas para um arquivo CSV
Para configurar a exportação, é possível filtrar as descobertas por categoria, gravidade e outras propriedades. Todas as descobertas que correspondem ao filtro são incluídas no arquivo CSV.
É possível fazer o download de até 1.000 descobertas diretamente na sua estação de trabalho. Se o número de descobertas exceder 1.000, você vai receber uma solicitação para refinar a consulta e receber menos resultados. Também é possível exportar os dados para um bucket do Cloud Storage.
Os registros de descoberta são exportados com um conjunto padrão de colunas, que pode não corresponder ao que você vê no console. Ou seja, ocultar ou mostrar colunas não muda quais colunas são exportadas. Da mesma forma, mudar o número de linhas exibidas por página, o que pode ser feito no console do Google Cloud, não afeta o conteúdo exportado.
Para saber como exportar as descobertas para um arquivo CSV, clique na guia do console que você está usando.
Console do Google Cloud
- No console do Google Cloud, acesse a página Descobertas do Security Command Center.
- Selecione a organização ou o projeto do Google Cloud.
- Opcional: para refinar a seleção de descobertas a serem exportadas, aplique filtros.
- Clique em > CSV. O arquivo CSV é transferido por download para a estação de trabalho local. Exportar
Console de operações de segurança
-
No console de operações de segurança, acesse a página Descobertas.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente. - Opcional: para refinar a seleção de descobertas a serem exportadas, aplique filtros.
- Clique em Exportar > CSV. O arquivo CSV é transferido por download para a estação de trabalho local.
Exportar recursos para um arquivo CSV
É possível fazer o download de dados de recursos para um arquivo CSV na página Recursos no console do Google Cloud.
Para fazer o download dos dados do recurso em um arquivo CSV, siga estas etapas:
No console do Google Cloud, acesse a página Recursos do Security Command Center.
Na barra de ferramentas, clique no seletor de projetos
e selecione seu projeto, pasta ou organização.Use o painel Filtros rápidos ou o campo Filtro do painel de resultados do recurso para selecionar os recursos que você precisa exportar. Para mais informações sobre como filtrar recursos, consulte Como filtrar recursos.
Acima dos recursos exibidos, clique em Exportar e em Fazer o download do CSV. Os dados dos recursos no painel de resultados são transferidos por download para a estação de trabalho.
Exportar dados usando métodos de API
É possível exportar recursos, descobertas e marcações de segurança para um bucket do Cloud Storage ou para a estação de trabalho local usando a API Security Command Center.
Exportar dados de recursos usando métodos de API
Para exportar ou listar dados de recursos, use a API do Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.
Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.
Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API do Security Command Center para listar e exportar dados de recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.
Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.
Exportar dados encontrados usando a API Security Command Center
Para exportar descobertas com a API Security Command Center, siga o guia para listar descobertas de segurança e faça o download ou exporte as respostas da API.
Para listar as descobertas, com qualquer marca de segurança anexada, use os seguintes métodos de API:
organizations.sources.locations.findings.list
folders.sources.locations.findings.list
project.sources.locations.findings.list
Os métodos retornam descobertas com o conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, escreva um código personalizado para converter a saída JSON.
Se você especificar um valor no campo groupBy
, será possível usar os seguintes
métodos para listar as descobertas em uma organização, pasta ou projeto, agrupadas pelas
propriedades especificadas:
organizations.sources.locations.findings.group
folders.sources.locations.findings.group
projects.sources.locations.findings.group
Exportar descobertas usando a CLI gcloud
Para usar os comandos da Google Cloud CLI no Cloud Shell e exportar os resultados para um bucket do Cloud Storage, siga estas etapas:
Abra o Cloud Shell.
Para gravar descobertas em um arquivo, adicione uma string de saída aos comandos da CLI gcloud para listar descobertas.
Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado
FINDINGS.txt
.gcloud scc findings list PARENT_ID \ --source=SOURCE_ID \ --location=LOCATION \ --filter="FILTER" > FINDINGS.txt
Substitua:
FILTER
: uma expressão opcional para limitar a lista de descobertas impressas àquelas que correspondem à expressão de filtro.LOCATION
: se a residência de dados estiver ativada, o local do Security Command Center para exportar as descobertas. Se a residência de dados não estiver ativada, use o valorglobal
.
PARENT_ID
: o ID de qualquer um dos seguintes recursos pai:- Organização, especificada como
organizations/ORGANIZATION_ID
ouORGANIZATION_ID
- Pasta, especificada como
folders/FOLDER_ID
- Projeto, especificado como
projects/PROJECT_ID
- Organização, especificada como
SOURCE_ID
: o ID de origem do provedor da descoberta. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.FINDINGS.txt
: o nome e a extensão de um arquivo de destino para armazenar a lista de descobertas.
Copie
FINDINGS.txt
para o bucket do Cloud Storage.gcloud storage cp FINDINGS.txt gs://BUCKET_NAME
Substitua
BUCKET_NAME
pelo nome do bucket.Para salvar
FINDINGS.txt
na estação de trabalho local em vez de em um bucket do Cloud Storage, execute o comando a seguir:cloudshell download FINDINGS.txt
Exportações contínuas
As exportações contínuas simplificam o processo de exportação automática de descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos designados do Pub/Sub quase em tempo real, permitindo que você as integre ao fluxo de trabalho atual.
Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?
Exportação do Security Command Center para o BigQuery
Quando um atributo de uma descoberta é atualizado no Security Command Center, um snapshot da descoberta é feito, e o Security Command Center tenta enviar esse snapshot para o BigQuery.
Se os atributos da descoberta no snapshot corresponderem ao filtro de exportação definido no BigQueryExport, o snapshot será enviado ao BigQuery, onde se tornará o registro atual da descoberta.
Se os atributos do elemento não corresponderem ao filtro, o snapshot não será enviado ao BigQuery. Se um snapshot anterior da descoberta existir no BigQuery, ele se tornará o registro atual da descoberta no BigQuery, mesmo que não reflita a atualização do atributo que ocorreu no Security Command Center.
Por exemplo, se o filtro de uma exportação do BigQuery contiver o estado ativo, uma nova descoberta será emitida com o estado ativo, e um instantâneo da descoberta será exportado para o BigQuery.
Mais tarde, o estado dessa descoberta no Security Command Center é atualizado como inativo. A atualização aciona uma exportação de um novo instantâneo da descoberta para o BigQuery, mas, como o valor do estado não corresponde mais ao filtro, o filtro bloqueia a exportação do instantâneo da descoberta.
Consequentemente, o snapshot da descoberta no BigQuery ainda tem o estado ativo, mas a mesma descoberta no Security Command Center tem o estado inativo.
Isso também resulta em uma incompatibilidade entre o número de descobertas ativas no Security Command Center e o número de descobertas ativas no BigQuery. O número quase sempre é maior no BigQuery do que no Security Command Center.
Por exemplo, se um filtro de exportação especificar o estado ativo e 100 descobertas forem geradas com o estado ativo, todas as 100 serão exportadas para o BigQuery. Mais tarde, no Security Command Center, 50 dessas descobertas são atualizadas para "Inativo", e o filtro bloqueia a exportação acionada pelas atualizações porque o valor do estado não corresponde mais ao filtro. Consequentemente, no BigQuery, todas as 100 descobertas ainda estão ativas, enquanto no Security Command Center, apenas 50 permanecem ativas.
Exportações contínuas x notificações de descobertas
O Security Command Center permite configurar
notificações de descobertas
do Pub/Sub usando a API Security Command Center. A API requer que você
use o Google Cloud CLI para configurar tópicos do Pub/Sub, criar filtros de descoberta
e criar NotificationConfigs
, arquivos que contêm configurações para o
envio de notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada com o console do Google Cloud.
Permissões
Para criar e gerenciar exportações contínuas, você precisa de um dos papéis a seguir.
roles/securitycenter.adminEditor
roles/securitycenter.adminViewer
Também é possível usar qualquer papel com estas permissões:
Para ver ou publicar tópicos do Pub/Sub:
pubsub.topics.publish
pubsub.topics.list
Para ver a página de exportações contínuas:
securitycenter.notificationconfig.get
securitycenter.notificationconfig.list
Para gerenciar exportações contínuas:
securitycenter.notificationconfig.create
securitycenter.notificationconfig.update
securitycenter.notificationconfig.delete
Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Residência de dados e exportações contínuas
Se a residência de dados
estiver ativada para o Security Command Center, as configurações que definem
exportações contínuas para
o Pub/Sub (recursos notificationConfig
) estão sujeitas
ao controle de residência de dados e são armazenadas em um
local do Security Command Center
selecionado.
Para exportar descobertas em um local do Security Command Center para o Pub/Sub, configure a exportação contínua no mesmo local do Security Command Center.
Como os filtros usados nas exportações contínuas podem conter dados sujeitos a controles de residência, especifique o local correto antes de criá-los. O Security Command Center não restringe o local em que você cria as exportações.
As exportações contínuas são armazenadas apenas no local em que são criadas e não podem ser visualizadas ou editadas em outros locais.
Depois de criar uma exportação contínua, não é possível mudar o local dela. Para mudar o local, exclua a exportação contínua e a recrie no novo local.
Para recuperar uma exportação contínua usando chamadas de API,
especifique o local no nome completo do recurso do
notificationConfig
. Exemplo:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01
Da mesma forma, para recuperar uma exportação contínua usando a CLI gcloud,
especifique o local usando a flag --location
. Exemplo:
gcloud scc notifications describe myContinuousExport --organization=123 \ --location=us
Criar uma exportação contínua para o Pub/Sub
As exportações contínuas permitem automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.
Ao criar uma nova exportação contínua para o Pub/Sub, é possível gerenciar essa exportação com o console do Google Cloud, a CLI gcloud, a API Security Command Center v2 ou as bibliotecas de cliente v2 do Security Command Center.
Sua organização pode criar no máximo 500 exportações contínuas.
Para criar uma exportação para o Pub/Sub, faça o seguinte:
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Na barra de ferramentas, clique no seletor de projetos
e selecione seu projeto, pasta ou organização.Opcional: se a residência de dados estiver ativada para o Security Command Center, mude o local dos dados conforme necessário.
Para mudar o local dos dados, clique no seletor de local na barra de ações.
Uma lista de locais vai aparecer. Selecione o novo local.
No campo Resultados da consulta de descobertas, selecione as descobertas a serem exportadas usando um dos seguintes métodos:
Clique em Adicionar filtro para selecionar as propriedades das descobertas que você precisa exportar.
A caixa de diálogo Selecionar filtro permite escolher os atributos e valores de descoberta suportados.
- Selecione um atributo de descoberta ou digite um nome na caixa Pesquisar atributos de descoberta. Uma lista dos subatributos disponíveis será exibida.
- Selecione um subatributo. Um campo de seleção é exibido para que você possa criar a instrução de consulta usando o subatributo selecionado, um operador de consulta e um ou mais valores para o subatributo.
- Selecione o operador e um ou mais valores para o subatributo no painel. Para mais informações sobre os operadores e as funções de consulta que eles usam, consulte Operadores de consulta no menu "Adicionar filtros".
- Clique em Aplicar.
A caixa de diálogo será fechada, e a consulta será atualizada.
- Repita até que a consulta de descobertas contenha todos os atributos que você quer.
Codifique manualmente a consulta de descoberta no editor de consultas. É possível usar operadores SQL padrão
AND
,OR
, é igual a (=
), tem (:
) e não (-
) para especificar as propriedades de descoberta e valores das descobertas que você precisa exportar.Conforme você digita a consulta, um menu de preenchimento automático é exibido, onde é possível selecionar nomes e funções de filtro.
Por exemplo, a consulta a seguir silencia as descobertas de
anomalous IAM grant
de baixa e média gravidade emprod-project
e exclui os tipos de recursos em que o nome tem a substringcompute
:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"
Para mais exemplos sobre como filtrar descobertas, consulte Como filtrar notificações.
Analise a precisão da consulta resultante. Para fazer alterações, exclua ou adicione propriedades e filtre os valores conforme necessário.
Clique em Atualizar as descobertas correspondentes. Uma tabela mostra descobertas que correspondem à sua consulta. Para mais informações sobre como consultar descobertas, consulte Editar uma consulta de descobertas no console do Google Cloud.
Clique em Exportação e, em Contínua, clique em Pub/Sub.
Revise o filtro para garantir que ele esteja correto e, se necessário, retorne à página Descobertas para modificá-lo.
Em Nome da exportação contínua, insira um nome para a exportação.
Em Descrição da exportação contínua, insira uma descrição para a exportação.
Em Exportar para, selecione um projeto para a exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.
Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar descobertas. Para criar um tópico:
- Selecione Criar um tópico.
Insira um ID do tópico e selecione outras opções conforme necessário:
- Saiba mais sobre Como criar e gerenciar esquemas.
- Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.
Clique em Criar tópico.
Clique em Save. Você verá uma confirmação e retornará à página de descobertas.
Siga o guia para criar uma assinatura para o tópico do Pub/Sub.
A configuração de exportação do Pub/Sub foi concluída. Para publicar
notificações, uma conta de serviço é criada para você na forma de
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
Essa conta de serviço recebe automaticamente o papel
roles/securitycenter.notificationServiceAgent
no nível da organização. Esse papel de conta de serviço é necessário para
que as notificações funcionem.
Testar exportações contínuas
Para confirmar se uma exportação está funcionando, siga as etapas a seguir para alternar as descobertas entre os estados ativo e inativo.
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Clique no botão Editar consulta. O editor de consultas é aberto.
Edite a consulta para que as descobertas ativas e inativas sejam exibidas. A consulta a seguir omite a propriedade
state
para exibir todas as descobertas, exceto as que estão desativadas:NOT mute="MUTED"
- Se necessário, use o Editor de consultas para inserir novamente as variáveis de filtro que correspondem ao filtro de exportação que você está testando.
- Selecione uma descoberta e clique em Alterar estado ativo > Inativo.
- Selecione novamente a descoberta marcada como inativa e clique em Alterar estado ativo > Ativo. Uma notificação é enviada para a descoberta recém-ativa.
- Acesse a página do Pub/Sub no Console do Google Cloud.
- Na lista de tópicos, clique no nome do seu tópico.
- Acesse a guia Mensagens e selecione sua assinatura na lista para ver a notificação de descoberta.
- Opcional: clique em Puxar para atualizar as mensagens.
Gerenciar exportações contínuas
Para visualizar, editar ou excluir exportações, faça o seguinte:
No console do Google Cloud, acesse a página Configurações do Security Command Center.
Na barra de ferramentas, clique no seletor de projetos
e selecione seu projeto, pasta ou organização.Opcional: se a residência de dados estiver ativada para o Security Command Center, mude o local dos dados conforme necessário.
Para mudar o local dos dados, clique no seletor de local na barra de ações.
Uma lista de locais vai aparecer. Selecione o novo local.
Selecione Exportações contínuas. Você vai encontrar uma lista de exportações contínuas para seu projeto, pasta ou organização.
No console do Google Cloud, algumas exportações contínuas podem ter um rótulo Legacy, o que indica que elas foram criadas com a API v1 do Security Command Center. É possível gerenciar essas exportações contínuas com o console do Google Cloud, a CLI gcloud, a API Security Command Center v1 ou as bibliotecas de cliente v1 do Security Command Center.
Para gerenciar essas exportações contínuas com a CLI gcloud, não especifique um local ao executar o comando da CLI gcloud.
Na página Exportações contínuas em Configurações, é possível criar, visualizar, editar e excluir exportações contínuas.
Conferir descobertas relacionadas
Para visualizar as descobertas que correspondem a um filtro de exportação, faça o seguinte:
Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais
e clique em Ver filtros relacionados.A página Descobertas carregará com descobertas que correspondem ao filtro de exportação.
Editar exportações contínuas
- Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
- Selecione Editar.
- Insira uma nova descrição, altere o projeto em que as exportações estão salvas ou insira um novo tópico do Pub/Sub.
- Quando terminar, clique em Salvar.
Excluir exportações contínuas
- Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
- Clique em deleteExcluir.
- Na caixa de diálogo, clique em Excluir. A exportação foi excluída.
A seguir
Saiba mais sobre como encontrar notificações.