Como exportar dados do Security Command Center

Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:

É possível exportar dados do Security Command Center usando o console do Google Cloud, o CLI do Google Cloud ou a API Security Command Center.

Também é possível fazer streaming das descobertas para o BigQuery. Para mais informações, consulte Faça streaming das descobertas no BigQuery para análise.

Exportações únicas

As exportações únicas permitem transferir e fazer o download manualmente das descobertas e recursos atuais e históricos.

Para descobertas, você pode usar o console do Google Cloud para transferir dados no formato JSON, JSONL ou CSV para um bucket do Cloud Storage. Também é possível fazer o download de um número limitado de resultados para sua estação de trabalho em formato CSV.

Para recursos, é possível fazer o download dos dados do console do Google Cloud para a estação de trabalho local como um arquivo CSV.

Permissões

Para fazer exportações únicas, você precisa de:

  • O papel Leitor da Central de segurança (roles/securitycenter.adminViewer) do Identity and Access Management (IAM) ou qualquer papel que tenha as seguintes permissões:

    • resourcemanager.organizations.get (obrigatório apenas para ativações no nível da organização do Security Command Center)
    • resourcemanager.projects.get (obrigatório para ativações no nível do projeto do Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
  • O papel Administrador do Storage, que permite armazenar dados em buckets do Cloud Storage.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre Para papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações únicas

Não é possível incluir dados sujeitos ao controle de residência de dados no filtro de uma exportação única para o Cloud Storage.

Se você especificar uma propriedade que contenha dados controlados no filtro de descoberta, O Security Command Center retorna uma mensagem de erro ao tentar exportar.

Exportar dados usando o Console do Google Cloud

Com o console do Google Cloud, é possível fazer o seguinte:

Exportar descobertas para um bucket do Cloud Storage

Nesta seção, descrevemos como exportar dados do Security Command Center para um bucket do Cloud Storage. Ao clicar em Exportar na página Descobertas no console do Google Cloud, o Security Command Center recebe credenciais automaticamente ou permissões para gravar no bucket do Cloud Storage.

As descobertas são exportadas em operações separadas. É possível exportar um arquivo JSON, JSONL ou CSV para um bucket do Cloud Storage ou criar um durante o processo de exportação. Você pode exportar todas as descobertas atuais ou selecionar os filtros que quiser usar antes de exportar.

Não é possível exportar descobertas para um bucket do Cloud Storage que tenha a política de retenção definida.

  1. Acesse a página Descobertas no console do Google Cloud:

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Selecione as descobertas que você precisa exportar aplicando filtros à consulta de descobertas. Para mais informações sobre como criar filtros, consulte Encontrar e visualizar descobertas específicas.

  4. Quando terminar de criar um filtro, clique em Exportar e depois, em Uma vez, clique em Cloud Storage.

  5. Na página Exportar, configure a exportação:

    1. Na seção Exportar para, especifique os seguintes campos:
      1. No campo Project name, especifique o projeto que contém o bucket do Cloud Storage.
      2. No campo Exportar caminho, que só aparece depois que você especifica um projeto, clique em Procurar.
      3. No painel Selecionar objeto, selecione um bucket existente do Cloud Storage ou crie um bucket de armazenamento.
      4. Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação.
      5. Clique em Selecionar.
    2. Na seção Critérios de exportação, especifique os seguintes campos:
      1. Clique em Agrupar resultados por e selecione como você quer agrupar os dados de exportação.
      2. Clique no campo Formato e selecione JSON, JSONL ou CSV.
      3. Clique no campo Período e selecione o período de referência para exportar as descobertas.
    3. Na seção Consulta de descobertas, confirme se a consulta aparece conforme você o que esperar.
    4. Abaixo da consulta, confirme se o número e o tipo de descobertas correspondentes são o que você espera.
    5. Clique em Exportar.

    Se você tiver selecionado um arquivo existente no bucket, a caixa de diálogo Confirmar substituição será exibida.

    • Para substituir o arquivo atual, clique em Confirmar.
    • Para alterar o arquivo em que você está gravando, clique em Cancelar e depois em Procurar na caixa Caminho da exportação e selecione ou crie um arquivo diferente.

Os dados configurados são salvos no bucket do Cloud Storage que que você especificou.

Fazer o download dos dados exportados de um bucket do Cloud Storage

Para fazer o download dos dados JSON, JSONL ou CSV exportados, siga estas etapas:

  1. Acesse a página Navegador de armazenamento no Console do Google Cloud.

    Acesse Navegador do Storage

  2. Selecione o projeto e clique no bucket para o qual você exportou dados.

  3. Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.

  4. Na caixa de diálogo Salvar arquivo, selecione o local em que você quer salvar o arquivo e clique em Salvar.

O arquivo JSON, JSONL ou CSV é transferido para o local especificado.

Exportar descobertas para um arquivo CSV

Para configurar a exportação, é possível filtrar as descobertas por categoria, gravidade e outras propriedades. Todas as descobertas que correspondem ao filtro são incluídas no arquivo CSV.

É possível fazer o download de até 1.000 descobertas diretamente na sua estação de trabalho. Se o número de descobertas exceder 1.000, você vai receber uma solicitação para refinar a consulta e receber menos resultados. Como alternativa, você pode exportar os dados para um bucket do Cloud Storage.

Os registros de descoberta são exportados com um conjunto padrão de colunas, que pode não corresponder ao que você vê no console. Ou seja, ocultar ou mostrar colunas não muda quais colunas são exportadas. Da mesma forma, mudar o número de linhas exibidas por página, o que pode ser feito no console do Google Cloud, não afeta o conteúdo exportado.

Para mais informações sobre como exportar descobertas para um arquivo CSV, clique na guia console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Selecione a organização ou o projeto do Google Cloud.
  3. Opcional: para refinar a seleção das descobertas a serem exportadas, aplique filtros.
  4. Clique em Exportar > CSV. É feito o download do arquivo CSV para a estação de trabalho local.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Descobertas.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Opcional: para refinar a seleção de descobertas a serem exportadas, aplique filtros.
  3. Clique em Exportar > CSV. O download do arquivo CSV é feito na estação de trabalho local.

Exportar recursos para um arquivo CSV

É possível fazer o download de dados de recursos para um arquivo CSV na página Recursos no console do Google Cloud.

Para fazer o download dos dados do recurso em um arquivo CSV, siga estas etapas:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse Recursos

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Use o painel Filtros rápidos ou o campo Filtro do painel de resultados do recurso para selecionar os recursos que você precisa exportar. Para mais informações sobre a filtragem de recursos, consulte Filtragem de recursos.

  4. Acima dos recursos exibidos, clique em Exportar e em Fazer o download do CSV. Os dados dos recursos no painel de resultados são transferidos por download para a estação de trabalho.

Exportar dados usando métodos de API

É possível exportar recursos, descobertas e marcações de segurança para um bucket do Cloud Storage ou para a estação de trabalho local usando a API Security Command Center.

Exportar dados de recursos usando métodos de API

Para exportar ou listar dados de recursos, use a API do Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.

Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.

Até que sejam removidos, os usuários que ativaram o Security Command Center antes 26 de junho de 2023 pode usar os métodos de recurso da API Security Command Center para listar e exportar dados de recursos, mas esses métodos suportam apenas os recursos compatíveis com o Security Command Center.

Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.

Exportar dados encontrados usando a API Security Command Center

Para exportar descobertas com a API Security Command Center, siga o guia para listar descobertas de segurança e faça o download ou exporte as respostas da API.

Para listar as descobertas, com qualquer marca de segurança anexada, use os seguintes métodos de API:

Os métodos retornam descobertas com o conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, escreva um código personalizado para converter a saída JSON.

Se você especificar um valor no campo groupBy, será possível usar os seguintes métodos:

O método GroupFindings retorna uma lista das descobertas de uma organização, agrupadas por propriedades especificadas.

Exportar descobertas usando a CLI gcloud

Para usar os comandos da CLI do Google Cloud no Cloud Shell e exportar os resultados para um bucket do Cloud Storage, siga estas etapas:

  1. Abra o Cloud Shell.

    Acesse o Cloud Shell

  2. Para gravar descobertas em um arquivo, adicione uma string de saída aos comandos da CLI gcloud para listar descobertas.

    Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado FINDINGS.txt.

     gcloud scc findings list PARENT_ID --source=SOURCE_ID \
       --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt

    Substitua:

    • FILTER: uma expressão opcional para limitar a lista de descobertas impressas àquelas que correspondem à expressão de filtro.

      • LOCATION: se a residência de dados estiver ativada, especifique o local do Security Command Center em que as descobertas são armazenadas.

        Se a residência de dados não estiver ativada, especificar a flag --location lista as descobertas usando a API Security Command Center v2; o único valor válido para a sinalização é global.

    • PARENT_ID: o ID de qualquer um dos seguintes recursos pai:

      • Organização, especificada como organizations/ORGANIZATION_ID ou ORGANIZATION_ID
      • Pasta, especificada como folders/FOLDER_ID
      • Projeto, especificado como projects/PROJECT_ID
    • SOURCE_ID: o ID de origem do provedor da descoberta. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.

    • FINDINGS.txt: o nome e a extensão de um arquivo de destino para armazenar a lista de descobertas.

  3. Copie FINDINGS.txt para o bucket do Cloud Storage.

    gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

    Substitua BUCKET_NAME pelo nome do bucket.

  4. Para salvar FINDINGS.txt na estação de trabalho local em vez de em um bucket do Cloud Storage, execute o código a seguir.

    cloudshell download FINDINGS.txt

Exportações contínuas

As exportações contínuas simplificam o processo de exportação automática de descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos designados do Pub/Sub quase em tempo real, permitindo que você as integre ao fluxo de trabalho atual.

Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?

Exportações contínuas x notificações de descobertas

O Security Command Center permite configurar notificações de descobertas do Pub/Sub usando a API Security Command Center. A API requer que você use o Google Cloud CLI para configurar tópicos do Pub/Sub, criar filtros de descoberta e criar NotificationConfigs, arquivos que contêm configurações para o envio de notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada com o console do Google Cloud.

Permissões

Para criar e gerenciar exportações contínuas, você precisa de um dos papéis a seguir.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Também é possível usar qualquer papel com estas permissões:

  • Para ver ou publicar tópicos do Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para ver a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para gerenciar exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações contínuas

Se a residência dos dados ativado para o Security Command Center, as configurações que definem exportações contínuas para Os recursos do Pub/Sub (notificationConfig) estão sujeitos ao controle de residência de dados e são armazenados Local do Security Command Center que você selecionar.

Para exportar descobertas em um local do Security Command Center para o Pub/Sub, configure a exportação contínua no mesmo local do Security Command Center que as descobertas.

Como os filtros usados no fluxo contínuo as exportações podem conter dados sujeitos a controles de residência, especifique o local correto antes de criá-los. O Security Command Center não restringe o local em que você cria as exportações.

As exportações contínuas são armazenadas apenas no local em que são criadas e não podem ser visualizadas ou editadas em outros locais.

Depois de criar uma exportação contínua, não é possível mudar o local dela. Para mudar o local, exclua a exportação contínua e a recrie no novo local.

Para recuperar uma exportação contínua usando chamadas de API, especifique o local no nome completo do recurso do notificationConfig. Exemplo:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Da mesma forma, para recuperar uma exportação contínua usando a CLI gcloud, você precisa especificar o local no nome do recurso completo da configuração ou usando a flag --locations. Exemplo:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Criar uma exportação contínua para o Pub/Sub

As exportações contínuas permitem automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.

Sua organização pode criar no máximo 500 exportações contínuas.

Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. Acesse a página Descobertas do Security Command Center no console do Google Cloud.

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Opcional: se a residência de dados estiver ativada para o Security Command Center, mude o local dos dados conforme necessário.

    Para mudar o local dos dados, clique no seletor de local na barra de ações.

    Uma lista de locais será exibida. Selecione o novo local.

  4. No campo Resultados da consulta de descobertas, selecione as descobertas a serem exportadas usando um dos seguintes métodos:

    • Clique em Adicionar filtro para selecionar as propriedades das descobertas que você precisa exportar.

      A caixa de diálogo Selecionar filtro permite escolher os atributos e valores de descoberta suportados.

      1. Selecione um atributo de descoberta ou digite um nome na caixa Pesquisar atributos de descoberta. Uma lista dos subatributos disponíveis será exibida.
      2. Selecione um subatributo. Um campo de seleção é exibido para que você possa criar a instrução de consulta usando o subatributo selecionado, um operador de consulta e um ou mais valores para o subatributo.
      3. Selecione o operador e um ou mais valores para o subatributo no painel. Para mais informações sobre os operadores e as funções de consulta que eles usam, consulte Operadores de consulta no menu "Adicionar filtros".
      4. Clique em Aplicar.

        A caixa de diálogo será fechada, e a consulta será atualizada.

      5. Repita até que a consulta de descobertas contenha todos os atributos que você quer.
    • Codifique manualmente a consulta de descoberta no editor de consultas. É possível usar operadores SQL padrão AND, OR, é igual a (=), tem (:) e não (-) para especificar as propriedades de descoberta e valores das descobertas que você precisa exportar.

      Conforme você digita a consulta, um menu de preenchimento automático é exibido, onde é possível selecionar nomes e funções de filtro.

      Por exemplo, a consulta a seguir silencia as descobertas de anomalous IAM grant de baixa e média gravidade em prod-project e exclui os tipos de recursos em que o nome tem a substring compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
      IAM Anomalous Grant" AND resource.project_display_name="prod-project"
      AND -resource.type:"compute"
      

      Para mais exemplos sobre como filtrar descobertas, consulte Como filtrar notificações.

  5. Analise a precisão da consulta resultante. Para fazer alterações, exclua ou adicione propriedades e valores de filtro conforme necessário.

  6. Clique em Atualizar as descobertas correspondentes. Uma tabela mostra descobertas que correspondem à sua consulta. Para mais informações sobre como consultar descobertas, consulte Editar uma consulta de descobertas no console do Google Cloud.

  7. Clique em Exportação e, em Contínua, clique em Pub/Sub.

  8. Revise o filtro para garantir que ele esteja correto e, se necessário, retorne à página Descobertas para modificá-lo.

  9. Em Nome da exportação contínua, insira um nome para a exportação.

  10. Em Descrição da exportação contínua, insira uma descrição para a exportação.

  11. Em Exportar para, selecione um projeto para a exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.

  12. Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar descobertas. Para criar um tópico:

    1. Selecione Criar um tópico.
    2. Digite um ID do tópico e selecione outras opções conforme necessário:
      1. Saiba mais sobre Como criar e gerenciar esquemas.
      2. Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.
    3. Clique em Criar tópico.
  13. Clique em Save. Você verá uma confirmação e retornará à página de descobertas.

  14. Siga o guia para criar uma assinatura para o tópico do Pub/Sub.

A configuração de exportação do Pub/Sub foi concluída. Para publicar notificações, uma conta de serviço é criada para você na forma de service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel roles/securitycenter.notificationServiceAgent no nível da organização. Esse papel de conta de serviço é necessário para que as notificações funcionem.

Testar exportações contínuas

Para confirmar se uma exportação está funcionando, siga as etapas a seguir para alternar as descobertas entre os estados ativo e inativo.

  1. Acesse a página Descobertas do Security Command Center no console do Google Cloud.

    Acesse Descobertas

  2. Clique no botão Editar consulta. O editor de consultas é aberto.

  3. Edite a consulta para que as descobertas ativas e inativas sejam exibidas. A consulta a seguir omite a propriedade state para exibir todas as descobertas, exceto as que estão desativadas:

    NOT mute="MUTED"

  4. Se necessário, use o Editor de consultas para inserir novamente as variáveis que correspondem ao filtro de exportação que você está testando.

  5. Selecione uma descoberta e clique em Mudar o estado ativo > Inativo.

  6. Selecione novamente a descoberta marcada como inativa e clique em Alterar estado ativo > Ativo. Uma notificação é enviada para o descoberta recentemente ativa.

  7. Acesse a página do Pub/Sub no Console do Google Cloud.

    Ir para o Pub/Sub

  8. Na lista de tópicos, clique no nome do seu tópico.

  9. Acesse a guia Mensagens e selecione sua assinatura na lista para a notificação de descoberta.

  10. Opcional: clique em Puxar para atualizar as mensagens.

Gerenciar exportações contínuas

Para visualizar, editar ou excluir exportações, faça o seguinte:

  1. Acesse a página Serviços no Security Command Center.

    Acesse configurações

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Opcional: se a residência de dados estiver ativada para o Security Command Center e altere o local dos dados conforme necessário.

    Para mudar o local dos dados, clique no seletor de local na barra de ações.

    Uma lista de locais será exibida. Selecione o novo local.

  4. Selecione Exportações contínuas. Você vai encontrar uma lista de exportações contínuas para seu projeto, pasta ou organização.

Na página Exportações contínuas em Configurações, é possível criar, visualizar, editar e excluir exportações contínuas.

Para visualizar as descobertas que correspondem a um filtro de exportação, faça o seguinte:

  1. Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais e clique em Ver filtros relacionados.
  2. A página Descobertas carregará com descobertas que correspondem ao filtro de exportação.

Editar exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
  2. Selecione Editar.
  3. Insira uma nova descrição, altere o projeto em que as exportações estão salvas ou insira um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Salvar.

Excluir exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
  2. Clique em Excluir.
  3. Na caixa de diálogo, clique em Excluir. A exportação foi excluída.

A seguir

Saiba mais sobre como encontrar notificações.