Esportazione dei dati di Security Command Center

In questa pagina vengono descritti due metodi per esportare i dati di Security Command Center, tra cui asset, risultati e contrassegni di sicurezza:

Puoi esportare i dati di Security Command Center utilizzando la console Google Cloud, Google Cloud CLI o l'API Security Command Center.

Puoi anche trasmettere i risultati in BigQuery. Per ulteriori informazioni, consulta Trasmettere i risultati a BigQuery per l'analisi.

Esportazioni una tantum

Le esportazioni una tantum consentono di trasferire e scaricare manualmente i risultati e gli asset attuali e storici.

Per i risultati, puoi utilizzare la console Google Cloud per trasferire i dati in formato JSON, JSONL o CSV in un bucket Cloud Storage. Puoi anche scaricare un numero limitato di risultati sulla workstation in formato CSV.

Per gli asset, puoi scaricare i dati dalla console Google Cloud sulla tua workstation locale come file CSV.

Autorizzazioni

Per eseguire esportazioni una tantum, è necessario quanto segue:

  • Il ruolo di Identity and Access Management (IAM) Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer) o qualsiasi ruolo con le seguenti autorizzazioni:

    • resourcemanager.organizations.get (obbligatorio solo per le attivazioni a livello di organizzazione di Security Command Center)
    • resourcemanager.projects.get (richiesto per le attivazioni a livello di progetto di Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get

  • Il ruolo Amministratore Storage, che consente di archiviare i dati nei bucket Cloud Storage.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Residenza dei dati ed esportazioni una tantum

Non puoi includere dati soggetti a controllo della residenza dei dati nel filtro di un'esportazione una tantum in Cloud Storage.

Se specifichi una proprietà che contiene dati controllati nel filtro dei risultati, Security Command Center restituisce un messaggio di errore quando provi a eseguire l'esportazione.

Esportare i dati utilizzando la console Google Cloud

Utilizzando la console Google Cloud, puoi:

Esporta i risultati in un bucket Cloud Storage

Questa sezione descrive come esportare i dati di Security Command Center in un bucket Cloud Storage. Quando fai clic su Esporta nella pagina Risultati della console Google Cloud, Security Command Center riceve automaticamente le credenziali o le autorizzazioni per scrivere nel bucket Cloud Storage.

I risultati vengono esportati in operazioni separate. Puoi esportare un file JSON, un file JSONL o un file CSV in un bucket Cloud Storage esistente o creare un bucket durante il processo di esportazione.

Puoi esportare tutti i risultati attuali o selezionare i filtri da utilizzare prima di eseguire l'esportazione.

  1. Vai alla pagina Risultati nella console Google Cloud.

    Vai a Risultati

  2. Nella barra degli strumenti, fai clic sul selettore di progetti e seleziona il progetto, la cartella o l'organizzazione.

  3. Seleziona i risultati da esportare applicando filtri alla query sui risultati. Per ulteriori informazioni sulla creazione di filtri, consulta Creare o modificare una query dei risultati nella console Google Cloud.

  4. Al termine della creazione di un filtro, fai clic su Esporta e, in Una volta, fai clic su Cloud Storage.

  5. Nella pagina Esporta, configura l'esportazione:

    1. Nella sezione Esporta in, specifica i seguenti campi:
      1. Nel campo Nome progetto, specifica il progetto che contiene il bucket Cloud Storage.
      2. Nel campo Esporta percorso, che viene visualizzato solo dopo aver specificato un progetto, fai clic su Sfoglia.
      3. Nel riquadro Seleziona oggetto, seleziona un bucket Cloud Storage esistente o crea un bucket di archiviazione.
      4. Dopo aver selezionato o creato un bucket, in Nome file inserisci un nome per il file di esportazione.
      5. Fai clic su Seleziona.
    2. Nella sezione Criteri di esportazione, specifica i seguenti campi:
      1. Fai clic su Raggruppa risultati per e seleziona come raggruppare i dati dell'esportazione.
      2. Fai clic nel campo Formato e seleziona JSON, JSONL o CSV.
      3. Fai clic sul campo Intervallo di tempo e seleziona il periodo di tempo da cui esportare i risultati.
    3. Nella sezione Query risultati, verifica che la query venga visualizzata come previsto.
    4. Sotto la query, conferma che il numero e il tipo di risultati corrispondenti siano quelli previsti.
    5. Fai clic su Esporta.

    Se hai selezionato un file esistente nel bucket, viene visualizzata la finestra di dialogo Conferma sovrascrittura.

    • Per sovrascrivere il file esistente, fai clic su Conferma.
    • Per modificare il file in cui stai scrivendo, fai clic su Annulla, quindi fai clic su Sfoglia nella casella Esporta percorso e seleziona o crea un altro file.

I dati configurati vengono salvati nel bucket Cloud Storage specificato.

Scarica i dati esportati da un bucket Cloud Storage

Per scaricare i dati JSON, JSONL o CSV esportati, svolgi i seguenti passaggi:

  1. Vai alla pagina Browser Storage nella console Google Cloud.

    Vai al browser Storage

  2. Seleziona il tuo progetto e fai clic sul bucket in cui hai esportato i dati.

  3. Seleziona la casella di controllo accanto al file di esportazione, quindi fai clic su Scarica.

  4. Nella finestra di dialogo Salva file, seleziona la posizione in cui vuoi salvare il file, quindi fai clic su Salva.

Il file JSON, JSONL o CSV viene scaricato nella posizione specificata.

Esporta i risultati in un file CSV

Per configurare l'esportazione, puoi filtrare i risultati in base a categoria, gravità e altre proprietà. Tutti i risultati che corrispondono al filtro sono inclusi nel file CSV.

Puoi scaricare fino a 1000 risultati direttamente sulla tua workstation. Se il numero di risultati supera 1000, viene visualizzata automaticamente la pagina Esporta risultati in Cloud Storage, dove puoi esportare i dati in un bucket Cloud Storage.

I record dei risultati vengono esportati con un insieme predefinito di colonne, che potrebbe non corrispondere a quello visualizzato nella console Google Cloud. Ciò significa che nascondere o mostrare le colonne utilizzando le Opzioni di visualizzazione delle colonne di non cambia le colonne esportate. Allo stesso modo, la modifica del valore Righe per pagina non ha alcun effetto sui contenuti esportati.

Per esportare i risultati in un file CSV, segui questi passaggi:

  1. Nella pagina Security Command Center della console Google Cloud, vai alla pagina Risultati.

    Vai a Risultati

  2. Nella barra degli strumenti, fai clic sul selettore di progetti e seleziona il progetto, la cartella o l'organizzazione.

  3. (Facoltativo) Per restringere i risultati da esportare, applica un filtro.

  4. Fai clic su Esporta e poi su CSV. Security Command Center inizia a esportare i risultati.

    Al termine dell'esportazione, viene visualizzata una notifica nella barra degli strumenti.

  5. Fai clic sull'icona di notifica nella barra degli strumenti.

  6. Nella notifica Esportazione salvata come CSV, fai clic su Scarica. Il file CSV viene scaricato sulla workstation locale.

Esportare gli asset in un file CSV

Puoi scaricare i dati degli asset in un file CSV dalla pagina Asset della console Google Cloud.

Per scaricare i dati degli asset in un file CSV:

  1. Vai alla pagina Asset:

    Vai ad Asset

  2. Nella barra degli strumenti, fai clic sul selettore di progetti e seleziona il progetto, la cartella o l'organizzazione.

  3. Utilizza il riquadro Filtri rapidi o il campo Filtro del riquadro dei risultati degli asset per selezionare gli asset da esportare. Per scoprire di più su come filtrare gli asset, consulta la sezione Filtrare gli asset.

  4. Sopra gli asset visualizzati, fai clic su Esporta e poi su Scarica CSV. I dati relativi agli asset nel riquadro dei risultati vengono scaricati sulla workstation.

Esportare i dati utilizzando metodi API

Puoi esportare asset, risultati e contrassegni di sicurezza in un bucket Cloud Storage o in una workstation locale utilizzando l'API Security Command Center.

Esportare i dati degli asset utilizzando metodi dell'API

Per esportare o elencare i dati degli asset, utilizza l'API Cloud Asset Inventory. Per ulteriori informazioni, consulta la sezione Esportare la cronologia delle risorse e i metadati.

I metodi e i campi degli asset dell'API Security Command Center sono deprecati e verranno rimossi il 26 giugno 2024 o in una data successiva.

Fino alla rimozione, gli utenti che hanno attivato Security Command Center prima del 26 giugno 2023 possono utilizzare i metodi degli asset dell'API Security Command Center per elencare ed esportare i dati degli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.

Per informazioni sull'utilizzo dei metodi dell'API per gli asset deprecati, consulta la pagina relativa agli elenchi degli asset.

Esportare i dati dei risultati utilizzando l'API Security Command Center

Per esportare i risultati con l'API Security Command Center, segui la guida per elencare i risultati sulla sicurezza e quindi scarica o esporta le risposte dell'API.

Per elencare i risultati con eventuali contrassegni di sicurezza allegati, puoi utilizzare i seguenti metodi API:

I metodi restituiscono i risultati con il set completo di proprietà, attributi e marchi associati in formato JSON. Se la tua applicazione richiede che i dati siano in un formato diverso, devi scrivere codice personalizzato per convertire l'output JSON.

Se specifichi un valore nel campo groupBy, puoi utilizzare i seguenti metodi:

Il metodo GroupFindings restituisce un elenco dei risultati di un'organizzazione, raggruppati per proprietà specificate.

Esporta i risultati utilizzando gcloud CLI

Per utilizzare i comandi di Google Cloud CLI in Cloud Shell per esportare i risultati in un bucket Cloud Storage, segui questi passaggi:

  1. Apri Cloud Shell.

    Vai a Cloud Shell

  2. Per scrivere i risultati in un file, aggiungi una stringa di output ai comandi dell'interfaccia a riga di comando gcloud CLI per elencare i risultati.

    Ad esempio, il comando seguente archivia i risultati elencati in un file di testo denominato FINDINGS.txt.

     gcloud scc findings list PARENT_ID --source=SOURCE_ID \
   --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt

    Sostituisci quanto segue:

    • FILTER: un'espressione facoltativa per limitare l'elenco dei risultati stampati a quelli che corrispondono all'espressione di filtro.

      • LOCATION: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui sono archiviati i risultati.

        Se la residenza dei dati non è abilitata, specificando il flag --location vengono elencati i risultati utilizzando l'API Security Command Center v2. L'unico valore valido per il flag è global.

    • PARENT_ID: l'ID di una delle seguenti risorse padre:

      • Organizzazione, specificata come organizations/ORGANIZATION_ID o ORGANIZATION_ID
      • Cartella specificata come folders/FOLDER_ID
      • Progetto specificato come projects/PROJECT_ID

    • SOURCE_ID: l'ID origine del provider di risultati. Per trovare un ID origine, consulta Ottenere l'ID origine.

    • FINDINGS.txt: nome e estensione di un file di destinazione per archiviare l'elenco dei risultati.

  3. Copia FINDINGS.txt nel bucket Cloud Storage.

    gsutil cp FINDINGS.txt gs://BUCKET_NAME

    Sostituisci BUCKET_NAME con il nome del tuo bucket.

  4. Per salvare FINDINGS.txt sulla workstation locale anziché in un bucket Cloud Storage, esegui questo comando:

    cloudshell download FINDINGS.txt

Esportazioni continue

Le esportazioni continue semplificano il processo di esportazione automatica dei risultati di Security Command Center in Pub/Sub. Quando vengono scritti i nuovi risultati, vengono esportati automaticamente in argomenti Pub/Sub designati quasi in tempo reale, in modo da integrarli nel tuo flusso di lavoro esistente.

Per saperne di più su Pub/Sub, consulta Che cos'è Pub/Sub?

Confronto tra esportazioni continue e notifiche sui risultati

Security Command Center consente di configurare le notifiche di rilevamento per Pub/Sub utilizzando l'API Security Command Center. L'API richiede l'utilizzo di Google Cloud CLI per configurare argomenti Pub/Sub, creare filtri dei risultati e creare NotificationConfigs, file contenenti le impostazioni di configurazione per inviare notifiche. Le esportazioni continue offrono le stesse funzionalità, ma la creazione delle esportazioni è semplificata dall'utilizzo della console Google Cloud.

Autorizzazioni

Per creare e gestire le esportazioni continue, devi disporre di uno dei seguenti ruoli.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Puoi anche utilizzare qualsiasi ruolo con le seguenti autorizzazioni:

  • Per visualizzare o pubblicare argomenti Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list

  • Per visualizzare la pagina delle esportazioni continue:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list

  • Per gestire le esportazioni continue:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Per scoprire di più sui ruoli di Security Command Center, vedi Controllo dell'accesso.

Residenza dei dati ed esportazioni continue

Se la Residenza dei dati è abilitata per Security Command Center, le configurazioni che definiscono le esportazioni continue nelle risorse Pub/Sub (notificationConfig) sono soggette al controllo della residenza dei dati e vengono archiviate in una località di Security Command Center selezionata da te.

Per esportare i risultati in una località di Security Command Center in Pub/Sub, devi configurare l'esportazione continua nella stessa località di Security Command Center dei risultati.

Poiché i filtri utilizzati nelle esportazioni continue possono contenere dati soggetti a controlli di residenza, assicurati di specificare la posizione corretta prima di crearli. Security Command Center non limita la località in cui vengono create le esportazioni.

Le esportazioni continue vengono archiviate solo nella località in cui sono state create e non possono essere visualizzate o modificate in altre località.

Dopo aver creato un'esportazione continua, non puoi modificarne la località. Per cambiare la località, devi eliminare l'esportazione continua e ricrearla nella nuova posizione.

Per recuperare un'esportazione continua utilizzando le chiamate API, devi specificare la località nel nome completo della risorsa di notificationConfig. Ad esempio:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Analogamente, per recuperare un'esportazione continua utilizzando gcloud CLI, devi specificare la località nel nome completo della risorsa della configurazione o utilizzando il flag --locations. Ad esempio:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

crea un'esportazione continua in Pub/Sub

Le esportazioni continue ti consentono di automatizzare l'esportazione di tutti i risultati futuri in Pub/Sub o di creare filtri per esportare i risultati futuri che soddisfano criteri specifici. Puoi filtrare i risultati per categoria, origine, tipo di asset, contrassegni di sicurezza, gravità, stato e altre variabili.

La tua organizzazione può creare un massimo di 500 esportazioni continue.

Per creare un'esportazione per Pub/Sub:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Nella barra degli strumenti, fai clic sul selettore di progetti e seleziona il progetto, la cartella o l'organizzazione.

  3. Se il supporto della residenza dei dati è abilitato, direttamente sotto il selettore del progetto, seleziona la località di residenza dei dati. Ad esempio:

    Screenshot del selettore della località

  4. Nel campo Risultati della query dei risultati, seleziona i risultati da esportare utilizzando uno dei seguenti metodi:

    • Fai clic su Aggiungi filtro per selezionare le proprietà dei risultati da esportare.

      La finestra di dialogo Seleziona filtro ti consente di scegliere gli attributi e i valori dei risultati supportati. Finestra di dialogo del filtro query

      1. Seleziona un attributo dei risultati o digitane il nome nella casella Cerca attributi dei risultati. Viene visualizzato un elenco degli attributi secondari disponibili.
      2. Seleziona un attributo secondario. Un campo di selezione per le opzioni di valutazione viene visualizzato sopra un elenco dei valori degli attributi secondari trovati nei risultati, all'interno del riquadro Risultati query dei risultati.
      3. Seleziona un'opzione di valutazione per i valori dell'attributo secondario selezionato. Per scoprire di più sulle opzioni di valutazione, sugli operatori e sulle funzioni che utilizzano, consulta Operatori di query nel menu Aggiungi filtri.
      4. Seleziona Applica.

        La finestra di dialogo si chiude e la query viene aggiornata.

      5. Ripeti finché la query sui risultati non contiene tutti gli attributi che vuoi.

    • codificando manualmente la query sui risultati nell'Editor query. Puoi utilizzare gli operatori SQL standard AND,OR, è uguale a (=), ha (:) e non (-) per specificare le proprietà e i valori dei risultati da esportare.

      Mentre digiti la query, viene visualizzato un menu di completamento automatico in cui puoi selezionare nomi e funzioni dei filtri.

      Ad esempio, la seguente query disattiva i risultati anomalous IAM grant di bassa gravità e media gravità in prod-project ed esclude i tipi di risorse in cui il nome ha la sottostringa compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
IAM Anomalous Grant" AND resource.project_display_name="prod-project"
AND -resource.type:"compute"

      Per altri esempi sul filtro dei risultati, consulta Filtro delle notifiche.

  5. Esamina l'accuratezza della query risultante. Per apportare modifiche, elimina o aggiungi proprietà e filtri in base alle necessità.

  6. Fai clic su Aggiorna risultati corrispondenti. Una tabella mostra i risultati che corrispondono alla query. Per ulteriori informazioni sull'esecuzione di query sui risultati, consulta Modificare una query dei risultati nella console Google Cloud.

  7. Fai clic su Esporta e, in Continua, fai clic su Pub/Sub.

  8. Controlla il filtro per assicurarti che sia corretto e, se necessario, torna alla pagina Risultati per modificarlo.

  9. In Nome esportazione continua, inserisci un nome per l'esportazione.

  10. In Descrizione esportazione continua, inserisci una descrizione per l'esportazione.

  11. In Esporta in, seleziona un progetto per l'esportazione. Non puoi creare un progetto in questa pagina. Per creare un nuovo progetto, consulta l'articolo Creazione di un progetto.

  12. In Argomento Pub/Sub, seleziona l'argomento in cui vuoi esportare i risultati. Per creare un argomento:

    1. Seleziona Crea un argomento.
    2. Inserisci un ID argomento, quindi seleziona altre opzioni in base alle tue esigenze:
      1. Scopri di più sulla creazione e gestione degli schemi.
      2. Scopri di più sull'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) con Pub/Sub.
    3. Fai clic su Crea argomento.

  13. Fai clic su Salva. Viene visualizzata una conferma e tornerai alla pagina dei risultati.

  14. Segui la guida per creare una sottoscrizione per il tuo argomento Pub/Sub.

La configurazione dell'esportazione Pub/Sub è stata completata. Per pubblicare le notifiche, viene creato per te un account di servizio sotto forma di service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A questo account di servizio viene concesso automaticamente il ruolo roles/securitycenter.notificationServiceAgent a livello di organizzazione. Questo ruolo dell'account di servizio è necessario per il funzionamento delle notifiche.

Test delle esportazioni continue

Per confermare il funzionamento di un'esportazione, svolgi i passaggi che seguono per attivare o disattivare i risultati.

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Fai clic sul pulsante Modifica query. Si apre l'editor query.

  3. Modifica la query in modo che vengano visualizzati entrambi i risultati, attivi e non attivi. La seguente query omette la proprietà state per visualizzare tutti i risultati tranne quelli che sono disattivati:

    NOT mute="MUTED"

  4. Se necessario, utilizza l'Editor query per reinserire le variabili di filtro che corrispondono al filtro di esportazione che stai testando.

  5. Fai clic sulla casella accanto al nome di un risultato.

  6. Seleziona Modifica stato attivo, quindi Non attivo.

  7. Seleziona di nuovo il risultato che hai contrassegnato come non attivo.

  8. Seleziona Modifica stato attivo, quindi Attivo. Viene inviata una notifica per il nuovo risultato attivo.

  9. Vai alla pagina Pub/Sub nella console Google Cloud.

    Vai a Pub/Sub

  10. Nell'elenco degli argomenti, fai clic sul nome dell'argomento.

  11. Seleziona Visualizza messaggi.

  12. Nel riquadro Messaggi, seleziona l'abbonamento dall'elenco a discesa per visualizzare la notifica del risultato. Se necessario, fai clic su Pull per aggiornare i messaggi.

Gestione delle esportazioni continue

Per visualizzare, modificare o eliminare le esportazioni:

  1. Vai alla pagina Impostazioni di Security Command Center.

    Vai alle Impostazioni

  2. Nella barra degli strumenti, fai clic sul selettore di progetti e seleziona il progetto, la cartella o l'organizzazione.

  3. Se il supporto della residenza dei dati è abilitato, direttamente sotto il selettore del progetto, seleziona la località di residenza dei dati. Ad esempio:

    Screenshot del selettore della località

  4. Seleziona Esportazioni continue. Vedrai un elenco delle esportazioni continue per il progetto, la cartella o l'organizzazione.

Nella pagina Esportazioni continue in Impostazioni, puoi creare, visualizzare, modificare ed eliminare le esportazioni continue.

Per visualizzare i risultati che corrispondono a un filtro di esportazione:

  1. Nella pagina Esportazioni continue, accanto al nome di un'esportazione, seleziona Altro , quindi fai clic su Visualizza filtri correlati.
  2. La pagina Risultati viene caricata con i risultati che corrispondono al filtro di esportazione.

Modifica delle esportazioni continue

  1. Nella pagina Esportazioni continue, fai clic sul nome dell'esportazione che vuoi visualizzare o modificare oppure fai clic su Altro .
  2. Seleziona Modifica.
  3. Inserisci una nuova descrizione, modifica il progetto in cui vengono salvate le esportazioni o inserisci un nuovo argomento Pub/Sub.
  4. Al termine, fai clic su Salva.

Eliminazione delle esportazioni continue

  1. Nella pagina Esportazioni continue, fai clic sul nome dell'esportazione da eliminare.
  2. Fai clic su Elimina.
  3. Nella finestra di dialogo, fai clic su Elimina. L'esportazione è stata eliminata.

Passaggi successivi

Scopri di più su come trovare le notifiche.