Esportazione dei dati di Security Command Center

In questa pagina vengono descritti due metodi per esportare i dati di Security Command Center, tra cui: asset, risultati e contrassegni di sicurezza:

• Esportazioni una tantum per risultati, asset e e contrassegni di sicurezza
• Esportazioni continue che esportano automaticamente. nuovi risultati in Pub/Sub

Puoi esportare i dati di Security Command Center utilizzando Console Google Cloud, Google Cloud CLI o l'API Security Command Center.

Puoi anche trasmettere i risultati in BigQuery. Per ulteriori informazioni, consulta Trasmettere i risultati in BigQuery per l'analisi.

Esportazioni una tantum

Le esportazioni una tantum consentono di trasferire e scaricare manualmente i dati correnti e storici risultati e risorse.

Per i risultati, puoi utilizzare la console Google Cloud per trasferire i dati in formato JSON, JSONL o CSV in un bucket Cloud Storage. Puoi anche scaricare un numero limitato di risultati sulla workstation in formato CSV.

Per gli asset, puoi scaricare i dati dalla console Google Cloud alla workstation locale come file CSV.

Autorizzazioni

Per eseguire esportazioni una tantum, è necessario quanto segue:

• Ruolo Visualizzatore amministratore Centro sicurezza per il ruolo Identity and Access Management (IAM) (roles/securitycenter.adminViewer) o qualsiasi ruolo con le seguenti autorizzazioni:

  • resourcemanager.organizations.get (obbligatorio solo per i livelli di organizzazione) attivazioni di Security Command Center)
  • resourcemanager.projects.get (richiesto per le attivazioni a livello di progetto) di Security Command Center)
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.get

• Storage Admin che ti consente di archiviare dati nei bucket Cloud Storage.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. La tua possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per apprendere Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Residenza dei dati ed esportazioni una tantum

Non puoi includere i tuoi dati soggetti alla residenza dei dati nel filtro di un'esportazione una tantum in Cloud Storage.

Se specifichi una proprietà che contiene dati controllati nel filtro dei risultati, Security Command Center restituisce un messaggio di errore quando tenti di eseguire l'esportazione.

Esportare i dati utilizzando la console Google Cloud

Con la console Google Cloud puoi:

• Esportare i risultati in un bucket Cloud Storage
• Scaricare i risultati in un file CSV
• Esportare le risorse in un file CSV

Esporta i risultati in un bucket Cloud Storage

Questa sezione descrive come esportare i dati di Security Command Center in un nel bucket Cloud Storage. Quando fai clic su Esporta nella sezione Risultati nella console Google Cloud, Security Command Center ottiene automaticamente le credenziali o le autorizzazioni nel bucket Cloud Storage.

I risultati vengono esportati in operazioni separate. Puoi esportare un file JSON, un JSONL o un file CSV in un bucket Cloud Storage esistente oppure creare un bucket durante il processo di esportazione. Puoi esportare tutti i risultati attuali oppure e seleziona i filtri da utilizzare prima di eseguire l'esportazione.

Non puoi esportare i risultati in un bucket Cloud Storage che contiene criterio di conservazione impostato.

1. Vai alla pagina Risultati nella console Google Cloud.

   Vai ai risultati

2. Nella barra degli strumenti, fai clic selettore di progetti arrow_drop_down e seleziona il progetto, la cartella o l'organizzazione.

3. Seleziona i risultati da esportare applicando filtri alla la query sui risultati. Per ulteriori informazioni sulla creazione di filtri, consulta Creare o modificare una query dei risultati nella console Google Cloud.

4. Dopo aver creato un filtro, fai clic su Esporta e poi, in Una volta, fai clic su Cloud Storage.

5. Nella pagina Esporta, configura l'esportazione:

   1. Nella sezione Esporta in, specifica i seguenti campi:
      1. Nel campo Nome progetto, specifica il progetto che contiene nel bucket Cloud Storage.
      2. Nel campo Percorso esportazione, che viene visualizzato solo dopo che hai specificato un progetto, fai clic su Sfoglia.
      3. Nel riquadro Seleziona oggetto, scegli un oggetto esistente nel bucket Cloud Storage o crea un bucket di archiviazione.
      4. Dopo aver selezionato o creato un bucket, in Nome file, inserisci un nome per il file di esportazione.
      5. Fai clic su Seleziona.
   2. Nella sezione Criteri di esportazione, specifica i seguenti campi:
      1. Fai clic su Raggruppa risultati per e seleziona come vuoi raggruppare i dati dell'esportazione.
      2. Fai clic sul campo Formato e seleziona JSON, JSONL o CSV.
      3. Fai clic nel campo Intervallo di tempo e seleziona il periodo di tempo da che esportare i risultati.
   3. Nella sezione Query dei risultati, verifica che la query venga visualizzata mentre in base alle previsioni.
   4. Sotto la query, verifica che il numero e il tipo di risultati corrispondenti sono ciò che ti aspetti.
   5. Fai clic su Esporta.

   Se hai selezionato un file esistente nel bucket, seleziona Conferma sovrascrittura viene visualizzata la finestra di dialogo.

   • Per sovrascrivere il file esistente, fai clic su Conferma.
   • Per modificare il file in cui scrivi, fai clic su Annulla e poi su Sfoglia nella casella Percorso di esportazione e seleziona o crea un altro .

I dati configurati vengono salvati nel bucket Cloud Storage che da te specificato.

Scaricare i dati esportati da un bucket Cloud Storage

Per scaricare i dati JSON, JSONL o CSV esportati, segui questi passaggi:

1. Vai alla pagina Browser Storage nella console Google Cloud.

   Vai al browser di Storage

2. Seleziona il progetto e fai clic sul bucket in cui hai esportato i dati.

3. Seleziona la casella di controllo accanto al file di esportazione, quindi fai clic su Scarica.

4. Nella finestra di dialogo Salva file, seleziona la posizione in cui vuoi per salvare il file, quindi fai clic su Salva.

Il file JSON, JSONL o CSV viene scaricato nel percorso che hai specificato.

Esportare i risultati in un file CSV

Per configurare l'esportazione, puoi filtrare i risultati per categoria, gravità e altre proprietà. Tutti i risultati che corrispondono al filtro sono inclusi nel file CSV .

Puoi scaricare fino a 1000 risultati direttamente sulla workstation. Se il numero di risultati supera 1000, il sistema ti reindirizzerà automaticamente alla pagina Esporta i risultati in Cloud Storage, dove puoi esportare i dati in un bucket Cloud Storage.

I record dei risultati vengono esportati con un insieme predefinito di colonne, che potrebbe non a ciò che vedi nella console Google Cloud. Ovvero, nascondere o mostrare utilizzando la colonna view_week le opzioni di visualizzazione non cambiano le colonne esportate. Analogamente, cambiando Il valore Righe per pagina non influisce sui contenuti esportati.

Per esportare i risultati in un file CSV, segui questi passaggi:

1. Nella pagina Security Command Center della console Google Cloud, vai a la pagina Risultati.

   Vai ai risultati

2. Nella barra degli strumenti, fai clic selettore di progetti arrow_drop_down e seleziona il progetto, la cartella o l'organizzazione.

3. (Facoltativo) Per restringere i risultati da esportare, applica una filtro.

4. Fai clic su download Esporta. fai clic su CSV. Security Command Center avvia l'esportazione dei risultati.

   Al termine dell'esportazione, viene visualizzata una notifica sulla barra degli strumenti.

5. Nella barra degli strumenti, fai clic sull'icona di notifica.

6. Nella notifica Esportazione salvata come CSV, fai clic su Scarica. Il file CSV viene scaricato sulla workstation locale.

Esportare gli asset in un file CSV

Puoi scaricare i dati delle risorse in un file CSV dalla pagina Asset del nella console Google Cloud.

Per scaricare i dati degli asset in un file CSV:

1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

   Vai ad Asset

2. Nella barra degli strumenti, fai clic selettore di progetti arrow_drop_down e seleziona il progetto, la cartella o l'organizzazione.

3. Utilizza il riquadro Filtri rapidi o il campo Filtro dell'asset dei risultati per selezionare gli asset che devi esportare. Per ulteriori informazioni Consulta la pagina Filtrare le risorse.

4. Sopra le risorse visualizzate, fai clic su Esporta e poi su Scarica CSV. La i dati relativi agli asset contenuti nel riquadro dei risultati vengono scaricati sulla workstation.

Esporta i dati con i metodi API

Puoi esportare asset, risultati e contrassegni di sicurezza in un Cloud Storage o la tua workstation locale utilizzando l'API Security Command Center.

Esportare i dati degli asset utilizzando i metodi dell'API

Per esportare o elencare i dati degli asset, utilizza l'API Cloud Asset Inventory. Per Per saperne di più, consulta l'articolo Esportare la cronologia e i metadati delle risorse.

I metodi degli asset e i campi dell'API Security Command Center sono deprecati e verrà rimossa a partire dal 26 giugno 2024.

Finché non verranno rimossi, gli utenti che hanno attivato Security Command Center in precedenza Il 26 giugno 2023 è possibile utilizzare i metodi degli asset dell'API Security Command Center per elencare ed esportare i dati degli asset, ma questi metodi supportano solo gli asset supportati da Security Command Center.

Per informazioni sull'utilizzo dei metodi ritirati dell'API degli asset, consulta asset delle schede.

Esportare i dati dei risultati utilizzando l'API Security Command Center

Per esportare i risultati con l'API Security Command Center, segui la guida per elenca i risultati sulla sicurezza e scarica o esportare le risposte dell'API.

Per elencare i risultati con eventuali contrassegni di sicurezza allegati, puoi utilizzare seguenti metodi dell'API:

• organizations.sources.findings/list
• folders.sources.findings/list
• project.sources.findings/list

I metodi restituiscono risultati con l'insieme completo di proprietà, e i contrassegni associati in formato JSON. Se la tua applicazione richiede che i dati siano in un formato diverso, devi scrivere codice personalizzato per convertire l'output JSON.

Se specifichi un valore nel campo groupBy, puoi utilizzare quanto segue metodo:

• organizations.sources.findings/group
• folders.sources.findings/list
• projects.sources.findings/group

Il metodo GroupFindings restituisce un elenco di dei risultati dell'organizzazione, raggruppati per proprietà specificate.

Esporta i risultati utilizzando gcloud CLI

Per utilizzare i comandi Google Cloud CLI in Cloud Shell per esportare a un bucket Cloud Storage, segui questi passaggi:

1. Apri Cloud Shell.

   Vai a Cloud Shell

2. Per scrivere i risultati in un file, aggiungi una stringa di output al Comandi gcloud CLI per elencare i risultati.

   Ad esempio, il seguente comando archivia i risultati elencati in un file di testo denominato FINDINGS.txt.

    gcloud scc findings list PARENT_ID --source=SOURCE_ID \
      --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
   

   Sostituisci quanto segue:

   • FILTER: un'espressione facoltativa per limitare l'elenco di i risultati stampati per quelli che corrispondono all'espressione di filtro.

     • LOCATION: se la residenza dei dati è abilitato, specifica la località di Security Command Center in cui sono archiviati i risultati.

       Se la residenza dei dati non è abilitata, viene specificato il flag --location elenca i risultati utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag è global.

   • PARENT_ID: l'ID di uno dei seguenti elementi risorse padre:

     • Organizzazione, specificata come organizations/ORGANIZATION_ID o ORGANIZATION_ID
     • Cartella, specificata come folders/FOLDER_ID
     • Progetto, specificato come projects/PROJECT_ID

   • SOURCE_ID: l'ID origine del fornitore di risultati. Per trovare un ID origine, consulta Recupero dell'ID origine.

   • FINDINGS.txt: il nome e l'estensione di un target per archiviare l'elenco dei risultati.

3. Copia FINDINGS.txt nel tuo bucket Cloud Storage.

   gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

   Sostituisci BUCKET_NAME con il nome del tuo bucket.

4. Per risparmiare FINDINGS.txt sulla workstation locale anziché un nel bucket Cloud Storage, esegui questo comando:

   cloudshell download FINDINGS.txt

Esportazioni continue

Le esportazioni continue semplificano il processo di esportazione automatica dei risultati di Security Command Center in Pub/Sub. Quando vengono scritti, i nuovi risultati vengono automaticamente esportate in argomenti Pub/Sub designati quasi in tempo reale, li integri nel tuo flusso di lavoro esistente.

Per saperne di più su Pub/Sub, consulta Che cos'è in Pub/Sub?

Confronto tra esportazioni continue e notifiche sulla ricerca

Security Command Center ti consente di configurare le notifiche relative alla ricerca per Pub/Sub usando l'API Security Command Center. L'API richiede usa Google Cloud CLI per configurare argomenti Pub/Sub, creare filtri per i risultati e creerai NotificationConfigs, file contenenti le impostazioni di configurazione inviare notifiche. Le esportazioni continue offrono la stessa funzionalità, ma La creazione delle esportazioni è semplificata dall'uso della console Google Cloud.

Autorizzazioni

Per creare e gestire le esportazioni continue, devi avere uno dei seguenti ruoli.

• roles/securitycenter.adminEditor
• roles/securitycenter.adminViewer

Puoi anche utilizzare qualsiasi ruolo con le seguenti autorizzazioni:

• Per visualizzare o pubblicare argomenti Pub/Sub:

  • pubsub.topics.publish
  • pubsub.topics.list

• Per visualizzare la pagina delle esportazioni continue:

  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list

• Per gestire le esportazioni continue:

  • securitycenter.notificationconfig.create
  • securitycenter.notificationconfig.update
  • securitycenter.notificationconfig.delete

Per scoprire di più sui ruoli di Security Command Center, vedi Controllo dell'accesso.

Residenza dei dati ed esportazioni continue

Se la residenza dei dati è abilitata per Security Command Center, le configurazioni che esportazioni continue Pub/Sub (notificationConfig risorse) è soggetto al controllo della residenza dei dati e sono archiviati in Posizione di Security Command Center che selezioni.

Per esportare i risultati in una località di Security Command Center in Pub/Sub, devi configurare la configurazione nella stessa posizione di Security Command Center dei risultati.

Poiché i filtri usati in modo continuo possono contenere dati soggetti a controlli di residenza, assicurati di specificare la posizione corretta prima di crearle. Security Command Center non limita la località che crei .

Le esportazioni continue vengono archiviate solo nella località in in cui vengono creati e non possono essere visualizzati o modificati in altre posizioni.

Dopo aver creato un'esportazione continua, non puoi modificare la sua posizione. Per modificare la località, devi eliminare l'esportazione continua e ricrearla nella nuova posizione.

Per recuperare un'esportazione continua mediante le chiamate API, devi specificare la località nel nome completo notificationConfig. Ad esempio:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Analogamente, per recuperare un'esportazione continua utilizzando con gcloud CLI, devi specificare la posizione nel nome completo della risorsa della configurazione o utilizzando --locations flag. Ad esempio:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Crea un'esportazione continua in Pub/Sub

Le esportazioni continue consentono di automatizzare l'esportazione di tutti i risultati futuri in Pub/Sub o creare filtri per esportare i risultati futuri che soddisfano criteri specifici. Puoi filtrare i risultati per categoria, origine, tipo di risorsa contrassegni di sicurezza, gravità, stato e altre variabili.

La tua organizzazione può creare un massimo di 500 esportazioni continue.

Per creare un'esportazione per Pub/Sub, segui questi passaggi:

1. Vai alla pagina Risultati di Security Command Center nella nella console Google Cloud.

   Vai ai risultati

2. Nella barra degli strumenti, fai clic selettore di progetti arrow_drop_down e seleziona il progetto, la cartella o l'organizzazione.

3. Se il supporto della residenza dei dati è abilitato, direttamente sotto il progetto seleziona la località di residenza dei dati. Ad esempio:

   

4. Nel campo Risultati query dei risultati, seleziona i risultati da esportare utilizzando uno dei seguenti metodi:

   • Facendo clic su Aggiungi filtro per selezionare le proprietà dei risultati che da esportare.

     La finestra di dialogo Seleziona filtro ti consente di scegliere i risultati supportati attributi e valori.

     1. Seleziona un attributo di risultato o digitane il nome nel Casella Cerca attributi dei risultati. Un elenco delle vengono visualizzati tutti gli attributi secondari.
     2. Seleziona un attributo secondario. Un campo di selezione per le opzioni di valutazione viene visualizzato sopra un elenco degli attributi secondari valori trovati nei risultati della query Risultati della query dei risultati dal riquadro.
     3. Seleziona un'opzione di valutazione per i valori dell'attributo l'attributo secondario selezionato. Per ulteriori informazioni sulle opzioni di valutazione e gli operatori e le funzioni che utilizzano, vedi Operatori di query nel menu Aggiungi filtri.
     4. Seleziona Applica.

        La finestra di dialogo si chiude e la query viene aggiornata.

     5. Ripeti finché la query sui risultati non contiene tutti gli attributi che desiderato.

   • Codificando manualmente la query dei risultati nell'editor di query. Puoi utilizzano gli operatori SQL standard AND,OR, equals (=), has (:) e non (-) per specificare le proprietà e i valori dei risultati che devi esportare.

     Mentre digiti la query, viene visualizzato un menu di completamento automatico in cui puoi selezionare nomi e funzioni dei filtri.

     Ad esempio, la seguente query disattiva l'audio dei livelli di gravità bassa e media anomalous IAM grant risultati in prod-project ed esclude tipi di risorse in cui il nome include la sottostringa compute:

     severity="LOW" OR severity="MEDIUM" AND category="Persistence:
     IAM Anomalous Grant" AND resource.project_display_name="prod-project"
     AND -resource.type:"compute"
     

     Per ulteriori esempi su come filtrare i risultati, consulta Filtro delle notifiche.

5. Esamina l'accuratezza della query risultante. Per apportare modifiche, elimina aggiungere proprietà e filtrare i valori in base alle esigenze.

6. Fai clic su Aggiorna risultati corrispondenti. Una tabella mostra i risultati che corrispondono alla tua query. Per ulteriori informazioni sull'esecuzione di query sui risultati, consulta Modifica una query dei risultati nella console Google Cloud.

7. Fai clic su Esporta e poi, in Continuo, fai clic su Pub/Sub

8. Rivedi il filtro per assicurarti che sia corretto e, se necessario, torna alla Risultati per modificarlo.

9. In Nome esportazione continua, inserisci un nome per l'esportazione.

10. In Descrizione esportazione continua, inserisci una descrizione per esporta.

11. In Esporta in, seleziona un progetto per l'esportazione. Non puoi creare progetto in questa pagina. Per creare un nuovo progetto, consulta Creazione di un progetto.

12. In Argomento Pub/Sub, seleziona l'argomento in cui vuoi esportare i risultati. Per creare un argomento:

    1. Seleziona Crea un argomento.
    2. Inserisci un ID argomento, quindi seleziona altre opzioni in base alle tue esigenze:
       1. Scopri di più su come creare e gestire gli schemi.
       2. Scopri di più sull'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) con Pub/Sub.
    3. Fai clic su Crea argomento.

13. Fai clic su Salva. Viene visualizzata una conferma, che restituisce nuovamente i risultati .

14. Segui la guida per creare un abbonamento. per l'argomento Pub/Sub.

La configurazione dell'esportazione Pub/Sub è stata completata. Per pubblicare notifiche, viene creato un account di servizio sotto forma di service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A questo account di servizio viene concesso automaticamente il roles/securitycenter.notificationServiceAgent a livello di organizzazione. Questo ruolo dell'account di servizio è obbligatorio per delle notifiche per il corretto funzionamento.

Test delle esportazioni continue in corso...

Per verificare che un'esportazione funzioni, procedi nel seguente modo per attivare/disattivare tra stato attivo e non attivo.

1. Vai alla pagina Risultati di Security Command Center nella nella console Google Cloud.

   Vai ai risultati

2. Fai clic sul pulsante Modifica query. Si apre l'Editor di query.

3. Modifica la query in modo che i risultati siano attivi e non attivi vengono visualizzati. La seguente query omette la proprietà state in visualizza tutti i risultati tranne quelli disattivati:

   NOT mute="MUTED"

4. Se necessario, utilizza l'editor di query per reinserire le variabili di filtro. che corrispondono al filtro di esportazione che stai testando.

5. Fai clic sulla casella accanto al nome di un risultato.

6. Seleziona Modifica stato attivo, quindi seleziona Non attivo.

7. Seleziona nuovamente il risultato contrassegnato come inattivo.

8. Seleziona Modifica stato attivo, quindi seleziona Attivo. Una notifica viene inviato per il risultato appena attivo.

9. Vai alla pagina Pub/Sub nella console Google Cloud.

   Vai a Pub/Sub

10. Nell'elenco degli argomenti, fai clic sul nome dell'argomento in questione.

11. Seleziona remove_red_eye Visualizza messaggi.

12. Nel riquadro Messaggi, seleziona la tua sottoscrizione dal menu a discesa. per vedere la notifica dei risultati. Se necessario, fai clic su Pull per aggiornare. messaggi.

Gestione delle esportazioni continue

Per visualizzare, modificare o eliminare le esportazioni:

1. Vai alla pagina Impostazioni in Security Command Center.

   Vai alle impostazioni

2. Nella barra degli strumenti, fai clic selettore di progetti arrow_drop_down e seleziona il progetto, la cartella o l'organizzazione.

3. Se il supporto della residenza dei dati è abilitato, direttamente sotto il progetto seleziona la località di residenza dei dati. Ad esempio:

   

4. Seleziona Esportazioni continue. Viene visualizzato un elenco di esportazioni continue nel progetto, nella cartella o nell'organizzazione.

Nella pagina Esportazioni continue, nelle Impostazioni, puoi creare, visualizzare, modificare ed eliminare le esportazioni continue.

Visualizzazione dei risultati correlati

Per vedere i risultati che corrispondono a un filtro di esportazione:

1. Nella pagina Esportazioni continue, seleziona un'esportazione accanto al nome Altro more_vert e e poi fai clic su Visualizza filtri correlati.
2. Viene caricata la pagina Risultati con i risultati che corrispondono al filtro di esportazione.

Modifica delle esportazioni continue

1. Nella pagina Esportazioni continue, fai clic sul nome dell'esportazione che ti interessa. per visualizzare o modificare oppure fai clic su Altro more_vert.
2. Seleziona Modifica.
3. Inserisci una nuova descrizione, modifica il progetto in cui vengono salvate le esportazioni oppure e inserisci un nuovo argomento Pub/Sub.
4. Al termine, fai clic su Salva.

Eliminazione delle esportazioni continue in corso...

1. Nella pagina Esportazioni continue, fai clic sul nome dell'esportazione che ti interessa. da eliminare.
2. Fai clic su delete Elimina.
3. Nella finestra di dialogo, fai clic su Elimina. L'esportazione è stata eliminata.

Passaggi successivi

Scopri di più su come trovare le notifiche.