Exporte dados do Security Command Center

Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, resultados e marcas de segurança:

Pode exportar dados do Security Command Center através da Google Cloud consola, da CLI do Google Cloud ou da API Security Command Center.

Também pode transmitir as descobertas para o BigQuery. Para mais informações, consulte o artigo Faça stream das conclusões para o BigQuery para análise.

Exportações únicas

As exportações únicas permitem-lhe transferir e descarregar manualmente conclusões e recursos atuais e históricos.

Para as descobertas, pode usar a Google Cloud consola para transferir dados no formato JSON, JSONL ou CSV para um contentor do Cloud Storage. Também pode transferir um número limitado de resultados para a sua estação de trabalho no formato CSV.

Para os recursos, pode transferir os dados da Google Cloud consola para a sua estação de trabalho local como um ficheiro CSV.

Autorizações

Para fazer exportações únicas, precisa do seguinte:

  • A função Identity and Access Management (IAM) Security Center Admin Viewer (roles/securitycenter.adminViewer) ou qualquer função que tenha as seguintes autorizações:

    • resourcemanager.organizations.get (obrigatório apenas para ativações do Security Command Center ao nível da organização)
    • resourcemanager.projects.get (necessário para ativações ao nível do projeto do Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get

  • A função Administrador de armazenamento, que lhe permite armazenar dados em contentores do Cloud Storage.

As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.

Residência de dados e exportações únicas

Não pode incluir nenhum dos seus dados sujeitos ao controlo de residência de dados no filtro de uma exportação única para o Cloud Storage.

Se especificar uma propriedade que contenha dados controlados no filtro de resultados, o Security Command Center devolve uma mensagem de erro quando tenta fazer a exportação.

Exporte dados através da Google Cloud consola

Com a consola Google Cloud , pode fazer o seguinte:

Exporte as conclusões para um contentor do Cloud Storage

Esta secção descreve como exportar dados do Security Command Center para um contentor do Cloud Storage. Quando clica em Exportar na página Resultados na Google Cloud consola, o Security Command Center obtém automaticamente credenciais ou autorizações para escrever no contentor do Cloud Storage.

As conclusões são exportadas em operações separadas. Pode exportar um ficheiro JSON, um ficheiro JSONL ou um ficheiro CSV para um contentor do Cloud Storage existente ou criar um contentor durante o processo de exportação. Pode exportar todas as conclusões atuais ou selecionar os filtros que quer usar antes de exportar.

Não pode exportar resultados para um contentor do Cloud Storage que tenha a política de retenção definida.

  1. Na Google Cloud consola, aceda à página Resultados do Security Command Center.

    Aceda a Conclusões

  2. Na barra de ferramentas, clique no seletor de projetos e selecione o seu projeto, pasta ou organização.

  3. Selecione as conclusões que tem de exportar aplicando filtros à consulta de conclusões. Para mais informações sobre como criar filtros, consulte o artigo Encontre e veja resultados específicos.

  4. Quando terminar de criar um filtro, clique em Exportar e, de seguida, em Armazenamento na nuvem em Única vez.

  5. Na página Exportar, configure a exportação:

    1. Na secção Exportar para, especifique os seguintes campos:
      1. No campo Nome do projeto, especifique o projeto que contém o contentor do Cloud Storage.
      2. No campo Caminho de exportação, que só é apresentado depois de especificar um projeto, clique em Procurar.
      3. No painel Selecionar objeto, selecione um contentor do Cloud Storage existente ou crie um contentor de armazenamento.
      4. Depois de selecionar ou criar um contentor, em Nome do ficheiro, introduza um nome para o ficheiro de exportação.
      5. Clique em Selecionar.
    2. Na secção Critérios de exportação, especifique os seguintes campos:
      1. Clique em Agrupar resultados por e selecione como quer agrupar os dados de exportação.
      2. Clique no campo Formato e selecione JSON, JSONL ou CSV.
      3. Clique no campo Intervalo de tempo e selecione o período a partir do qual exportar as conclusões.
    3. Na secção Consulta de resultados, confirme se a consulta é apresentada como esperado.
    4. Abaixo da consulta, confirme se o número e o tipo de resultados correspondentes são os esperados.
    5. Clique em Exportar.

    Se selecionou um ficheiro existente no contentor, é apresentada a caixa de diálogo Confirmar substituição.

    • Para substituir o ficheiro existente, clique em Confirmar.
    • Para alterar o ficheiro no qual está a escrever, clique em Cancelar e, de seguida, clique em Procurar na caixa Caminho de exportação e selecione ou crie um ficheiro diferente.

Os dados configurados são guardados no contentor do Cloud Storage que especificou.

Transfira dados exportados de um contentor do Cloud Storage

Para transferir os dados JSON, JSONL ou CSV exportados, siga estes passos:

  1. Aceda à página do Explorador de armazenamento na Google Cloud consola.

    Aceda ao navegador de armazenamento

  2. Selecione o seu projeto e, de seguida, clique no contentor para o qual exportou os dados.

  3. Selecione a caixa de verificação junto ao ficheiro de exportação e, de seguida, clique em Transferir.

  4. Na caixa de diálogo Guardar ficheiro, selecione a localização onde quer guardar o ficheiro e, de seguida, clique em Guardar.

O ficheiro JSON, JSONL ou CSV é transferido para a localização que especificou.

Exporte as conclusões para um ficheiro CSV

Para configurar a exportação, pode filtrar as descobertas por categoria, gravidade e outras propriedades. Todas as conclusões que correspondem ao filtro estão incluídas no ficheiro CSV.

Pode transferir até 1000 resultados diretamente para a sua estação de trabalho. Se o número de resultados exceder 1000, é-lhe pedido que refine a consulta para obter menos resultados. Em alternativa, pode exportar os dados para um contentor do Cloud Storage.

Os registos de resultados são exportados com um conjunto predefinido de colunas, que podem não corresponder ao que vê na consola. Ou seja, ocultar ou apresentar colunas não altera as colunas exportadas. Da mesma forma, alterar o número de linhas apresentadas por página, o que pode fazer naGoogle Cloud consola, não tem qualquer efeito no conteúdo exportado.

Para obter informações sobre como exportar resultados para um ficheiro CSV, clique no separador específico do seu nível de serviço.

  1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

    Aceda a Conclusões

  2. Selecione o seu Google Cloud projeto ou organização.
  3. Opcional: para refinar a seleção de resultados a exportar, aplique filtros.
  4. Clique em Exportar > CSV. O ficheiro CSV é transferido para a sua estação de trabalho local.

Exporte recursos para um ficheiro CSV

Pode transferir dados de recursos para um ficheiro CSV a partir da página Recursos na Google Cloud consola.

Para transferir dados de recursos para um ficheiro CSV, siga estes passos:

  1. Na Google Cloud consola, aceda à página Recursos do Security Command Center.

    Aceda a Recursos

  2. Na barra de ferramentas, clique no seletor de projetos e selecione o seu projeto, pasta ou organização.

  3. Use o painel Filtros rápidos ou o campo Filtrar do painel de resultados de recursos para selecionar os recursos que tem de exportar. Para mais informações acerca da filtragem de recursos, consulte o artigo Filtrar recursos.

  4. Acima dos recursos apresentados, clique em Exportar e, de seguida, em Transferir CSV. Os dados dos recursos no painel de resultados são transferidos para a sua estação de trabalho.

Exporte dados através de métodos de API

Pode exportar recursos, resultados e marcas de segurança para um segmento do Cloud Storage ou a sua estação de trabalho local através da API Security Command Center.

Exporte dados de recursos através de métodos de API

Para exportar ou listar dados de recursos, use a API Cloud Asset Inventory. Para mais informações, consulte o artigo Exporte o histórico e os metadados dos recursos.

Os métodos e os campos de recursos da API Security Command Center estão descontinuados e vão ser removidos a 20 de junho de 2024 ou após essa data.

Até serem removidos, os utilizadores que ativaram o Security Command Center antes de 20 de junho de 2023 podem usar os métodos de recursos da API Security Command Center para listar e exportar dados de recursos, mas estes métodos suportam apenas os recursos que o Security Command Center suporta.

Para obter informações sobre a utilização dos métodos da API Asset descontinuados, consulte o artigo sobre a apresentação de recursos.

Exporte dados de resultados com a API Security Command Center

Para exportar resultados com a API Security Command Center, siga o guia para listar resultados de segurança e, em seguida, transfira ou exporte as respostas da API.

Para listar as conclusões com quaisquer marcas de segurança anexadas, pode usar os seguintes métodos da API:

Os métodos devolvem resultados com o respetivo conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se a sua aplicação requerer que os dados estejam num formato diferente, tem de escrever código personalizado para converter a saída JSON.

Se especificar um valor no campo groupBy, pode usar os seguintes métodos para listar as descobertas numa organização, numa pasta ou num projeto, agrupadas pelas propriedades que especificar:

Exporte conclusões através da CLI gcloud

Para usar comandos da CLI Google Cloud no Cloud Shell para exportar descobertas para um contentor do Cloud Storage, siga estes passos:

  1. Abra o Cloud Shell.

    Aceda ao Cloud Shell

  2. Para escrever as conclusões num ficheiro, adicione uma string de saída aos comandos da CLI gcloud para listar conclusões.

    Por exemplo, o seguinte comando armazena as conclusões listadas num ficheiro de texto com o nome FINDINGS.txt.

    gcloud scc findings list PARENT_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="FILTER" > FINDINGS.txt

    Substitua o seguinte:

  3. Copie FINDINGS.txt para o seu contentor do Cloud Storage.

    gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

    Substitua BUCKET_NAME pelo nome do seu contentor.

  4. Para guardar FINDINGS.txt na sua estação de trabalho local em vez de num contentor do Cloud Storage, execute o seguinte comando:

    cloudshell download FINDINGS.txt

Exportações contínuas

As exportações contínuas simplificam o processo de exportação automática de resultados do Security Command Center para o Pub/Sub. Quando são escritas novas descobertas, estas são automaticamente exportadas para tópicos do Pub/Sub designados quase em tempo real, o que lhe permite integrá-las no seu fluxo de trabalho existente.

Para saber mais sobre o Pub/Sub, consulte o artigo O que é o Pub/Sub?

Exportação do Security Command Center para o BigQuery

Quando um atributo de uma descoberta é atualizado no Security Command Center, é tirada uma captura de ecrã da descoberta, e o Security Command Center tenta enviar essa captura de ecrã para o BigQuery.

  • Se os atributos da descoberta na imagem instantânea corresponderem ao filtro de exportação definido no BigQueryExport, a imagem instantânea é enviada para o BigQuery, onde se torna o registo atual da descoberta no BigQuery.

  • Se os atributos da descoberta não corresponderem ao filtro, a captura de ecrã não é enviada para o BigQuery. Se existir uma captura de ecrã anterior da descoberta no BigQuery, essa captura de ecrã anterior torna-se o registo atual da descoberta no BigQuery, mesmo que a captura de ecrã não reflita a atualização do atributo ocorrida no Security Command Center.

Por exemplo, se o filtro de uma exportação do BigQuery contiver o estado ativo, é gerada uma nova descoberta com o estado ativo e é exportada com êxito uma captura de ecrã da descoberta para o BigQuery.

Posteriormente, o estado dessa descoberta no Security Command Center é atualizado para inativo. A atualização aciona uma exportação de uma nova captura instantânea da descoberta para o BigQuery, mas, como o valor do estado já não corresponde ao filtro, o filtro bloqueia a exportação da captura instantânea da descoberta.

Consequentemente, a captura instantânea da descoberta no BigQuery continua a ter o estado ativo, mas a mesma descoberta no Security Command Center tem o estado inativo.

Isto também resulta numa incompatibilidade entre o número de resultados ativos no Security Command Center e o número de resultados ativos no BigQuery. O número é quase sempre superior no BigQuery do que no Security Command Center.

Por exemplo, se um filtro de exportação especificar o estado ativo e forem geradas 100 descobertas com o estado ativo, todas as 100 são exportadas para o BigQuery. Posteriormente, no Security Command Center, 50 dessas descobertas são atualizadas para inativas, e o filtro bloqueia a exportação acionada pelas atualizações porque o valor do estado já não corresponde ao filtro. Consequentemente, no BigQuery, todos os 100 resultados continuam ativos, enquanto no Security Command Center, apenas 50 resultados permanecem ativos.

Exportações contínuas versus notificações de deteção

O Security Command Center permite-lhe configurar notificações de deteção para o Pub/Sub através da API Security Command Center. A API requer que use a CLI Google Cloud para configurar tópicos do Pub/Sub, criar filtros de deteção e criar NotificationConfigs, ficheiros que contêm definições de configuração para enviar notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada através da Google Cloud consola.

Autorizações

Para criar e gerir exportações contínuas, precisa de uma das seguintes funções.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Também pode usar qualquer função que tenha as seguintes autorizações:

  • Para ver ou publicar tópicos Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list

  • Para ver a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list

  • Para gerir exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.

Residência de dados e exportações contínuas

Se a residência de dados estiver ativada para o Security Command Center, as configurações que definem exportações contínuas para recursos do Pub/Sub—notificationConfig—estão sujeitas ao controlo de residência de dados e são armazenadas numa localização do Security Command Center que selecionar.

Para exportar resultados numa localização do Security Command Center para o Pub/Sub, tem de configurar a exportação contínua na mesma localização do Security Command Center que os resultados.

Uma vez que os filtros usados em exportações contínuas podem conter dados sujeitos a controlos de residência, certifique-se de que especifica a localização correta antes de os criar. O Security Command Center não restringe a localização em que cria exportações.

As exportações contínuas são armazenadas apenas na localização em que são criadas e não podem ser vistas nem editadas noutras localizações.

Depois de criar uma exportação contínua, não pode alterar a respetiva localização. Para alterar a localização, tem de eliminar a exportação contínua e recriá-la na nova localização.

Para saber como usar o Security Command Center quando a residência de dados está ativada, consulte os endpoints regionais do Security Command Center.

Compatibilidade com as políticas de armazenamento de mensagens do Pub/Sub

O Pub/Sub permite-lhe definir uma política de armazenamento de mensagens. Esta política garante que o Pub/Sub armazena e processa mensagens apenas no conjunto de Google Cloud regiões que especificar, independentemente da origem dos pedidos de publicação ou subscrição.

No entanto, as exportações contínuas são incompatíveis com a opção enforceInTransit das políticas de armazenamento de mensagens. Quando configurar exportações contínuas, não escolha um tópico do Pub/Sub que tenha uma política de armazenamento de mensagens com a opção enforceInTransit ativada. Esse tópico pode não receber notificações de deteção do Security Command Center.

Para mais informações, consulte o artigo Vista geral da política de armazenamento de mensagens.

Crie uma exportação contínua para o Pub/Sub

As exportações contínuas permitem-lhe automatizar a exportação de todos os resultados futuros para o Pub/Sub ou criar filtros para exportar resultados futuros que cumpram critérios específicos. Pode filtrar as descobertas por categoria, origem, tipo de recurso, marcas de segurança, gravidade, estado e outras variáveis.

Quando cria uma nova exportação contínua para o Pub/Sub, pode gerir a exportação com a Google Cloud consola, a CLI gcloud, a API Security Command Center v2 ou as bibliotecas de cliente v2 para o Security Command Center.

A sua organização pode criar um máximo de 500 exportações contínuas.

Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

    Aceda a Conclusões

  2. Na barra de ferramentas, clique no seletor de projetos e selecione o seu projeto, pasta ou organização.

  3. No campo Resultados da consulta de conclusões, selecione as conclusões a exportar através de um dos seguintes métodos:

    • Clicando em Adicionar filtro para selecionar as propriedades das conclusões que precisa de exportar.

      A caixa de diálogo Selecionar filtro permite-lhe escolher atributos e valores de localização suportados.

      1. Selecione um atributo de registo de ocorrências ou escreva o respetivo nome na caixa Pesquisar atributos de registo de ocorrências. É apresentada uma lista dos subatributos disponíveis.
      2. Selecione um subatributo. É apresentado um campo de seleção onde pode criar a declaração de consulta com o subatributo selecionado, um operador de consulta e um ou mais valores para o subatributo.
      3. Selecione o operador e um ou mais valores para o subatributo no painel. Para mais informações sobre os operadores de consulta e as funções que usam, consulte os operadores de consulta no menu Adicionar filtros.
      4. Clique em Aplicar.

        A caixa de diálogo é fechada e a consulta é atualizada.

      5. Repita até que a consulta de resultados contenha todos os atributos que quer.

    • Ao programar manualmente a consulta de localização no editor de consultas. Pode usar operadores SQL padrão AND,OR, igual a (=), tem (:) e não (-) para especificar as propriedades de deteção e os valores das deteções que precisa de exportar.

      À medida que escreve a consulta, é apresentado um menu de preenchimento automático, onde pode selecionar nomes de filtros e funções.

      Por exemplo, a seguinte consulta desativa as descobertas de gravidade baixa e média em anomalous IAM grant e exclui os tipos de recursos em que o nome tem a substring compute:prod-project

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
IAM Anomalous Grant" AND resource.project_display_name="prod-project"
AND -resource.type:"compute"

      Para ver mais exemplos sobre a filtragem de resultados, consulte o artigo Filtrar notificações.

  4. Reveja a consulta resultante para verificar a respetiva precisão. Para fazer alterações, elimine ou adicione propriedades e valores de filtros, conforme necessário.

  5. Clique em Atualizar resultados da correspondência. É apresentada uma tabela com as conclusões que correspondem à sua consulta. Para mais informações sobre como consultar resultados, consulte o artigo Edite uma consulta de resultados na Google Cloud consola.

  6. Clique em Exportar e, de seguida, em Contínuo, clique em Pub/Sub.

  7. Reveja o filtro para garantir que está correto e, se necessário, volte à página Resultados para o modificar.

  8. Em Nome da exportação contínua, introduza um nome para a exportação.

  9. Em Descrição da exportação contínua, introduza uma descrição da exportação.

  10. Em Exportar para, selecione um projeto para a exportação. Não pode criar um projeto nesta página. Para criar um novo projeto, consulte o artigo Criar um projeto.

  11. Em Tópico do Pub/Sub, selecione o tópico para o qual quer exportar as conclusões. Para criar um tópico, faça o seguinte:

    1. Selecione Criar um tópico.

    2. Introduza um ID do tópico e, em seguida, selecione outras opções, conforme necessário:

      1. Saiba como criar e gerir esquemas.
      2. Saiba mais sobre a utilização de chaves de encriptação geridas pelo cliente (CMEK) com o Pub/Sub.

    3. Clique em Criar tópico.

  12. Clique em Guardar. É apresentada uma confirmação e regressa à página de resultados.

  13. Siga o guia para criar uma subscrição para o seu tópico Pub/Sub.

A configuração de exportação do Pub/Sub está concluída. Para publicar notificações, é criada uma conta de serviço para si no formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Esta conta de serviço recebe automaticamente a função roles/securitycenter.notificationServiceAgent ao nível da organização. Esta função da conta de serviço é necessária para o funcionamento das notificações.

Teste as exportações contínuas

Para confirmar que uma exportação está a funcionar, siga estes passos para alternar as descobertas entre os estados ativo e inativo.

  1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

    Aceda a Conclusões

  2. Clique em Editar consulta. O editor de consultas é aberto.

  3. Edite a consulta para que sejam apresentadas as conclusões ativas e inativas. A seguinte consulta omite a propriedade state para apresentar todas as descobertas, exceto as que estão desativadas:

    NOT mute="MUTED"
    1. Se necessário, use o Editor de consultas para voltar a introduzir as variáveis de filtro que correspondem ao filtro de exportação que está a testar.
    2. Selecione uma descoberta e, de seguida, clique em Alterar estado ativo > Inativo.
    3. Selecione novamente a descoberta que marcou como inativa e clique em Alterar estado ativo > Ativo. É enviada uma notificação para a nova deteção ativa.
    4. Aceda à página do Pub/Sub na Google Cloud consola.

    Aceda ao Pub/Sub

    1. Na lista de tópicos, clique no nome do seu tópico.
    2. Aceda ao separador Mensagens e selecione a sua subscrição na lista para ver a notificação de localização.
    3. Opcional: clique em Extrair para atualizar as mensagens.

Faça a gestão das exportações contínuas

Para ver, editar ou eliminar exportações, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Definições do Security Command Center.

    Aceda às Definições

  2. Na barra de ferramentas, clique no seletor de projetos e selecione o seu projeto, pasta ou organização.

  3. Selecione Exportações contínuas. É apresentada uma lista de exportações contínuas para o seu projeto, pasta ou organização.

Na Google Cloud consola, algumas exportações contínuas podem ter a etiqueta Antigo, o que indica que foram criadas com a API Security Command Center v1. Pode gerir estas exportações contínuas com a consola, a CLI gcloud, a API Security Command Center v1 ou as bibliotecas de cliente v1 para o Security Command Center. Google Cloud

Para gerir estas exportações contínuas com a CLI gcloud, não deve especificar uma localização quando executar o comando da CLI gcloud.

Na página Exportações contínuas em Definições, pode criar, ver, editar e eliminar exportações contínuas.

Para ver as conclusões que correspondem a um filtro de exportação, faça o seguinte:

Na página Exportações contínuas, junto ao nome de uma exportação, selecione Mais , e, de seguida, clique em Ver filtros relacionados.

A página Resultados é carregada com resultados que correspondem ao filtro de exportação.

Edite exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que quer ver ou modificar, ou clique em Mais .
  2. Selecione Editar.
  3. Introduza uma nova descrição, altere o projeto no qual as exportações são guardadas ou introduza um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Guardar.

Elimine exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que quer eliminar.
  2. Clique em Eliminar.
  3. Na caixa de diálogo, clique em Eliminar. A exportação é eliminada.

O que se segue?

Saiba mais sobre como encontrar notificações.