Cette page décrit deux méthodes permettant d'exporter des données Security Command Center, y compris les éléments, les résultats et les marques de sécurité :
- les exportations uniques pour les résultats, les éléments, et marques de sécurité
- Exportations continues qui exportent automatiquement de nouveaux résultats dans Pub/Sub
Vous pouvez exporter les données Security Command Center à l'aide du la console Google Cloud, la Google Cloud CLI ou l'API Security Command Center.
Vous pouvez également diffuser les résultats vers BigQuery. Pour plus d'informations, consultez Diffuser les résultats vers BigQuery pour analyse.
Exportations ponctuelles
Les exportations ponctuelles vous permettent de transférer et de télécharger manuellement les résultats et les éléments (historiques et données actuelles).
Pour les résultats, vous pouvez transférer des données à l'aide de la console Google Cloud au format JSON, JSONL ou CSV vers un bucket Cloud Storage. Vous pouvez également télécharger un nombre limité de résultats sur votre poste de travail au format CSV ;
Pour les éléments, vous pouvez télécharger les données depuis la console Google Cloud sur votre poste de travail local sous forme de fichier CSV.
Autorisations
Pour effectuer des exportations ponctuelles, vous avez besoin des éléments suivants :
Rôle IAM (Identity and Access Management) Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer
) ou tout rôle disposant du rôle les autorisations suivantes:resourcemanager.organizations.get
(obligatoire uniquement pour les comptes au niveau de l'organisation) activations de Security Command Center)resourcemanager.projects.get
(obligatoire pour les activations au niveau du projet) de Security Command Center)securitycenter.assets.group
securitycenter.assets.list
securitycenter.findings.group
securitycenter.findings.list
securitycenter.sources.get
securitycenter.sources.list
securitycenter.userinterfacemetadata.get
Le rôle Administrateur de l'espace de stockage, qui vous permet de stocker des données dans des buckets Cloud Storage.
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments, et les sources de sécurité dépendent du niveau d'accès accordé. Pour apprendre Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.
Résidence des données et exportations uniques
Vous ne pouvez pas inclure vos données soumises à la résidence des données dans le filtre d'une exportation unique vers Cloud Storage.
Si vous spécifiez une propriété qui contient des données contrôlées dans le filtre de résultat, Security Command Center renvoie un message d'erreur lorsque vous tentez d'effectuer l'exportation.
Exporter des données à l'aide de la console Google Cloud
La console Google Cloud vous permet d'effectuer les opérations suivantes:
- Exporter les résultats vers un bucket Cloud Storage
- Télécharger les résultats dans un fichier CSV
- Exporter des assets dans un fichier CSV
Exporter les résultats vers un bucket Cloud Storage
Cette section explique comment exporter des données Security Command Center vers un bucket Cloud Storage. Lorsque vous cliquez sur Exporter dans le panneau Résultats de la console Google Cloud, Security Command Center obtient automatiquement les identifiants ou les autorisations d'écriture bucket Cloud Storage.
Les résultats sont exportés dans des opérations distinctes. Vous pouvez exporter un fichier JSON, JSONL ou un fichier CSV à un bucket Cloud Storage existant ou créez un bucket pendant le processus d'exportation. Vous pouvez exporter tous les résultats actuels, ou sélectionnez les filtres à utiliser avant l'exportation.
Vous ne pouvez pas exporter les résultats vers un bucket Cloud Storage contenant le règle de conservation définie.
Accédez à la page Résultats de la console Google Cloud.
Dans la barre d'outils, cliquez sur l'icône
sélecteur de projet et sélectionnez votre projet, dossier ou organisation.Sélectionnez les résultats que vous devez exporter en appliquant des filtres à la requête de résultats. Pour en savoir plus sur Pour savoir comment créer des filtres, consultez Créer ou modifier une requête de résultats dans la console Google Cloud.
Lorsque vous avez créé votre filtre, cliquez sur Exporter, puis, sous Ponctuel : cliquez sur Stockage cloud.
Sur la page Exporter, configurez l'exportation :
- Dans la section Exporter vers, spécifiez les champs suivants:
- Dans le champ Project name (Nom du projet), spécifiez le projet contenant le bucket Cloud Storage.
- Dans le champ Chemin d'exportation, qui n'apparaît qu'une fois que vous avez spécifié un projet, cliquez sur Parcourir.
- Dans le panneau Sélectionner un objet, sélectionnez un bucket Cloud Storage existant ou créez un bucket de stockage.
- Après avoir sélectionné ou créé un bucket, sous Nom de fichier, saisissez le nom du fichier d'exportation.
- Cliquez sur Sélectionner.
- Dans la section Critères d'exportation, renseignez les champs suivants:
- Cliquez sur Grouper les résultats par, puis sélectionnez la méthode de votre choix. regrouper les données d'exportation.
- Cliquez dans le champ Format et sélectionnez JSON, JSONL ou CSV :
- Cliquez dans le champ Période, puis sélectionnez la période pour exporter les résultats.
- Dans la section Requête de résultats, vérifiez que la requête s'affiche lorsque vous à vos attentes.
- Sous la requête, vérifiez que le nombre et le type de résultats correspondants correspondent à vos attentes.
- Cliquez sur Exporter.
Si vous avez sélectionné un fichier existant dans le bucket, la boîte de dialogue Confirmer le remplacement s'affiche.
- Pour remplacer le fichier existant, cliquez sur Confirmer.
- Pour modifier le fichier dans lequel vous écrivez, cliquez sur Annuler, puis sur Cliquez sur Parcourir dans la zone Exporter le chemin, puis sélectionnez ou créez un autre chemin. .
- Dans la section Exporter vers, spécifiez les champs suivants:
Les données configurées sont enregistrées dans le bucket Cloud Storage que vous avez spécifié.
Télécharger les données exportées depuis un bucket Cloud Storage
Pour télécharger les données JSON, JSONL ou CSV exportées, procédez comme suit:
Accédez à la page Navigateur de stockage de la console Google Cloud.
Sélectionnez votre projet, puis cliquez sur le bucket vers lequel vous avez exporté des données.
Cochez la case à côté du fichier d'exportation, puis cliquez sur Télécharger.
Dans la boîte de dialogue Enregistrer le fichier, sélectionnez l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer.
Le fichier JSON, JSONL ou CSV est téléchargé à l'emplacement que vous avez spécifié.
Exporter les résultats dans un fichier CSV
Pour configurer l'exportation, vous pouvez filtrer les résultats par catégorie, gravité et d'autres propriétés. Tous les résultats correspondant au filtre sont inclus dans le fichier CSV .
Vous pouvez télécharger jusqu'à 1 000 résultats directement sur votre poste de travail. Si le nombre de résultats dépasse 1 000, vous êtes automatiquement redirigé sur la page Exporter les résultats vers Cloud Storage, où vous pouvez exporter les données vers un bucket Cloud Storage ;
Les enregistrements de résultats sont exportés avec un ensemble de colonnes par défaut, qui peut ne pas correspondent à ce que vous voyez dans la console Google Cloud. Autrement dit, masquer ou afficher colonnes à l'aide de la colonne
les options d'affichage ne modifient pas les colonnes exportées. De même, la modification la valeur Lignes par page n'a aucun effet sur le contenu exporté.Pour exporter les résultats dans un fichier CSV, procédez comme suit:
Sur la page Security Command Center de la console Google Cloud, accédez à la page Résultats.
Dans la barre d'outils, cliquez sur l'icône
sélecteur de projet et sélectionnez votre projet, dossier ou organisation.Facultatif: Pour affiner les résultats à exporter, appliquez un filtre.
Cliquez sur
Exporter, puis cliquez sur CSV. Security Command Center commence à exporter les résultats.Une fois l'exportation terminée, une notification s'affiche dans la barre d'outils.
Dans la barre d'outils, cliquez sur l'icône de notification.
Dans la notification Exportation enregistrée au format CSV, cliquez sur Télécharger. Le fichier CSV est téléchargé sur votre poste de travail local.
Exporter des éléments dans un fichier CSV
Vous pouvez télécharger les données d'éléments dans un fichier CSV depuis la page Éléments dans le console Google Cloud.
Pour télécharger les données d'éléments dans un fichier CSV, procédez comme suit:
Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.
Dans la barre d'outils, cliquez sur l'icône
sélecteur de projet et sélectionnez votre projet, dossier ou organisation.Utilisez le panneau Filtres rapides ou le champ Filtre de l'asset. de résultats pour sélectionner les ressources à exporter. Pour en savoir plus, sur le filtrage des éléments, consultez Filtrer des éléments.
Au-dessus des éléments affichés, cliquez sur Exporter, puis sur Télécharger au format CSV. La les données des éléments du panneau des résultats sont téléchargées sur votre station de travail.
Exporter des données à l'aide de méthodes API
Vous pouvez exporter des éléments, des résultats et des marques de sécurité vers un bucket Cloud Storage ou votre poste de travail local à l'aide de l'API Security Command Center.
Exporter des données d'éléments à l'aide de méthodes d'API
Pour exporter ou répertorier des données d'éléments, utilisez l'API Cloud Asset Inventory. Pour Pour en savoir plus, consultez Exporter l'historique et les métadonnées d'un élément.
Les méthodes et champs des éléments de l'API Security Command Center sont obsolètes. seront supprimées à partir du 26 juin 2024.
Tant qu'ils ne sont pas supprimés, les utilisateurs ayant activé Security Command Center auparavant Possibilité d'utiliser les méthodes d'élément de l'API Security Command Center à partir du 26 juin 2023 pour répertorier et exporter les données d'éléments, mais ces méthodes ne sont compatibles les éléments compatibles avec Security Command Center.
Pour en savoir plus sur l'utilisation des méthodes obsolètes de l'API Asset, consultez les éléments des fiches.
Exporter les données des résultats à l'aide de l'API Security Command Center
Pour exporter les résultats avec l'API Security Command Center, suivez le guide répertorier les résultats de sécurité, puis télécharger ou exporter les réponses de l'API.
Pour répertorier les résultats auxquels sont associées des marques de sécurité, vous pouvez utiliser la méthode méthodes d'API suivantes:
Les méthodes renvoient des résultats avec leur ensemble complet de propriétés, et les marques associées au format JSON. Si votre application nécessite que les données soient dans un format différent, vous devez écrire du code personnalisé pour convertir la sortie JSON.
Si vous spécifiez une valeur dans le champ groupBy
, vous pouvez utiliser le code suivant :
méthodes:
La méthode GroupFindings
renvoie la liste d'une
résultats d'une organisation, regroupés par propriétés spécifiées.
Exporter les résultats à l'aide de la gcloud CLI
Utiliser les commandes Google Cloud CLI dans Cloud Shell pour exporter des dans un bucket Cloud Storage, procédez comme suit:
Ouvrez Cloud Shell.
Pour écrire les résultats dans un fichier, ajoutez une chaîne de sortie au Commandes de gcloud CLI permettant de répertorier les résultats.
Par exemple, la commande suivante stocke les résultats dans un fichier texte nommé
FINDINGS.txt
.gcloud scc findings list PARENT_ID --source=SOURCE_ID \ --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
Remplacez les éléments suivants :
FILTER
: expression facultative permettant de limiter la liste de de résultats affichés dans ceux correspondant à l'expression de filtre.LOCATION
: si la résidence des données est spécifiez l'emplacement Security Command Center dans lequel les résultats sont stockés.Spécifier l'option
--location
si la résidence des données n'est pas activée liste les résultats à l'aide de l'API Security Command Center version 2. La seule valeur valide pour l'indicateur estglobal
.
PARENT_ID
: ID de l'un des éléments suivants Ressources parentes:- Organisation, spécifiée en tant que
organizations/ORGANIZATION_ID
ouORGANIZATION_ID
- Dossier, spécifié en tant que
folders/FOLDER_ID
- Projet, spécifié en tant que
projects/PROJECT_ID
- Organisation, spécifiée en tant que
SOURCE_ID
: ID source du fournisseur de résultats. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.FINDINGS.txt
: nom et extension d'une cible pour stocker la liste des résultats.
Copiez
FINDINGS.txt
dans votre bucket Cloud Storage.gcloud storage cp FINDINGS.txt gs://BUCKET_NAME
Remplacez
BUCKET_NAME
par le nom de votre bucket :Pour enregistrer
FINDINGS.txt
sur votre poste de travail local au lieu d'un bucket Cloud Storage, exécutez la commande suivante:cloudshell download FINDINGS.txt
Exportations continues
Les exportations continues simplifient le processus d'exportation automatique des résultats de Security Command Center dans Pub/Sub. Lorsque de nouveaux résultats sont écrits, ils sont automatiquement exportés vers des sujets Pub/Sub désignés quasiment en temps réel, ce qui vous permet de les intégrer à votre workflow existant.
Pour en savoir plus sur Pub/Sub, consultez la page Qu'est-ce que Pub/Sub ?
Exportations continues ou résultats de notifications
Security Command Center vous permet de configurer des notifications de résultats pour Pub/Sub à l'aide de l'API Security Command Center. L'API nécessite que vous utilisiez Google Cloud CLI pour configurer des sujets Pub/Sub, créer des filtres de résultats et créer des fichiers NotificationConfigs
contenant des paramètres de configuration pour l'envoi des notifications. Les exportations continues offrent
les mêmes fonctionnalités, mais
la création d'exportations est simplifiée à l'aide de la console Google Cloud.
Autorisations
Pour créer et gérer des exportations continues, vous devez disposer de l'un des rôles suivants.
roles/securitycenter.adminEditor
roles/securitycenter.adminViewer
Vous pouvez également utiliser n'importe quel rôle disposant des autorisations suivantes :
Pour afficher ou publier des sujets Pub/Sub, procédez comme suit :
pubsub.topics.publish
pubsub.topics.list
Pour afficher la page des exportations continues, procédez comme suit :
securitycenter.notificationconfig.get
securitycenter.notificationconfig.list
Pour gérer les exportations continues, procédez comme suit :
securitycenter.notificationconfig.create
securitycenter.notificationconfig.update
securitycenter.notificationconfig.delete
Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Résidence des données et exportations continues
Si la résidence des données
est activé pour Security Command Center, les configurations qui définissent
des exportations continues vers
Pub/Sub : notificationConfig
ressources, sont soumises
au contrôle de résidence des données et sont stockées
Emplacement Security Command Center
que vous sélectionnez.
Pour exporter des résultats depuis un emplacement Security Command Center vers ou Pub/Sub, vous devez configurer au même emplacement Security Command Center que les résultats.
Comme les filtres utilisés dans l'analyse continue peuvent contenir des données soumises à des contrôles de résidence, veillez à spécifier le bon emplacement avant de les créer. Security Command Center ne limite pas l'emplacement que vous créez pour l'exportation.
Les exportations continues ne sont stockées que dans l'emplacement de dans lequel elles ont été créées et ne peuvent pas être visualisées ni modifiées dans d'autres emplacements.
Une fois que vous avez créé une exportation continue, vous ne pouvez plus modifier son emplacement. Pour modifier le lieu, vous devez supprimer l'exportation continue et la recréer dans le nouvel emplacement.
Pour récupérer une exportation continue à l'aide d'appels d'API,
vous devez spécifier l'emplacement dans le nom complet de la ressource
notificationConfig
Exemple :
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
De même, pour récupérer une exportation continue en utilisant
dans la gcloud CLI, vous devez spécifier l'emplacement
dans le nom de ressource complet de la configuration ou à l'aide de l'--locations
. Exemple :
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Créer une exportation continue vers Pub/Sub
Les exportations continues vous permettent d'automatiser l'exportation de tous les résultats futurs vers Pub/Sub ou créez des filtres pour exporter les résultats qui répondent des critères spécifiques. Vous pouvez filtrer les résultats par catégorie, source, type d'élément, marque de sécurité, gravité, état ou d'autres variables.
Votre organisation peut créer jusqu'à 500 exportations continues.
Pour créer une exportation pour Pub/Sub, procédez comme suit:
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
Dans la barre d'outils, cliquez sur l'icône
sélecteur de projet et sélectionnez votre projet, dossier ou organisation.Si la prise en charge de la résidence des données est activée, directement sous le projet sélectionnez votre emplacement de résidence des données. Exemple :
Dans le champ Résultats de la requête de résultats, sélectionnez les résultats à exporter. à l'aide de l'une des méthodes suivantes:
En cliquant sur Ajouter un filtre pour sélectionner les propriétés des résultats que vous que vous devez exporter.
La boîte de dialogue Sélectionner un filtre vous permet de choisir les attributs et les valeurs de résultats compatibles.
- Sélectionnez un attribut de résultat ou saisissez son nom dans le Rechercher des attributs de résultat. Une liste des options disponibles sous-attributs s'affiche.
- Sélectionnez un sous-attribut. Un champ de sélection pour vos options d'évaluation s'affiche au-dessus d'une liste de sous-attributs trouvées dans les résultats des résultats de la requête de résultats panneau.
- Sélectionnez une option d'évaluation pour les valeurs sélectionné. Pour en savoir plus sur les options d'évaluation ainsi que les opérateurs et les fonctions qu'ils utilisent, consultez la section Opérateurs de requête dans le menu "Ajouter des filtres".
- Sélectionnez Appliquer.
La boîte de dialogue se ferme et votre requête est mise à jour.
- Répétez l'opération jusqu'à ce que la requête de résultats contienne tous les attributs souhaités.
En codant manuellement la requête de résultat dans l'éditeur de requête. Vous pouvez utiliser les opérateurs SQL standard
AND
,OR
, est égal à (=
), possède (:
) et Not (-
) pour spécifier les propriétés et les valeurs des résultats que vous devez exporter.À mesure que vous saisissez votre requête, un menu de saisie semi-automatique s'affiche. peuvent sélectionner les noms et les fonctions des filtres.
Par exemple, la requête suivante ignore les niveaux de gravité faible et moyenne
anomalous IAM grant
résultat dansprod-project
(exclut les résultats) Types de ressources dont le nom comporte la sous-chaînecompute
:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"
Pour plus d'exemples sur le filtrage des résultats, consultez la section Filtrer les notifications.
Examinez l'exactitude de la requête obtenue. Pour apporter des modifications, supprimez ou ajoutez des propriétés et filtrez les valeurs selon vos besoins.
Cliquez sur Actualiser les résultats correspondants. Un tableau affiche les résultats qui correspondent à votre requête. Pour en savoir plus sur l'interrogation des résultats, consultez Modifiez une requête de résultat dans la console Google Cloud.
Cliquez surExporter, puis, sous Continues, cliquez sur Pub/Sub.
Vérifiez votre filtre pour vous assurer qu'il est correct et, si nécessaire, revenez à la page Résultats pour le modifier.
Sous Nom de l'exportation continue, saisissez le nom de l'exportation.
Sous Description de l'exportation continue, saisissez une description de l'exportation.
Sous Exporter vers, sélectionnez un projet pour votre exportation. Vous ne pouvez pas créer de projet sur cette page. Pour créer un projet, consultez la page Créer un projet
Sous Sujet Pub/Sub, sélectionnez le sujet dans lequel vous souhaitez exporter les résultats. Pour créer un sujet, procédez comme suit :
- Sélectionnez Créer un sujet.
- Saisissez un ID de sujet, puis sélectionnez d'autres options si nécessaire :
- Découvrez comment créer et gérer des schémas.
- Découvrez comment utiliser les clés de chiffrement gérées par le client (CMEK) avec Pub/Sub.
- Cliquez sur Créer un sujet.
Cliquez sur Enregistrer. Une confirmation s'affiche et vous êtes redirigé vers la page des résultats.
Suivez le guide pour créer un abonnement. pour votre sujet Pub/Sub.
La configuration de l'exportation Pub/Sub est terminée. Pour publier des notifications, un compte de service de la forme service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
est créé pour vous.
Le rôle roles/securitycenter.notificationServiceAgent
est automatiquement attribué à ce compte de service au niveau de l'organisation. Ce rôle de compte de service est requis pour le bon fonctionnement des notifications.
Tester les exportations continues
Pour vérifier qu'une exportation fonctionne, procédez comme suit pour basculer les résultats entre les états actif et inactif.
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
Cliquez sur le bouton Modifier la requête. L'éditeur de requête s'ouvre.
Modifiez la requête afin que les résultats actifs et inactifs soient tous les deux s'affichent. La requête suivante omet la propriété
state
pour afficher tous les résultats, à l'exception de ceux qui sont ignorés:NOT mute="MUTED"
Si nécessaire, saisissez à nouveau les variables de filtre dans l'éditeur de requête. qui correspondent au filtre d'exportation que vous testez.
Cochez la case à côté du nom d'un résultat.
Sélectionnez Modifier l'état actif, puis Inactif.
Sélectionnez à nouveau le résultat que vous avez marqué comme inactif.
Sélectionnez Modifier l'état actif, puis Actif. Une notification est envoyée pour le résultat nouvellement actif.
Accédez à la page "Pub/Sub" dans la console Google Cloud :
Dans la liste des sujets, cliquez sur le nom de votre sujet.
Sélectionnez
Afficher les messages.Dans le panneau Messages, sélectionnez votre abonnement dans la liste déroulante afin d'afficher la notification de résultat. Si nécessaire, cliquez sur Extraire pour actualiser les messages.
Gérer les exportations continues
Pour afficher, modifier ou supprimer des exportations, procédez comme suit :
Accédez à la page Services dans Security Command Center.
Dans la barre d'outils, cliquez sur l'icône
sélecteur de projet et sélectionnez votre projet, dossier ou organisation.Si la prise en charge de la résidence des données est activée, directement sous le projet sélectionnez votre emplacement de résidence des données. Exemple :
Sélectionnez Exportations continues. La liste des exportations continues votre projet, dossier ou organisation.
Sur la page Exportations continues des paramètres, vous pouvez créer, afficher, modifier et supprimer des exportations continues.
Afficher les résultats associés
Pour afficher les résultats correspondant à un filtre d'exportation, procédez comme suit :
- Sur la page Exportations continues, à côté du nom d'une exportation, sélectionnez Plus et puis cliquez sur Afficher les filtres associés.
- La page Résultats se charge avec les résultats correspondant au filtre d'exportation.
Modifier les exportations continues
- Sur la page Exportations continues, cliquez sur le nom de l'exportation souhaitée. pour les afficher ou les modifier, ou cliquez sur Plus
- Sélectionnez Modifier.
- Saisissez une nouvelle description, modifiez le projet dans lequel les exportations sont enregistrées ou renseignez un nouveau sujet Pub/Sub.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
Supprimer des exportations continues
- Sur la page Exportations continues, cliquez sur le nom de l'exportation souhaitée. supprimer.
- Cliquez sur delete Supprimer.
- Dans la boîte de dialogue, cliquez sur Supprimer. L'exportation est supprimée.
Étape suivante
En savoir plus sur les notifications de résultats.