Exporter des données Security Command Center

Cette page décrit deux méthodes permettant d'exporter des données Security Command Center, y compris les éléments, les résultats et les marques de sécurité :

Vous pouvez exporter les données Security Command Center à l'aide du la console Google Cloud, la Google Cloud CLI ou l'API Security Command Center.

Vous pouvez également diffuser les résultats vers BigQuery. Pour plus d'informations, consultez Diffuser les résultats vers BigQuery pour analyse.

Exportations ponctuelles

Les exportations ponctuelles vous permettent de transférer et de télécharger manuellement les résultats et les éléments (historiques et données actuelles).

Pour les résultats, vous pouvez transférer des données à l'aide de la console Google Cloud au format JSON, JSONL ou CSV vers un bucket Cloud Storage. Vous pouvez également télécharger un nombre limité de résultats sur votre poste de travail au format CSV ;

Pour les éléments, vous pouvez télécharger les données depuis la console Google Cloud sur votre poste de travail local sous forme de fichier CSV.

Autorisations

Pour effectuer des exportations ponctuelles, vous avez besoin des éléments suivants :

  • Rôle IAM (Identity and Access Management) Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer) ou tout rôle disposant du rôle les autorisations suivantes:

    • resourcemanager.organizations.get (obligatoire uniquement pour les comptes au niveau de l'organisation) activations de Security Command Center)
    • resourcemanager.projects.get (obligatoire pour les activations au niveau du projet) de Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get

  • Le rôle Administrateur de l'espace de stockage, qui vous permet de stocker des données dans des buckets Cloud Storage.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments, et les sources de sécurité dépendent du niveau d'accès accordé. Pour apprendre Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.

Résidence des données et exportations uniques

Vous ne pouvez pas inclure vos données soumises à la résidence des données dans le filtre d'une exportation unique vers Cloud Storage.

Si vous spécifiez une propriété qui contient des données contrôlées dans le filtre de résultat, Security Command Center renvoie un message d'erreur lorsque vous tentez d'effectuer l'exportation.

Exporter des données à l'aide de la console Google Cloud

La console Google Cloud vous permet d'effectuer les opérations suivantes:

Exporter les résultats vers un bucket Cloud Storage

Cette section explique comment exporter des données Security Command Center vers un bucket Cloud Storage. Lorsque vous cliquez sur Exporter dans le panneau Résultats de la console Google Cloud, Security Command Center obtient automatiquement les identifiants ou les autorisations d'écriture bucket Cloud Storage.

Les résultats sont exportés dans des opérations distinctes. Vous pouvez exporter un fichier JSON, JSONL ou un fichier CSV à un bucket Cloud Storage existant ou créez un bucket pendant le processus d'exportation. Vous pouvez exporter tous les résultats actuels, ou sélectionnez les filtres à utiliser avant l'exportation.

Vous ne pouvez pas exporter les résultats vers un bucket Cloud Storage contenant le règle de conservation définie.

  1. Accédez à la page Résultats de la console Google Cloud.

    Accéder

  2. Dans la barre d'outils, cliquez sur l'icône sélecteur de projet et sélectionnez votre projet, dossier ou organisation.

  3. Sélectionnez les résultats que vous devez exporter en appliquant des filtres à la requête de résultats. Pour en savoir plus sur Pour savoir comment créer des filtres, consultez Créer ou modifier une requête de résultats dans la console Google Cloud.

  4. Lorsque vous avez créé votre filtre, cliquez sur Exporter, puis, sous Ponctuel : cliquez sur Stockage cloud.

  5. Sur la page Exporter, configurez l'exportation :

    1. Dans la section Exporter vers, spécifiez les champs suivants:
      1. Dans le champ Project name (Nom du projet), spécifiez le projet contenant le bucket Cloud Storage.
      2. Dans le champ Chemin d'exportation, qui n'apparaît qu'une fois que vous avez spécifié un projet, cliquez sur Parcourir.
      3. Dans le panneau Sélectionner un objet, sélectionnez un bucket Cloud Storage existant ou créez un bucket de stockage.
      4. Après avoir sélectionné ou créé un bucket, sous Nom de fichier, saisissez le nom du fichier d'exportation.
      5. Cliquez sur Sélectionner.
    2. Dans la section Critères d'exportation, renseignez les champs suivants:
      1. Cliquez sur Grouper les résultats par, puis sélectionnez la méthode de votre choix. regrouper les données d'exportation.
      2. Cliquez dans le champ Format et sélectionnez JSON, JSONL ou CSV :
      3. Cliquez dans le champ Période, puis sélectionnez la période pour exporter les résultats.
    3. Dans la section Requête de résultats, vérifiez que la requête s'affiche lorsque vous à vos attentes.
    4. Sous la requête, vérifiez que le nombre et le type de résultats correspondants correspondent à vos attentes.
    5. Cliquez sur Exporter.

    Si vous avez sélectionné un fichier existant dans le bucket, la boîte de dialogue Confirmer le remplacement s'affiche.

    • Pour remplacer le fichier existant, cliquez sur Confirmer.
    • Pour modifier le fichier dans lequel vous écrivez, cliquez sur Annuler, puis sur Cliquez sur Parcourir dans la zone Exporter le chemin, puis sélectionnez ou créez un autre chemin. .

Les données configurées sont enregistrées dans le bucket Cloud Storage que vous avez spécifié.

Télécharger les données exportées depuis un bucket Cloud Storage

Pour télécharger les données JSON, JSONL ou CSV exportées, procédez comme suit:

  1. Accédez à la page Navigateur de stockage de la console Google Cloud.

    Accéder à la page Navigateur de stockage

  2. Sélectionnez votre projet, puis cliquez sur le bucket vers lequel vous avez exporté des données.

  3. Cochez la case à côté du fichier d'exportation, puis cliquez sur Télécharger.

  4. Dans la boîte de dialogue Enregistrer le fichier, sélectionnez l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer.

Le fichier JSON, JSONL ou CSV est téléchargé à l'emplacement que vous avez spécifié.

Exporter les résultats dans un fichier CSV

Pour configurer l'exportation, vous pouvez filtrer les résultats par catégorie, gravité et d'autres propriétés. Tous les résultats correspondant au filtre sont inclus dans le fichier CSV .

Vous pouvez télécharger jusqu'à 1 000 résultats directement sur votre poste de travail. Si le nombre de résultats dépasse 1 000, vous êtes automatiquement redirigé sur la page Exporter les résultats vers Cloud Storage, où vous pouvez exporter les données vers un bucket Cloud Storage ;

Les enregistrements de résultats sont exportés avec un ensemble de colonnes par défaut, qui peut ne pas correspondent à ce que vous voyez dans la console Google Cloud. Autrement dit, masquer ou afficher colonnes à l'aide de la colonne les options d'affichage ne modifient pas les colonnes exportées. De même, la modification la valeur Lignes par page n'a aucun effet sur le contenu exporté.

Pour exporter les résultats dans un fichier CSV, procédez comme suit:

  1. Sur la page Security Command Center de la console Google Cloud, accédez à la page Résultats.

    Accéder

  2. Dans la barre d'outils, cliquez sur l'icône sélecteur de projet et sélectionnez votre projet, dossier ou organisation.

  3. Facultatif: Pour affiner les résultats à exporter, appliquez un filtre.

  4. Cliquez sur Exporter, puis cliquez sur CSV. Security Command Center commence à exporter les résultats.

    Une fois l'exportation terminée, une notification s'affiche dans la barre d'outils.

  5. Dans la barre d'outils, cliquez sur l'icône de notification.

  6. Dans la notification Exportation enregistrée au format CSV, cliquez sur Télécharger. Le fichier CSV est téléchargé sur votre poste de travail local.

Exporter des éléments dans un fichier CSV

Vous pouvez télécharger les données d'éléments dans un fichier CSV depuis la page Éléments dans le console Google Cloud.

Pour télécharger les données d'éléments dans un fichier CSV, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    Accéder à "Composants"

  2. Dans la barre d'outils, cliquez sur l'icône sélecteur de projet et sélectionnez votre projet, dossier ou organisation.

  3. Utilisez le panneau Filtres rapides ou le champ Filtre de l'asset. de résultats pour sélectionner les ressources à exporter. Pour en savoir plus, sur le filtrage des éléments, consultez Filtrer des éléments.

  4. Au-dessus des éléments affichés, cliquez sur Exporter, puis sur Télécharger au format CSV. La les données des éléments du panneau des résultats sont téléchargées sur votre station de travail.

Exporter des données à l'aide de méthodes API

Vous pouvez exporter des éléments, des résultats et des marques de sécurité vers un bucket Cloud Storage ou votre poste de travail local à l'aide de l'API Security Command Center.

Exporter des données d'éléments à l'aide de méthodes d'API

Pour exporter ou répertorier des données d'éléments, utilisez l'API Cloud Asset Inventory. Pour Pour en savoir plus, consultez Exporter l'historique et les métadonnées d'un élément.

Les méthodes et champs des éléments de l'API Security Command Center sont obsolètes. seront supprimées à partir du 26 juin 2024.

Tant qu'ils ne sont pas supprimés, les utilisateurs ayant activé Security Command Center auparavant Possibilité d'utiliser les méthodes d'élément de l'API Security Command Center à partir du 26 juin 2023 pour répertorier et exporter les données d'éléments, mais ces méthodes ne sont compatibles les éléments compatibles avec Security Command Center.

Pour en savoir plus sur l'utilisation des méthodes obsolètes de l'API Asset, consultez les éléments des fiches.

Exporter les données des résultats à l'aide de l'API Security Command Center

Pour exporter les résultats avec l'API Security Command Center, suivez le guide répertorier les résultats de sécurité, puis télécharger ou exporter les réponses de l'API.

Pour répertorier les résultats auxquels sont associées des marques de sécurité, vous pouvez utiliser la méthode méthodes d'API suivantes:

Les méthodes renvoient des résultats avec leur ensemble complet de propriétés, et les marques associées au format JSON. Si votre application nécessite que les données soient dans un format différent, vous devez écrire du code personnalisé pour convertir la sortie JSON.

Si vous spécifiez une valeur dans le champ groupBy, vous pouvez utiliser le code suivant : méthodes:

La méthode GroupFindings renvoie la liste d'une résultats d'une organisation, regroupés par propriétés spécifiées.

Exporter les résultats à l'aide de la gcloud CLI

Utiliser les commandes Google Cloud CLI dans Cloud Shell pour exporter des dans un bucket Cloud Storage, procédez comme suit:

  1. Ouvrez Cloud Shell.

    Accéder à Cloud Shell

  2. Pour écrire les résultats dans un fichier, ajoutez une chaîne de sortie au Commandes de gcloud CLI permettant de répertorier les résultats.

    Par exemple, la commande suivante stocke les résultats dans un fichier texte nommé FINDINGS.txt.

     gcloud scc findings list PARENT_ID --source=SOURCE_ID \
   --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt

    Remplacez les éléments suivants :

    • FILTER: expression facultative permettant de limiter la liste de de résultats affichés dans ceux correspondant à l'expression de filtre.

      • LOCATION: si la résidence des données est spécifiez l'emplacement Security Command Center dans lequel les résultats sont stockés.

        Spécifier l'option --location si la résidence des données n'est pas activée liste les résultats à l'aide de l'API Security Command Center version 2. La seule valeur valide pour l'indicateur est global.

    • PARENT_ID: ID de l'un des éléments suivants Ressources parentes:

      • Organisation, spécifiée en tant que organizations/ORGANIZATION_ID ou ORGANIZATION_ID
      • Dossier, spécifié en tant que folders/FOLDER_ID
      • Projet, spécifié en tant que projects/PROJECT_ID

    • SOURCE_ID : ID source du fournisseur de résultats. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.

    • FINDINGS.txt: nom et extension d'une cible pour stocker la liste des résultats.

  3. Copiez FINDINGS.txt dans votre bucket Cloud Storage.

    gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

    Remplacez BUCKET_NAME par le nom de votre bucket :

  4. Pour enregistrer FINDINGS.txt sur votre poste de travail local au lieu d'un bucket Cloud Storage, exécutez la commande suivante:

    cloudshell download FINDINGS.txt

Exportations continues

Les exportations continues simplifient le processus d'exportation automatique des résultats de Security Command Center dans Pub/Sub. Lorsque de nouveaux résultats sont écrits, ils sont automatiquement exportés vers des sujets Pub/Sub désignés quasiment en temps réel, ce qui vous permet de les intégrer à votre workflow existant.

Pour en savoir plus sur Pub/Sub, consultez la page Qu'est-ce que Pub/Sub ?

Exportations continues ou résultats de notifications

Security Command Center vous permet de configurer des notifications de résultats pour Pub/Sub à l'aide de l'API Security Command Center. L'API nécessite que vous utilisiez Google Cloud CLI pour configurer des sujets Pub/Sub, créer des filtres de résultats et créer des fichiers NotificationConfigs contenant des paramètres de configuration pour l'envoi des notifications. Les exportations continues offrent les mêmes fonctionnalités, mais la création d'exportations est simplifiée à l'aide de la console Google Cloud.

Autorisations

Pour créer et gérer des exportations continues, vous devez disposer de l'un des rôles suivants.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Vous pouvez également utiliser n'importe quel rôle disposant des autorisations suivantes :

  • Pour afficher ou publier des sujets Pub/Sub, procédez comme suit :

    • pubsub.topics.publish
    • pubsub.topics.list

  • Pour afficher la page des exportations continues, procédez comme suit :

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list

  • Pour gérer les exportations continues, procédez comme suit :

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Résidence des données et exportations continues

Si la résidence des données est activé pour Security Command Center, les configurations qui définissent des exportations continues vers Pub/Sub : notificationConfig ressources, sont soumises au contrôle de résidence des données et sont stockées Emplacement Security Command Center que vous sélectionnez.

Pour exporter des résultats depuis un emplacement Security Command Center vers ou Pub/Sub, vous devez configurer au même emplacement Security Command Center que les résultats.

Comme les filtres utilisés dans l'analyse continue peuvent contenir des données soumises à des contrôles de résidence, veillez à spécifier le bon emplacement avant de les créer. Security Command Center ne limite pas l'emplacement que vous créez pour l'exportation.

Les exportations continues ne sont stockées que dans l'emplacement de dans lequel elles ont été créées et ne peuvent pas être visualisées ni modifiées dans d'autres emplacements.

Une fois que vous avez créé une exportation continue, vous ne pouvez plus modifier son emplacement. Pour modifier le lieu, vous devez supprimer l'exportation continue et la recréer dans le nouvel emplacement.

Pour récupérer une exportation continue à l'aide d'appels d'API, vous devez spécifier l'emplacement dans le nom complet de la ressource notificationConfig Exemple :

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

De même, pour récupérer une exportation continue en utilisant dans la gcloud CLI, vous devez spécifier l'emplacement dans le nom de ressource complet de la configuration ou à l'aide de l'--locations . Exemple :

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Créer une exportation continue vers Pub/Sub

Les exportations continues vous permettent d'automatiser l'exportation de tous les résultats futurs vers Pub/Sub ou créez des filtres pour exporter les résultats qui répondent des critères spécifiques. Vous pouvez filtrer les résultats par catégorie, source, type d'élément, marque de sécurité, gravité, état ou d'autres variables.

Votre organisation peut créer jusqu'à 500 exportations continues.

Pour créer une exportation pour Pub/Sub, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans la barre d'outils, cliquez sur l'icône sélecteur de projet et sélectionnez votre projet, dossier ou organisation.

  3. Si la prise en charge de la résidence des données est activée, directement sous le projet sélectionnez votre emplacement de résidence des données. Exemple :

    Capture d'écran du sélecteur d'emplacement

  4. Dans le champ Résultats de la requête de résultats, sélectionnez les résultats à exporter. à l'aide de l'une des méthodes suivantes:

    • En cliquant sur Ajouter un filtre pour sélectionner les propriétés des résultats que vous que vous devez exporter.

      La boîte de dialogue Sélectionner un filtre vous permet de choisir les attributs et les valeurs de résultats compatibles. Boîte de dialogue de filtrage des requêtes

      1. Sélectionnez un attribut de résultat ou saisissez son nom dans le Rechercher des attributs de résultat. Une liste des options disponibles sous-attributs s'affiche.
      2. Sélectionnez un sous-attribut. Un champ de sélection pour vos options d'évaluation s'affiche au-dessus d'une liste de sous-attributs trouvées dans les résultats des résultats de la requête de résultats panneau.
      3. Sélectionnez une option d'évaluation pour les valeurs sélectionné. Pour en savoir plus sur les options d'évaluation ainsi que les opérateurs et les fonctions qu'ils utilisent, consultez la section Opérateurs de requête dans le menu "Ajouter des filtres".
      4. Sélectionnez Appliquer.

        La boîte de dialogue se ferme et votre requête est mise à jour.

      5. Répétez l'opération jusqu'à ce que la requête de résultats contienne tous les attributs souhaités.

    • En codant manuellement la requête de résultat dans l'éditeur de requête. Vous pouvez utiliser les opérateurs SQL standard AND, OR, est égal à (=), possède (:) et Not (-) pour spécifier les propriétés et les valeurs des résultats que vous devez exporter.

      À mesure que vous saisissez votre requête, un menu de saisie semi-automatique s'affiche. peuvent sélectionner les noms et les fonctions des filtres.

      Par exemple, la requête suivante ignore les niveaux de gravité faible et moyenne anomalous IAM grant résultat dans prod-project (exclut les résultats) Types de ressources dont le nom comporte la sous-chaîne compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
IAM Anomalous Grant" AND resource.project_display_name="prod-project"
AND -resource.type:"compute"

      Pour plus d'exemples sur le filtrage des résultats, consultez la section Filtrer les notifications.

  5. Examinez l'exactitude de la requête obtenue. Pour apporter des modifications, supprimez ou ajoutez des propriétés et filtrez les valeurs selon vos besoins.

  6. Cliquez sur Actualiser les résultats correspondants. Un tableau affiche les résultats qui correspondent à votre requête. Pour en savoir plus sur l'interrogation des résultats, consultez Modifiez une requête de résultat dans la console Google Cloud.

  7. Cliquez surExporter, puis, sous Continues, cliquez sur Pub/Sub.

  8. Vérifiez votre filtre pour vous assurer qu'il est correct et, si nécessaire, revenez à la page Résultats pour le modifier.

  9. Sous Nom de l'exportation continue, saisissez le nom de l'exportation.

  10. Sous Description de l'exportation continue, saisissez une description de l'exportation.

  11. Sous Exporter vers, sélectionnez un projet pour votre exportation. Vous ne pouvez pas créer de projet sur cette page. Pour créer un projet, consultez la page Créer un projet

  12. Sous Sujet Pub/Sub, sélectionnez le sujet dans lequel vous souhaitez exporter les résultats. Pour créer un sujet, procédez comme suit :

    1. Sélectionnez Créer un sujet.
    2. Saisissez un ID de sujet, puis sélectionnez d'autres options si nécessaire :
      1. Découvrez comment créer et gérer des schémas.
      2. Découvrez comment utiliser les clés de chiffrement gérées par le client (CMEK) avec Pub/Sub.
    3. Cliquez sur Créer un sujet.

  13. Cliquez sur Enregistrer. Une confirmation s'affiche et vous êtes redirigé vers la page des résultats.

  14. Suivez le guide pour créer un abonnement. pour votre sujet Pub/Sub.

La configuration de l'exportation Pub/Sub est terminée. Pour publier des notifications, un compte de service de la forme service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com est créé pour vous. Le rôle roles/securitycenter.notificationServiceAgent est automatiquement attribué à ce compte de service au niveau de l'organisation. Ce rôle de compte de service est requis pour le bon fonctionnement des notifications.

Tester les exportations continues

Pour vérifier qu'une exportation fonctionne, procédez comme suit pour basculer les résultats entre les états actif et inactif.

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Cliquez sur le bouton Modifier la requête. L'éditeur de requête s'ouvre.

  3. Modifiez la requête afin que les résultats actifs et inactifs soient tous les deux s'affichent. La requête suivante omet la propriété state pour afficher tous les résultats, à l'exception de ceux qui sont ignorés:

    NOT mute="MUTED"

  4. Si nécessaire, saisissez à nouveau les variables de filtre dans l'éditeur de requête. qui correspondent au filtre d'exportation que vous testez.

  5. Cochez la case à côté du nom d'un résultat.

  6. Sélectionnez Modifier l'état actif, puis Inactif.

  7. Sélectionnez à nouveau le résultat que vous avez marqué comme inactif.

  8. Sélectionnez Modifier l'état actif, puis Actif. Une notification est envoyée pour le résultat nouvellement actif.

  9. Accédez à la page "Pub/Sub" dans la console Google Cloud :

    Accéder à Pub/Sub

  10. Dans la liste des sujets, cliquez sur le nom de votre sujet.

  11. Sélectionnez Afficher les messages.

  12. Dans le panneau Messages, sélectionnez votre abonnement dans la liste déroulante afin d'afficher la notification de résultat. Si nécessaire, cliquez sur Extraire pour actualiser les messages.

Gérer les exportations continues

Pour afficher, modifier ou supprimer des exportations, procédez comme suit :

  1. Accédez à la page Services dans Security Command Center.

    Accéder aux paramètres

  2. Dans la barre d'outils, cliquez sur l'icône sélecteur de projet et sélectionnez votre projet, dossier ou organisation.

  3. Si la prise en charge de la résidence des données est activée, directement sous le projet sélectionnez votre emplacement de résidence des données. Exemple :

    Capture d'écran du sélecteur d'emplacement

  4. Sélectionnez Exportations continues. La liste des exportations continues votre projet, dossier ou organisation.

Sur la page Exportations continues des paramètres, vous pouvez créer, afficher, modifier et supprimer des exportations continues.

Pour afficher les résultats correspondant à un filtre d'exportation, procédez comme suit :

  1. Sur la page Exportations continues, à côté du nom d'une exportation, sélectionnez Plus et puis cliquez sur Afficher les filtres associés.
  2. La page Résultats se charge avec les résultats correspondant au filtre d'exportation.

Modifier les exportations continues

  1. Sur la page Exportations continues, cliquez sur le nom de l'exportation souhaitée. pour les afficher ou les modifier, ou cliquez sur Plus
  2. Sélectionnez Modifier.
  3. Saisissez une nouvelle description, modifiez le projet dans lequel les exportations sont enregistrées ou renseignez un nouveau sujet Pub/Sub.
  4. Lorsque vous avez terminé, cliquez sur Enregistrer.

Supprimer des exportations continues

  1. Sur la page Exportations continues, cliquez sur le nom de l'exportation souhaitée. supprimer.
  2. Cliquez sur Supprimer.
  3. Dans la boîte de dialogue, cliquez sur Supprimer. L'exportation est supprimée.

Étape suivante

En savoir plus sur les notifications de résultats.