Mengekspor data Security Command Center

Halaman ini menjelaskan dua metode untuk mengekspor data Security Command Center, termasuk aset, temuan, dan tanda keamanan:

Anda dapat mengekspor data Security Command Center menggunakan Konsol Google Cloud, Google Cloud CLI, atau Security Command Center API.

Anda juga dapat mengalirkan temuan ke BigQuery. Untuk mengetahui informasi selengkapnya, lihat Mengalirkan temuan ke BigQuery untuk dianalisis.

Ekspor satu kali

Ekspor satu kali memungkinkan Anda mentransfer serta mendownload temuan dan aset saat ini dan yang lalu secara manual.

Sebagai temuan, Anda dapat menggunakan Konsol Google Cloud untuk mentransfer data dalam format JSON, JSONL, atau CSV ke bucket Cloud Storage. Anda juga dapat mendownload temuan dalam jumlah terbatas ke workstation Anda dalam format CSV.

Untuk aset, Anda dapat mendownload data dari konsol Google Cloud ke workstation lokal sebagai file CSV.

Izin

Untuk melakukan ekspor satu kali, Anda memerlukan hal berikut:

  • Peran Identity and Access Management (IAM) Security Center Admin Viewer (roles/securitycenter.adminViewer), atau peran apa pun yang memiliki izin berikut:

    • resourcemanager.organizations.get (hanya diperlukan untuk aktivasi Security Command Center tingkat organisasi)
    • resourcemanager.projects.get (diperlukan untuk aktivasi tingkat project Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get

  • Peran Storage Admin, yang memungkinkan Anda menyimpan data di bucket Cloud Storage.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Residensi data dan ekspor satu kali

Anda tidak dapat menyertakan data apa pun yang tunduk pada kontrol residensi data dalam filter ekspor satu kali ke Cloud Storage.

Jika Anda menentukan properti yang berisi data terkontrol dalam filter temuan, Security Command Center akan menampilkan pesan error saat Anda mencoba mengekspor.

Mengekspor data menggunakan konsol Google Cloud

Dengan menggunakan konsol Google Cloud, Anda dapat melakukan hal berikut:

Mengekspor temuan ke bucket Cloud Storage

Bagian ini menjelaskan cara mengekspor data Security Command Center ke bucket Cloud Storage. Saat Anda mengklik Export pada halaman Findings di Konsol Google Cloud, Security Command Center secara otomatis mendapatkan kredensial atau izin untuk menulis ke bucket Cloud Storage.

Temuan diekspor dalam operasi terpisah. Anda dapat mengekspor file JSON, file JSONL, atau file CSV ke bucket Cloud Storage yang sudah ada, atau membuat bucket selama proses ekspor.

Anda dapat mengekspor semua temuan saat ini, atau memilih filter yang ingin digunakan sebelum mengekspor.

  1. Buka halaman Findings di Konsol Google Cloud.

    Buka Temuan

  2. Pada toolbar, klik pemilih project , lalu pilih project, folder, atau organisasi Anda.

  3. Pilih temuan yang perlu diekspor dengan menerapkan filter ke kueri temuan. Untuk mengetahui informasi selengkapnya tentang cara membuat filter, lihat Membuat atau mengedit kueri temuan di Konsol Google Cloud.

  4. Setelah selesai membuat filter, klik Export, lalu, di bagian One-time, klik Cloud storage.

  5. Di halaman Export, konfigurasikan ekspor:

    1. Di bagian Export to, tentukan kolom berikut:
      1. Di kolom Project name, tentukan project yang berisi bucket Cloud Storage.
      2. Di kolom Export path, yang hanya muncul setelah Anda menentukan project, klik Browse.
      3. Di panel Select object, pilih bucket Cloud Storage yang sudah ada atau buat bucket penyimpanan.
      4. Setelah memilih atau membuat bucket, di bagian Filename, masukkan nama untuk file ekspor.
      5. Klik Select.
    2. Di bagian Export criteria, tentukan kolom berikut:
      1. Klik Group results by, lalu pilih cara yang Anda inginkan untuk mengelompokkan data ekspor.
      2. Klik kolom Format, lalu pilih JSON, JSONL, atau CSV.
      3. Klik kolom Time range dan pilih jangka waktu untuk mengekspor temuan.
    3. Di bagian Kueri temuan, pastikan kueri muncul seperti yang Anda harapkan.
    4. Di bawah kueri, konfirmasi bahwa jumlah dan jenis temuan yang cocok adalah yang Anda harapkan.
    5. Klik Ekspor.

    Jika Anda memilih file yang sudah ada di bucket, dialog Confirm Override akan ditampilkan.

    • Untuk menimpa file yang sudah ada, klik Konfirmasi.
    • Untuk mengubah file yang dituju, klik Cancel, lalu klik Browse di kotak Export path, lalu pilih atau buat file yang berbeda.

Data yang dikonfigurasi akan disimpan ke bucket Cloud Storage yang Anda tentukan.

Mendownload data yang diekspor dari bucket Cloud Storage

Untuk mendownload data JSON, JSONL, atau CSV yang diekspor, lakukan langkah-langkah berikut:

  1. Buka halaman Storage browser di Konsol Google Cloud.

    Buka browser Storage

  2. Pilih project Anda, lalu klik bucket tempat Anda mengekspor data.

  3. Centang kotak di samping file ekspor, lalu klik Download.

  4. Pada dialog Save File, pilih lokasi yang Anda inginkan untuk menyimpan file, lalu klik Save.

File JSON, JSONL, atau CSV akan didownload ke lokasi yang Anda tentukan.

Mengekspor temuan ke file CSV

Untuk mengonfigurasi ekspor, Anda dapat memfilter temuan berdasarkan kategori, tingkat keparahan, dan properti lainnya. Semua temuan yang cocok dengan filter akan disertakan dalam file CSV.

Anda dapat mendownload hingga 1.000 temuan langsung ke workstation. Jika jumlah temuan melebihi 1.000, Anda akan otomatis dialihkan ke halaman Ekspor temuan ke Cloud Storage, tempat Anda dapat mengekspor data ke bucket Cloud Storage.

Data temuan diekspor dengan kumpulan kolom default, yang mungkin tidak cocok dengan yang Anda lihat di Konsol Google Cloud. Artinya, menyembunyikan atau memperlihatkan kolom menggunakan Opsi tampilan kolom tidak akan mengubah kolom mana yang diekspor. Demikian pula, mengubah nilai Baris per halaman tidak memengaruhi konten yang diekspor.

Untuk mengekspor temuan ke file CSV, lakukan langkah-langkah berikut:

  1. Pada halaman Security Command Center di Konsol Google Cloud, buka halaman Findings.

    Buka Temuan

  2. Pada toolbar, klik pemilih project , lalu pilih project, folder, atau organisasi Anda.

  3. Opsional: Untuk mempersempit temuan yang akan diekspor, terapkan filter.

  4. Klik Export, lalu klik CSV. Security Command Center mulai mengekspor temuan.

    Setelah ekspor selesai, notifikasi akan muncul di toolbar.

  5. Pada toolbar, klik ikon notifikasi.

  6. Pada notifikasi Ekspor tersimpan sebagai CSV, klik Download. File CSV akan didownload ke workstation lokal Anda.

Mengekspor aset ke file CSV

Anda dapat mendownload data aset ke file CSV dari halaman Assets di Google Cloud Console.

Untuk mendownload data aset ke file CSV, ikuti langkah-langkah berikut:

  1. Buka halaman Aset:

    Buka Aset

  2. Pada toolbar, klik pemilih project , lalu pilih project, folder, atau organisasi Anda.

  3. Gunakan panel Filter cepat atau kolom Filter pada panel hasil aset untuk memilih aset yang perlu diekspor. Untuk mengetahui informasi selengkapnya tentang memfilter aset, lihat artikel Memfilter aset.

  4. Di atas aset yang ditampilkan, klik Ekspor, lalu Download CSV. Data untuk aset di panel hasil akan didownload ke workstation Anda.

Mengekspor data menggunakan metode API

Anda dapat mengekspor aset, temuan, dan tanda keamanan ke bucket Cloud Storage atau workstation lokal menggunakan Security Command Center API.

Mengekspor data aset menggunakan metode API

Untuk mengekspor atau mencantumkan data aset, gunakan Cloud Asset Inventory API. Untuk mengetahui informasi selengkapnya, baca artikel Mengekspor histori dan metadata aset.

Metode dan kolom aset Security Command Center API tidak digunakan lagi dan akan dihapus pada atau setelah 26 Juni 2024.

Sebelum dihapus, pengguna yang mengaktifkan Security Command Center sebelum 26 Juni 2023 dapat menggunakan metode aset Security Command Center API untuk mencantumkan dan mengekspor data aset, tetapi metode ini hanya mendukung aset yang didukung Security Command Center.

Untuk informasi tentang cara menggunakan metode API aset yang tidak digunakan lagi, lihat mencantumkan aset.

Mengekspor data temuan menggunakan Security Command Center API

Untuk mengekspor temuan dengan Security Command Center API, ikuti panduan untuk mencantumkan temuan keamanan, lalu mendownload atau mengekspor respons API.

Untuk mencantumkan temuan dengan tanda keamanan terlampir, Anda dapat menggunakan metode API berikut:

Metode ini menampilkan temuan beserta kumpulan properti, atribut, dan tanda terkaitnya dalam format JSON. Jika aplikasi memerlukan data dalam format yang berbeda, Anda harus menulis kode kustom untuk mengonversi output JSON.

Jika menentukan nilai di kolom groupBy, Anda dapat menggunakan metode berikut:

Metode GroupFindings menampilkan daftar temuan organisasi, yang dikelompokkan berdasarkan properti yang ditentukan.

Mengekspor temuan menggunakan gcloud CLI

Untuk menggunakan perintah Google Cloud CLI di Cloud Shell guna mengekspor temuan ke bucket Cloud Storage, ikuti langkah-langkah berikut:

  1. Buka Cloud Shell.

    Buka Cloud Shell

  2. Untuk menulis temuan ke file, tambahkan string output ke perintah gcloud CLI untuk mencantumkan temuan.

    Misalnya, perintah berikut menyimpan temuan yang tercantum dalam file teks bernama FINDINGS.txt.

     gcloud scc findings list PARENT_ID --source=SOURCE_ID \
   --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt

    Ganti kode berikut:

    • FILTER: Ekspresi opsional untuk membatasi daftar temuan yang dicetak ke yang cocok dengan ekspresi filter.

      • LOCATION: Jika residensi data diaktifkan, tentukan lokasi Security Command Center tempat temuan disimpan.

        Jika residensi data tidak diaktifkan, penetapan flag --location akan mencantumkan temuan menggunakan Security Command Center API v2, dan satu-satunya nilai yang valid untuk flag tersebut adalah global.

    • PARENT_ID: ID salah satu resource induk berikut:

      • Organisasi, ditetapkan sebagai organizations/ORGANIZATION_ID atau ORGANIZATION_ID
      • Folder, ditetapkan sebagai folders/FOLDER_ID
      • Project, ditetapkan sebagai projects/PROJECT_ID

    • SOURCE_ID: ID sumber untuk penyedia temuan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.

    • FINDINGS.txt: nama dan ekstensi file target untuk menyimpan daftar temuan.

  3. Salin FINDINGS.txt ke bucket Cloud Storage Anda.

    gsutil cp FINDINGS.txt gs://BUCKET_NAME

    Ganti BUCKET_NAME dengan nama bucket Anda.

  4. Untuk menyimpan FINDINGS.txt ke workstation lokal, bukan bucket Cloud Storage, jalankan perintah berikut:

    cloudshell download FINDINGS.txt

Ekspor berkelanjutan

Ekspor berkelanjutan menyederhanakan proses ekspor temuan Security Command Center secara otomatis ke Pub/Sub. Saat ditulis, temuan baru akan otomatis diekspor ke topik Pub/Sub yang ditetapkan hampir secara real time, sehingga Anda dapat mengintegrasikannya ke dalam alur kerja yang ada.

Untuk mempelajari Pub/Sub lebih lanjut, baca artikel Apa yang dimaksud dengan Pub/Sub?

Ekspor berkelanjutan versus penemuan notifikasi

Dengan Security Command Center, Anda dapat menyiapkan menemukan notifikasi untuk Pub/Sub menggunakan Security Command Center API. API mengharuskan Anda menggunakan Google Cloud CLI untuk menyiapkan topik Pub/Sub, membuat filter temuan, dan membuat file NotificationConfigs, yang berisi setelan konfigurasi untuk mengirim notifikasi. Ekspor berkelanjutan menawarkan fungsi yang sama, tetapi pembuatan ekspor disederhanakan menggunakan Konsol Google Cloud.

Izin

Untuk membuat dan mengelola ekspor berkelanjutan, Anda memerlukan salah satu peran berikut.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Anda juga dapat menggunakan peran apa pun yang memiliki izin berikut:

  • Untuk melihat atau memublikasikan topik Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list

  • Untuk melihat halaman ekspor berkelanjutan:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list

  • Untuk mengelola ekspor berkelanjutan:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Residensi data dan ekspor berkelanjutan

Jika residensi data diaktifkan untuk Security Command Center, konfigurasi yang menentukan ekspor berkelanjutan ke Pub/Sub—notificationConfig resource—akan tunduk pada kontrol residensi data dan disimpan di lokasi Security Command Center yang Anda pilih.

Untuk mengekspor temuan di lokasi Security Command Center ke Pub/Sub, Anda harus mengonfigurasi ekspor berkelanjutan di lokasi Security Command Center yang sama dengan temuan.

Karena filter yang digunakan dalam ekspor berkelanjutan dapat berisi data yang tunduk pada kontrol residensi, pastikan Anda menentukan lokasi yang benar sebelum membuatnya. Security Command Center tidak membatasi lokasi tempat Anda membuat ekspor.

Ekspor berkelanjutan hanya disimpan di lokasi tempatnya dibuat dan tidak dapat dilihat atau diedit di lokasi lain.

Setelah membuat ekspor berkelanjutan, Anda tidak dapat mengubah lokasinya. Untuk mengubah lokasi, Anda harus menghapus ekspor berkelanjutan dan membuatnya ulang di lokasi baru.

Untuk mengambil ekspor berkelanjutan dengan menggunakan panggilan API, Anda harus menentukan lokasi dalam nama resource lengkap notificationConfig. Contoh:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Demikian pula, untuk mengambil ekspor berkelanjutan dengan menggunakan gcloud CLI, Anda harus menentukan lokasi dalam nama resource lengkap konfigurasi atau dengan menggunakan flag --locations. Contoh:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Membuat ekspor berkelanjutan ke Pub/Sub

Ekspor berkelanjutan memungkinkan Anda mengotomatiskan ekspor semua temuan mendatang ke Pub/Sub atau membuat filter untuk mengekspor temuan selanjutnya yang memenuhi kriteria tertentu. Anda dapat memfilter temuan berdasarkan kategori, sumber, jenis aset, tanda keamanan, tingkat keparahan, status, dan variabel lainnya.

Organisasi Anda dapat membuat maksimum 500 ekspor berkelanjutan.

Untuk mengekspor Pub/Sub, lakukan hal berikut:

  1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

    Buka Temuan

  2. Pada toolbar, klik pemilih project , lalu pilih project, folder, atau organisasi Anda.

  3. Jika dukungan residensi data diaktifkan, tepat di bawah pemilih project, pilih lokasi residensi data Anda. Contoh:

    Screenshot pemilih lokasi

  4. Di kolom Findings query results, pilih temuan yang akan diekspor dengan menggunakan salah satu metode berikut:

    • Dengan mengklik Add Filter untuk memilih properti temuan yang perlu diekspor.

      Dialog Select filter memungkinkan Anda memilih atribut dan nilai temuan yang didukung. Dialog filter kueri

      1. Pilih atribut temuan atau ketik namanya di kotak Telusuri atribut temuan. Daftar sub-atribut yang tersedia akan ditampilkan.
      2. Pilih sub-atribut. Kolom pilihan untuk opsi evaluasi Anda ditampilkan di atas daftar nilai sub-atribut yang ditemukan dalam temuan di panel Hasil kueri temuan.
      3. Pilih opsi evaluasi untuk nilai sub-atribut yang dipilih. Untuk mengetahui informasi selengkapnya tentang opsi evaluasi serta operator dan fungsi yang digunakannya, lihat Operator kueri di menu Tambahkan filter.
      4. Pilih Apply.

        Dialog akan ditutup dan kueri Anda akan diperbarui.

      5. Ulangi sampai kueri temuan berisi semua atribut yang Anda inginkan.

    • Dengan melakukan coding kueri temuan di editor kueri secara manual. Anda dapat menggunakan operator SQL standar AND,OR, sama dengan (=), memiliki (:), dan tidak (-) untuk menentukan properti temuan dan nilai temuan yang perlu diekspor.

      Saat mengetik kueri, menu pelengkapan otomatis akan muncul, dan Anda dapat memilih nama dan fungsi filter.

      Misalnya, kueri berikut menonaktifkan temuan anomalous IAM grant dengan tingkat keparahan rendah dan sedang di prod-project, dan mengecualikan jenis resource yang namanya memiliki substring compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
IAM Anomalous Grant" AND resource.project_display_name="prod-project"
AND -resource.type:"compute"

      Untuk contoh lainnya tentang memfilter temuan, lihat Memfilter notifikasi.

  5. Tinjau akurasi kueri yang dihasilkan. Untuk membuat perubahan, hapus atau tambahkan properti dan filter nilai sesuai kebutuhan.

  6. Klik Perbarui temuan pencocokan. Sebuah tabel akan menampilkan temuan yang sesuai dengan kueri Anda. Untuk mengetahui informasi selengkapnya tentang membuat kueri temuan, lihat Mengedit kueri temuan di Konsol Google Cloud.

  7. Klik Export, lalu, di bagian Continuous, klik Pub/Sub.

  8. Tinjau filter Anda untuk memastikan filter sudah benar dan, jika perlu, kembali ke halaman Temuan untuk mengubahnya.

  9. Di bagian Nama ekspor berkelanjutan, masukkan nama untuk ekspor tersebut.

  10. Di bagian Deskripsi ekspor berkelanjutan, masukkan deskripsi untuk ekspor tersebut.

  11. Di bagian Ekspor ke, pilih project untuk ekspor Anda. Anda tidak dapat membuat project di halaman ini. Untuk membuat project baru, lihat Membuat project.

  12. Di bagian Pub/Sub topic, pilih topik tempat Anda ingin mengekspor temuan. Untuk membuat topik, lakukan langkah-langkah berikut:

    1. Pilih Create a topic.
    2. Masukkan Topic ID, lalu pilih opsi lain sesuai kebutuhan:
      1. Pelajari Cara membuat dan mengelola skema.
      2. Pelajari cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) dengan Pub/Sub.
    3. Klik Buat Topik.

  13. Klik Save. Anda akan melihat konfirmasi dan dikembalikan ke halaman temuan.

  14. Ikuti panduan untuk membuat langganan untuk topik Pub/Sub Anda.

Konfigurasi ekspor Pub/Sub selesai. Untuk memublikasikan notifikasi, akun layanan akan dibuat untuk Anda dalam bentuk service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Akun layanan ini secara otomatis diberi peran roles/securitycenter.notificationServiceAgent di tingkat organisasi. Peran akun layanan ini diperlukan agar notifikasi berfungsi.

Menguji ekspor berkelanjutan

Untuk mengonfirmasi bahwa ekspor berfungsi, lakukan langkah-langkah berikut untuk mengganti temuan antara status aktif dan tidak aktif.

  1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

    Buka Temuan

  2. Klik tombol Edit kueri. Editor kueri akan terbuka.

  3. Edit kueri sehingga temuan aktif dan tidak aktif ditampilkan. Kueri berikut menghilangkan properti state untuk menampilkan semua temuan kecuali yang dibisukan:

    NOT mute="MUTED"

  4. Jika perlu, gunakan Query editor untuk memasukkan kembali variabel filter yang cocok dengan filter ekspor yang Anda uji.

  5. Klik kotak di samping nama temuan.

  6. Pilih Ubah Status Aktif, lalu pilih Tidak aktif.

  7. Pilih kembali temuan yang Anda tandai tidak aktif.

  8. Pilih Change Active State, lalu pilih Active. Notifikasi akan dikirim untuk temuan yang baru aktif.

  9. Buka halaman Pub/Sub di Konsol Google Cloud.

    Buka Pub/Sub

  10. Pada daftar topik, klik nama topik Anda.

  11. Pilih Lihat Pesan.

  12. Di panel Message, pilih langganan Anda dari menu drop-down untuk melihat notifikasi temuan. Jika perlu, klik Pull untuk memuat ulang pesan.

Mengelola ekspor berkelanjutan

Untuk melihat, mengedit, atau menghapus ekspor, lakukan langkah berikut:

  1. Buka halaman Settings di Security Command Center.

    Buka Settings

  2. Pada toolbar, klik pemilih project , lalu pilih project, folder, atau organisasi Anda.

  3. Jika dukungan residensi data diaktifkan, tepat di bawah pemilih project, pilih lokasi residensi data Anda. Contoh:

    Screenshot pemilih lokasi

  4. Pilih Ekspor berkelanjutan. Anda akan melihat daftar ekspor berkelanjutan untuk project, folder, atau organisasi Anda.

Di halaman Ekspor berkelanjutan di Setelan, Anda dapat membuat, melihat, mengedit, dan menghapus ekspor berkelanjutan.

Untuk melihat temuan yang cocok dengan filter ekspor, lakukan tindakan berikut:

  1. Di halaman Ekspor berkelanjutan, di samping nama ekspor, pilih Lainnya , lalu klik Lihat filter terkait.
  2. Halaman Temuan dimuat dengan temuan yang cocok dengan filter ekspor.

Mengedit ekspor berkelanjutan

  1. Di halaman Ekspor berkelanjutan, klik nama ekspor yang ingin Anda lihat atau ubah, atau klik Lainnya .
  2. Pilih Edit.
  3. Masukkan deskripsi baru, ubah project tempat ekspor disimpan, atau masukkan topik Pub/Sub baru.
  4. Setelah selesai, klik Simpan.

Menghapus ekspor berkelanjutan

  1. Di halaman Ekspor berkelanjutan, klik nama ekspor yang ingin dihapus.
  2. Klik Delete.
  3. Pada dialog, klik Hapus. Ekspor dihapus.

Langkah selanjutnya

Pelajari lebih lanjut cara menemukan notifikasi.