Security Command Center-Daten exportieren

>

Auf dieser Seite werden zwei Methoden zum Exportieren von Security Command Center-Daten beschrieben, einschließlich Assets, Ergebnisse und Sicherheitsmarkierungen:

  • Einmalige Exporte für aktuelle Ergebnisse, Assets und Sicherheitsmarkierungen
  • Kontinuierliche Exporte, die für Kunden von Security Command Center Premium verfügbar sind, die neue Ergebnisse automatisch in Pub/Sub exportieren

Mit Security Command Center können Sie Daten mit der Security Command Center API oder der Google Cloud Console exportieren.

Einmalige Exporte

Mit einmaligen Exporten können Sie aktuelle und historische Ergebnisse und Assets manuell übertragen und herunterladen. Sie können Daten in einen Cloud Storage-Bucket übertragen und auf Ihre lokale Workstation herunterladen.

Berechtigungen

Für einmalige Exporte benötigen Sie Folgendes:

Daten mit der Cloud Console exportieren

In diesem Abschnitt wird beschrieben, wie Sie Security Command Center-Daten mit der Cloud Console exportieren. Wenn Sie im Dashboard des Security Command Center auf Exportieren klicken, ruft Security Command Center automatisch Anmeldedaten oder Berechtigungen zum Schreiben in den Cloud Storage-Bucket ab.

Daten exportieren

Ergebnisse und Assets werden in separaten Vorgängen exportiert. Sie können eine JSON- oder JSONL-Datei in einen vorhandenen Cloud Storage-Bucket exportieren oder während des Exportvorgangs eine erstellen.

Sie können alle aktuellen Assets oder Ergebnisse exportieren oder die Filter auswählen, die Sie vor dem Export verwenden möchten.

  1. Gehen Sie in der Cloud Console zum Security Command Center.

    Zu Security Command Center

  2. Klicken Sie zum Exportieren von Assets auf den Tab Assets. Für Ergebnisse klicken Sie auf den Tab Ergebnisse.

  3. Wählen Sie im Feld Filter die Attribute, Attribute und Sicherheitsmarkierungen aus, die Sie zum Filtern Ihrer Daten verwenden möchten. Ein leerer Filter wird als Platzhalter ausgewertet und alle Assets oder Ergebnisse werden exportiert. Weitere Informationen zum Erstellen von Filtern finden Sie unter Security Command Center-Dashboard verwenden.

  4. Wenn Sie einen Filter erstellt haben, klicken Sie auf Exportieren und dann unter Einmalig auf "Cloud Storage".

  5. Konfigurieren Sie auf der Seite Exportieren den Export:

    1. Prüfen Sie, ob der Entitätstyp Ihrer Wahl mit Ergebnisse oder Assets entspricht. Ist dies nicht der Fall, wählen Sie die richtige Auswahl aus.
    2. Wählen Sie in der Drop-down-Liste Group Results By (Gruppenergebnisse gruppieren) aus, wie die Exportdaten gruppiert werden sollen.
    3. Wählen Sie in der Drop-down-Liste Format JSON oder JSONL aus.
      • Im Feld Filter werden die Filter angezeigt, die Sie für den Entitätstyp ausgewählt haben, falls vorhanden.
    4. Wählen Sie unter Ergebnisse anzeigen ab den Zeitstempel der Daten aus, die Sie exportieren möchten.
    5. Wählen Sie unter Exportieren nach das Projekt aus, in das Sie die Daten exportieren möchten.
    6. Klicken Sie im Feld Pfad exportieren auf Durchsuchen.
    7. Wählen Sie im Bereich Objekt auswählen einen vorhandenen Cloud Storage-Bucket aus oder erstellen Sie einen Storage-Bucket.
    8. Nachdem Sie einen Bucket ausgewählt oder erstellt haben, geben Sie unter Dateiname einen Namen für die Exportdatei ein und klicken Sie dann auf Auswählen.
  6. Klicken Sie nach Abschluss der Exportkonfiguration auf Exportieren. Wenn Sie eine vorhandene Datei im Bucket ausgewählt haben, wird das Dialogfeld Überschreibung bestätigen angezeigt.

    • Wenn Sie die vorhandene Datei überschreiben möchten, klicken Sie auf Bestätigen.
    • Um die Datei, in die Sie schreiben, zu ändern, klicken Sie auf Abbrechen. Klicken Sie dann im Feld Pfad exportieren auf Durchsuchen und wählen Sie einen mit einer anderen Datei.

Die konfigurierten Daten werden in dem von Ihnen angegebenen Cloud Storage-Bucket gespeichert.

Exportierte Daten herunterladen

Führen Sie die folgenden Schritte aus, um die exportierten JSON- oder JSONL-Daten herunterzuladen:

  1. Rufen Sie in der Cloud Console die Seite Storage-Browser auf.

    Zum Storage-Browser

  2. Wählen Sie Ihr Projekt aus und klicken Sie dann auf den Bucket, in den Sie Daten exportiert haben.

  3. Klicken Sie auf das Kästchen neben der Exportdatei und dann auf Herunterladen.

  4. Wählen Sie im Dialogfeld Datei speichern den Speicherort der Datei aus und klicken Sie auf Speichern.

Die JSON- oder JSONL-Datei wird an den von Ihnen angegebenen Speicherort heruntergeladen.

Daten mit der Security Command Center API exportieren

Sie können Assets, Ergebnisse und Sicherheitsmarkierungen mithilfe der Security Command Center API in einen Cloud Storage-Bucket oder Ihre lokale Workstation exportieren. Folgen Sie den Anleitungen zum Auflisten von Sicherheitsergebnissen oder Listen von Assets. Nach dem Auflisten können die API-Antworten für Ergebnisse oder Assets heruntergeladen oder exportiert werden.

Zum Auflisten von Ergebnissen oder Assets mit angehängten Sicherheitsmarkierungen verwenden Sie die API-Methoden ListFindings oder ListAssets. Die APIs geben Assets oder Ergebnisse mit allen Attributen, Attributen und zugehörigen Markierungen im JSON-Format zurück. Wenn für Ihre Anwendung Daten in einem anderen Format vorliegen müssen, müssen Sie benutzerdefinierten Code schreiben, um die JSON-Ausgabe zu konvertieren.

Wenn Sie einen Wert im Feld groupBy angeben, wird die Methode GroupAssets oder GroupFindings verwendet. Wenn Sie keinen groupBy-Wert angeben, wird die Methode ListAssets oder ListFindings verwendet. Die Methoden GroupAssets und GroupFindings geben eine Liste der Assets oder Ergebnisse einer Organisation zurück, gruppiert nach bestimmten Attributen.

Zum Exportieren einer API-Ausgabe in einen Cloud Storage-Bucket verwenden Sie Cloud Shell, um Assets oder Ergebnisse aufzulisten, die Ausgabe in eine Datei zu schreiben und diese dann in den ausgewählten Storage-Bucket zu kopieren.

  1. Cloud Shell öffnen

    Zu Cloud Shell

  2. Wenn Sie Ergebnisse oder Assets in eine Datei schreiben möchten, fügen Sie den Befehlen des gcloud-Tools zum Auflisten von Ergebnissen oder Listen von Assets einen Ausgabestring hinzu.

    Mit dem folgenden Befehl werden beispielsweise aufgelistete Ergebnisse in einer Textdatei mit dem Namen MY_FINDINGS.txt gespeichert.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    Dabei gilt:

  3. Kopieren Sie MY_FINDINGS.txt in Ihren Cloud Storage-Bucket.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    Ersetzen Sie MY_BUCKET durch den Namen Ihres Buckets.

  4. Führen Sie den folgenden Code aus, um MY_FINDINGS.txt statt auf einem Cloud Storage-Bucket in Ihrer lokalen Workstation zu speichern.

    cloudshell download MY_FINDINGS.txt

Kontinuierliche Exporte

Kontinuierliche Exporte, die für Kunden von Security Command Center Premium verfügbar sind, vereinfachen die automatische Verwaltung des Ergebnisses von Security Command Center nach Pub/Sub. Wenn neue Ergebnisse geschrieben werden, werden sie automatisch nahezu in Echtzeit in bestimmte Pub/Sub-Themen exportiert, sodass Sie sie in Ihren vorhandenen Workflow einbinden können.

Weitere Informationen zu Pub/Sub finden Sie unter Was ist Pub/Sub?

Fortlaufende Exporte im Vergleich zu Benachrichtigungen

Mit Security Command Center können Sie Benachrichtigungen für Pub/Sub mit der Security Command Center API einrichten. Die API erfordert, dass Sie mit dem Cloud SDK Pub/Sub-Themen einrichten, Filterfilter erstellen und NotificationConfigs-Dateien mit Konfigurationseinstellungen zum Senden von Benachrichtigungen erstellen. Kontinuierliche Exporte bieten die gleiche Funktionalität, aber das Erstellen von Exporten wird durch das Security Command Center-Dashboard vereinfacht.

Berechtigungen

Sie benötigen eine der folgenden Rollen, um fortlaufende Exporte zu erstellen und zu verwalten.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Sie können auch jede Rolle mit den folgenden Berechtigungen verwenden:

  • So können Sie Pub/Sub-Themen aufrufen oder veröffentlichen:

    • pubsub.topics.publish
    • pubsub.topics.list
  • So rufen Sie die Seite "Kontinuierliche Exporte" auf:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • So verwalten Sie den kontinuierlichen Export:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Weitere Informationen zu den Rollen von Security Command Center finden Sie unter Zugriffssteuerung.

Pub/Sub-Exporte konfigurieren

Mit kontinuierlichen Exporten können Sie den Export aller Ergebnisse von Future in Pub/Sub automatisieren oder Filter erstellen, um zukünftige Ergebnisse zu exportieren, die bestimmten Kriterien entsprechen. Sie können die Ergebnisse nach Kategorie, Quelle, Asset-Typ, Sicherheitsmarkierungen, Schweregrad, Status und andere Variablen filtern.

Fortlaufende Exporte erstellen

Ihre Organisation kann maximal 500 kontinuierliche Exporte erstellen.So erstellen Sie einen Export für Pub/Sub:

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie im Feld Filter die Attribute, Attribute oder Sicherheitsmarkierungen aus, die Sie zum Filtern der Ergebnisse verwenden und die gewünschten Variablen eingeben möchten. Ein leerer Filter wird als Platzhalter ausgewertet und alle Ergebnisse werden exportiert. Weitere Informationen zum Auffinden von Attributen finden Sie unter Security Command Center-Dashboard verwenden.

  3. Klicken Sie auf Exportieren und dann unter Kontinuierlich auf Pub/Sub.

  4. Prüfen Sie, ob der Filter korrekt ist. Kehren Sie gegebenenfalls zur Seite Ergebnisse zurück, um ihn zu ändern.

  5. Geben Sie unter Name des kontinuierlichen Exports einen Namen für den Export ein.

  6. Geben Sie unter Beschreibung des kontinuierlichen Exports eine Beschreibung für den Export ein.

  7. Wählen Sie unter Exportieren nach ein Projekt für den Export aus. Du kannst auf dieser Seite kein Projekt erstellen. Informationen zum Erstellen eines neuen Projekts finden Sie unter Projekt erstellen.

  8. Wählen Sie unter Pub/Sub-Thema das Thema aus, in das Sie die Ergebnisse exportieren möchten. So erstellen Sie ein Thema:

    1. Wählen Sie Thema erstellen aus.
    2. Geben Sie eine Themen-ID ein und wählen Sie bei Bedarf weitere Optionen aus:
      1. Schemas erstellen und verwalten
      2. Weitere Informationen zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) mit Pub/Sub.
    3. Klicken Sie auf Thema erstellen.
  9. Klicken Sie auf Speichern. Eine Bestätigung wird angezeigt und Sie gelangen zur Seite mit den Ergebnissen.

  10. Folgen Sie der Anleitung zum Erstellen eines Abos für Ihr Pub/Sub-Thema.

Die Pub/Sub-Exportkonfiguration ist abgeschlossen. Zum Veröffentlichen von Benachrichtigungen wird für Sie ein Dienstkonto im Format service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com erstellt. Diesem Dienstkonto wird automatisch die Rolle securitycenter.notificationServiceAgent auf Organisationsebene zugewiesen. Diese Dienstkontorolle ist erforderlich, damit Benachrichtigungen funktionieren.

Fortlaufende Exporte testen

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob ein Export zwischen den aktiven und inaktiven Status wechselt.

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Geben Sie bei Bedarf Filter Filter noch einmal ein, die mit dem zu testenden Exportfilter übereinstimmen.

  3. Klicken Sie auf das Kästchen neben dem Namen eines Ergebnisses.

  4. Wählen Sie Aktiv-Status ändern und dann Inaktiv aus.

  5. Wählen Sie die gefundene Suche als inaktiv aus.

  6. Wählen Sie Aktiv-Status ändern und dann Aktiv aus. Eine Benachrichtigung wird für das neu aktive Ergebnis gesendet.

  7. Rufen Sie in der Cloud Console die Seite "Pub/Sub" auf.

    Zu Pub/Sub

  8. Klicken Sie in der Themenliste auf den Namen Ihres Themas.

  9. Wählen Sie Nachrichten ansehen aus.

  10. Wählen Sie im Bereich Messages Ihr Abo aus der Drop-down-Liste aus, um die Benachrichtigung zu der Suche zu sehen. Klicken Sie bei Bedarf auf Pull, um Nachrichten zu aktualisieren.

Fortlaufende Exporte verwalten

So können Sie Exporte aufrufen, bearbeiten oder löschen:

  1. Rufen Sie im Security Command Center die Seite Einstellungen auf.

    Einstellungen aufrufen

  2. Wählen Sie ggf. Ihre Organisation aus.

  3. Wählen Sie Kontinuierliche Exporte aus. Sie sehen eine Liste der kontinuierlichen Exporte für Ihre Organisation.

Auf dieser Seite können Sie folgende Aktionen ausführen:

So rufen Sie Ergebnisse auf, die mit einem Exportfilter übereinstimmen:

  1. Auf derFortlaufende Exporte wählen Sie neben dem Namen eines Exports Dreipunktmenü und dann aufÄhnliche Filter ansehen auf.
  2. Die Seite Ergebnisse wird mit Ergebnissen geladen, die dem Exportfilter entsprechen.

Fortlaufende Exporte bearbeiten

  1. Klicken Sie auf der Seite Kontinuierliche Exporte auf den Namen des Exports, den Sie ansehen oder ändern möchten, oder klicken Sie auf Mehr .
  2. Wählen Sie Bearbeiten aus.
  3. Geben Sie eine neue Beschreibung ein, ändern Sie das zu exportierende Projekt oder geben Sie ein neues Pub/Sub-Thema ein.
  4. Wenn Sie fertig sind, klicken Sie auf Speichern.

Fortlaufende Exporte löschen

  1. Klicken Sie auf der Seite Kontinuierliche Exporte auf den Namen des Exports, den Sie löschen möchten.
  2. Klicken Sie auf Löschen.
  3. Klicken Sie im Dialogfeld auf Löschen. Der Export wurde gelöscht.

Nächste Schritte

Weitere Informationen zum Suchen nach Benachrichtigungen