Como exportar dados do Security Command Center

Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:

  • Exportações únicas para descobertas atuais, recursos e marcações de segurança
  • Exportações contínuas, disponíveis para clientes do Security Command Center Premium, que exportam automaticamente novas descobertas para o Pub/Sub

O Security Command Center permite exportar dados usando a API Security Command Center ou o Console do Google Cloud.

Exportações únicas

As exportações únicas permitem transferir e fazer o download manualmente das descobertas e recursos atuais e históricos. É possível transferir dados para um bucket do Cloud Storage e fazer o download para a estação de trabalho local.

Permissões

Para fazer exportações únicas, você precisa de:

Os papéis do Security Command Center são concedidos no nível da organização, da pasta ou do projeto. A capacidade de visualizar, editar, criar ou atualizar descobertas, recursos, fontes de segurança e marcas de segurança depende do nível ao qual você recebe acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Exportar dados usando o Console do Cloud

Nesta seção, você verá como exportar dados do Security Command Center usando o Console do Cloud. Quando você clica em Exportar no painel do Security Command Center, ele recebe credenciais ou permissões automaticamente para gravar no bucket do Cloud Storage.

Exportação de dados

As descobertas e os recursos são exportados em operações separadas. É possível exportar um arquivo JSON ou JSONL para um bucket existente do Cloud Storage ou criar um durante o processo de exportação.

Você pode exportar todos os recursos ou descobertas atuais ou selecionar os filtros que quiser usar antes de exportar.

  1. Acesse o Security Command Center no Console do Cloud.

    Acesse Security Command Center

  2. Para exportar recursos, clique na guia Recursos. Para descobertas, clique na guia Descobertas.

  3. No campo Filtro, selecione os atributos, as propriedades e as marcações de segurança que você quer usar para filtrar os dados. Um filtro em branco é avaliado como um caractere curinga, e todos os recursos ou descobertas são exportados. Para mais informações sobre como criar filtros, consulte Como usar o painel do Security Command Center.

  4. Quando terminar de criar um filtro, clique em Exportar e depois, em Uma vez, clique em Cloud Storage.

  5. Na página Exportar, configure a exportação:

    1. Na lista suspensa Agrupar resultados por, selecione como quer agrupar os dados de exportação.
    2. Na lista suspensa Formato, selecione JSON ou JSONL.
    3. O campo Filtros exibe os valores dos atributos no filtro. Para alterar o filtro, retorne à página Descobertas.
    4. Na caixa Exibir resultados de, selecione o carimbo de data/hora dos dados que você quer exportar.
    5. Na caixa Exportar para, selecione o projeto para o qual você quer exportar os dados.
    6. Na caixa Caminho da exportação, clique em Procurar.
    7. No painel Selecionar objeto, selecione um bucket existente do Cloud Storage ou crie um bucket de armazenamento.
    8. Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação.
    9. Clique em Selecionar.
  6. Quando terminar de configurar a exportação, clique em Exportar.

    Se você tiver selecionado um arquivo existente no bucket, a caixa de diálogo Confirmar substituição será exibida.

    • Para substituir o arquivo atual, clique em Confirmar.
    • Para alterar o arquivo no qual você está gravando, clique em Cancelar, clique em Procurar na caixa Exportar caminho e selecione ou crie um arquivo diferente.

Os dados configurados são salvos no bucket do Cloud Storage especificado.

Como fazer o download de dados exportados

Para fazer o download dos dados JSON ou JSONL exportados, execute as seguintes etapas:

  1. Acesse a página Navegador do Storage no Console do Cloud.

    Acesse Navegador do Storage

  2. Selecione o projeto e clique no bucket para o qual você exportou dados.

  3. Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.

  4. Na caixa de diálogo Salvar arquivo, selecione o local em que você quer salvar o arquivo e clique em Salvar.

É feito o download do arquivo JSON ou JSONL para o local especificado.

Exportar dados usando a API Security Command Center

É possível exportar recursos, descobertas e marcações para um bucket do Cloud Storage ou para a estação de trabalho local usando a API Security Command Center. Siga os guias para listar descobertas de segurança ou listar recursos. Depois de listadas, as respostas da API para descobertas ou recursos podem ser transferidas por download ou exportadas.

Para listar descobertas ou recursos, com quaisquer marcações de segurança anexadas, use os métodos da API ListFindings ou ListAssets. Os métodos retornam recursos ou descobertas com o conjunto completo de propriedades, atributos e marcações associadas em formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, escreva um código personalizado para converter a saída JSON.

Se você especificar um valor no campo groupBy, o método GroupAssets ou GroupFindings será utilizado. Os métodos GroupAssets e GroupFindings retornam uma lista dos recursos ou descobertas de uma organização, agrupados por propriedades especificadas.

Para exportar a saída da API para um bucket do Cloud Storage, use o Cloud Shell para listar recursos ou descobertas, grave a saída em um arquivo e copie esse arquivo para o bucket de armazenamento selecionado.

  1. Abra o Cloud Shell.

    Acesse o Cloud Shell

  2. Para gravar descobertas ou recursos em um arquivo, adicione uma string de saída aos comandos da ferramenta gcloud para listar descobertas ou listar recursos.

    Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado MY_FINDINGS.txt.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    Substitua:

  3. Copie MY_FINDINGS.txt para o bucket do Cloud Storage.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    Substitua MY_BUCKET pelo nome do bucket.

  4. Para salvar MY_FINDINGS.txt na estação de trabalho local em vez de em um bucket do Cloud Storage, execute o código a seguir.

    cloudshell download MY_FINDINGS.txt

Exportações contínuas

As exportações contínuas, disponíveis para clientes do Security Command Center Premium, simplificam o processo de exportação automática das descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos designados do Pub/Sub quase em tempo real, permitindo que você as integre ao fluxo de trabalho atual.

Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?

Exportações contínuas x notificações de descobertas

O Security Command Center permite configurar notificações de descobertas do Pub/Sub usando a API Security Command Center. A API requer que você use o SDK do Cloud para configurar tópicos do Pub/Sub, criar filtros de localização e criar NotificationConfigs, arquivos que contêm definições de configuração para enviar notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada com o uso do painel do Security Command Center.

Permissões

Para criar e gerenciar exportações contínuas, você precisa de um dos papéis a seguir.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Também é possível usar qualquer papel com estas permissões:

  • Para ver ou publicar tópicos do Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para ver a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para gerenciar exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Como configurar exportações do Pub/Sub

As exportações contínuas permitem automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.

Como criar exportações contínuas

A organização pode criar no máximo 500 exportações contínuas. Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.

    Acesse Descobertas

  2. No campo Filtro, selecione os atributos, propriedades ou marcações de segurança que você quer usar para filtrar as descobertas e insira as variáveis desejadas. Um filtro em branco é avaliado como um caractere curinga, e todas as descobertas são exportadas. Para mais informações sobre como encontrar propriedades, consulte Como usar o painel do Security Command Center.

  3. Clique em Exportação e, em Contínua, clique em Pub/Sub.

  4. Revise o filtro para garantir que ele esteja correto e, se necessário, retorne à página Descobertas para modificá-lo.

  5. Em Nome da exportação contínua, insira um nome para a exportação.

  6. Em Descrição da exportação contínua, insira uma descrição para a exportação.

  7. Em Exportar para, selecione um projeto para a exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.

  8. Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar descobertas. Para criar um tópico:

    1. Selecione Criar um tópico.
    2. Digite um ID do tópico e selecione outras opções conforme necessário:
      1. Saiba mais sobre Como criar e gerenciar esquemas.
      2. Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.
    3. Clique em Criar tópico.
  9. Clique em Save. Você verá uma confirmação e retornará à página de descobertas.

  10. Siga o guia para criar uma assinatura para o tópico do Pub/Sub.

A configuração de exportação do Pub/Sub foi concluída. Para publicar notificações, uma conta de serviço é criada para você na forma de service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel securitycenter.notificationServiceAgent no nível da organização. Esse papel de conta de serviço é necessário para que as notificações funcionem.

Como testar exportações contínuas

Para confirmar se uma exportação está funcionando, siga as etapas a seguir para alternar as descobertas entre os estados ativo e inativo.

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.

    Acesse Descobertas

  2. DesativarMostrar apenas resultados ativos .Botão descobertas ativas

  3. Se necessário, insira novamente as variáveis de filtro que correspondem ao filtro de exportação que você está testando.

  4. Clique na caixa ao lado do nome de uma descoberta.

  5. Selecione Alterar estado ativo e, depois, Inativo.

  6. Selecione novamente a descoberta marcada como inativa.

  7. Selecione Alterar estado ativo e depois Ativo. Uma notificação será enviada para a descoberta recém-ativa.

  8. Vá até a página Pub/Sub no Console do Cloud:

    Ir para o Pub/Sub

  9. Na lista de tópicos, clique no nome do seu tópico.

  10. Selecione Ver mensagens.

  11. No painel Mensagens, selecione sua assinatura na lista suspensa para ver a notificação de descoberta. Se necessário, clique em Efetuar pull para atualizar as mensagens.

Como gerenciar exportações contínuas

Para visualizar, editar ou excluir exportações:

  1. Acesse a página Serviços no Security Command Center.

    Acessar Configurações

  2. Se necessário, selecione a organização.

  3. Selecione Exportações contínuas. Você verá uma lista de exportações contínuas da organização.

Nessa página, é possível realizar as seguintes ações:

Para visualizar as descobertas que correspondem a um filtro de exportação, faça o seguinte:

  1. Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais e clique em Ver filtros relacionados.
  2. A página Descobertas carregará com descobertas que correspondem ao filtro de exportação.

Como editar exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
  2. Selecione Editar.
  3. Insira uma nova descrição, altere o projeto em que as exportações estão salvas ou insira um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Salvar.

Como excluir exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
  2. Clique em Excluir
  3. Na caixa de diálogo, clique em Excluir. A exportação foi excluída.

A seguir

Saiba mais sobre notificações de descobertas.