Como exportar dados do Security Command Center

Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:

É possível exportar dados do Security Command Center usando o Console do Google Cloud, a Google Cloud CLI ou a API Security Command Center.

Também é possível transmitir as descobertas para o BigQuery. Para mais informações, consulte Transmitir descobertas ao BigQuery para análise.

Exportações únicas

As exportações únicas permitem transferir e fazer o download manualmente das descobertas e recursos atuais e históricos.

Para descobertas, use o console do Google Cloud para transferir dados nos formatos JSON, JSONL ou CSV para um bucket do Cloud Storage. Também é possível fazer o download de um número limitado de descobertas para sua estação de trabalho no formato CSV.

Para recursos, é possível fazer o download dos dados do console do Google Cloud para a estação de trabalho local como um arquivo CSV.

Permissões

Para fazer exportações únicas, você precisa de:

  • O papel Leitor da Central de segurança (roles/securitycenter.adminViewer) do Identity and Access Management (IAM) ou qualquer papel que tenha as seguintes permissões:

    • resourcemanager.organizations.get (obrigatório apenas para ativações no nível da organização do Security Command Center)
    • resourcemanager.projects.get (obrigatório para ativações no nível do projeto do Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
  • O papel Administrador do Storage, que permite armazenar dados em buckets do Cloud Storage.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações únicas

Não é possível incluir dados sujeitos ao controle de residência de dados no filtro de uma exportação única para o Cloud Storage.

Se você especificar uma propriedade que contenha dados controlados no filtro de descoberta, o Security Command Center retornará uma mensagem de erro quando você tentar a exportação.

Exportar dados usando o console do Google Cloud

Com o console do Google Cloud, é possível fazer o seguinte:

Exportar descobertas para um bucket do Cloud Storage

Nesta seção, descrevemos como exportar dados do Security Command Center para um bucket do Cloud Storage. Ao clicar em Exportar na página Descobertas no console do Google Cloud, o Security Command Center recebe credenciais automaticamente ou permissões para gravar no bucket do Cloud Storage.

As descobertas são exportadas em operações separadas. É possível exportar um arquivo JSON, um arquivo JSONL ou um arquivo CSV para um bucket do Cloud Storage ou criar um bucket durante o processo de exportação.

Você pode exportar todas as descobertas atuais ou selecionar os filtros que quiser usar antes de exportar.

  1. Acesse a página Descobertas no console do Google Cloud:

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Selecione as descobertas que você precisa exportar aplicando filtros à consulta de descobertas. Para mais informações sobre como criar filtros, consulte Criar ou editar uma consulta de descobertas no console do Google Cloud.

  4. Quando terminar de criar um filtro, clique em Exportar e depois, em Uma vez, clique em Cloud Storage.

  5. Na página Exportar, configure a exportação:

    1. Na seção Exportar para, especifique os seguintes campos:
      1. No campo Nome do projeto, especifique o projeto que contém o bucket do Cloud Storage.
      2. No campo Exportar caminho, que só aparece depois que você especifica um projeto, clique em Procurar.
      3. No painel Selecionar objeto, selecione um bucket existente do Cloud Storage ou crie um bucket de armazenamento.
      4. Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação.
      5. Clique em Selecionar.
    2. Na seção Critérios de exportação, especifique os seguintes campos:
      1. Clique em Agrupar resultados por e selecione como você quer agrupar os dados de exportação.
      2. Clique no campo Formato e selecione JSON, JSONL ou CSV.
      3. Clique no campo Intervalo de tempo e selecione o período para exportar as descobertas.
    3. Na seção Consulta de descobertas, confirme se a consulta aparece como esperado.
    4. Abaixo da consulta, confirme se o número e o tipo de descobertas correspondentes são os esperados.
    5. Clique em Exportar.

    Se você tiver selecionado um arquivo existente no bucket, a caixa de diálogo Confirmar substituição será exibida.

    • Para substituir o arquivo atual, clique em Confirmar.
    • Para alterar o arquivo em que você está gravando, clique em Cancelar e depois em Procurar na caixa Caminho da exportação e selecione ou crie um arquivo diferente.

Os dados configurados são salvos no bucket do Cloud Storage especificado.

Fazer o download dos dados exportados de um bucket do Cloud Storage

Para fazer o download dos dados JSON, JSONL ou CSV exportados, siga estas etapas:

  1. Acesse a página Navegador de armazenamento no Console do Google Cloud.

    Acesse Navegador do Storage

  2. Selecione o projeto e clique no bucket para o qual você exportou dados.

  3. Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.

  4. Na caixa de diálogo Salvar arquivo, selecione o local em que você quer salvar o arquivo e clique em Salvar.

O download do arquivo JSON, JSONL ou CSV será feito no local especificado.

Exportar descobertas para um arquivo CSV

Para configurar a exportação, filtre as descobertas por categoria, gravidade e outras propriedades. Todas as descobertas que correspondem ao filtro são incluídas no arquivo CSV.

Você pode fazer o download de até mil descobertas diretamente para sua estação de trabalho. Se o número de descobertas exceder 1.000, você será redirecionado automaticamente para a página Exportar descobertas para o Cloud Storage, em que é possível exportar os dados para um bucket do Cloud Storage.

Os registros de descoberta são exportados com um conjunto padrão de colunas, que pode não corresponder ao que você vê no console do Google Cloud. Ou seja, ocultar ou reexibir colunas usando as opções de exibição de colunas não muda quais colunas são exportadas. Da mesma forma, alterar o valor de Linhas por página não afeta o conteúdo exportado.

Para exportar descobertas para um arquivo CSV, siga estas etapas:

  1. Na página do Security Command Center do console do Google Cloud, acesse a página Descobertas.

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Opcional: para restringir as descobertas a serem exportadas, aplique um filtro.

  4. Clique em Exportar e em CSV. O Security Command Center começa a exportar as descobertas.

    Quando a exportação for concluída, uma notificação vai aparecer na barra de ferramentas.

  5. Na barra de ferramentas, clique no ícone de notificação.

  6. Na notificação Exportação salva como CSV, clique em Fazer download. O arquivo CSV é transferido por download para a estação de trabalho local.

Exportar recursos para um arquivo CSV

É possível fazer o download de dados de recursos para um arquivo CSV na página Recursos no console do Google Cloud.

Para fazer o download dos dados do recurso em um arquivo CSV, siga estas etapas:

  1. Acessar a página Recursos:

    Acesse Recursos

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Use o painel Filtros rápidos ou o campo Filtro do painel de resultados do recurso para selecionar os recursos que você precisa exportar. Para mais informações sobre como filtrar recursos, consulte Como filtrar recursos.

  4. Acima dos recursos exibidos, clique em Exportar e em Fazer o download do CSV. Os dados dos recursos no painel de resultados são transferidos por download para a estação de trabalho.

Exportar dados usando métodos de API

É possível exportar recursos, descobertas e marcações de segurança para um bucket do Cloud Storage ou para a estação de trabalho local usando a API Security Command Center.

Exportar dados de recursos usando métodos de API

Para exportar ou listar dados de recursos, use a API do Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.

Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 26 de junho de 2024 ou após essa data.

Até a remoção, os usuários que ativaram o Security Command Center antes de 26 de junho de 2023 poderão usar os métodos da API do Security Command Center para listar e exportar dados dos recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.

Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.

Exportar dados encontrados usando a API Security Command Center

Para exportar descobertas com a API do Security Command Center, siga o guia para listar descobertas de segurança e faça o download ou exporte as respostas da API.

Para listar as descobertas, com qualquer marca de segurança anexada, use os seguintes métodos de API:

Os métodos retornam descobertas com o conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, escreva um código personalizado para converter a saída JSON.

Se você especificar um valor no campo groupBy, será possível usar os seguintes métodos:

O método GroupFindings retorna uma lista das descobertas de uma organização, agrupadas por propriedades especificadas.

Exportar descobertas usando a CLI gcloud

Se quiser usar os comandos da Google Cloud CLI no Cloud Shell para exportar as descobertas para um bucket do Cloud Storage, siga estas etapas:

  1. Abra o Cloud Shell.

    Acesse o Cloud Shell

  2. Para gravar descobertas em um arquivo, adicione uma string de saída aos comandos da CLI gcloud para listar descobertas.

    Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado FINDINGS.txt.

     gcloud scc findings list PARENT_ID --source=SOURCE_ID \
       --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
    

    Substitua:

    • FILTER: uma expressão opcional para limitar a lista de descobertas impressas àquelas que correspondem à expressão de filtro.

      • LOCATION: se a residência de dados estiver ativada, especifique o local do Security Command Center em que as descobertas serão armazenadas.

        Se a residência de dados não estiver ativada, especificar a sinalização --location listará as descobertas usando a API Security Command Center v2, e o único valor válido para a sinalização será global.

    • PARENT_ID: o ID de qualquer um dos seguintes recursos pai:

      • Organização, especificada como organizations/ORGANIZATION_ID ou ORGANIZATION_ID
      • Pasta, especificada como folders/FOLDER_ID
      • Projeto, especificado como projects/PROJECT_ID
    • SOURCE_ID: o ID de origem do provedor da descoberta. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.

    • FINDINGS.txt: o nome e a extensão de um arquivo de destino para armazenar a lista de descobertas.

  3. Copie FINDINGS.txt para o bucket do Cloud Storage.

    gsutil cp FINDINGS.txt gs://BUCKET_NAME

    Substitua BUCKET_NAME pelo nome do bucket.

  4. Para salvar FINDINGS.txt na estação de trabalho local em vez de em um bucket do Cloud Storage, execute o código a seguir.

    cloudshell download FINDINGS.txt

Exportações contínuas

As exportações contínuas simplificam o processo de exportação automática de descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos designados do Pub/Sub quase em tempo real, permitindo que você as integre ao fluxo de trabalho atual.

Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?

Exportações contínuas x notificações de descobertas

O Security Command Center permite configurar notificações de descobertas do Pub/Sub usando a API Security Command Center. A API requer que você use o Google Cloud CLI para configurar tópicos do Pub/Sub, criar filtros de descoberta e criar NotificationConfigs, arquivos que contêm configurações para o envio de notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada com o console do Google Cloud.

Permissões

Para criar e gerenciar exportações contínuas, você precisa de um dos papéis a seguir.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Também é possível usar qualquer papel com estas permissões:

  • Para ver ou publicar tópicos do Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para ver a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para gerenciar exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações contínuas

Se a residência de dados estiver ativada para o Security Command Center, as configurações que definem exportações contínuas para os recursos do Pub/Sub (notificationConfig) estarão sujeitas ao controle de residência de dados e serão armazenadas em um local do Security Command Center selecionado.

Para exportar descobertas em um local do Security Command Center para o Pub/Sub, é preciso configurar a exportação contínua no mesmo local do Security Command Center que as descobertas.

Como os filtros usados nas exportações contínuas podem conter dados sujeitos aos controles de residência, especifique o local correto antes de criá-los. O Security Command Center não restringe o local em que você cria exportações.

As exportações contínuas são armazenadas apenas no local em que são criadas e não podem ser visualizadas ou editadas em outros locais.

Depois de criar uma exportação contínua, não é possível alterar o local dela. Para alterar o local, você precisa excluir a exportação contínua e recriá-la no novo local.

Para recuperar uma exportação contínua usando chamadas de API, é necessário especificar o local no nome completo do recurso do notificationConfig. Exemplo:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Da mesma forma, para recuperar uma exportação contínua usando a CLI gcloud, especifique o local no nome completo do recurso da configuração ou usando a sinalização --locations. Exemplo:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Crie uma exportação contínua para o Pub/Sub

As exportações contínuas permitem automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.

Sua organização pode criar no máximo 500 exportações contínuas.

Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. Acesse a página Descobertas do Security Command Center no console do Google Cloud.

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Se o suporte à residência de dados estiver ativado, selecione o local de residência dos dados logo abaixo do seletor de projetos. Exemplo:

    Captura de tela do seletor de local

  4. No campo Resultados da consulta de descobertas, selecione as descobertas a serem exportadas usando um dos seguintes métodos:

    • Clique em Adicionar filtro para selecionar as propriedades das descobertas que você precisa exportar.

      A caixa de diálogo Selecionar filtro permite escolher os atributos e valores de descoberta suportados. Caixa de diálogo do filtro de consulta

      1. Selecione um atributo de descoberta ou digite um nome na caixa Pesquisar atributos de descoberta. Uma lista dos subatributos disponíveis será exibida.
      2. Selecione um subatributo. Um campo de seleção para as opções de avaliação é exibido acima de uma lista dos valores de subatributos encontrados nas descobertas do painel Resultados da consulta de descobertas.
      3. Selecione uma opção de avaliação para os valores do subatributo selecionado. Para mais informações sobre as opções de avaliação e os operadores e funções que elas usam, consulte Operadores de consulta no menu "Adicionar filtros".
      4. Selecione Apply.

        A caixa de diálogo será fechada, e a consulta será atualizada.

      5. Repita até que a consulta de descobertas contenha todos os atributos que você quer.
    • Codifique manualmente a consulta de descoberta no editor de consultas. É possível usar operadores SQL padrão AND, OR, é igual a (=), tem (:) e não (-) para especificar as propriedades de descoberta e valores das descobertas que você precisa exportar.

      Conforme você digita a consulta, um menu de preenchimento automático é exibido, onde é possível selecionar nomes e funções de filtro.

      Por exemplo, a consulta a seguir silencia as descobertas de anomalous IAM grant de baixa e média gravidade em prod-project e exclui os tipos de recursos em que o nome tem a substring compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
      IAM Anomalous Grant" AND resource.project_display_name="prod-project"
      AND -resource.type:"compute"
      

      Para mais exemplos sobre filtragem de descobertas, consulte Como filtrar notificações.

  5. Analise a precisão da consulta resultante. Para fazer alterações, exclua ou adicione propriedades e valores de filtro conforme necessário.

  6. Clique em Atualizar as descobertas correspondentes. Uma tabela exibe as descobertas que correspondem à sua consulta. Para mais informações sobre como consultar descobertas, acesse Editar uma consulta de descobertas no console do Google Cloud.

  7. Clique em Exportação e, em Contínua, clique em Pub/Sub.

  8. Revise o filtro para garantir que ele esteja correto e, se necessário, retorne à página Descobertas para modificá-lo.

  9. Em Nome da exportação contínua, insira um nome para a exportação.

  10. Em Descrição da exportação contínua, insira uma descrição para a exportação.

  11. Em Exportar para, selecione um projeto para a exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.

  12. Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar descobertas. Para criar um tópico:

    1. Selecione Criar um tópico.
    2. Digite um ID do tópico e selecione outras opções conforme necessário:
      1. Saiba mais sobre Como criar e gerenciar esquemas.
      2. Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.
    3. Clique em Criar tópico.
  13. Clique em Salvar. Você verá uma confirmação e retornará à página de descobertas.

  14. Siga o guia para criar uma assinatura para seu tópico do Pub/Sub.

A configuração de exportação do Pub/Sub foi concluída. Para publicar notificações, uma conta de serviço é criada para você na forma de service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel roles/securitycenter.notificationServiceAgent no nível da organização. Esse papel de conta de serviço é necessário para que as notificações funcionem.

Como testar exportações contínuas

Para confirmar se uma exportação está funcionando, siga as etapas a seguir para alternar as descobertas entre os estados ativo e inativo.

  1. Acesse a página Descobertas do Security Command Center no console do Google Cloud.

    Acesse Descobertas

  2. Clique no botão Editar consulta. O editor de consultas é aberto.

  3. Edite a consulta para que as descobertas ativas e inativas sejam exibidas. A consulta a seguir omite a propriedade state para exibir todas as descobertas, exceto as que estão desativadas:

    NOT mute="MUTED"

  4. Se necessário, use o Editor de consultas para inserir novamente as variáveis que correspondem ao filtro de exportação que você está testando.

  5. Clique na caixa ao lado do nome de uma descoberta.

  6. Selecione Alterar estado ativo e, depois, Inativo.

  7. Selecione novamente a descoberta marcada como inativa.

  8. Selecione Alterar estado ativo e depois Ativo. Uma notificação é enviada para a descoberta recém-ativa.

  9. Acesse a página do Pub/Sub no Console do Google Cloud.

    Ir para o Pub/Sub

  10. Na lista de tópicos, clique no nome do seu tópico.

  11. Selecione Ver mensagens.

  12. No painel Mensagens, selecione sua assinatura na lista suspensa para ver a notificação de descoberta. Se necessário, clique em Efetuar pull para atualizar as mensagens.

Como gerenciar exportações contínuas

Para visualizar, editar ou excluir exportações:

  1. Acesse a página Serviços no Security Command Center.

    Acesse configurações

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Se o suporte à residência de dados estiver ativado, selecione o local de residência dos dados logo abaixo do seletor de projetos. Exemplo:

    Captura de tela do seletor de local

  4. Selecione Exportações contínuas. Você vê uma lista de exportações contínuas para seu projeto, pasta ou organização.

Na página Exportações contínuas em Configurações, é possível criar, ver, editar e excluir exportações contínuas.

Para visualizar as descobertas que correspondem a um filtro de exportação, faça o seguinte:

  1. Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais e clique em Ver filtros relacionados.
  2. A página Descobertas carregará com descobertas que correspondem ao filtro de exportação.

Como editar exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
  2. Selecione Editar.
  3. Insira uma nova descrição, altere o projeto em que as exportações estão salvas ou insira um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Salvar.

Como excluir exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
  2. Clique em Excluir.
  3. Na caixa de diálogo, clique em Excluir. A exportação foi excluída.

A seguir

Saiba mais sobre notificações de descobertas.