Como exportar dados do Security Command Center

>

Nesta página, descrevemos dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:

  • Exportações únicas para descobertas atuais, recursos e marcações de segurança
  • Exportações contínuas, disponíveis para clientes do Security Command Center Premium, que exportam automaticamente novas descobertas para o Pub/Sub

O Security Command Center permite exportar dados usando a API Security Command Center ou o Console do Google Cloud.

Exportações únicas

As exportações únicas permitem transferir e fazer o download manual de descobertas e recursos atuais e históricos. É possível transferir dados para um bucket do Cloud Storage e fazer o download desses dados na estação de trabalho local.

Permissões

Para fazer exportações únicas, você precisa do seguinte:

Exportar dados usando o Console do Cloud

Nesta seção, descrevemos como exportar dados do Security Command Center usando o Console do Cloud. Quando você clica em Exportar no painel do Security Command Center, o Security Command Center recebe automaticamente as credenciais ou permissões para gravar no bucket do Cloud Storage.

Exportação de dados

As descobertas e os recursos são exportados em operações separadas. É possível exportar um arquivo JSON ou JSONL para um bucket do Cloud Storage atual ou criar um durante o processo de exportação.

É possível exportar todos os recursos ou descobertas atuais ou selecionar os filtros que você quer usar antes de exportar.

  1. Acesse o Security Command Center no Console do Cloud.

    Acessar o Security Command Center

  2. Para exportar recursos, clique na guia Recursos. para descobertas: clique na guia Descobertas.

  3. No campo Filtro, selecione os atributos, propriedades e marcações de segurança que você quer usar para filtrar os dados. Um filtro em branco é avaliado como um caractere curinga e todos os recursos ou descobertas são exportados. Para mais informações sobre como criar filtros, consulte Como usar o painel do Security Command Center.

  4. Ao terminar de criar um filtro, clique em Exportar e, em Uma vez, clique em Cloud Storage.

  5. Na página Exportar, configure a exportação:

    1. Confirme se Tipo de entidade corresponde à sua opção de Descobertas ou Recursos. Se isso não acontecer, faça a seleção certa.
    2. Na lista suspensa Agrupar resultados por, selecione como você quer agrupar os dados de exportação.
    3. Na lista suspensa Formato, selecione JSON ou JSONL.
      • O campo Filtros exibe os filtros selecionados para o tipo de entidade, se houver.
    4. Em Exibir resultados de, selecione o carimbo de data/hora dos dados que você quer exportar.
    5. Em Exportar para, selecione o projeto para o qual você quer exportar os dados.
    6. Na caixa Caminho da exportação, clique em Procurar.
    7. No painel Selecionar objeto, selecione um bucket do Cloud Storage atual ou crie um bucket de armazenamento.
    8. Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação e clique em Selecionar.
  6. Quando terminar de configurar a exportação, clique em Exportar. Se você tiver selecionado um arquivo atual no bucket, a caixa de diálogo Confirmar substituição será exibida.

    • Para substituir o arquivo atual, clique em Confirmar.
    • Para alterar o arquivo no qual você está gravando, clique em Cancelar, clique em Procurar na caixa Exportar caminho e selecione ou crie um arquivo diferente.

Os dados configurados são salvos no bucket do Cloud Storage especificado.

Como fazer o download de dados exportados

Para fazer o download dos dados JSON ou JSONL exportados, execute as seguintes etapas:

  1. Acesse a página Navegador do Storage no Console do Cloud.

    Acessar o navegador do Storage

  2. Selecione seu projeto e clique no bucket para o qual você exportou dados.

  3. Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.

  4. Na caixa de diálogo Save File, selecione o local em que você quer salvá-lo e clique em Save.

O download do arquivo JSON ou JSONL é feito para o local especificado.

Exportar dados usando a API Security Command Center

É possível exportar recursos, descobertas e marcações de segurança para um bucket do Cloud Storage ou para sua estação de trabalho local usando a API Security Command Center. Siga os guias sobre como listar descobertas de segurança ou listar recursos. Depois de listadas, as respostas de API para descobertas ou recursos podem ser transferidas por download ou exportadas.

Para listar descobertas ou recursos, com qualquer marcação de segurança anexada, use os métodos de API ListFindings ou ListAssets. As APIs retornam recursos ou descobertas com o conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, será necessário escrever um código personalizado para converter a saída JSON.

Se você especificar um valor no campo groupBy, o método GroupAssets ou GroupFindings será usado. Se você não especificar um valor para groupBy, o método ListAssets ou ListFindings será usado. Os métodos GroupAssets e GroupFindings retornam uma lista dos recursos ou descobertas de uma organização, agrupados por propriedades especificadas.

Para exportar a saída da API para um bucket do Cloud Storage, use o Cloud Shell para listar recursos ou descobertas, grave a saída em um arquivo e copie-o para o bucket de armazenamento selecionado.

  1. Abra o Cloud Shell.

    Acesse o Cloud Shell

  2. Para gravar descobertas ou recursos em um arquivo, adicione uma string de saída aos comandos da ferramenta gcloud para listar descobertas ou como listar recursos.

    Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado MY_FINDINGS.txt.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    Substitua:

  3. Copie MY_FINDINGS.txt para o bucket do Cloud Storage.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    Substitua MY_BUCKET pelo nome do seu bucket.

  4. Para salvar MY_FINDINGS.txt na estação de trabalho local em vez de um bucket do Cloud Storage, execute o código a seguir.

    cloudshell download MY_FINDINGS.txt

Exportações contínuas

As exportações contínuas, disponíveis para clientes do Security Command Center Premium, simplificam o processo de exportação automática de descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos de Pub/Sub designados quase em tempo real, permitindo que você os integre ao seu fluxo de trabalho existente.

Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?

Exportações contínuas x como encontrar notificações

O Security Command Center permite configurar como encontrar notificações para o Pub/Sub usando a API Security Command Center. A API exige que você use o SDK do Cloud para configurar tópicos do Pub/Sub, criar filtros de localização e criar NotificationConfigs arquivos que contenham configurações para enviar notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada por meio do painel do Security Command Center.

Permissões

Para criar e gerenciar exportações contínuas, você precisa de um dos seguintes papéis.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Você também pode usar qualquer papel que tenha as seguintes permissões:

  • Para visualizar ou publicar tópicos do Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para visualizar a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para gerenciar exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Como configurar exportações do Pub/Sub

Com as exportações contínuas, é possível automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.

Como criar exportações contínuas

Sua organização pode criar no máximo 500 exportações contínuas.Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.

    Acesse Descobertas

  2. No campo Filtro, selecione os atributos, propriedades ou marcações de segurança que você quer usar para filtrar as descobertas e inserir as variáveis desejadas. Um filtro em branco é avaliado como um caractere curinga e todas as descobertas são exportadas. Para mais informações sobre como encontrar propriedades, consulte Como usar o painel do Security Command Center.

  3. Clique em Exportar e, em Contínuo, clique em Pub/Sub.

  4. Revise o filtro para garantir que ele esteja correto e, se necessário, volte para a página Descobertas para modificá-lo.

  5. Em Nome da exportação contínua, digite um nome para a exportação.

  6. Em Descrição contínua da exportação, insira uma descrição para a exportação.

  7. Em Exportar para, selecione um projeto para sua exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.

  8. Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar as descobertas. Para criar um tópico, faça o seguinte:

    1. Selecione Criar um tópico
    2. Digite um ID de tópico e selecione outras opções conforme necessário:
      1. Saiba mais sobre Como criar e gerenciar esquemas.
      2. Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.
    3. Clique em Criar tópico.
  9. Clique em Save. Você verá uma confirmação e será retornado para a página de descobertas.

  10. Siga o guia para criar uma assinatura para seu tópico do Pub/Sub.

A configuração de exportação do Pub/Sub foi concluída. Para publicar notificações, uma conta de serviço é criada para você na forma de service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel securitycenter.notificationServiceAgent no nível da organização. Esse papel da conta de serviço é necessário para que as notificações funcionem.

Como testar exportações contínuas

Para confirmar que uma exportação está funcionando, siga as etapas abaixo para alternar as descobertas entre os estados ativo e inativo.

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.

    Acesse Descobertas

  2. Se necessário, insira novamente as variáveis de filtro que correspondem ao filtro de exportação que você está testando.

  3. Clique na caixa ao lado do nome de uma descoberta.

  4. Selecione Alterar estado ativo e depois Inativo.

  5. Selecione novamente a descoberta que você marcou como inativa.

  6. Selecione Alterar estado ativo e, em seguida, selecione Ativo. Uma notificação é enviada para a descoberta recém-ativada.

  7. Acesse a página do Pub/Sub no Console do Cloud.

    Ir para o Pub/Sub

  8. Na lista de tópicos, clique no nome do tópico.

  9. Selecione Visualizar mensagens.

  10. No painel Mensagens, selecione sua assinatura na lista suspensa para ver a notificação de descoberta. Se necessário, clique em Pull para atualizar as mensagens.

Como gerenciar exportações contínuas

Para visualizar, editar ou excluir exportações, faça o seguinte:

  1. Acesse a página Configurações no Security Command Center.

    Acessar as configurações

  2. Se necessário, selecione sua organização.

  3. Selecione Exportações contínuas. Você verá uma lista de exportações contínuas para sua organização.

Nessa página, você pode realizar as seguintes ações:

Para ver as descobertas que correspondem a um filtro de exportação, faça o seguinte:

  1. Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais e clique em Visualizar filtros relacionados
  2. A página Descobertas é carregada com descobertas que correspondem ao filtro de exportação.

Como editar exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
  2. Selecione Editar.
  3. Insira uma nova descrição, altere o projeto em que as exportações são salvas ou insira um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Salvar.

Como excluir exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
  2. Clique em Excluir
  3. Na caixa de diálogo, clique em Excluir. A exportação é excluída.

A seguir

Saiba mais sobre como encontrar notificações.