导出 Security Command Center 数据

>

本页面介绍两种导出 Security Command Center 数据的方法,包括资源、发现结果和安全标记:

  • 针对当前发现结果、资产和安全标记一次性导出
  • 适用于 Security Command Center Premium 客户的持续导出,自动将新发现结果导出至 Pub/Sub

Security Command Center 可让您使用 Security Command Center API 或 Google Cloud Console 导出数据。

一次性导出

通过一次性导出,您可以手动转移和下载当前及历史发现结果和资源。您可以将数据转移到 Cloud Storage 存储分区并将其下载到本地工作站。

权限

如需执行一次性导出,您需要满足以下条件:

使用 Cloud Console 导出数据

本部分介绍如何使用 Cloud Console 导出 Security Command Center 数据。在 Security Command Center 信息中心内点击导出后,Security Command Center 会自动获取向 Cloud Storage 存储分区写入凭据或权限。

导出数据

发现结果和资源单独导出。您可以将 JSON 或 JSONL 文件导出到现有 Cloud Storage 存储分区,也可以在导出过程中创建一个。

您可以导出当前的所有资产或发现结果,也可以在导出前选择要使用的过滤条件。

  1. 转至 Cloud Console 中的 Security Command Center。

    转至 Security Command Center

  2. 如需导出资源,请点击资源标签页;对于结果,点击发现结果标签页。

  3. 过滤条件字段中,选择要用于过滤数据的特性、属性和安全性标记。空白过滤条件作为通配符进行求值,且所有资产或发现结果都会导出。如需详细了解如何创建过滤条件,请参阅使用 Security Command Center 信息中心

  4. 创建好过滤条件后,点击导出,然后在一次性下点击 Cloud Storage。

  5. 导出页面上,配置导出:

    1. 确认实体类型与您选择的发现结果资产相匹配。如果没有,请选择正确的选项。
    2. 结果分组依据下拉列表中,选择您希望如何对导出数据进行分组。
    3. 格式下拉列表中,选择 JSONJSONL
      • 过滤条件字段会显示您为实体类型选择的过滤条件(如果有)。
    4. 显示结果来源下,选择要导出的数据的时间戳。
    5. 导出到下方,选择要导出数据的项目。
    6. 导出路径框中,点击浏览
    7. 选择对象面板上,选择现有的 Cloud Storage 存储分区或创建存储分区
    8. 选择或创建存储分区后,在文件名下方输入导出文件的名称,然后点击选择
  6. 导出完成后,点击导出。如果您选择存储分区中的现有文件,则会显示确认覆盖对话框。

    • 要覆盖现有文件,请点击确认
    • 要更改写入文件,请点击取消,然后点击导出路径框中的浏览,并选择或创建不同的文件。

配置的数据将保存到您指定的 Cloud Storage 存储分区中。

下载导出数据

如需下载导出的 JSON 或 JSONL 数据,请执行以下步骤:

  1. 转至 Cloud Console 中的 Storage 浏览器页面。

    转至“Storage 浏览器”

  2. 选择您的项目,然后点击导出数据的存储分区。

  3. 选中导出文件旁边的复选框,然后点击下载

  4. 保存文件对话框中,选择要保存文件的位置,然后点击保存

系统会将 JSON 或 JSONL 文件下载到您指定的位置。

使用 Security Command Center API 导出数据

您可以使用 Security Command Center API 将资产、发现结果和安全标记导出到 Cloud Storage 存储分区或本地工作站。遵循列出发现结果列出资源的指南。列出后,您可以下载或导出发现结果或资产的 API 响应。

如需列出发现结果或资产(带有任何附加的安全标记),您可以使用 ListFindingsListAssets API 方法。这些 API 以 JSON 格式返回包含完整属性,特性和关联标记的资源或发现结果。如果您的应用需要其他格式的数据,则需要编写自定义代码来转换 JSON 输出。

如果您在 groupBy 字段中指定值,则使用 GroupAssetsGroupFindings 方法。如果您未指定 groupBy 值,则使用 ListAssetsListFindings 方法。 GroupAssetsGroupFindings 方法会返回组织资产或发现结果的列表,按指定属性分组。

如需将 API 输出导出到 Cloud Storage 存储分区,请使用 Cloud Shell 列出资源或发现结果,将输出写入文件,然后将该文件复制到您选择的存储分区。

  1. 打开 Cloud Shell。

    转至 Cloud Shell

  2. 如需将发现结果或资源写入文件,请在 gcloud 工具命令中添加输出字符串以列出发现结果列出资源

    例如,以下命令将列出的发现结果存储在名为 MY_FINDINGS.txt 的文本文件中。

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    请替换以下内容:

  3. MY_FINDINGS.txt 复制到您的 Cloud Storage 存储分区。

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    MY_BUCKET 替换为您的存储分区名称。

  4. 如需将 MY_FINDINGS.txt 保存到本地工作站(而不是 Cloud Storage 存储分区),请运行以下代码。

    cloudshell download MY_FINDINGS.txt

持续导出

适用于 Security Command Center Premium 客户的持续导出功能简化了将 Security Command Center 发现结果自动导出到 Pub/Sub 的过程。编写新发现结果时,系统会自动将其导出到指定的 Pub/Sub 主题,因此您可将它们集成到现有工作流中。

如需了解有关 Pub/Sub 的更多信息,请参见什么是 Pub/Sub

持续导出与发现结果通知

Security Command Center 可让您使用 Security Command Center API 为 Pub/Sub 设置发现结果通知。该 API 要求您使用 Cloud SDK 来设置 Pub/Sub 主题、创建发现结果过滤器,以及创建用于发送通知的配置设置的 NotificationConfigs。持续导出功能提供相同的功能,但使用 Security Command Center 信息中心可简化导出过程。

权限

如需创建和管理持续导出,您需要以下角色之一。

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

您还可以使用具有以下权限的任何角色:

  • 如需查看或发布 Pub/Sub 主题,请执行以下操作:

    • pubsub.topics.publish
    • pubsub.topics.list
  • 如需查看持续导出页面,请执行以下操作:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • 如需管理持续导出,请执行以下操作:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

如需详细了解 Security Command Center 角色,请参阅访问权限控制

配置 Pub/Sub 导出文件

借助持续导出功能,您可以将所有未来发现结果自动导出到 Pub/Sub,或者创建过滤条件以导出将来符合特定条件的结果。您可以按类别、来源、资产类型、安全标记、严重性、状态和其他变量来过滤发现结果。

创建持续导出

您的组织最多可创建 500 个持续导出作业。如需为 Pub/Sub 创建导出作业,请执行以下操作:

  1. 转至 Cloud Console 中的 Security Command Center 发现结果 页面。

    转至“发现结果”

  2. 过滤条件字段中,选择要用于过滤结果并输入所需变量的属性、属性或安全标记。空白过滤条件作为通配符求值,且所有发现结果都会导出。如需详细了解发现结果属性,请参阅使用 Security Command Center 信息中心

  3. 点击导出,然后在连续下点击 Pub/Sub

  4. 检查您的过滤条件以确保其正确无误,并在必要时返回发现结果页面进行修改。

  5. 持续导出名称下,为导出项输入名称。

  6. 持续导出说明下,输入导出的说明。

  7. 导出到下,选择要导出的项目。您无法在此页面上创建项目。如需创建新项目,请参阅创建项目

  8. Pub/Sub 主题下,选择要导出发现结果的主题。如需创建主题,请执行以下操作:

    1. 选择创建主题
    2. 输入主题 ID,然后根据需要选择其他选项:
      1. 了解如何创建和管理架构
      2. 了解如何通过 Pub/Sub 使用客户管理的加密密钥 (CMEK)
    3. 点击创建主题
  9. 点击保存。您会看到确认并返回到发现结果页面。

  10. 按照指南为 Pub/Sub 主题创建订阅

Pub/Sub 导出配置已完成。如需发布通知,请以 service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com 的形式创建服务帐号。该服务帐号会在组织级层自动授予 securitycenter.notificationServiceAgent 角色。如需接收通知,必须具备此服务帐号角色。

测试持续导出

如需确认导出作业正常,请执行以下步骤以在活跃状态和非活动状态状态之间切换。

  1. 转至 Cloud Console 中的 Security Command Center 发现结果 页面。

    转至“发现结果”

  2. 如有必要,重新输入与您正在测试的导出过滤条件匹配的过滤条件变量。

  3. 点击发现结果名称旁边的复选框。

  4. 选择更改活跃状态,然后选择非活跃

  5. 重新选择标记为非活跃状态的发现结果。

  6. 选择更改活跃状态,然后选择活跃。 系统会针对新的活跃发现结果发送通知。

  7. 转至 Cloud Console 中的 Pub/Sub 页面。

    转至“Pub/Sub”

  8. 在主题列表中,点击主题的名称。

  9. 选择 查看消息

  10. 消息面板中,从下拉列表中选择您的订阅以查看发现结果通知。如有必要,请点击拉取以刷新消息。

管理持续导出

如需查看、修改或删除导出作业,请执行以下操作:

  1. 转至 Security Command Center 中的设置页面。

    转至“设置”

  2. 如有必要,请选择您的组织。

  3. 选择持续导出。您会看到您的组织的持续导出列表。

在此页面上,您可以执行以下操作:

如需查看与导出过滤条件匹配的发现结果,请执行以下操作:

  1. 持续导出页面上,选择某个导出项名称旁边的显示更多标签 ,然后点击查看相关过滤条件中。
  2. 系统随即会加载发现结果页面,其中包含与导出过滤条件匹配的结果。

修改持续导出内容

  1. 持续导出页面上,点击要查看或修改的导出作业的名称,或点击更多图标
  2. 选择修改
  3. 输入新说明、更改导出项目的项目,或输入新的 Pub/Sub 主题。
  4. 完成后,点击保存

删除持续导出

  1. 持续导出页面上,点击要删除的导出的名称。
  2. 点击 删除
  3. 在对话框中,点击删除。导出内容已删除。

后续步骤

详细了解如何发现结果通知