导出 Security Command Center 数据

本页面介绍导出 Security Command Center 数据(包括资产、发现结果和安全标记)的两种方法:

  • 当前发现结果、资产和安全标记的一次性导出
  • 适用于 Security Command Center Premium 客户的持续导出,自动将新发现结果导出至 Pub/Sub

Security Command Center 允许您使用 Security Command Center API 或 Google Cloud Console 导出数据。

或者,您也可以将发现结果导出到 BigQuery

一次性导出

通过一次性导出,您可以手动转移和下载当前和历史发现结果和资产。您可以将数据转移到 Cloud Storage 存储分区并将其下载到本地工作站。

权限

要执行一次性导出,您需要具有以下角色:

Security Command Center 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您被授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

使用控制台导出数据

本部分介绍如何使用控制台导出 Security Command Center 数据。点击 Security Command Center 信息中心中的导出后,Security Command Center 会自动获取写入 Cloud Storage 存储分区的凭据或权限。

导出数据

发现结果和资产在不同的操作中导出。您可以将 JSON 或 JSONL 文件导出到现有 Cloud Storage 存储分区,也可以在导出过程中创建存储分区。

您可以导出所有当前资产或发现结果,也可以在导出前选择要使用的过滤条件。

  1. 转到控制台中的 Security Command Center。

    转至 Security Command Center

  2. 如需导出资源,请点击资源标签页。对于结果,点击发现结果标签页。

  3. 过滤条件字段中,选择要用于过滤数据的特性、属性和安全标记。系统会将空白过滤条件视为通配符,并导出所有资产或发现结果。如需详细了解如何创建过滤条件,请参阅使用 Security Command Center 信息中心

  4. 创建完过滤条件后,点击导出,然后在一次性下,点击 Cloud Storage。

  5. 导出页面上配置导出:

    1. 结果分组依据下拉列表中,选择您希望如何对导出数据进行分组。
    2. 格式下拉列表中,选择 JSONJSONL
    3. 过滤条件字段显示过滤条件中的属性值。如需更改过滤条件,请返回发现结果页面。
    4. 显示以下时间的结果框中,选择要导出的数据的时间戳。
    5. 导出到框中,选择要导出数据的项目。
    6. 导出路径框中,点击浏览
    7. 选择对象面板上,选择现有的 Cloud Storage 存储分区或创建存储分区
    8. 选择或创建存储桶后,在文件名下,为导出文件输入名称。
    9. 点击选择
  6. 完成导出的配置后,点击导出

    如果您选择存储桶中的现有文件,则会显示确认覆盖对话框。

    • 要覆盖现有文件,请点击确认
    • 要更改写入文件,请点击取消,然后点击导出路径框中的浏览,并选择或创建不同的文件。

配置的数据将保存到您指定的 Cloud Storage 存储分区中。

下载导出数据

如需下载导出的 JSON 或 JSONL 数据,请执行以下步骤:

  1. 转到控制台中的 Storage 浏览器页面。

    转至“Storage 浏览器”

  2. 选择您的项目,然后点击向其中导出了数据的存储分区。

  3. 选中导出文件旁边的复选框,然后点击下载

  4. 保存文件对话框中,选择要保存文件的位置,然后点击保存

JSON 或 JSONL 文件将下载到您指定的位置。

使用 Security Command Center API 导出数据

您可以使用 Security Command Center API 将资产、发现结果和安全标记导出到 Cloud Storage 存储分区或本地工作站。请按照列出安全性发现结果列出资产指南进行操作。列出后,您可以下载或导出发现结果或资产的 API 响应。

如需列出发现结果或资产及任何附加的安全标记,请使用 ListFindingsListAssets API 方法。这些方法以 JSON 格式返回包含完整属性、特性和关联标记的资产或发现结果。如果您的应用需要其他格式的数据,则需要编写自定义代码来转换 JSON 输出。

如果您在 groupBy 字段中指定值,则使用 GroupAssetsGroupFindings 方法。GroupAssetsGroupFindings 方法返回组织的资产或发现结果的列表(按指定的属性分组)。

如需将 API 输出导出到 Cloud Storage 存储分区,请使用 Cloud Shell 列出资产或发现结果,将输出写入一个文件,然后将该文件复制到您选择的存储分区。

  1. 打开 Cloud Shell。

    转到 Cloud Shell

  2. 如需将发现结果或资产写入文件,请在 gcloud CLI 命令中添加输出字符串,用于列出发现结果列出资产

    例如,以下命令将列出的发现结果存储在名为 MY_FINDINGS.txt 的文本文件中。

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    请替换以下内容:

  3. MY_FINDINGS.txt 复制到您的 Cloud Storage 存储分区。

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    MY_BUCKET 替换为您的存储分区名称。

  4. 如需将 MY_FINDINGS.txt 保存到本地工作站(而不是 Cloud Storage 存储分区),请运行以下代码。

    cloudshell download MY_FINDINGS.txt

持续导出

持续导出功能适用于 Security Command Center Premium 客户,可简化将 Security Command Center 发现结果自动导出到 Pub/Sub 的过程。新发现结果写入时,它们会近乎实时地自动导出到指定的 Pub/Sub 主题,使您能够将其集成到现有工作流中。

如需了解有关 Pub/Sub 的更多信息,请参见什么是 Pub/Sub

持续导出与发现结果通知

Security Command Center 允许您使用 Security Command Center API 为 Pub/Sub 设置发现结果通知。此 API 要求您使用 Google Cloud CLI 设置 Pub/Sub 主题,创建发现结果过滤条件,以及创建 NotificationConfigs 文件(包含发送通知的配置设置)。持续导出提供相同的功能,但使用 Security Command Center 信息中心可简化导出创建。

权限

如需创建和管理持续导出,您需要以下角色之一。

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

您也可以使用具有以下权限的任何角色:

  • 如需查看或发布 Pub/Sub 主题:

    • pubsub.topics.publish
    • pubsub.topics.list
  • 如需查看持续导出页面:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • 如需管理持续导出,请执行以下操作:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

如需详细了解 Security Command Center 角色,请参阅访问权限控制

配置 Pub/Sub 导出

借助持续导出功能,您可以将所有未来的所有发现结果自动导出到 Pub/Sub,或者创建过滤条件以导出符合特定条件的未来发现结果。您可以按类别、来源、资产类型、安全标记、严重程度、状态和其他变量来过滤发现结果。

创建持续导出

您的组织最多可创建 500 个持续导出作业。如需为 Pub/Sub 创建导出作业,请执行以下操作:

  1. 转到控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 过滤条件字段中,选择要用于过滤发现结果的特性、属性或安全标记并输入所需变量。空白过滤条件作为通配符评估,并导出所有发现结果。如需详细了解发现结果属性,请参阅使用 Security Command Center 信息中心

  3. 点击导出,然后在连续下,点击 Pub/Sub

  4. 检查您的过滤条件以确保其正确无误,并在必要时返回发现结果页面进行修改。

  5. 持续导出名称下,为导出项输入名称。

  6. 持续导出说明下,输入导出的说明。

  7. 导出到下,选择用于导出的项目。您无法在此页面上创建项目。如需创建新项目,请参阅创建项目

  8. Pub/Sub 主题下,选择要导出发现结果的主题。要创建主题,请执行以下操作:

    1. 选择创建主题
    2. 输入主题 ID,然后根据需要选择其他选项:
      1. 了解如何创建和管理架构
      2. 了解如何搭配使用客户管理的加密密钥 (CMEK) 和 Pub/Sub
    3. 点击创建主题
  9. 点击保存。您会看到确认并返回到发现结果页面。

  10. 按照指南为 Pub/Sub 主题创建订阅

Pub/Sub 导出配置完成。如需发布通知,系统会以 service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com 的形式为您创建一个服务帐号。此服务帐号会在组织级层被自动授予 securitycenter.notificationServiceAgent 角色。需要此服务帐号角色才能接收通知。

测试持续导出

如需确认导出作业正常,请执行以下步骤切换发现结果的活跃状态和非活动状态状态。

  1. 转到控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 关闭仅显示活跃发现结果有效的发现结果切换开关

  3. 如有必要,重新输入与所测试的导出过滤条件匹配的过滤条件变量。

  4. 点击发现结果名称旁边的复选框。

  5. 选择更改活跃状态,然后选择非活跃

  6. 重新选择标记为非活跃状态的发现结果。

  7. 选择更改活跃状态,然后选择活跃。 将发送有关新的活跃发现结果的通知。

  8. 转到控制台中的 Pub/Sub 页面:

    转到“Pub/Sub”

  9. 在主题列表中,点击您的主题的名称。

  10. 选择 查看消息

  11. 消息面板中,从下拉列表中选择您的订阅以查看发现结果通知。如有必要,点击拉取以刷新消息。

管理持续导出

如需查看、修改或删除导出,请执行以下操作:

  1. 转至 Security Command Center 中的设置页面。

    转至“设置”

  2. 如有必要,请选择您的组织。

  3. 选择持续导出。您会看到组织的持续导出列表。

在此页面上,您可以执行以下操作:

要查看与导出过滤条件匹配的发现结果,请执行以下操作:

  1. 持续导出页面上,选择某个导出项名称旁边的显示更多标签 ,然后点击查看相关过滤条件中。
  2. 系统随即会加载发现结果页面,其中包含与导出过滤条件匹配的结果。

修改持续导出内容

  1. 持续导出页面上,点击要查看或修改的导出作业的名称,或点击更多图标
  2. 选择修改
  3. 输入新说明、更改导出保存到的目标项目,或输入新的 Pub/Sub 主题。
  4. 完成后,点击保存

删除持续导出

  1. 持续导出页面上,点击要删除的导出的名称。
  2. 点击 删除
  3. 在该对话框中,点击删除。 导出将被删除。

后续步骤

详细了解如何发现结果通知