导出 Security Command Center 数据

>

导出 Security Command Center 数据,包括资源、发现结果和安全标记。Security Command Center 可让您使用 Security Command Center API 或使用 Google Cloud Console 导出数据。

准备工作

要导出 Security Command Center 数据,您需要具备以下条件:

  • 一个身份和访问权限管理 (IAM) 角色,其中包含 Security Center Admin Viewer 角色的权限。
  • 一个 Google Cloud 项目,您可以在其中创建 Cloud Storage 存储分区并写入导出数据。

使用 Cloud Console 导出数据

本部分介绍如何使用 Cloud Console 将 Security Command Center 数据导出到 JSON 文件。在 Security Command Center 信息中心点击“导出”后,Security Command Center 会自动获取凭据或权限,以自动写入 Cloud Storage 存储分区。

导出数据

要将 JSON 文件导出到 Cloud Storage 存储分区,请执行以下步骤。如果您还没有要使用的 Cloud Storage 存储分区,可以在导出过程中创建一个。

发现结果和资源数据在单独的操作中导出。如果要过滤导出的数据,请在导出之前从“资源”或“发现结果”标签选择要使用的过滤条件。

  1. 转到 Cloud Console 中的 Security Command Center 页面。
    转到 Security Command Center
  2. 选择资源标签页或发现结果标签页,然后点击导出
  3. 在出现的导出页面上,配置导出:
    1. 实体类型下拉列表中,选择您想要导出的数据类型。
    2. Group Results By 下拉列表中,选择您希望如何对导出数据进行分组。
      • 过滤条件列表显示您为实体类型(如果有)选择的过滤条件。
    3. 显示结果来源下,选择要导出的数据的时间戳。
    4. 导出下,选择要向其中导出数据的项目。
    5. 导出路径框中,点击浏览
    6. 在显示的选择对象面板上,选择现有 Cloud Storage 存储分区或点击创建新存储分区
      1. 要创建存储分区,请在文件名框中输入要保存数据的文件名。
    7. 选择或创建存储分区后,点击选择
  4. 完成配置导出后,请点击导出 JSON。如果您选择存储分区中的现有文件,则会显示确认覆盖对话框。
    • 要覆盖现有文件,请点击确认
    • 要更改写入文件,请点击取消,然后点击导出路径框中的浏览,并选择或创建不同的文件。

配置的数据将保存到您指定的 Cloud Storage 存储分区中。

下载导出数据

要下载导出的 JSON 数据,请按照下列步骤操作:

  1. 转到 Cloud Storage 存储分区:
    • 在 Cloud Console 中,点击导出通知
    • 转到 Cloud Console Storage 浏览器页面,然后选择要向其中导出数据的项目和存储分区。
  2. 如需下载 JSON 文件,请点击导出数据时输入的文件名。
  3. 在出现的保存文件对话框中,选择要保存 JSON 的位置,然后点击保存

系统会将 JSON 文件下载到您指定的位置。

使用 Security Command Center API 导出数据

您可以使用 Security Command Center API 将资源、发现结果和标记导出到 Cloud Storage 存储分区或本地工作站。

资源和发现结果可通过多种方法列出:

  • ListAssets
  • GroupAssets
  • ListFindings
  • GroupFindings

如果您在 groupBy 字段中指定值,则使用 GroupAssetsGroupFindings 方法。如果您未指定 groupBy 值,则使用 ListAssetsListFindings 方法。 GroupAssetsGroupFindings 方法用于过滤组织的资源或发现结果,并按其指定的属性进行分组。

这些 API 以 JSON 格式返回包含完整属性,特性和关联标记的资源或发现结果。如果您的应用需要其他格式的数据,则需要编写自定义代码来转换 JSON 输出。

如需将 API 输出导出到 Cloud Storage 存储分区,请使用 Cloud Shell 列出资源或发现结果,并将输出写入文件,然后将该文件复制到您选择的存储分区。

  1. 打开 Cloud Shell。
    转到 Cloud Shell
  2. 下面的示例代码列出了特定来源的发现结果,并按严重性级别进行了过滤,然后将输出存储在名为“my-findings.txt”的文本文件中。为您选择的发现结果添加您的组织 ID 和来源 ID。了解如何获取提供商的来源 ID

      # ORGANIZATION_ID=organization-id
      # SOURCE_ID="source-id"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > my-findings.txt
    
  3. 将“my-findings.txt”复制到您的 Cloud Storage 存储分区。将“my-bucket”更改为您的存储分区名称。

    gsutil cp my-findings.txt gs://my-bucket
  4. 如要将“my-findings.txt”保存到本地工作站(而不是 Cloud Storage 存储分区),请运行以下代码并按照对话框提示进行操作。

    cloudshell download my-findings.txt

后续步骤

详细了解列出和过滤资源发现结果