Questa pagina spiega come attivare le notifiche dell'API Security Command Center.
Le notifiche inviano risultati e aggiornamenti dei risultati a un argomento Pub/Sub in pochi minuti. Le notifiche dell'API Security Command Center includono tutte le informazioni sui risultati visualizzate da Security Command Center nella console Google Cloud.
Puoi collegare le notifiche di Security Command Center in Pub/Sub direttamente alle azioni delle funzioni Cloud Run. Per esempi di funzioni che possono essere utili per la risposta, l'arricchimento e la correzione, consulta il repository open source di codice delle funzioni Cloud Run di Security Command Center. Il repository contiene soluzioni che ti aiutano a eseguire azioni automatiche sui risultati di sicurezza.
In alternativa, puoi esportare i risultati in BigQuery o configurare le esportazioni continue per Pub/Sub nella console Google Cloud.
Prima di iniziare
-
Per ottenere le autorizzazioni necessarie per impostare e configurare le notifiche dell'API Security Command Center, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Amministratore Centro sicurezza (
roles/securitycenter.admin
) nell'organizzazione o nel progetto in cui è attivato Security Command Center -
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) nel progetto in cui creerai l'argomento Pub/Sub
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Amministratore Centro sicurezza (
-
Enable the Security Command Center API:
gcloud services enable securitycenter.googleapis.com
Residenza dei dati e notifiche
Se la residenza dei dati è abilitata per Security Command Center, le configurazioni che definiscono le esportazioni continue in Pub/Sub, ovvero le risorse notificationConfig
, sono soggette al controllo della residenza dei dati e vengono archiviate nella località di Security Command Center.
Per esportare i risultati in una posizione di Security Command Center in Pub/Sub, devi configurare l'esportazione continua nella stessa posizione di Security Command Center dei risultati.
Poiché i filtri utilizzati nelle esportazioni continue possono contenere dati soggetti a controlli della residenza, assicurati di specificare la località corretta prima di crearli. Security Command Center non limita la località in cui crei le esportazioni.
Le esportazioni continue vengono archiviate solo nella posizione in cui vengono create e non possono essere visualizzate o modificate in altre posizioni.
Una volta creata un'esportazione continua, non puoi modificarne la posizione. Per modificare la posizione, devi eliminare l'esportazione continua e ricrearla nella nuova posizione.
Per recuperare un'esportazione continua utilizzando le chiamate API,
devi specificare la posizione nel nome completo della risorsa del
notificationConfig
. Ad esempio:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01
Analogamente, per recuperare un'esportazione continua utilizzando
l'interfaccia a riga di comando gcloud, devi specificare la posizione utilizzando
il flag --location
. Ad esempio:
gcloud scc notifications describe myContinuousExport --organization=123 \ --location=us
Configura un argomento Pub/Sub
In questa attività, crei e ti abboni all'argomento Pub/Sub a cui vuoi inviare le notifiche.
Passaggio 1: configura Pub/Sub
Per configurare e iscriverti a un argomento Pub/Sub, segui questi passaggi:
Vai alla console Google Cloud.
Seleziona il progetto in cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
(Facoltativo) Per creare un nuovo argomento Pub/Sub, esegui il seguente comando:
gcloud pubsub topics create TOPIC_ID
Sostituisci
TOPIC_ID
con il nome di un argomento.Crea una sottoscrizione per l'argomento:
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic=TOPIC_ID
Sostituisci quanto segue:
SUBSCRIPTION_ID
: l'ID abbonamentoTOPIC_ID
: l'ID argomento
Per scoprire di più sulla configurazione di Pub/Sub, consulta Gestire argomenti e iscrizioni.
Passaggio 2: concedi il ruolo all'argomento Pub/Sub
Per creare un NotificationConfig
, devi disporre del ruolo Amministratore Pub/Sub
(roles/pubsub.admin
) per l'argomento Pub/Sub per cui hai creato
una sottoscrizione.
Per concedere questo ruolo:
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Concedi il ruolo richiesto al tuo Account Google nell'argomento Pub/Sub:
gcloud pubsub topics add-iam-policy-binding \ projects/PUBSUB_PROJECT/topics/TOPIC_ID \ --member="user:GOOGLE_ACCOUNT" \ --role="roles/pubsub.admin"
Sostituisci quanto segue:
PUBSUB_PROJECT
: il progetto Google Cloud che contiene lo tuo argomento Pub/SubTOPIC_ID
: l'ID argomentoGOOGLE_ACCOUNT
: l'indirizzo email del tuo Account Google
Crea un oggetto NotificationConfig
Prima di creare un NotificationConfig
, tieni presente che ogni organizzazione può avere un numero limitato di file NotificationConfig
. Per ulteriori informazioni, consulta
Quote e limiti.
NotificationConfig
include un campo filter
che limita le notifiche agli eventi utili. Questo campo accetta tutti i filtri disponibili nel metodo findings.list
dell'API Security Command Center.
Quando crei un NotificationConfig
, specifichi un elemento principale per il NotificationConfig
dalla gerarchia delle risorse Google Cloud, ovvero un'organizzazione, una cartella o un progetto. Se in un secondo momento dovrai recuperare, aggiornare o eliminareNotificationConfig
, dovrai includere l'ID numerico dell'organizzazione, della cartella o del progetto principale quando fai riferimento a NotificationConfig
.
Nella console Google Cloud, alcune risorse NotificationConfig
potrebbero avere l'etichetta Legacy, che indica che sono state create con l'API Security Command Center v1. Puoi gestire queste risorseNotificationConfig
con la console Google Cloud, l'gcloud CLI, l'API Security Command Center v1 o le librerie client v1 per Security Command Center.
Per gestire queste risorse NotificationConfig
con gcloud CLI, non devi specificare una posizione quando esegui il comando gcloud CLI.
Per creare il NotificationConfig
utilizzando la lingua o la piattaforma di tua scelta:
gcloud
gcloud scc notifications create NOTIFICATION_NAME \ --PARENT=PARENT_ID \ --location=LOCATION --description="NOTIFICATION_DESCRIPTION" \ --pubsub-topic=PUBSUB_TOPIC \ --filter="FILTER"
Sostituisci quanto segue:
NOTIFICATION_NAME
: il nome della notifica. Deve essere compreso tra 1 e 128 caratteri e deve contenere solo caratteri alfanumerici, trattini bassi o trattini.PARENT
: l'ambito nella gerarchia delle risorse a cui si applica la notifica,organization
,folder
oproject
.PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto principale, specificato nel formatoorganizations/123
,folders/456
oprojects/789
.LOCATION
: se la residenza dei dati è abilitata, la località di Security Command Center in cui eseguire l'operazione; se la residenza dei dati non è abilitata, utilizza il valoreglobal
.NOTIFICATION_DESCRIPTION
: una descrizione della notifica di massimo 1024 caratteri.PUBSUB_TOPIC
: l'argomento Pub/Sub che riceverà le notifiche. Il formato èprojects/PROJECT_ID/topics/TOPIC
.FILTER
: l'espressione che definisci per selezionare i risultati da inviare a Pub/Sub. Ad esempio,state=\"ACTIVE\"
.
Vai
Java
Node.js
Python
Le notifiche vengono ora pubblicate nell'argomento Pub/Sub specificato.
Per pubblicare le notifiche, viene creato un account di servizio sotto forma di
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
Questo account di servizio viene creato quando crei il tuo primo NotificationConfig
e al quale viene concesso automaticamente il ruolo securitycenter.notificationServiceAgent
nel criterio IAM per PUBSUB_TOPIC durante la creazione della configurazione di notifica. Questo
ruolo dell'account di servizio è necessario per il funzionamento delle notifiche.
Concedi l'accesso al perimetro in Controlli di servizio VPC
Se utilizzi Controlli di servizio VPC e il tuo argomento Pub/Sub fa parte di un progetto all'interno di un perimetro di servizio, devi concedere l'accesso ai progetti per creare notifiche.
Per concedere l'accesso ai progetti, crea regole di ingresso e uscita per i principali e i progetti utilizzati per creare notifiche. Le regole consentono di accedere alle risorse protette e consentono a Pub/Sub di verificare che gli utenti dispongano dell'autorizzazione setIamPolicy
per l'argomento Pub/Sub.
Prima di creare un oggetto NotificationConfig
Prima di completare i passaggi descritti in Creazione di una NotificationConfig, svolgi i seguenti passaggi:
Vai alla pagina Controlli di servizio VPC nella console Google Cloud.
Se necessario, seleziona la tua organizzazione.
Fai clic sul nome del perimetro di servizio da modificare.
Per trovare il perimetro di servizio da modificare, puoi controllare i log per verificare se sono presenti voci che mostrano violazioni
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
. In queste voci, controlla il camposervicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Fai clic su Modifica perimetro.
Nel menu di navigazione, fai clic su Criterio in entrata.
Per configurare le regole di ingresso per gli utenti o gli account servizio, utilizza i seguenti parametri:
- Attributi FROM del client API:
- Nel menu a discesa Origine, seleziona Tutte le origini.
- Nel menu a discesa Identità, scegli Identità selezionate.
- Fai clic su Seleziona, quindi inserisci il principale utilizzato per chiamare l'API Security Command Center.
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu a discesa Progetto, scegli Progetti selezionati.
- Fai clic su Seleziona e poi inserisci il progetto che contiene l'argomento Pub/Sub.
- Nel menu a discesa Servizi, scegli Servizi selezionati e poi API Cloud Pub/Sub.
- Nel menu a discesa Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
Fai clic su Salva.
Nel menu di navigazione, fai clic su Regola di uscita.
Fai clic su Aggiungi regola.
Per configurare le regole di uscita per gli account utente o di servizio, inserisci i seguenti parametri:
- Attributi FROM del client API:
- Nel menu a discesa Identità, scegli Identità selezionate.
- Fai clic su Seleziona, quindi inserisci il principale utilizzato per chiamare l'API Security Command Center.
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu a discesa Progetto, scegli Tutti i progetti.
- Nel menu a discesa Servizi, scegli Servizi selezionati, quindi seleziona API Cloud Pub/Sub.
- Nel menu a discesa Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
Fai clic su Salva.
Crea una regola di ingresso per NotificationConfig
Per creare una regola di ingresso per un NotificationConfig
:
- Completa le istruzioni riportate in Creare un oggetto NotificationConfig.
- Riapri il perimetro di servizio della sezione precedente.
- Fai clic su Criterio in entrata.
- Fai clic su Aggiungi regola.
- Per configurare la regola di ingresso per l'account di servizio
NotificationConfig
che hai creato, inserisci i seguenti parametri:- Attributi FROM del client API:
- Nel menu a discesa Origine, seleziona Tutte le origini.
- Nel menu a discesa Identità, scegli Identità selezionate.
- Fai clic su Seleziona, quindi inserisci il nome dell'
NotificationConfig
account di servizio:service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu a discesa Progetto, scegli Progetti selezionati.
- Fai clic su Seleziona e poi seleziona il progetto che contiene l'argomento Pub/Sub.
- Nel menu a discesa Servizi, scegli Servizi selezionati e poi seleziona API Cloud Pub/Sub.
- Nel menu a discesa Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
- Nel menu di navigazione, fai clic su Salva.
Gli account di progetti, utenti e servizi selezionati ora possono accedere alle risorse protette e creare notifiche.
Se hai seguito tutti i passaggi descritti in questa guida e le notifiche funzionano correttamente, ora puoi eliminare quanto segue:
- La regola in entrata per l'entità
- La regola in uscita per l'entità
Queste regole erano necessarie solo per configurare NotificationConfig
. Tuttavia, per
continuare a utilizzare le notifiche, devi mantenere la regola di ingresso per il
NotificationConfig
, che consente di pubblicare notifiche nel
tuo argomento Pub/Sub dietro il perimetro di servizio.
Passaggi successivi
- Scopri come attivare le notifiche via email e chat in tempo reale.
- Scopri come gestire l'API di notifica.
- Scopri di più su come filtrare le notifiche.