Usa marcas de seguridad

Puedes usar marcas de seguridad, o “marcas”, en Security Command Center para anotar recursos o resultados en Security Command Center y, luego, buscar, seleccionar o filtrar mediante la marca. Puedes proporcionar anotaciones de LCA en elementos y resultados mediante marcas de seguridad. Luego, puedes filtrar los recursos y resultados con estas anotaciones para administración, una aplicación o una integración con tu flujo de trabajo. También puedes usar marcas para agregar clasificaciones de prioridad, nivel de acceso o sensibilidad.

Puedes agregar o actualizar marcas de seguridad solo en los recursos compatibles Security Command Center. Para obtener una lista de los recursos que Security Command Center compatibles, consulta Tipos de recursos admitidos en Security Command Center.

Antes de comenzar

A fin de agregar o cambiar marcas de seguridad, debes tener una función de administración de identidades y accesos (IAM) que incluya permisos para el tipo de marca que desees usar:

  • Marcas del recurso: escritor de marcas de seguridad de recursos, securitycenter.assetSecurityMarksWriter
  • Marcas de los resultados: escritor de marcas de seguridad de resultados, securitycenter.findingSecurityMarksWriter

Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para obtener más información Para conocer los roles de Security Command Center, consulta Control de acceso.

Marcas de seguridad

Las marcas de seguridad son exclusivas de Security Command Center. IAM se aplican los permisos a marcas de seguridad y están restringidas solo a los usuarios que tengan las Security Command Center. Las marcas de lectura y edición requieren las funciones de escritor de marcas de seguridad de recursos del centro de seguridad y de escritor de marcas de seguridad de resultados del centro de seguridad. Estas funciones no incluyen permisos para acceder al recurso subyacente.

Las marcas de seguridad te permiten agregar tu contexto empresarial para los recursos y resultados. Debido a que los roles de IAM se aplican a las marcas de seguridad, se pueden usar para filtrar y aplicar políticas sobre recursos y hallazgos.

Las marcas de seguridad se procesan durante los análisis por lotes (que se ejecutan dos veces por día) y no en tiempo real. Puede haber un retraso de 12 a 24 horas antes de que se muestren las marcas de seguridad se aplican las políticas procesadas y de aplicación que resuelven o vuelven a abrir los hallazgos.

Etiquetas

Las etiquetas son tipos similares de metadatos que puedes usar con Security Command Center, pero tienen un uso y permisos un poco diferentes más rápido que marcas de seguridad.

Las etiquetas son anotaciones a nivel de usuario que se aplican a recursos específicos y son compatibles con varios productos de Google Cloud. Las etiquetas se usan principalmente para la atribucióny la contabilidad de facturación.

Existen dos tipos de rótulos (también denominados etiquetas) en Google Cloud:

  • Las etiquetas de red son anotaciones a nivel de usuario, específicas de los recursos de Compute Engine. S usan principalmente para definir grupos de seguridad, segmentación de red y reglas de firewall.

  • Las etiquetas de recursos o etiquetas, son pares clave-valor que se pueden adjuntar a una organización, una carpeta o un proyecto. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica.

La lectura o la actualización de etiquetas y rótulos está vinculada a los permisos del recurso subyacente. Las etiquetas y los rótulos se transfieren como parte de los atributos de recursos en la pantalla de recursos del centro de comandos de seguridad. Puedes buscar la presencia de una etiqueta y rótulo específico, y claves y valores específicos, durante el posprocesamiento de los resultados de la API de List.

Agrega marcas de seguridad a los recursos y a los resultados

Puedes agregar marcas de seguridad a todos los recursos compatibles con Security Command Center, incluidos todos los tipos de activos y los resultados.

Las marcas se pueden ver en la consola de Google Cloud y en el resultado de la API de Security Command Center, y se pueden usar para filtrar, definir grupos de políticas o agregar contexto empresarial a los recursos y resultados. Las marcas de recursos se separan de las marcas de resultados. Las marcas de recursos no se agregan de forma automática a los resultados de los recursos.

Marcas de seguridad en la pantalla de elementos

En los siguientes pasos, se muestra cómo agregar marcas de seguridad a los recursos en la Página Recursos:

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ve a Recursos

  2. En el selector de proyectos, selecciona el proyecto, la carpeta o la organización que contiene los recursos que necesitas marcar.

  3. En la pantalla de recursos que aparece, selecciona la casilla de verificación de cada uno de ellos. que quieres marcar.

  4. Selecciona Establecer marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.

  6. Especifica una o más marcas de seguridad agregando elementos de Clave y Valor.

    Por ejemplo, si deseas marcar proyectos que se encuentran en etapa de producción, agrega una clave de “stage” y un valor de “prod”. Cada proyecto de selección tiene el nuevo mark.stage: prod, que puedes usar para filtrarlos.

  7. Para editar una marca existente, actualiza el texto en el campo Valor. Para borrar marcas, haz clic en el ícono de papelera junto a la marca, .

  8. Cuando termines de agregar las marcas, haz clic en Guardar.

Los elementos que seleccionaste ahora están asociados a una marca. De forma predeterminada, las marcas se muestran como una columna en la pantalla de recursos.

Si deseas obtener información sobre las marcas específicas de los recursos para los detectores de Security Health Analytics, consulta Administra políticas más adelante en esta página.

Agrega marcas de seguridad a los resultados

En los siguientes pasos, se agregan marcas de seguridad a los resultados mediante la Consola de Google Cloud Después de agregar marcas de seguridad, puedes usarlas para filtrar los resultados en el panel Resultados de la búsqueda.

Para agregar marcas de seguridad a los resultados, sigue estos pasos:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a la página Hallazgos

  2. Selecciona el proyecto o la organización que deseas revisar.

  3. En el panel Resultados de la búsqueda, selecciona uno o más resultados. para agregar una marca de seguridad seleccionando sus casillas de verificación.

  4. Selecciona Establecer marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.

  6. Especifica la marca de seguridad como elementos de Clave y Valor.

    Por ejemplo, si deseas marcar los resultados que forman parte del mismo incidente, agrega una clave “incident-number” y un valor de “1234”. Cada resultado tiene el nuevo mark.incident-number: 1234.

  7. Para editar una marca existente, actualiza el texto en el campo Valor.

  8. Para borrar marcas, haz clic en el ícono de papelera junto a la marca.

  9. Cuando termines de agregar las marcas, haz clic en Guardar.

Administra políticas

Para suprimir resultados, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas. Para obtener más información, consulta Silencia resultados en Security Command Center.

Se recomienda silenciar los resultados cuando no quieres revisar los resultados de los proyectos aislados o que están dentro de los parámetros comerciales aceptables.

De manera alternativa, puedes establecer marcas en los resultados para incluir o excluir de forma explícita esos recursos de políticas específicas. Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir recursos marcados de la política de detección mediante la adición de una marca de seguridad allow_finding- type. Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, usa la marca de seguridad allow_ssl_not_enforced:true. Este tipo de marca proporciona un nivel de detalle del control para cada recurso y detector. Más información sobre el uso de marcas de seguridad en Security Health Analytics, consulta Marcar recursos y resultados con marcas de seguridad.

¿Qué sigue?