Usar marcas de seguridad

Puedes usar marcas de seguridad en Security Command Center para anotar recursos o resultados en Security Command Center y, después, buscar, seleccionar o filtrar por la marca. Puedes proporcionar anotaciones de ACL en recursos y resultados mediante marcas de seguridad. Después, puede filtrar los recursos y los resultados por estas anotaciones para gestionarlos, aplicar políticas o integrarlos en su flujo de trabajo. También puedes usar marcas para añadir clasificaciones de prioridad, nivel de acceso o confidencialidad.

Solo puede añadir o actualizar marcas de seguridad en recursos compatibles con Security Command Center. Para ver una lista de los recursos que admite Security Command Center, consulte Tipos de recursos admitidos en Security Command Center.

Antes de empezar

Para añadir o cambiar marcas de seguridad, debes tener un rol de Gestión de Identidades y Accesos (IAM) que incluya permisos para el tipo de marca que quieras usar:

  • Marcas de recursos: Escritor de marcas de seguridad de recursos, securitycenter.assetSecurityMarksWriter
  • Marcas de resultados: Escritor de marcas de seguridad de resultados securitycenter.findingSecurityMarksWriter

Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Marcas de seguridad

Las marcas de seguridad son exclusivas de Security Command Center. Los permisos de gestión de identidades y accesos se aplican a las marcas de seguridad y solo pueden usarlos los usuarios que tengan los roles de Security Command Center adecuados. Para leer y editar marcas, se necesitan los roles Escritor de marcas de seguridad de recursos del centro de seguridad y Escritor de marcas de seguridad de resultados del centro de seguridad. Estos roles no incluyen permisos para acceder al recurso subyacente.

Las marcas de seguridad te permiten añadir el contexto de tu empresa a los recursos y los resultados. Como los roles de gestión de identidades y accesos se aplican a las marcas de seguridad, se pueden usar para filtrar y aplicar políticas en recursos y resultados.

Las marcas de seguridad se procesan durante los análisis por lotes, que se ejecutan dos veces al día, y no en tiempo real. Puede haber un retraso de entre 12 y 24 horas antes de que se procesen las marcas de seguridad y se apliquen las políticas de implementación que resuelvan o vuelvan a abrir las detecciones.

Etiquetas

Las etiquetas son un tipo de metadatos similar a las marcas que se pueden usar con Security Command Center, pero tienen un uso y un modelo de permisos ligeramente diferentes a los de las marcas de seguridad.

Las etiquetas son anotaciones a nivel de usuario que se aplican a recursos específicos y se admiten en varios productos de Google Cloud . Las etiquetas se usan principalmente para la contabilidad y la atribución de la facturación.

Hay dos tipos de etiquetas en Google Cloud:

  • Las etiquetas de red son anotaciones a nivel de usuario específicas de los recursos de Compute Engine. Las etiquetas de red se usan principalmente para definir grupos de seguridad, segmentación de red y reglas de cortafuegos.

  • Las etiquetas de recursos, o etiquetas, son pares clave-valor que se pueden asociar a una organización, una carpeta o un proyecto. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica.

La lectura o la actualización de etiquetas están vinculadas a los permisos del recurso subyacente. Las etiquetas se ingieren como parte de los atributos de los recursos en la página Recursos de Security Command Center. Puede buscar etiquetas y etiquetas específicas, así como claves y valores específicos, durante el posprocesamiento de los resultados de la API List.

Añadir marcas de seguridad a recursos y resultados

Puedes añadir marcas de seguridad a todos los recursos compatibles con Security Command Center, incluidos todos los tipos de recursos y los descubrimientos.

Las marcas se pueden ver en la API de Security Command Center. En los niveles de servicio Standard y Premium, las marcas también se pueden ver en la Google Cloud consola. Puedes usar marcas para filtrar recursos y resultados, definir grupos de políticas o añadir contexto empresarial a recursos y resultados. Las marcas de recursos son distintas de las marcas de resultados. Las marcas de recursos no se añaden automáticamente a las detecciones de recursos.

Marcas de seguridad en la pantalla de recursos

Para añadir marcas de seguridad a los recursos en la Google Cloud consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En el selector de proyectos, selecciona el proyecto, la carpeta o la organización que contenga los recursos que quieras marcar.

  3. En la pantalla de recursos que aparece, selecciona la casilla de cada recurso que quieras marcar.

  4. Selecciona Definir marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Añadir marca.

  6. Especifique una o varias marcas de seguridad añadiendo elementos Clave y Valor.

    Por ejemplo, si quieres marcar los proyectos que están en fase de producción, añade la clave "stage" y el valor "prod". Cada proyecto seleccionado tiene el nuevo mark.stage: prod, que puedes usar para filtrarlos.

  7. Para editar una marca, actualiza el texto del campo Valor. Para eliminar una marca, haz clic en el icono de la papelera situado junto a ella.

  8. Cuando termines de añadir marcas, haz clic en Guardar.

Los recursos que has seleccionado ahora están asociados a una marca. De forma predeterminada, las marcas se muestran como una columna en la vista de recursos.

Para obtener información sobre las marcas de recursos específicas de los detectores de Security Health Analytics, consulta la sección Gestionar políticas más adelante en esta página.

Añadir marcas de seguridad a los resultados

Sigue estos pasos para añadir marcas de seguridad a los resultados mediante la consolaGoogle Cloud . Después de añadir marcas de seguridad, puedes usarlas para filtrar los resultados de la consulta en el panel Resultados de la consulta de vulnerabilidades.

Para añadir marcas de seguridad a los resultados, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a la página Resultados

  2. Selecciona el proyecto o la organización que quieras revisar.

  3. En el panel Resultados de la consulta de detecciones, seleccione una o varias detecciones para añadirles una marca de seguridad marcando las casillas correspondientes.

  4. Selecciona Definir marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Añadir marca.

  6. Especifica la marca de seguridad como elementos Clave y Valor.

    Por ejemplo, si quiere marcar las detecciones que forman parte del mismo incidente, añada la clave "incident-number" y el valor "1234". Cada resultado tiene el nuevo mark.incident-number: 1234.

  7. Para editar una marca, actualiza el texto del campo Valor.

  8. Para eliminar marcas, haz clic en el icono de la papelera situado junto a la marca.

  9. Cuando termines de añadir marcas, haz clic en Guardar.

Gestionar políticas

Para suprimir resultados, puedes silenciar manualmente o mediante programación resultados concretos, o bien crear reglas de silencio que silencien automáticamente los resultados actuales y futuros en función de los filtros que definas. Para obtener más información, consulta Silenciar resultados en Security Command Center.

Silenciar resultados es el método recomendado cuando no quieres revisar los resultados de proyectos aislados o que se ajustan a los parámetros empresariales aceptables.

También puedes marcar recursos para incluirlos o excluirlos explícitamente de políticas específicas. Cada detector de Security Health Analytics tiene un tipo de marca específico que puedes usar para excluir recursos marcados de la política de detección añadiendo una marca de seguridad allow_finding-type. Por ejemplo, para excluir el tipo de hallazgo SSL_NOT_ENFORCED, usa la marca de seguridad allow_ssl_not_enforced:true. Este tipo de marca ofrece un control granular de cada recurso y detector. Para obtener más información sobre cómo usar las marcas de seguridad en Security Health Analytics, consulta el artículo Marcar recursos y resultados con marcas de seguridad.

Siguientes pasos