Utilizzo dei contrassegni di sicurezza

Puoi utilizzare i contrassegni di sicurezza o "markup" in Security Command Center per annotare gli asset o i risultati in Security Command Center e quindi cercare, selezionare o filtrare utilizzando il contrassegno. Puoi fornire annotazioni ACL su asset e risultati utilizzando i contrassegni di sicurezza. Successivamente, puoi filtrare gli asset e i risultati in base a queste annotazioni per la gestione, l'applicazione dei criteri o l'integrazione con il flusso di lavoro. Puoi usare i contrassegni anche per aggiungere classificazioni di priorità, livello di accesso o sensibilità.

Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, vedi Tipi di asset supportati in Security Command Center.

Prima di iniziare

Per aggiungere o modificare i contrassegni di sicurezza, devi avere un ruolo Identity and Access Management (IAM) che includa le autorizzazioni per il tipo di contrassegno che vuoi utilizzare:

  • Contrassegni di asset: Asset Security Marks Writer, securitycenter.assetSecurityMarksWriter
  • Segni di ricerca: Finding Security Marks Writer, securitycenter.findingSecurityMarksWriter

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, vedi Controllo dell'accesso.

Contrassegni di sicurezza

I contrassegni di sicurezza sono univoci per Security Command Center. Le autorizzazioni IAM si applicano ai contrassegni di sicurezza e sono limitate solo agli utenti che dispongono dei ruoli appropriati di Security Command Center. La lettura e la modifica dei contrassegni di sicurezza richiedono i ruoli Writer contrassegni di sicurezza asset Centro sicurezza e Writer contrassegni di sicurezza Centro sicurezza. Questi ruoli non includono le autorizzazioni per accedere alla risorsa sottostante.

I contrassegni di sicurezza ti consentono di aggiungere il contesto aziendale per asset e risultati. Poiché i ruoli IAM si applicano ai contrassegni di sicurezza, possono essere utilizzati per filtrare e applicare criteri su asset e risultati.

I contrassegni di sicurezza vengono elaborati durante le analisi batch, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe trascorrere da 12 a 24 ore prima che i contrassegni di sicurezza vengano elaborati e che vengano applicati i criteri di applicazione che risolvono o riaprono i risultati.

Etichette e tag

Le etichette e i tag sono tipi di metadati simili che puoi utilizzare con Security Command Center, ma hanno un utilizzo e un modello di autorizzazioni leggermente diversi rispetto ai contrassegni di sicurezza.

Le etichette sono annotazioni a livello di utente applicate a risorse specifiche e supportate in più prodotti Google Cloud. Le etichette vengono utilizzate principalmente per la fatturazione e l'attribuzione.

In Google Cloud esistono due tipi di tag:

  • I tag di rete sono annotazioni a livello di utente specifiche per le risorse Compute Engine. I tag di rete vengono utilizzati principalmente per definire gruppi di sicurezza, segmentazione della rete e regole firewall.

  • I tag delle risorse, o tag, sono coppie chiave-valore che possono essere associate a un'organizzazione, una cartella o un progetto. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico.

La lettura o l'aggiornamento di etichette e tag è legato alle autorizzazioni della risorsa sottostante. Etichette e tag vengono importati come parte degli attributi delle risorse nella visualizzazione degli asset di Security Command Center. Durante la post-elaborazione dei risultati dell'API List, puoi cercare la presenza di etichette e tag specifici, nonché chiavi e valori specifici.

Aggiunta di contrassegni di sicurezza ad asset e risultati

Puoi aggiungere contrassegni di sicurezza a tutte le risorse supportate da Security Command Center, inclusi tutti i tipi di asset e i risultati.

I contrassegni sono visibili nell'output della console Google Cloud e dell'API Security Command Center e possono essere utilizzati per filtrare, definire gruppi di criteri o aggiungere contesto aziendale ad asset e risultati. I contrassegni di asset sono separati dai contrassegni di ricerca. I contrassegni degli asset non vengono aggiunti automaticamente ai risultati relativi agli asset.

Contrassegni di sicurezza nella visualizzazione degli asset

I passaggi seguenti mostrano come aggiungere contrassegni di sicurezza agli asset nella pagina Asset:

  1. Vai alla pagina Asset di Security Command Center nella console Google Cloud.

    Vai ad Asset

  2. Dal selettore dei progetti, seleziona il progetto, la cartella o l'organizzazione che contiene gli asset da contrassegnare.

  3. Nella visualizzazione degli asset visualizzata, seleziona la casella di controllo per ogni asset che vuoi contrassegnare.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Contrassegni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica uno o più contrassegni di sicurezza aggiungendo elementi Chiave e Valore.

    Ad esempio, se vuoi contrassegnare i progetti che si trovano in una fase di produzione, aggiungi la chiave "stage" e il valore "prod". Ogni progetto selezionato ha il nuovo mark.stage: prod, che puoi utilizzare per filtrarli.

  7. Per modificare un contrassegno esistente, aggiorna il testo nel campo Valore. Puoi eliminare i contrassegni facendo clic sull'icona del cestino accanto al contrassegno .

  8. Quando hai finito di aggiungere i segni, fai clic su Salva.

Gli asset selezionati sono ora associati a un contrassegno. Per impostazione predefinita, nella visualizzazione degli asset viene visualizzato un contrassegno.

Per informazioni sui contrassegni di asset dedicati per i rilevatori di Security Health Analytics, consulta Gestione dei criteri più avanti in questa pagina.

Aggiungi contrassegni di sicurezza ai risultati

I passaggi seguenti aggiungono contrassegni di sicurezza ai risultati utilizzando la console Google Cloud. Dopo aver aggiunto i contrassegni di sicurezza, puoi utilizzarli per filtrare i risultati nel riquadro Risultati delle query dei risultati.

Per aggiungere contrassegni di sicurezza ai risultati:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai alla pagina Risultati

  2. Seleziona il progetto o l'organizzazione che vuoi esaminare.

  3. Nel riquadro Risultati delle query dei risultati, seleziona uno o più risultati a cui aggiungere un contrassegno di sicurezza selezionando le caselle di controllo corrispondenti.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Contrassegni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica il contrassegno di sicurezza come elementi Chiave e Valore.

    Ad esempio, se vuoi contrassegnare i risultati che fanno parte dello stesso incidente, aggiungi una chiave di "incident-number" e un valore di "1234". Ogni risultato ha il nuovo mark.incident-number: 1234.

  7. Per modificare un contrassegno esistente, aggiorna il testo nel campo Valore.

  8. Per eliminare i segni, fai clic sull'icona del cestino accanto al segno.

  9. Quando hai finito di aggiungere i segni, fai clic su Salva.

Gestione dei criteri

Per eliminare i risultati, puoi disattivare manualmente o in modo programmatico i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci. Per maggiori informazioni, consulta la pagina Disattivare i risultati in Security Command Center.

La disattivazione dei risultati è il metodo consigliato quando non vuoi esaminare i risultati per progetti isolati o che rientrano nei parametri aziendali accettabili.

In alternativa, puoi impostare i contrassegni sugli asset per includere o escludere esplicitamente tali risorse da criteri specifici. Ogni rilevatore di Security Health Analytics ha un tipo di contrassegno dedicato che consente di escludere le risorse contrassegnate dal criterio di rilevamento, aggiungendo un contrassegno di sicurezza allow_finding- type. Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, utilizza il contrassegno di sicurezza allow_ssl_not_enforced:true. Questo tipo di markup fornisce granularità di controllo per ogni risorsa e rilevatore. Per ulteriori informazioni sull'utilizzo dei contrassegni di sicurezza in Security Health Analytics, consulta Contrassegnare gli asset e i risultati con i contrassegni di sicurezza.

Passaggi successivi