Como usar marcações de segurança

Use marcações de segurança, ou "marcações", no Security Command Center para anotar recursos ou descobertas no Security Command Center e pesquisar, selecionar ou filtrar utilizando a marcação. É possível fornecer anotações do ACL sobre recursos e descobertas usando marcações de segurança. Em seguida, é possível filtrar os recursos e as descobertas de acordo com essas anotações para gerenciamento, aplicação de políticas ou integração com seu fluxo de trabalho. Você também pode usar marcações para adicionar classificações de prioridade, nível de acesso ou confidencialidade.

Só é possível adicionar ou atualizar marcas de segurança em recursos compatíveis com o Security Command Center. Para conferir uma lista dos recursos que o Security Command Center oferece suporte, consulte Tipos de recursos compatíveis com o Security Command Center.

Antes de começar

Para adicionar ou alterar marcações de segurança, você precisa ter um papel de gerenciamento de identidade e acesso (IAM, na sigla em inglês) que inclua permissões para o tipo de marcação que você quer usar:

  • Marcações de recurso: Gravador de marcação de recursos de recurso, securitycenter.assetSecurityMarksWriter
  • Como encontrar marcações: Como encontrar o gravador de marcações de segurança, securitycenter.findingSecurityMarksWriter

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Marcações de segurança

As marcas de segurança são exclusivas do Security Command Center. As permissões do IAM se aplicam a marcações de segurança e estão restritas a apenas usuários que tenham os papéis apropriados do Security Command Center. As marcações de leitura e edição exigem as funções de gravador de marcação de recursos da Central de segurança e de marcação de segurança de descoberta da Central de segurança. Esses papéis não incluem permissões para acessar o recurso subjacente.

As marcações de segurança permitem que você adicione seu contexto comercial a recursos e descobertas. Como os papéis do IAM se aplicam a marcações de segurança, eles podem ser usados para filtrar e aplicar políticas em recursos e descobertas.

As marcas de segurança são processadas durante verificações de lote, que são executadas duas vezes ao dia, e não em tempo real. Pode levar de 12 a 24 horas para que as marcas de segurança sejam processadas e que as políticas de aplicação resolvam ou reabram as descobertas aplicadas.

Rótulos e tags

Rótulos e tags são tipos semelhantes de metadados que podem ser usados com o Security Command Center, mas eles têm um modelo de uso e permissões um pouco diferente das marcas de segurança.

Rótulos são anotações no nível do usuário aplicadas a recursos específicos e compatíveis com vários produtos do Google Cloud. Os rótulos são usados principalmente para contabilidade de faturamento e atribuição.

Há dois tipos de tags no Google Cloud:

  • Tags de rede são anotações no nível do usuário, específicas para recursos do Compute Engine. As tags são usadas principalmente para definir grupos de segurança, segmentação de rede e regras de firewall.

  • Tags de recurso, ou tags, são pares de chave-valor que podem ser anexados a uma organização, pasta ou projeto. É possível usar tags para permitir ou negar políticas condicionalmente com base no fato de um recurso ter uma tag específica.

A leitura ou atualização de rótulos e tags está vinculada às permissões no recurso subjacente. Os rótulos e tags são processados como parte dos atributos do recurso na exibição de recursos do Security Command Center. É possível pesquisar a presença específica de rótulo e tag, e chaves e valores específicos durante o pós-processamento dos resultados da API List.

Como adicionar marcações de segurança a recursos e descobertas

É possível adicionar marcações de segurança a todos os recursos compatíveis com o Security Command Center, incluindo todos os tipos de recursos e descobertas.

As marcas são visíveis no console do Google Cloud e na saída da API Security Command Center e podem ser usadas para filtrar, definir grupos de políticas ou adicionar contexto de negócios a recursos e descobertas. As marcas de recursos são separadas das marcas encontradas. As marcas de recursos não são adicionadas automaticamente às descobertas dos recursos

Marcações de segurança na exibição de recursos

As etapas a seguir mostram como adicionar marcas de segurança aos recursos na página Recursos:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse Recursos

  2. No seletor de projeto, selecione o projeto, a pasta ou a organização que contém os recursos que você precisa marcar.

  3. Na exibição de recursos exibida, marque a caixa de seleção de cada recurso que você quiser marcar.

  4. Selecione Definir marcações de segurança.

  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.

  6. Especifique uma ou mais marcas de segurança adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar projetos que estão em um estágio de produção, adicione uma chave "stage" e um valor "prod". Cada projeto selecionado tem o novo mark.stage: prod, que pode ser usado para a filtragem.

  7. Para editar uma marcação existente, atualize o texto do campo Valor. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  8. Quando terminar de adicionar marcações, clique em Salvar.

Os projetos que você selecionou estão associados a uma marcação. Por padrão, as marcações são exibidas como uma coluna na exibição de recursos.

Para informações sobre marcas de recursos dedicadas para detectores do Security Health Analytics, consulte Como gerenciar políticas mais adiante nesta página.

Adicionar marcações de segurança às descobertas

As etapas a seguir adicionam marcas de segurança às descobertas usando o console do Google Cloud. Depois de adicionar marcas de segurança, use-as para filtrar as descobertas no painel Resultados da consulta de descobertas.

Para adicionar marcações de segurança às descobertas:

  1. Acesse a página Descobertas do Security Command Center no Console do Google Cloud.

    Acessar a página "Descobertas"

  2. Selecione o projeto ou a organização que você quer revisar.

  3. No painel Resultados da consulta de descobertas, selecione uma ou mais descobertas para adicionar uma marca de segurança marcando as caixas de seleção.

  4. Selecione Definir marcações de segurança.

  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.

  6. Especifique a marca de segurança como Key e Value.

    Por exemplo, se você quiser marcar descobertas que façam parte do mesmo incidente, adicione uma chave de "número de incidente" e um valor de "1234". Cada descoberta tem a nova mark.incident-number: 1234.

  7. Para editar uma marcação existente, atualize o texto do campo Valor.

  8. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  9. Quando terminar de adicionar marcações, clique em Salvar.

Como gerenciar políticas

Para suprimir descobertas, é possível silenciar descobertas individuais de forma manual ou programática ou criar regras de desativação de som que desativam automaticamente as descobertas atuais e futuras com base em filtros definidos. Para mais informações, consulte Desativar descobertas no Security Command Center.

A desativação de descobertas é o método recomendado quando você não quer revisar as descobertas de projetos isolados ou que se enquadram em parâmetros aceitáveis de negócios.

Como alternativa, é possível definir marcações em recursos para incluir ou excluir explicitamente esses recursos de políticas específicas. Cada detector de análise de integridade de segurança tem um tipo de marcação dedicado que permite excluir recursos marcados da política de detecção, adicionando uma marcação de segurança allow_finding- type. Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, use a marcação de segurança allow_ssl_not_enforced:true. Esse tipo de marcação oferece granularidade do controle para cada recurso e detector. Para mais informações sobre o uso de marcações de segurança no Security Health Analytics, consulte Como marcar recursos e descobertas com marcações de segurança.

A seguir