Utilizzo dei contrassegni di sicurezza

Puoi usare i contrassegni di sicurezza, in Security Command Center per annotare asset o i risultati in Security Command Center e poi cercarli, selezionarli o filtrarli utilizzando . Puoi fornire annotazioni ACL su asset e risultati utilizzando i contrassegni di sicurezza. Dopodiché puoi filtrare gli asset e i risultati in base a queste annotazioni per la gestione, l'applicazione dei criteri o l'integrazione con il tuo flusso di lavoro. Puoi usare i segni anche per aggiungere le classificazioni di priorità, livello di accesso o sensibilità.

Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, consulta Tipi di asset supportati in Security Command Center.

Prima di iniziare

Per aggiungere o modificare i contrassegni di sicurezza, devi disporre di Identity and Access Management (IAM) che includa le autorizzazioni per il tipo di marchio che vuoi utilizzare:

  • Contrassegni degli asset: Autore dei contrassegni di sicurezza degli asset, securitycenter.assetSecurityMarksWriter
  • Indicatori: Finding Security Marks Writer, securitycenter.findingSecurityMarksWriter

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.

Contrassegni di sicurezza

I marchi di sicurezza sono specifici di Security Command Center. IAM le autorizzazioni si applicano marchi di sicurezza ed è limitato esclusivamente agli utenti in possesso dei Ruoli di Security Command Center. La lettura e la modifica dei contrassegni richiedono i ruoli Security Center Asset Security Marks Writer e Security Center Finding Security Marks Writer. Questi ruoli non includono le autorizzazioni per accedere ai ruoli sottostanti risorsa.

I contrassegni di sicurezza ti consentono di aggiungere il contesto della tua attività per asset e risultati. Poiché i ruoli IAM si applicano ai contrassegni di sicurezza, possono essere utilizzati per filtrare e applicare criteri ad asset e risultati.

I segni di sicurezza vengono elaborati durante le analisi collettive, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i segni di sicurezza vengano elaborati e vengano applicati i criteri di applicazione che risolvono o riaprono i risultati.

Etichette e tag

Etichette e tag sono tipi di metadati simili che puoi utilizzare con Security Command Center, ma hanno autorizzazioni e utilizzo leggermente diversi anziché sui contrassegni di sicurezza.

Le etichette sono a livello di utente. annotazioni applicate a risorse specifiche e supportate in più prodotti Google Cloud. Le etichette vengono utilizzate principalmente per la contabilità e l'attribuzione della fatturazione.

In Google Cloud esistono due tipi di tag:

  • I tag di rete sono annotazioni a livello di utente, specifiche delle risorse Compute Engine. I tag di rete vengono utilizzati principalmente definire gruppi di sicurezza, segmentazione della rete e regole firewall.

  • I tag risorsa, o tag, coppie chiave-valore che possono essere collegate a un'organizzazione, a una cartella o a un progetto. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico.

La lettura o l'aggiornamento di etichette e tag è legata alle autorizzazioni della risorsa di base. Le etichette e i tag vengono importati come parte degli attributi della risorsa nella Vengono visualizzati gli asset di Security Command Center. Puoi cercare etichette specifiche presenza di tag, nonché chiavi e valori specifici, durante la post-elaborazione dell'API List che consentono di analizzare i dati e visualizzare i risultati.

Aggiunta di contrassegni di sicurezza ad asset e risultati

Puoi aggiungere indicatori di sicurezza a tutte le risorse supportate da Security Command Center, inclusi tutti i tipi di asset e i risultati.

I segni sono visibili nella console Google Cloud e nell'output dell'API Security Command Center e possono essere utilizzati per filtrare, definire gruppi di criteri o aggiungere contesto aziendale ad asset e risultati. I segni degli asset sono separati dai segni di rilevamento. Indicatori asset non vengono aggiunti automaticamente ai risultati per gli asset.

Contrassegni di sicurezza negli asset visualizzati

I passaggi seguenti spiegano come aggiungere contrassegni di sicurezza agli asset nella Pagina Asset:

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Dal selettore di progetti, seleziona il progetto, la cartella o l'organizzazione che contiene gli asset da contrassegnare.

  3. Nella visualizzazione degli asset visualizzata, seleziona la casella di controllo gli asset che vuoi contrassegnare.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Marchi di sicurezza visualizzata, fai clic su Aggiungi marchio.

  6. Specifica uno o più indicatori di sicurezza aggiungendo elementi Key e Value.

    Ad esempio, se vuoi contrassegnare i progetti in fase di produzione, aggiungi una chiave "stage" e un valore "prod". Ogni progetto selezionato ha quindi i nuovi mark.stage: prod, che puoi utilizzare per filtrarli.

  7. Per modificare un indicatore esistente, aggiorna il testo nel campo Valore. Puoi eliminare i segni facendo clic sull'icona del cestino accanto al segno,.

  8. Al termine dell'aggiunta dei segni, fai clic su Salva.

Gli asset selezionati sono ora associati a un marchio. Per impostazione predefinita, vengono visualizzate in una colonna nella visualizzazione degli asset.

Per informazioni sui contrassegni degli asset dedicati per i rilevatori di Security Health Analytics, consulta Gestire i criteri più avanti in questa pagina.

Aggiungi contrassegni di sicurezza ai risultati

I passaggi seguenti aggiungono contrassegni di sicurezza ai risultati utilizzando nella console Google Cloud. Dopo aver aggiunto i contrassegni di sicurezza, puoi utilizzarli per filtrare i risultati nel riquadro Risultati della query dei risultati.

Per aggiungere contrassegni di sicurezza ai risultati:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai alla pagina Risultati

  2. Seleziona il progetto o l'organizzazione che vuoi esaminare.

  3. Nel riquadro Risultati query dei risultati, seleziona uno o più risultati a cui aggiungere un contrassegno di sicurezza selezionando le relative caselle di controllo.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Segnali di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica gli elementi Chiave e Valore come contrassegno di sicurezza.

    Ad esempio, se vuoi contrassegnare i risultati che fanno parte dello stesso incidente, aggiungi una chiave di "incident-number" e il valore "1234". Ogni risultato ha quindi il nuovo mark.incident-number: 1234.

  7. Per modificare un contrassegno esistente, aggiorna il testo nel campo Valore.

  8. Per eliminare i segni, fai clic sull'icona del cestino accanto al segno.

  9. Al termine dell'aggiunta dei segni, fai clic su Salva.

Gestione dei criteri

Per eliminare i risultati, puoi disattivare manualmente o tramite programmazione i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci. Per ulteriori informazioni, consulta la sezione Disattivare l'audio. i risultati in Security Command Center.

La disattivazione dei risultati è il metodo consigliato quando non vuoi esaminare i risultati per progetti isolati o che rientrano in parametri aziendali accettabili.

In alternativa, puoi impostare indicatori sugli asset per includere o escludere esplicitamente queste risorse da criteri specifici. Ogni rilevatore di Security Health Analytics ha un tipo di indicatore dedicato che ti consente di escludere le risorse contrassegnate dal criterio di rilevamento aggiungendo un indicatore di sicurezza allow_finding- type. Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, utilizza il contrassegno di sicurezza allow_ssl_not_enforced:true. Questo tipo di contrassegno fornisce granularità del controllo per ogni risorsa e rilevatore. Per ulteriori informazioni sull'utilizzo dei contrassegni di sicurezza in Security Health Analytics, consulta Contrassegnare asset e risultati con contrassegni di sicurezza.

Passaggi successivi