Sicherheitsmarkierungen verwenden

Sie können Sicherheitsmarkierungen in Security Command Center, um Assets oder Ergebnisse in Security Command Center an und suchen, wählen oder filtern Sie dann mithilfe der . Sie können ACL-Annotationen für Assets und Ergebnisse mithilfe von Sicherheitsmarkierungen bereitstellen. Anschließend können Sie die Assets und Ergebnisse nach diesen Annotationen für Verwaltung, Richtlinien und Anwendung oder Integration in Ihren Workflow. Sie können auch Markierungen verwenden, um Prioritäten, Zugriffsebenen oder Empfindlichkeitsklassifizierungen hinzuzufügen.

Sie können Sicherheitsmarkierungen nur für unterstützte Assets hinzufügen oder aktualisieren von Security Command Center. Eine Liste der Assets, die Security Command Center finden Sie unter Unterstützte Asset-Typen in Security Command Center.

Hinweise

Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:

  • Asset-Zeichen: Autor für Asset-Sicherheitsmarkierungen, securitycenter.assetSecurityMarksWriter
  • Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen, securitycenter.findingSecurityMarksWriter

Die IAM-Rollen für Security Command Center können in der Organisation, Ordner- oder Projektebene. Ihre Fähigkeit, Ergebnisse, Assets, und Sicherheitsquellen hängen von der Zugriffsebene ab. Weitere Informationen Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitsmarkierungen

Sicherheitsmarkierungen gibt es nur in Security Command Center. IAM Berechtigungen gelten für und sind auf Nutzer beschränkt, die über die Security Command Center-Rollen. Für das Lesen und Bearbeiten von Markierungen sind die Rollen Sicherheitscenter-Autor für Asset-Sicherheitsmarkierungen und Sicherheitscenter-Autor für Ergebnis-Sicherheitsmarkierungen erforderlich. Diese Rollen enthalten keine Berechtigungen für den Zugriff auf die zugrunde liegende Ressource.

Mit Sicherheitsmarkierungen können Sie den Geschäftskontext für Assets und Ergebnisse hinzufügen. Da IAM-Rollen für Sicherheitsmarkierungen gelten, können sie für Folgendes verwendet werden: und Erzwingen von Richtlinien für Assets und Ergebnisse.

Sicherheitsmarkierungen werden während Batch-Scans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann 12 bis 24 Stunden dauern, bis die Sicherheitsmarkierungen angezeigt werden. und Richtlinien durchsetzen, die Ergebnisse beheben oder wieder öffnen, werden angewendet.

Labels und Tags

Labels und Tags sind ähnliche Arten von Metadaten, die Sie mit Security Command Center verwenden, unterscheiden sich jedoch bei Verwendung und Berechtigungen als Sicherheitsmarkierungen.

Labels sind Anmerkungen auf Nutzerebene, die auf bestimmte Ressourcen angewendet werden und von mehreren Google Cloud-Produkten unterstützt werden. Sie werden hauptsächlich für Rechnungen und die Zuordnung verwendet.

In Google Cloud gibt es zwei Arten von Tags:

  • Netzwerk-Tags sind Anmerkungen auf Nutzerebene, die für Compute Engine-Ressourcen spezifisch sind. Netzwerktags werden hauptsächlich verwendet, um Sicherheitsgruppen, Netzwerksegmentierung und Firewallregeln zu definieren.

  • Ressourcen-Tags (Tags) sind Schlüssel/Wert-Paare, die einer Organisation, einem Ordner oder einem Projekt zugeordnet werden können. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.

Das Lesen oder Aktualisieren von Labels und Tags ist an die Berechtigungen der zugrunde liegenden Ressource gebunden. Labels und Tags werden als Teil der Ressourcenattribute in der Anzeige der Security Command Center-Assets aufgenommen. Sie können während der Nachbearbeitung der List API-Ergebnisse nach bestimmten Labels und Tags sowie nach bestimmten Schlüsseln und Werten suchen.

Assets und Ergebnissen Sicherheitsmarkierungen hinzufügen

Sie können allen Ressourcen, die von Security Command Center einschließlich aller Asset-Typen und Ergebnisse.

Markierungen sind in der Google Cloud Console und der Ausgabe der Security Command Center API sichtbar. Kann verwendet werden, um zu filtern, Richtliniengruppen zu definieren oder geschäftlichen Kontext hinzuzufügen auf Assets und Ergebnisse. Asset-Markierungen unterscheiden sich von Ergebnismarkierungen. Asset-Markierungen werden den Assets nicht automatisch hinzugefügt.

Sicherheitsmarkierungen in der Assets-Anzeige

Die folgenden Schritte zeigen, wie Sie Sicherheitsmarkierungen zu Assets auf der Seite Assets:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    <ph type="x-smartling-placeholder"></ph> „Assets“ aufrufen

  2. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder Organisation, die die zu markierenden Assets enthält.

  3. Klicken Sie in der angezeigten Asset-Anzeige die Kästchen für die einzelnen Assets an. die Sie markieren möchten.

  4. Wählen Sie Sicherheitsmarkierungen setzen.

  5. Klicken Sie im angezeigten Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie ein oder mehrere Sicherheitsmarkierungen an, indem Sie Schlüssel- und Wertelemente hinzufügen.

    Wenn Sie beispielsweise Projekte markieren möchten, die sich in der Produktionsphase befinden, fügen Sie den Schlüssel "stage" und den Wert "prod" hinzu. Für jedes ausgewählte Projekt werden Das neue mark.stage: prod, mit dem Sie sie filtern können.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert. Sie können indem Sie auf das Papierkorbsymbol neben der Markierung klicken.

  8. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Die ausgewählten Assets sind jetzt mit einer Marke verknüpft. Standardmäßig werden Markierungen als Spalte in den Assets angezeigt.

Informationen zu dedizierten Assetmarkierungen für Security Health Analytics-Detektoren finden Sie unter Richtlinien verwalten weiter unten auf dieser Seite.

Sicherheitsmarkierungen zu Ergebnissen hinzufügen

In den folgenden Schritten werden den Ergebnissen Sicherheitsmarkierungen hinzugefügt. Dazu verwenden Sie die Google Cloud Console Nachdem Sie Sicherheitsmarkierungen hinzugefügt haben, können Sie damit filtern die Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage.

So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zur Seite „Ergebnisse“

  2. Wählen Sie das Projekt oder die Organisation aus, die Sie prüfen möchten.

  3. Wählen Sie im Bereich Ergebnisse der Ergebnisabfrage ein oder mehrere Ergebnisse aus. um ein Sicherheitskennzeichen hinzuzufügen, indem Sie die entsprechenden Kontrollkästchen aktivieren.

  4. Wählen Sie Sicherheitsmarkierungen setzen aus.

  5. Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie das Sicherheitskennzeichen als Schlüssel- und Wertelemente an.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel „incident-number“ und den Wert „1234“ hinzu. Jedes Ergebnis hat dann die neue mark.incident-number: 1234.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.

  8. Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen.

  9. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Richtlinien verwalten

Sie können einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern automatisch ausgeblendet werden. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Das Ausblenden von Ergebnissen wird empfohlen, wenn Sie keine Ergebnisse für Projekte prüfen möchten, die isoliert sind oder in akzeptable Geschäftsparameter fallen.

Alternativ Sie können in Assets Labels setzen, um diese Ressourcen explizit von bestimmten Richtlinien ein- oder auszuschließen. Jeder Detektor von Security Health Analytics hat einen eigenen Markierungstyp, mit dem Sie markierte Ressourcen von der Erkennungsrichtlinie ausschließen können. Fügen Sie dazu eine Sicherheitsmarkung allow_finding- type hinzu. Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED ausschließen möchten, verwenden Sie die Sicherheitsmarkierung allow_ssl_not_enforced:true. Dieser Markierungstyp bietet eine detaillierte Steuerung für jede Ressource und jeden Detektor. Weitere Informationen zur Verwendung von Sicherheitsmarkierungen in Security Health Analytics finden Sie unter Assets und Ergebnisse mit Sicherheitsmarkierungen markieren:

Nächste Schritte