Utilizzo dei contrassegni di sicurezza

Puoi usare i contrassegni di sicurezza, in Security Command Center per annotare asset o i risultati in Security Command Center e poi cercarli, selezionarli o filtrarli utilizzando . Puoi fornire annotazioni ACL su asset e risultati utilizzando le impostazioni . Successivamente, potrai filtrare gli asset e i risultati in base a queste annotazioni per scopi di gestione, un'applicazione o l'integrazione con il tuo flusso di lavoro. Puoi usare i segni anche per aggiungere le classificazioni di priorità, livello di accesso o sensibilità.

Puoi aggiungere o aggiornare i contrassegni di sicurezza solo per gli asset supportati da Security Command Center. Per un elenco degli asset utilizzati da Security Command Center supporta, vedi Tipi di asset supportati in Security Command Center.

Prima di iniziare

Per aggiungere o modificare i contrassegni di sicurezza, devi disporre di Identity and Access Management (IAM) che includa le autorizzazioni per il tipo di marchio che vuoi utilizzare:

  • Contrassegni degli asset: Autore dei contrassegni di sicurezza degli asset, securitycenter.assetSecurityMarksWriter
  • Indicatori: Finding Security Marks Writer, securitycenter.findingSecurityMarksWriter

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per ulteriori informazioni Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Contrassegni di sicurezza

I contrassegni di sicurezza sono univoci per Security Command Center. IAM le autorizzazioni si applicano marchi di sicurezza ed è limitato esclusivamente agli utenti in possesso dei Ruoli di Security Command Center. Per leggere e modificare i contrassegni, è necessario il parametro Scrittore di contrassegni di sicurezza degli asset del Centro e contrassegni di sicurezza dei risultati del Centro sicurezza Ruoli autore. Questi ruoli non includono le autorizzazioni per accedere ai ruoli sottostanti risorsa.

I contrassegni di sicurezza ti consentono di aggiungere il contesto della tua attività per asset e risultati. Poiché i ruoli IAM si applicano ai contrassegni di sicurezza, possono essere utilizzati filtrare e applicare norme su risorse e risultati.

I contrassegni di sicurezza vengono elaborati durante le scansioni batch, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo da 12 a 24 ore prima che i contrassegni di sicurezza vengano elaborati e di applicazione dei criteri che risolvono o riaprono i risultati.

Etichette e tag

Etichette e tag sono tipi di metadati simili che puoi utilizzare con Security Command Center, ma hanno autorizzazioni e utilizzo leggermente diversi anziché sui contrassegni di sicurezza.

Le etichette sono a livello di utente. annotazioni applicate a risorse specifiche e supportate più prodotti Google Cloud. Le etichette vengono utilizzate principalmente per la fatturazione e l'attribuzione.

In Google Cloud esistono due tipi di tag:

  • I tag di rete sono annotazioni a livello di utente, specifiche delle risorse Compute Engine. I tag di rete vengono utilizzati principalmente definire gruppi di sicurezza, segmentazione della rete e regole firewall.

  • I tag risorsa, o tag, coppie chiave-valore che possono essere collegate a un'organizzazione, a una cartella o a un progetto. Tu puoi usare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa ha un tag specifico.

La lettura o l'aggiornamento di etichette e tag è legata alle autorizzazioni sull'infrastruttura risorsa. Le etichette e i tag vengono importati come parte degli attributi della risorsa nella Vengono visualizzati gli asset di Security Command Center. Puoi cercare etichette specifiche presenza di tag, nonché chiavi e valori specifici, durante la post-elaborazione dell'API List che consentono di analizzare i dati e visualizzare i risultati.

Aggiunta di contrassegni di sicurezza ad asset e risultati

Puoi aggiungere contrassegni di sicurezza a tutte le risorse supportate Security Command Center inclusi tutti i tipi di asset e i risultati.

I segni sono visibili nella console Google Cloud e nell'output dell'API Security Command Center. e può essere utilizzato per filtrare, definire i gruppi di criteri o aggiungere un contesto aziendale agli asset e ai risultati. I contrassegni degli asset sono separati dai contrassegni dei risultati. Indicatori asset non vengono aggiunti automaticamente ai risultati per gli asset.

Contrassegni di sicurezza negli asset visualizzati

I passaggi seguenti spiegano come aggiungere contrassegni di sicurezza agli asset nella Pagina Asset:

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Dal selettore di progetti, seleziona il progetto, la cartella che contiene gli asset che devi contrassegnare.

  3. Nella visualizzazione degli asset visualizzata, seleziona la casella di controllo gli asset che vuoi contrassegnare.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Segni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica uno o più contrassegni di sicurezza aggiungendo le voci Chiave e Valore.

    Ad esempio, se vuoi contrassegnare i progetti che sono in fase di produzione, aggiungi una chiave di "stage" e il valore "prod". Ogni progetto selezionato ha quindi i nuovi mark.stage: prod, che puoi utilizzare per filtrarli.

  7. Per modificare un contrassegno esistente, aggiorna il testo nel campo Valore. Puoi eliminare i contrassegni facendo clic sull'icona del cestino accanto al contrassegno .

  8. Dopo aver aggiunto i contrassegni, fai clic su Salva.

Le risorse selezionate sono ora associate a un contrassegno. Per impostazione predefinita, vengono visualizzate in una colonna nella visualizzazione degli asset.

Per informazioni sui contrassegni degli asset dedicati per i rilevatori di Security Health Analytics, consulta Gestire i criteri più avanti in questa pagina.

Aggiungi contrassegni di sicurezza ai risultati

I passaggi seguenti aggiungono contrassegni di sicurezza ai risultati utilizzando nella console Google Cloud. Dopo aver aggiunto i contrassegni di sicurezza, puoi utilizzarli per filtrare i risultati nel riquadro Risultati della query dei risultati.

Per aggiungere contrassegni di sicurezza ai risultati:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai alla pagina Risultati

  2. Seleziona il progetto o l'organizzazione che vuoi esaminare.

  3. Nel riquadro Risultati query dei risultati, seleziona uno o più risultati a cui aggiungere un contrassegno di sicurezza selezionando le relative caselle di controllo.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Segnali di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica gli elementi Chiave e Valore come contrassegno di sicurezza.

    Ad esempio, se vuoi contrassegnare i risultati che fanno parte dello stesso incidente, aggiungi una chiave di "incident-number" e il valore "1234". Ogni risultato ha quindi il nuovo mark.incident-number: 1234.

  7. Per modificare un contrassegno esistente, aggiorna il testo nel campo Valore.

  8. Per eliminare i contrassegni, fai clic sull'icona del cestino accanto al contrassegno.

  9. Dopo aver aggiunto i contrassegni, fai clic su Salva.

Gestione dei criteri

Per eliminare i risultati, puoi disattivare manualmente o in modo programmatico singoli risultati o creare regole di disattivazione che disattivano automaticamente l'audio di e i risultati futuri in base ai filtri che definisci. Per ulteriori informazioni, consulta la sezione Disattivare l'audio. risultati in Security Command Center.

La disattivazione dei risultati è il metodo consigliato quando non vuoi esaminare i risultati per progetti isolati o che rientrano in parametri aziendali accettabili.

In alternativa, puoi impostare dei contrassegni sugli asset da includere o escludere in modo esplicito quelle risorse da criteri specifici. Ogni rilevatore di Security Health Analytics ha un di marchio dedicato che consente di escludere le risorse contrassegnate di rilevamento, aggiungendo un contrassegno di sicurezza allow_finding- type. Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, utilizza il contrassegno di sicurezza allow_ssl_not_enforced:true. Questo tipo di contrassegno fornisce granularità del controllo per ogni risorsa e rilevatore. Per ulteriori informazioni sull'utilizzo dei contrassegni di sicurezza in Security Health Analytics, consulta Contrassegnare asset e risultati con i contrassegni di sicurezza.

Passaggi successivi