Sicherheitsmarkierungen verwenden

>

Verwenden Sie Sicherheitsmarkierungen oder „Markierungen“ im Security Command Center, um Assets oder Ergebnisse im Security Command Center mit Anmerkungen zu versehen, und suchen, wählen oder filtern Sie dann anhand der Markierung. Sie können ACL-Annotationen für Assets und Ergebnisse mithilfe von Sicherheitsmarkierungen bereitstellen. Diese Annotationen können Sie anschließend nach Verwaltung, Richtlinienanwendung oder Einbindung in den Workflow gruppieren. Sie können auch Markierungen verwenden, um Prioritäten, Zugriffsebenen oder Empfindlichkeitsklassifizierungen hinzuzufügen.

Hinweis

Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:

  • Asset-Zeichen: Autor für Asset-Sicherheitsmarkierungen, securitycenter.assetSecurityMarksWriter
  • Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen, securitycenter.findingSecurityMarksWriter

Sicherheitsmarkierungen

Sicherheitsmarkierungen gibt es nur in Security Command Center und nur in der Datenbank von Security Command Center. IAM-Berechtigungen gelten für Sicherheitsmarkierungen und sind auf Nutzer beschränkt, die die entsprechenden Rollen des Security Command Center haben. Für das Lesen und Bearbeiten von Markierungen sind die Rollen Sicherheitscenter-Autor für Asset-Sicherheitsmarkierungen und Sicherheitscenter-Autor für Ergebnis-Sicherheitsmarkierungen erforderlich. Diese Rollen enthalten keine Berechtigungen für den Zugriff auf die zugrunde liegende Ressource.

Mit Sicherheitsmarkierungen können Sie den Geschäftskontext für Assets und Ergebnisse hinzufügen. Da IAM-Rollen für Sicherheitsmarkierungen gelten, können sie zum Gruppieren und Durchsetzen von Richtlinien für Assets und Ergebnisse verwendet werden.

Sicherheitsmarkierungen werden bei Batchscans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann zwischen 12 und 24 Stunden dauern, bis Sicherheitsmarkierungen verarbeitet und Richtlinien durchgesetzt werden, die aufgelöste oder wieder geöffnete Ergebnisse werden.

Labels und Tags

Labels und Tags sind ähnliche Arten von Metadaten, die über Security Command Center zur Verfügung stehen. Sie unterscheiden sich jedoch geringfügig von Nutzung und Berechtigungsmodell von Sicherheitsmarkierungen.

Labels sind Anmerkungen auf Nutzerebene, die auf bestimmte Ressourcen angewendet werden und von mehreren Google Cloud-Produkten unterstützt werden. Sie werden hauptsächlich für Rechnungen und die Zuordnung verwendet.

Tags sind ebenfalls Anmerkungen auf Benutzerebene, die für Compute Engine-Ressourcen spezifisch sind. Tags werden hauptsächlich verwendet, um Sicherheitsgruppen, Netzwerksegmentierung und Firewallregeln zu definieren.

Das Lesen oder Aktualisieren von Labels und Tags ist an die Berechtigungen der zugrunde liegenden Ressource gebunden. Labels und Tags werden als Teil der Ressourcenattribute in der Anzeige der Security Command Center-Assets aufgenommen. Sie können während der Nachbearbeitung der List API-Ergebnisse nach bestimmten Labels und Tags sowie nach bestimmten Schlüsseln und Werten suchen.

Assets und Ergebnisse mit Sicherheitsmarkierungen versehen

Sie können Sicherheitsmarkierungen verwenden, um Ressourcen und Ergebnisse in Security Command Center zu gruppieren, zu filtern, zu definieren oder um den Unternehmenskontext hinzuzufügen. Asset-Markierungen unterscheiden sich von Ergebnismarkierungen. Asset-Markierungen werden den Assets nicht automatisch hinzugefügt.

Sicherheitsmarkierungen in der Assets-Anzeige

Mit den folgenden Schritten können Sie Projekte als Assets filtern, die Sie unter derselben Markierung gruppieren:

  1. Rufen Sie in der Cloud Console die Seite Assets des Security Command Center auf.
    Die Seite „Assets“ öffnen
  2. Wählen Sie die Organisation aus, die Sie überprüfen möchten.
  3. Klicken Sie in der angezeigten Ansicht unter resourceProperties.name auf die Kästchen von zwei oder mehr Projekten, die Sie markieren möchten.
  4. Wählen Sie Sicherheitsmarkierungen setzen.
  5. Klicken Sie im angezeigten Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.
  6. Identifizieren Sie die Projekte durch Hinzufügen von Schlüssel- und Wert-Elementen.

    Wenn Sie beispielsweise Projekte markieren möchten, die sich in der Produktionsphase befinden, fügen Sie den Schlüssel "stage" und den Wert "prod" hinzu. Jedes Projekt hat dann den neuen mark.stage: prod.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert. Sie können Markierungen löschen. Klicken Sie dazú auf das Papierkorbsymbol neben der Markierung.

  8. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Die von Ihnen ausgewählten Projekte sind jetzt mit einer Markierung verknüpft. Standardmäßig werden Markierungen als Spalte in den Assets angezeigt.

Informationen zu dedizierten Asset-Markierungen für Detektoren von Security Health Analytics finden Sie unter Richtlinien verwalten.

Sicherheitsmarkierungen in der Ergebnisanzeige

Mit den folgenden Schritten können Sie Ergebnisse filtern, die Sie unter derselben Markierung gruppieren:

  1. Rufen Sie in der Cloud Console die Seite Ergebnisse des Security Command Center auf.
    Zur Seite "Ergebnisse"
  2. Wählen Sie die Organisation aus, die Sie überprüfen möchten.
  3. Klicken Sie in der angezeigten Ansicht unter Kategorie auf die Kästchen für zwei oder mehr Ergebniskategorien, die Sie markieren möchten.
  4. Wählen Sie Sicherheitsmarkierungen setzen.
  5. Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.
  6. Identifizieren Sie die gefundenen Kategorien durch das Hinzufügen von Schlüssel- und Wert-Elementen.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel „incident-number“ und den Wert „1234“ hinzu. Jedes Ergebnis hat dann die neue mark.incident-number: 1234.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.

  8. Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen.

  9. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Richtlinien verwalten

Sie können in Assets Labels setzen, um diese Ressourcen explizit von bestimmten Richtlinien ein- oder auszuschließen. Jeder Detektor von Security Health Analytics hat einen eigenen Markierungstyp, mit dem Sie markierte Ressourcen von der Erkennungsrichtlinie ausschließen können. Fügen Sie dazu eine Sicherheitsmarkung allow_finding-type hinzu. Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED ausschließen möchten, verwenden Sie die Sicherheitsmarkierung allow_ssl_not_enforced:true. Dieser Markierungstyp bietet eine detaillierte Steuerung für jede Ressource und jeden Detektor. Weitere Informationen zum Festlegen von Markierungen in Security Health Analytics-Ergebnissen finden Sie unter Security Health Analytics verwenden.

Nächste Schritte