Sicherheitsmarkierungen verwenden

Sie können Sicherheitsmarkierungen oder „Markierungen“ im Security Command Center verwenden, um Assets oder Ergebnisse im Security Command Center mit Anmerkungen zu versehen, und suchen, wählen oder filtern Sie dann anhand der Markierung. Sie können ACL-Annotationen für Assets und Ergebnisse mithilfe von Sicherheitsmarkierungen bereitstellen. Anschließend können Sie die Assets und Ergebnisse nach diesen Anmerkungen filtern, um sie zu verwalten, Richtlinien anzuwenden oder in Ihren Workflow einzubinden. Sie können auch Markierungen verwenden, um Prioritäten, Zugriffsebenen oder Empfindlichkeitsklassifizierungen hinzuzufügen.

Sie können Sicherheitsmarkierungen nur für Assets hinzufügen oder aktualisieren, die von Security Command Center unterstützt werden. Eine Liste der von Security Command Center unterstützten Assets finden Sie unter Unterstützte Asset-Typen in Security Command Center.

Hinweise

Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:

  • Asset-Zeichen: Autor für Asset-Sicherheitsmarkierungen, securitycenter.assetSecurityMarksWriter
  • Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen, securitycenter.findingSecurityMarksWriter

IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitsmarkierungen

Sicherheitsmarkierungen gibt es nur in Security Command Center. IAM-Berechtigungen gelten für Sicherheitsmarkierungen und sind auf Nutzer beschränkt, die die entsprechenden Rollen des Security Command Center haben. Für das Lesen und Bearbeiten von Markierungen sind die Rollen Sicherheitscenter-Autor für Asset-Sicherheitsmarkierungen und Sicherheitscenter-Autor für Ergebnis-Sicherheitsmarkierungen erforderlich. Diese Rollen enthalten keine Berechtigungen für den Zugriff auf die zugrunde liegende Ressource.

Mit Sicherheitsmarkierungen können Sie den Geschäftskontext für Assets und Ergebnisse hinzufügen. Da IAM-Rollen für Sicherheitsmarkierungen gelten, können sie zum Filtern und Durchsetzen von Richtlinien für Assets und Ergebnisse verwendet werden.

Sicherheitsmarkierungen werden während Batch-Scans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann 12 bis 24 Stunden dauern, bis Sicherheitsmarkierungen verarbeitet und Erzwingungsrichtlinien angewendet werden, die Ergebnisse auflösen oder wieder öffnen.

Labels und Tags

Labels und Tags sind ähnliche Arten von Metadaten, die Sie mit Security Command Center verwenden können. Sie unterscheiden sich jedoch geringfügig von Nutzung und Berechtigungsmodell von Sicherheitsmarkierungen.

Labels sind Anmerkungen auf Nutzerebene, die auf bestimmte Ressourcen angewendet werden und von mehreren Google Cloud-Produkten unterstützt werden. Sie werden hauptsächlich für Rechnungen und die Zuordnung verwendet.

In Google Cloud gibt es zwei Arten von Tags:

  • Netzwerk-Tags sind Anmerkungen auf Nutzerebene, die für Compute Engine-Ressourcen spezifisch sind. Netzwerktags werden hauptsächlich verwendet, um Sicherheitsgruppen, Netzwerksegmentierung und Firewallregeln zu definieren.

  • Ressourcen-Tags (Tags) sind Schlüssel/Wert-Paare, die einer Organisation, einem Ordner oder einem Projekt zugeordnet werden können. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.

Das Lesen oder Aktualisieren von Labels und Tags ist an die Berechtigungen der zugrunde liegenden Ressource gebunden. Labels und Tags werden als Teil der Ressourcenattribute in der Anzeige der Security Command Center-Assets aufgenommen. Sie können während der Nachbearbeitung der List API-Ergebnisse nach bestimmten Labels und Tags sowie nach bestimmten Schlüsseln und Werten suchen.

Assets und Ergebnissen Sicherheitsmarkierungen hinzufügen

Sie können allen Ressourcen, die von Security Command Center unterstützt werden, Sicherheitsmarkierungen hinzufügen, einschließlich aller Assettypen und Ergebnisse.

Markierungen sind in der Google Cloud Console und in der Ausgabe der Security Command Center API sichtbar. Sie können verwendet werden, um Assets und Ergebnisse zu filtern, Richtliniengruppen zu definieren oder geschäftlichen Kontext hinzuzufügen. Asset-Markierungen unterscheiden sich von Ergebnismarkierungen. Asset-Markierungen werden den Assets nicht automatisch hinzugefügt.

Sicherheitsmarkierungen in der Assets-Anzeige

In den folgenden Schritten wird beschrieben, wie Sie Assets auf der Seite Assets Sicherheitsmarkierungen hinzufügen:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu Assets

  2. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, die die Assets enthält, die Sie kennzeichnen möchten.

  3. Klicken Sie in der angezeigten Ansicht das Kästchen für jedes Asset an, das Sie markieren möchten.

  4. Wählen Sie Sicherheitsmarkierungen setzen.

  5. Klicken Sie im angezeigten Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie mindestens ein Sicherheitskennzeichen an, indem Sie Schlüssel- und Wert-Elemente hinzufügen.

    Wenn Sie beispielsweise Projekte markieren möchten, die sich in der Produktionsphase befinden, fügen Sie den Schlüssel "stage" und den Wert "prod" hinzu. Jedes ausgewählte Projekt hat dann die neue mark.stage: prod, mit der Sie die Projekte filtern können.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert. Sie können Markierungen löschen. Klicken Sie dazu auf das Papierkorbsymbol neben der Markierung .

  8. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Die von Ihnen ausgewählten Assets sind jetzt mit einer Markierung verknüpft. Standardmäßig werden Markierungen als Spalte in den Assets angezeigt.

Informationen zu dedizierten Assetmarkierungen für Security Health Analytics-Detektoren finden Sie unter Richtlinien verwalten weiter unten auf dieser Seite.

Sicherheitsmarkierungen zu Ergebnissen hinzufügen

In den folgenden Schritten werden den Ergebnissen mithilfe der Google Cloud Console Sicherheitskennzeichen hinzugefügt. Nachdem Sie Sicherheitsmarkierungen hinzugefügt haben, können Sie damit die Ergebnisse im Bereich Suchergebnisse für Ergebnisse filtern.

So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zur Seite „Ergebnisse“

  2. Wählen Sie das Projekt oder die Organisation aus, die Sie überprüfen möchten.

  3. Wählen Sie im Bereich Ergebnisse der Suchanfrage eine oder mehrere Ergebnisse aus, denen Sie eine Sicherheitsmarkierung hinzufügen möchten, indem Sie die entsprechenden Kästchen anklicken.

  4. Wählen Sie Sicherheitsmarkierungen setzen aus.

  5. Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie das Sicherheitskennzeichen als Schlüssel- und Wert-Elemente an.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel „incident-number“ und den Wert „1234“ hinzu. Jedes Ergebnis hat dann die neue mark.incident-number: 1234.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.

  8. Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen.

  9. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Richtlinien verwalten

Sie können einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern automatisch ausgeblendet werden. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Das Ausblenden von Ergebnissen wird empfohlen, wenn Sie keine Ergebnisse für Projekte prüfen möchten, die isoliert sind oder in akzeptable Geschäftsparameter fallen.

Alternativ Sie können in Assets Labels setzen, um diese Ressourcen explizit von bestimmten Richtlinien ein- oder auszuschließen. Jeder Detektor von Security Health Analytics hat einen eigenen Markierungstyp, mit dem Sie markierte Ressourcen von der Erkennungsrichtlinie ausschließen können. Fügen Sie dazu eine Sicherheitsmarkung allow_finding- type hinzu. Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED ausschließen möchten, verwenden Sie die Sicherheitsmarkierung allow_ssl_not_enforced:true. Dieser Markierungstyp bietet eine detaillierte Steuerung für jede Ressource und jeden Detektor. Weitere Informationen zur Verwendung von Sicherheitsmarkierungen in Security Health Analytics finden Sie unter Assets und Ergebnisse mit Sicherheitsmarkierungen kennzeichnen.

Nächste Schritte