Sie können Sicherheitsmarkierungen oder „Markierungen“ im Security Command Center verwenden, um Assets oder Ergebnisse im Security Command Center mit Anmerkungen zu versehen, und suchen, wählen oder filtern Sie dann anhand der Markierung. Sie können ACL-Annotationen für Assets und Ergebnisse mithilfe von Sicherheitsmarkierungen bereitstellen. Anschließend können Sie die Assets und Ergebnisse nach diesen Annotationen für Verwaltung, Richtlinien und Anwendung oder Integration in Ihren Workflow. Sie können auch Markierungen verwenden, um Prioritäten, Zugriffsebenen oder Empfindlichkeitsklassifizierungen hinzuzufügen.
Sie können Sicherheitsmarkierungen nur für unterstützte Assets hinzufügen oder aktualisieren von Security Command Center. Eine Liste der von Security Command Center unterstützten Assets finden Sie unter Unterstützte Asset-Typen in Security Command Center.
Hinweis
Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:
- Asset-Zeichen: Autor für Asset-Sicherheitsmarkierungen,
securitycenter.assetSecurityMarksWriter
- Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen,
securitycenter.findingSecurityMarksWriter
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Sicherheitsmarkierungen
Sicherheitsmarkierungen gibt es nur in Security Command Center. IAM Berechtigungen gelten für und sind auf Nutzer beschränkt, die über die entsprechenden Security Command Center-Rollen. Für das Lesen und Bearbeiten von Markierungen sind die Rollen Sicherheitscenter-Autor für Asset-Sicherheitsmarkierungen und Sicherheitscenter-Autor für Ergebnis-Sicherheitsmarkierungen erforderlich. Diese Rollen enthalten keine Berechtigungen für den Zugriff auf die zugrunde liegende Ressource.
Mit Sicherheitsmarkierungen können Sie den Geschäftskontext für Assets und Ergebnisse hinzufügen. Da IAM-Rollen für Sicherheitsmarkierungen gelten, können sie zum Filtern und Durchsetzen von Richtlinien für Assets und Ergebnisse verwendet werden.
Sicherheitsmarkierungen werden während Batch-Scans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann 12 bis 24 Stunden dauern, bis die Sicherheitsmarkierungen angezeigt werden. und Richtlinien, die Ergebnisse beheben oder wieder öffnen, angewendet werden.
Labels und Tags
Labels und Tags sind ähnliche Arten von Metadaten, die Sie mit Security Command Center verwenden, unterscheiden sich jedoch bei Verwendung und Berechtigungen als Sicherheitsmarkierungen.
Labels sind Anmerkungen auf Nutzerebene, die auf bestimmte Ressourcen angewendet werden und von mehreren Google Cloud-Produkten unterstützt werden. Sie werden hauptsächlich für Rechnungen und die Zuordnung verwendet.
In Google Cloud gibt es zwei Arten von Tags:
Netzwerk-Tags sind Anmerkungen auf Nutzerebene, die für Compute Engine-Ressourcen spezifisch sind. Netzwerktags werden hauptsächlich verwendet, um Sicherheitsgruppen, Netzwerksegmentierung und Firewallregeln zu definieren.
Ressourcen-Tags (Tags) sind Schlüssel/Wert-Paare, die einer Organisation, einem Ordner oder einem Projekt zugeordnet werden können. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.
Das Lesen oder Aktualisieren von Labels und Tags ist an die Berechtigungen der zugrunde liegenden Ressource gebunden. Labels und Tags werden als Teil der Ressourcenattribute in der Anzeige der Security Command Center-Assets aufgenommen. Sie können während der Nachbearbeitung der List API-Ergebnisse nach bestimmten Labels und Tags sowie nach bestimmten Schlüsseln und Werten suchen.
Assets und Ergebnissen Sicherheitsmarkierungen hinzufügen
Sie können allen Ressourcen, die von Security Command Center mit allen Asset-Typen und Ergebnisse.
Markierungen sind in der Google Cloud Console und in der Ausgabe der Security Command Center API sichtbar. Sie können verwendet werden, um Assets und Ergebnisse zu filtern, Richtliniengruppen zu definieren oder geschäftlichen Kontext hinzuzufügen. Asset-Markierungen unterscheiden sich von Ergebnismarkierungen. Asset-Markierungen werden den Assets nicht automatisch hinzugefügt.
Sicherheitsmarkierungen in der Assets-Anzeige
Die folgenden Schritte zeigen, wie Sie Sicherheitsmarkierungen zu Assets auf der Seite Assets:
Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
Wählen Sie in der Projektauswahl das Projekt, den Ordner oder Organisation, die die zu markierenden Assets enthält.
Klicken Sie in der angezeigten Asset-Anzeige das Kästchen für jedes Asset an. die Sie markieren möchten.
Wählen Sie Sicherheitsmarkierungen setzen.
Klicken Sie im angezeigten Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.
Geben Sie eine oder mehrere Sicherheitsmarkierungen an, indem Sie Schlüssel- und Wert-Elemente hinzufügen.
Wenn Sie beispielsweise Projekte markieren möchten, die sich in der Produktionsphase befinden, fügen Sie den Schlüssel "stage" und den Wert "prod" hinzu. Jedes ausgewählte Projekt hat dann die neue
mark.stage: prod
, mit der Sie die Projekte filtern können.Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert. Sie können indem Sie auf das Papierkorbsymbol neben der Markierung klicken. delete
Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.
Die von Ihnen ausgewählten Assets sind jetzt mit einer Markierung verknüpft. Standardmäßig werden Markierungen als Spalte in den Assets angezeigt.
Informationen zu dedizierten Assetmarkierungen für Security Health Analytics-Detektoren finden Sie unter Richtlinien verwalten weiter unten auf dieser Seite.
Sicherheitsmarkierungen zu Ergebnissen hinzufügen
In den folgenden Schritten werden den Ergebnissen Sicherheitsmarkierungen hinzugefügt. Dazu verwenden Sie den Google Cloud Console Nachdem Sie Sicherheitsmarkierungen hinzugefügt haben, können Sie damit die Ergebnisse im Bereich Suchergebnisse für Ergebnisse filtern.
So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie das Projekt oder die Organisation aus, die Sie überprüfen möchten.
Wählen Sie im Bereich Ergebnisse der Ergebnisabfrage ein oder mehrere Ergebnisse aus. um ein Sicherheitskennzeichen hinzuzufügen, indem Sie die entsprechenden Kontrollkästchen aktivieren.
Wählen Sie Sicherheitsmarkierungen setzen aus.
Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.
Geben Sie das Sicherheitskennzeichen als Schlüssel- und Wert-Elemente an.
Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel „incident-number“ und den Wert „1234“ hinzu. Jedes Ergebnis hat dann die neue
mark.incident-number: 1234
.Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.
Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen. delete
Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.
Richtlinien verwalten
Sie können einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern automatisch ausgeblendet werden. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Das Ausblenden von Ergebnissen wird empfohlen, wenn Sie keine Ergebnisse für Projekte prüfen möchten, die isoliert sind oder in akzeptable Geschäftsparameter fallen.
Alternativ Sie können in Assets Labels setzen, um diese Ressourcen explizit von bestimmten Richtlinien ein- oder auszuschließen. Jeder Detektor von Security Health Analytics hat einen eigenen Markierungstyp, mit dem Sie markierte Ressourcen von der Erkennungsrichtlinie ausschließen können. Fügen Sie dazu eine Sicherheitsmarkung allow_finding-
type
hinzu. Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED
ausschließen möchten, verwenden Sie die Sicherheitsmarkierung allow_ssl_not_enforced:true
. Dieser Markierungstyp bietet eine detaillierte Steuerung für jede Ressource und jeden Detektor. Weitere Informationen
zur Verwendung von Sicherheitsmarkierungen in Security Health Analytics finden Sie unter
Assets und Ergebnisse mit Sicherheitsmarkierungen markieren:
Nächste Schritte
- Hier erfahren Sie, wie Sie Security Command Center in der Google Cloud Console verwenden Assets und Ergebnisse zu überprüfen.