Sicherheitsmarkierungen verwenden

Sie können Sicherheitsmarkierungen oder „Markierungen“ in Security Command Center verwenden, um Assets oder Ergebnisse in Security Command Center annotieren und dann mit dieser Markierung suchen, auswählen oder filtern. Sie können ACL-Annotationen für Assets und Ergebnisse mithilfe von Sicherheitsmarkierungen bereitstellen. Anschließend können Sie die Assets und Ergebnisse für die Verwaltung, die Richtlinienanwendung oder die Einbindung in Ihren Workflow nach diesen Annotationen filtern. Sie können auch Markierungen verwenden, um Prioritäten, Zugriffsebenen oder Empfindlichkeitsklassifizierungen hinzuzufügen.

Sie können Sicherheitsmarkierungen nur bei Assets hinzufügen oder aktualisieren, die von Security Command Center unterstützt werden. Eine Liste der Assets, die von Security Command Center unterstützt werden, finden Sie unter Unterstützte Asset-Typen in Security Command Center.

Hinweise

Um Sicherheitsmarkierungen hinzuzufügen oder zu ändern, benötigen Sie eine IAM-Rolle (Identity and Access Management), die Berechtigungen für die Art der zu verwendenden Markierung enthält:

  • Asset-Zeichen: Autor für Asset-Sicherheitsmarkierungen, securitycenter.assetSecurityMarksWriter
  • Ergebnis: Autor für Ergebnis-Sicherheitsmarkierungen, securitycenter.findingSecurityMarksWriter

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen aufrufen, bearbeiten, erstellen oder aktualisieren können, hängt von der Ebene ab, auf der Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitsmarkierungen

Sicherheitsmarkierungen gibt es nur in Security Command Center. IAM-Berechtigungen gelten für Sicherheitsmarkierungen und sind auf Nutzer beschränkt, die die entsprechenden Security Command Center-Rollen haben. Für das Lesen und Bearbeiten von Markierungen sind die Rollen Sicherheitscenter-Autor für Asset-Sicherheitsmarkierungen und Sicherheitscenter-Autor für Ergebnis-Sicherheitsmarkierungen erforderlich. Diese Rollen enthalten keine Berechtigungen für den Zugriff auf die zugrunde liegende Ressource.

Mit Sicherheitsmarkierungen können Sie den Geschäftskontext für Assets und Ergebnisse hinzufügen. Da IAM-Rollen für Sicherheitsmarkierungen gelten, können sie zum Filtern und Erzwingen von Richtlinien für Assets und Ergebnisse verwendet werden.

Sicherheitsmarkierungen werden während Batch-Scans verarbeitet, die zweimal täglich und nicht in Echtzeit ausgeführt werden. Es kann 12 bis 24 Stunden dauern, bis Sicherheitsmarkierungen verarbeitet und Erzwingungsrichtlinien angewendet werden, die Ergebnisse beheben oder wieder öffnen.

Labels und Tags

Labels und Tags sind ähnliche Arten von Metadaten, die Sie mit Security Command Center verwenden können, sie haben jedoch ein etwas anderes Verwendungs- und Berechtigungsmodell als Sicherheitsmarkierungen.

Labels sind Anmerkungen auf Nutzerebene, die auf bestimmte Ressourcen angewendet werden und von mehreren Google Cloud-Produkten unterstützt werden. Sie werden hauptsächlich für Rechnungen und die Zuordnung verwendet.

In Google Cloud gibt es zwei Arten von Tags:

  • Netzwerk-Tags sind Anmerkungen auf Nutzerebene, die für Compute Engine-Ressourcen spezifisch sind. Netzwerktags werden hauptsächlich verwendet, um Sicherheitsgruppen, Netzwerksegmentierung und Firewallregeln zu definieren.

  • Ressourcen-Tags (Tags) sind Schlüssel/Wert-Paare, die einer Organisation, einem Ordner oder einem Projekt zugeordnet werden können. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.

Das Lesen oder Aktualisieren von Labels und Tags ist an die Berechtigungen der zugrunde liegenden Ressource gebunden. Labels und Tags werden als Teil der Ressourcenattribute in der Anzeige der Security Command Center-Assets aufgenommen. Sie können während der Nachbearbeitung der List API-Ergebnisse nach bestimmten Labels und Tags sowie nach bestimmten Schlüsseln und Werten suchen.

Assets und Ergebnissen Sicherheitsmarkierungen hinzufügen

Sie können Sicherheitsmarkierungen zu allen Ressourcen hinzufügen, die von Security Command Center unterstützt werden, einschließlich aller Asset-Typen und Ergebnisse.

Markierungen sind in der Ausgabe der Google Cloud Console und der Security Command Center API sichtbar und können zum Filtern, Definieren von Richtliniengruppen oder Hinzufügen von Geschäftskontexten zu Assets und Ergebnissen verwendet werden. Asset-Markierungen unterscheiden sich von Ergebnismarkierungen. Asset-Markierungen werden den Assets nicht automatisch hinzugefügt.

Sicherheitsmarkierungen in der Assets-Anzeige

Die folgenden Schritte zeigen, wie Sie Sicherheitsmarkierungen zu Assets auf der Seite Assets hinzufügen:

  1. Rufen Sie in der Cloud Console die Seite Assets von Security Command Center auf.

    Zu Assets

  2. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, die die zu markierenden Assets enthält.

  3. Klicken Sie in der angezeigten Asset-Anzeige das Kästchen neben allen Assets an, die Sie markieren möchten.

  4. Wählen Sie Sicherheitsmarkierungen setzen.

  5. Klicken Sie im angezeigten Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie ein oder mehrere Sicherheitsmarkierungen an, indem Sie Schlüssel- und Wert-Elemente hinzufügen.

    Wenn Sie beispielsweise Projekte markieren möchten, die sich in der Produktionsphase befinden, fügen Sie den Schlüssel "stage" und den Wert "prod" hinzu. Jedes ausgewählte Projekt hat dann die neue mark.stage: prod, mit der Sie sie filtern können.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert. Sie können Markierungen löschen, indem Sie auf das Papierkorbsymbol neben der Markierung () klicken.

  8. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Die ausgewählten Assets sind jetzt mit einer Markierung verknüpft. Standardmäßig werden Markierungen als Spalte in den Assets angezeigt.

Informationen zu dedizierten Assetmarkierungen für Security Health Analytics-Detektoren finden Sie unter Richtlinien verwalten weiter unten auf dieser Seite.

Sicherheitsmarkierungen zu Ergebnissen hinzufügen

Mit den folgenden Schritten werden den Ergebnissen mithilfe der Google Cloud Console Sicherheitsmarkierungen hinzugefügt. Nachdem Sie Sicherheitsmarkierungen hinzugefügt haben, können Sie damit die Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage filtern.

So fügen Sie Sicherheitsmarkierungen zu Ergebnissen hinzu:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zur Seite „Ergebnisse“

  2. Wählen Sie das Projekt oder die Organisation aus, das bzw. die Sie prüfen möchten.

  3. Wählen Sie im Bereich Ergebnisse der Ergebnisabfrage ein oder mehrere Ergebnisse aus, denen Sie ein Sicherheitszeichen hinzufügen möchten. Klicken Sie dazu die entsprechenden Kästchen an.

  4. Wählen Sie Sicherheitsmarkierungen setzen aus.

  5. Klicken Sie im Dialogfeld Sicherheitsmarkierungen auf Markierung hinzufügen.

  6. Geben Sie das Sicherheitszeichen als Schlüssel- und Wert-Element an.

    Beispiel: Wenn Sie Ergebnisse markieren möchten, die Teil desselben Vorfalls sind, fügen Sie den Schlüssel „incident-number“ und den Wert „1234“ hinzu. Jedes Ergebnis hat dann die neue mark.incident-number: 1234.

  7. Wenn Sie eine vorhandene Markierung bearbeiten möchten, aktualisieren Sie den Text im Feld Wert.

  8. Klicken Sie auf das Papierkorbsymbol neben der Markierung, um Markierungen zu löschen.

  9. Wenn Sie alle Markierungen hinzugefügt haben, klicken Sie auf Speichern.

Richtlinien verwalten

Sie können einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern automatisch ausgeblendet werden. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Das Ausblenden von Ergebnissen wird empfohlen, wenn Sie keine Ergebnisse für Projekte prüfen möchten, die isoliert sind oder in akzeptable Geschäftsparameter fallen.

Alternativ Sie können in Assets Labels setzen, um diese Ressourcen explizit von bestimmten Richtlinien ein- oder auszuschließen. Jeder Detektor von Security Health Analytics hat einen eigenen Markierungstyp, mit dem Sie markierte Ressourcen von der Erkennungsrichtlinie ausschließen können. Fügen Sie dazu eine Sicherheitsmarkung allow_finding- type hinzu. Wenn Sie beispielsweise den Ergebnistyp SSL_NOT_ENFORCED ausschließen möchten, verwenden Sie die Sicherheitsmarkierung allow_ssl_not_enforced:true. Dieser Markierungstyp bietet eine detaillierte Steuerung für jede Ressource und jeden Detektor. Weitere Informationen zur Verwendung von Sicherheitsmarkierungen in Security Health Analytics finden Sie unter Assets und Ergebnisse mit Sicherheitsmarkierungen markieren.

Nächste Schritte