Puedes usar marcas de seguridad, o “marcas”, en Security Command Center para anotar recursos o resultados en Security Command Center y, luego, buscar, seleccionar o filtrar mediante la marca. Puedes proporcionar anotaciones de LCA en elementos y resultados mediante marcas de seguridad. Luego, puedes filtrar los recursos y los resultados por estas anotaciones para la administración, la aplicación de políticas o la integración en tu flujo de trabajo. También puedes usar marcas para agregar clasificaciones de prioridad, nivel de acceso o sensibilidad.
Puedes agregar o actualizar marcas de seguridad solo en los recursos compatibles con Security Command Center. Para obtener una lista de los recursos que admite Security Command Center, consulta Tipos de recursos admitidos en Security Command Center.
Antes de comenzar
A fin de agregar o cambiar marcas de seguridad, debes tener una función de administración de identidades y accesos (IAM) que incluya permisos para el tipo de marca que desees usar:
- Marcas del recurso: escritor de marcas de seguridad de recursos,
securitycenter.assetSecurityMarksWriter
- Marcas de los resultados: escritor de marcas de seguridad de resultados,
securitycenter.findingSecurityMarksWriter
Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Marcas de seguridad
Las marcas de seguridad son exclusivas de Security Command Center. Los permisos de IAM se aplican a las marcas de seguridad y están restringidos solo a los usuarios que tienen los roles de Security Command Center adecuados. Las marcas de lectura y edición requieren las funciones de escritor de marcas de seguridad de recursos del centro de seguridad y de escritor de marcas de seguridad de resultados del centro de seguridad. Estas funciones no incluyen permisos para acceder al recurso subyacente.
Las marcas de seguridad te permiten agregar tu contexto empresarial para los recursos y resultados. Debido a que los roles de IAM se aplican a las marcas de seguridad, se pueden usar para filtrar y aplicar políticas en los recursos y resultados.
Las marcas de seguridad se procesan durante los análisis por lotes (que se ejecutan dos veces por día) y no en tiempo real. Puede haber un retraso de 12 a 24 horas antes de que se procesen las marcas de seguridad y se apliquen las políticas de aplicación que resuelven o vuelven a abrir los resultados.
Etiquetas
Las etiquetas y los rótulos son tipos similares de metadatos que puedes usar con Security Command Center, pero tienen un modelo de permisos y uso ligeramente diferente al de las marcas de seguridad.
Las etiquetas son anotaciones a nivel de usuario que se aplican a recursos específicos y son compatibles con varios productos de Google Cloud. Las etiquetas se usan principalmente para la atribucióny la contabilidad de facturación.
Existen dos tipos de rótulos (también denominados etiquetas) en Google Cloud:
Las etiquetas de red son anotaciones a nivel de usuario, específicas de los recursos de Compute Engine. S usan principalmente para definir grupos de seguridad, segmentación de red y reglas de firewall.
Las etiquetas de recursos o etiquetas, son pares clave-valor que se pueden adjuntar a una organización, una carpeta o un proyecto. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica.
La lectura o la actualización de etiquetas y rótulos está vinculada a los permisos del recurso subyacente. Las etiquetas y los rótulos se transfieren como parte de los atributos de recursos en la pantalla de recursos del centro de comandos de seguridad. Puedes buscar la presencia de una etiqueta y rótulo específico, y claves y valores específicos, durante el posprocesamiento de los resultados de la API de List.
Agrega marcas de seguridad a los recursos y a los resultados
Puedes agregar marcas de seguridad a todos los recursos compatibles con Security Command Center, incluidos todos los tipos de activos y los resultados.
Las marcas son visibles en la consola de Google Cloud y en el resultado de la API de Security Command Center, y se pueden usar para filtrar, definir grupos de políticas o agregar contexto empresarial a los recursos y resultados. Las marcas de recursos se separan de las marcas de resultados. Las marcas de recursos no se agregan de forma automática a los resultados de los recursos.
Marcas de seguridad en la pantalla de elementos
En los siguientes pasos, se muestra cómo agregar marcas de seguridad a los recursos en la página Recursos:
En la consola de Google Cloud, ve a la página Recursos de Security Command Center.
En el selector de proyectos, selecciona el proyecto, la carpeta o la organización que contiene los recursos que necesitas marcar.
En la pantalla de activos que aparece, selecciona la casilla de verificación de cada activo que desees marcar.
Selecciona Establecer marcas de seguridad.
En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.
Especifica una o más marcas de seguridad cuando agregues elementos de clave y valor.
Por ejemplo, si deseas marcar proyectos que se encuentran en etapa de producción, agrega una clave de “stage” y un valor de “prod”. Cada proyecto seleccionado tiene el
mark.stage: prod
nuevo, que puedes usar para filtrarlos.Para editar una marca existente, actualiza el texto en el campo Valor. Para borrar marcas, haz clic en el ícono de papelera junto a la marca, delete.
Cuando termines de agregar las marcas, haz clic en Guardar.
Los recursos que seleccionaste ahora están asociados a una marca. De forma predeterminada, las marcas se muestran como una columna en la pantalla de recursos.
Si deseas obtener información sobre las marcas específicas de los recursos para los detectores de Security Health Analytics, consulta Administra políticas más adelante en esta página.
Agrega marcas de seguridad a los resultados
En los siguientes pasos, se muestra cómo agregar marcas de seguridad a los resultados con la consola de Google Cloud. Después de agregar marcas de seguridad, puedes usarlas para filtrar los resultados en el panel Resultados de la búsqueda de resultados.
Para agregar marcas de seguridad a los resultados, sigue estos pasos:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Selecciona el proyecto o la organización que deseas revisar.
En el panel Resultados de la búsqueda de resultados, selecciona una o más casillas de verificación para agregar una marca de seguridad a uno o más resultados.
Selecciona Establecer marcas de seguridad.
En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.
Especifica la marca de seguridad como elementos Clave y Valor.
Por ejemplo, si deseas marcar los resultados que forman parte del mismo incidente, agrega una clave “incident-number” y un valor de “1234”. Cada resultado tiene el nuevo
mark.incident-number: 1234
.Para editar una marca existente, actualiza el texto en el campo Valor.
Para borrar marcas, haz clic en el ícono de papelera junto a la marca. delete
Cuando termines de agregar las marcas, haz clic en Guardar.
Administra políticas
Para suprimir resultados, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas. Para obtener más información, consulta Silencia resultados en Security Command Center.
Se recomienda silenciar los resultados cuando no quieres revisar los resultados de los proyectos aislados o que están dentro de los parámetros comerciales aceptables.
De manera alternativa, puedes establecer marcas en los resultados para incluir o excluir de forma explícita esos recursos de políticas específicas. Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir recursos marcados de la política de detección mediante la adición de una marca de seguridad allow_finding-
type
. Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED
, usa la marca de seguridad allow_ssl_not_enforced:true
. Este tipo de marca proporciona un nivel de detalle del control para cada recurso y detector. Para obtener más información sobre el uso de marcas de seguridad en Security Health Analytics, consulta Marca recursos y resultados con marcas de seguridad.
¿Qué sigue?
- Aprende a usar Security Command Center en la consola de Google Cloud para revisar los activos y los resultados.