Usa marcas de seguridad

Usa marcas de seguridad o “marcas” en Security Command Center para anotar elementos o resultados en Security Command Center y, luego, buscar, seleccionar o filtrar con la marca. Puedes usar anotaciones de LCA en los elementos y resultados mediante las marcas de seguridad. Luego, puedes agruparlas según estas anotaciones para administración, aplicación de políticas o integración con flujo de trabajo. También puedes usar marcas para agregar clasificaciones de prioridad, acceso o sensibilidad.

Antes de comenzar

Para agregar o cambiar marcas de seguridad, debes tener una función de administración de identidades y accesos (IAM) que incluya permisos para el tipo de marca que deseas usar:

  • Marcas del recurso: escritor de marcas de seguridad de recursos, securitycenter.assetSecurityMarksWriter
  • Marcas de los resultados: escritor de marcas de seguridad de resultados, securitycenter.findingSecurityMarksWriter

Marcas de seguridad, etiquetas y rótulos

Las marcas de seguridad son exclusivas de Security Command Center y solo existen en la base de datos de Security Command Center. Los permisos de IAM se aplican a las marcas de seguridad y están restringidos solo a los usuarios que tienen las funciones apropiadas de Security Command Center. Las marcas de lectura y edición requieren las funciones de escritor de marcas de seguridad de activos del centro de seguridad y el escritor de hallazgos del centro de seguridad. Estas funciones no incluyen permisos para acceder al recurso subyacente.

Las marcas de seguridad le permiten agregar el contexto de su empresa para los elementos y resultados. Las etiquetas y los rótulos son tipos de metadatos similares que están disponibles a través de Security Command Center, pero tienen un modelo de permisos y permisos ligeramente diferente. Las funciones de IAM se aplican a las marcas de seguridad, se pueden usar para agrupar y aplicar políticas en los elementos y en los resultados.

Las etiquetas son anotaciones a nivel del usuario que se aplican a recursos específicos y son compatibles con varios productos de Google Cloud. Las etiquetas se usan principalmente para la contabilidad de facturación y la atribución.

Los rótulos también son una anotación a nivel de usuario, específica de los recursos de Compute Engine. Los rótulos se usan principalmente para definir grupos de seguridad, segmentación de red y reglas de firewall.

La lectura o la actualización de etiquetas y rótulos está vinculada a los permisos del recurso subyacente. Las etiquetas y los rótulos se transfieren como parte de los atributos de recursos en la pantalla de recursos del centro de comandos de seguridad. Puedes buscar la presencia de una etiqueta y rótulo específico, y claves y valores específicos, durante el posprocesamiento de los resultados de la API de List.

Usa marcas de seguridad

Puedes usar marcas de seguridad para agrupar, filtrar, definir grupos de políticas o agregar contexto de la empresa a los activos y resultados en Security Command Center.

Marcas de seguridad en la pantalla de elementos

Los siguientes pasos te permiten filtrar proyectos como recursos que agrupas bajo la misma marca:

  1. Ve a la página Activos de Security Command Center en Cloud Console.
    Ir a la página Activos
  2. Selecciona la organización que deseas revisar.
  3. En la pantalla de recursos que aparece, en resourceProperties.name, selecciona las casillas de verificación de dos o más proyectos que deseas marcar.
  4. Selecciona Establecer marcas de seguridad.
  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.
  6. Identifica los proyectos cuando agregues elementos de clave y valor.

    Por ejemplo, si deseas marcar proyectos que se encuentran en una etapa de producción, agrega una clave de “etapa” y un valor de “prod”. Cada proyecto tiene la nueva mark.stage: prod.

  7. Para editar una marca existente, actualiza texto en el campo Valor. Para borrar las marcas, haz clic en el ícono de papelera que aparece junto a ella.

  8. Cuando termines de agregar las marcas, haz clic en Guardar.

Los proyectos que seleccionaste ahora están asociados a una marca. De forma predeterminada, las marcas se muestran como una columna en la pantalla de elementos.

Lee Administra políticas para obtener información sobre las marcas de activos dedicadas para los detectores de estadísticas del estado de seguridad.

Marcas de seguridad en la pantalla de resultados

Los siguientes pasos te permiten filtrar los resultados que agrupas bajo la misma marca:

  1. Ve a la página Resultados de Security Command Center en Cloud Console.
    Ir a la página Resultados
  2. Selecciona la organización que deseas revisar.
  3. En la pantalla de resultados que aparece, en categoría, selecciona las casillas de verificación para dos o más categorías de resultados que quieras marcar.
  4. Selecciona Establecer marcas de seguridad.
  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.
  6. Agrega elementos de clave y valor para identificar las categorías de resultados.

    Por ejemplo, si deseas marcar los resultados que forman parte del mismo incidente, agrega una clave “número de incidente” y un valor “1234”. Cada resultado tiene el mark.incident-number: 1234 nuevo.

  7. Para editar una marca existente, actualiza texto en el campo Valor.

  8. Para borrar marcas, haz clic en el ícono de papelera junto a la marca.

  9. Cuando termines de agregar las marcas, haz clic en Guardar.

Administra políticas

Puedes establecer marcas en los elementos a fin de incluir o excluir explícitamente esos recursos de políticas específicas. Cada detector de estadísticas del estado de seguridad tiene un tipo de marca dedicado que te permite excluir los recursos marcados de la política de detección mediante la adición de una marca de seguridad allow_finding-type. Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, usa la marca de seguridad allow_ssl_not_enforced:true. Este tipo de marca proporciona nivel de detalle para el control sobre cada recurso y detector. Para obtener más información sobre la configuración de las marcas de estadísticas de estado de seguridad, consulta cómo usar las estadísticas del estado de seguridad.

¿Qué sigue?