Usa marcas de seguridad

Puedes usar marcas de seguridad, o “marcas”, en Security Command Center para anotar recursos o resultados en Security Command Center y, luego, buscar, seleccionar o filtrar con la marca. Puedes proporcionar anotaciones de LCA en elementos y resultados mediante marcas de seguridad. Luego, puedes filtrar los elementos y los resultados mediante estas anotaciones para la administración, la aplicación de políticas o la integración en tu flujo de trabajo. También puedes usar marcas para agregar clasificaciones de prioridad, nivel de acceso o sensibilidad.

Solo puedes agregar o actualizar las marcas de seguridad en los elementos que sean compatibles con Security Command Center. Para obtener una lista de los recursos que admite Security Command Center, consulta Tipos de recursos compatibles en Security Command Center.

Antes de comenzar

A fin de agregar o cambiar marcas de seguridad, debes tener una función de administración de identidades y accesos (IAM) que incluya permisos para el tipo de marca que desees usar:

  • Marcas del recurso: escritor de marcas de seguridad de recursos, securitycenter.assetSecurityMarksWriter
  • Marcas de los resultados: escritor de marcas de seguridad de resultados, securitycenter.findingSecurityMarksWriter

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, elementos y fuentes de seguridad depende del nivel al que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Marcas de seguridad

Las marcas de seguridad son exclusivas de Security Command Center. Los permisos de IAM se aplican a las marcas de seguridad y se restringen solo a los usuarios que tienen las funciones adecuadas de Security Command Center. Las marcas de lectura y edición requieren las funciones de escritor de marcas de seguridad de recursos del centro de seguridad y de escritor de marcas de seguridad de resultados del centro de seguridad. Estas funciones no incluyen permisos para acceder al recurso subyacente.

Las marcas de seguridad te permiten agregar tu contexto empresarial para los recursos y resultados. Debido a que las funciones de IAM se aplican a marcas de seguridad, se pueden usar para filtrar y aplicar políticas en los elementos y los resultados.

Las marcas de seguridad se procesan durante los análisis por lotes (que se ejecutan dos veces por día) y no en tiempo real. Es posible que haya un retraso de 12 a 24 horas antes de que se procesen las marcas de seguridad y se apliquen las políticas de aplicación que resuelven o vuelven a abrir los resultados.

Etiquetas

Las etiquetas y los rótulos identificadores son tipos de metadatos similares que puedes usar con Security Command Center, pero tienen un modelo de uso y permisos un poco diferente al de las marcas de seguridad.

Las etiquetas son anotaciones a nivel de usuario que se aplican a recursos específicos y son compatibles con varios productos de Google Cloud. Las etiquetas se usan principalmente para la atribucióny la contabilidad de facturación.

Existen dos tipos de rótulos (también denominados etiquetas) en Google Cloud:

  • Las etiquetas de red son anotaciones a nivel de usuario, específicas de los recursos de Compute Engine. S usan principalmente para definir grupos de seguridad, segmentación de red y reglas de firewall.

  • Las etiquetas de recursos o etiquetas, son pares clave-valor que se pueden adjuntar a una organización, una carpeta o un proyecto. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica.

La lectura o la actualización de etiquetas y rótulos está vinculada a los permisos del recurso subyacente. Las etiquetas y los rótulos se transfieren como parte de los atributos de recursos en la pantalla de recursos del centro de comandos de seguridad. Puedes buscar la presencia de una etiqueta y rótulo específico, y claves y valores específicos, durante el posprocesamiento de los resultados de la API de List.

Agrega marcas de seguridad a los recursos y a los resultados

Puedes agregar marcas de seguridad a todos los recursos compatibles con Security Command Center, incluidos todos los tipos de recursos y los resultados.

Las marcas se pueden ver en el resultado de la API de Security Command Center y Google Cloud Console, y se pueden usar para filtrar, definir grupos de políticas o agregar contexto comercial a los recursos y los resultados. Las marcas de recursos se separan de las marcas de resultados. Las marcas de recursos no se agregan de forma automática a los resultados de los recursos.

Marcas de seguridad en la pantalla de elementos

En los siguientes pasos, se muestra cómo agregar marcas de seguridad a los recursos en la página Recursos:

  1. Ve a la página Activos de Security Command Center en la consola de Google Cloud.

    Ir a recursos

  2. En el selector de proyectos, selecciona el proyecto, la carpeta o la organización que contenga los elementos que necesitas marcar.

  3. En la pantalla de elementos que aparece, selecciona la casilla de verificación de cada elemento que desees marcar.

  4. Selecciona Establecer marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.

  6. Agrega los elementos Clave y Valor para especificar una o más marcas de seguridad.

    Por ejemplo, si deseas marcar proyectos que se encuentran en etapa de producción, agrega una clave de “stage” y un valor de “prod”. Cada proyecto seleccionado tiene el nuevo mark.stage: prod, que puedes usar para filtrarlo.

  7. Para editar una marca existente, actualiza el texto en el campo Valor. Para borrar marcas, haz clic en el ícono de papelera junto a la marca .

  8. Cuando termines de agregar las marcas, haz clic en Guardar.

Los elementos que seleccionaste ahora están asociados con una marca. De forma predeterminada, las marcas se muestran como una columna en la pantalla de recursos.

Si deseas obtener información sobre las marcas específicas de los recursos para los detectores de Security Health Analytics, consulta Administra políticas más adelante en esta página.

Agrega marcas de seguridad a los resultados

En los siguientes pasos, se agregan marcas de seguridad a los resultados mediante la consola de Google Cloud. Después de agregar marcas de seguridad, puedes usarlas para filtrar los resultados en el panel Resultados de la consulta de resultados.

Para agregar marcas de seguridad a los resultados, sigue estos pasos:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a la página Resultados

  2. Selecciona el proyecto o la organización que deseas revisar.

  3. En el panel Resultados de la consulta de hallazgos, selecciona uno o más resultados a los que quieras agregar una marca de seguridad mediante las casillas de verificación.

  4. Selecciona Establecer marcas de seguridad.

  5. En el cuadro de diálogo Marcas de seguridad que aparece, haz clic en Agregar marca.

  6. Especifica la marca de seguridad como elementos de Clave y Valor.

    Por ejemplo, si deseas marcar los resultados que forman parte del mismo incidente, agrega una clave “incident-number” y un valor de “1234”. Cada resultado tiene el nuevo mark.incident-number: 1234.

  7. Para editar una marca existente, actualiza el texto en el campo Valor.

  8. Para borrar marcas, haz clic en el ícono de papelera junto a la marca.

  9. Cuando termines de agregar las marcas, haz clic en Guardar.

Administra políticas

Para suprimir resultados, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas. Para obtener más información, consulta Silencia resultados en Security Command Center.

Se recomienda silenciar los resultados cuando no quieres revisar los resultados de los proyectos aislados o que están dentro de los parámetros comerciales aceptables.

De manera alternativa, puedes establecer marcas en los resultados para incluir o excluir de forma explícita esos recursos de políticas específicas. Cada detector de Security Health Analytics tiene un tipo de marca dedicado que te permite excluir recursos marcados de la política de detección mediante la adición de una marca de seguridad allow_finding- type. Por ejemplo, para excluir el tipo de resultado SSL_NOT_ENFORCED, usa la marca de seguridad allow_ssl_not_enforced:true. Este tipo de marca proporciona un nivel de detalle del control para cada recurso y detector. Para obtener más información sobre el uso de marcas de seguridad en Security Health Analytics, consulta Marca recursos y resultados con marcas de seguridad.

¿Qué sigue?