Utiliser des marques de sécurité

Vous pouvez utiliser des marques de sécurité, ou "marques", dans Security Command Center pour annoter des éléments ou des résultats dans Security Command Center, puis rechercher, sélectionner ou filtrer à l'aide de ces marques. Vous pouvez fournir des annotations de LCA pour des éléments et des résultats à l'aide des marques de sécurité. Vous pouvez ensuite filtrer les composants et les résultats en fonction de ces annotations pour la gestion, l'application des règles ou l'intégration au workflow. Vous pouvez également utiliser des marques pour ajouter une classification de priorité, de niveau d'accès ou de sensibilité.

Vous ne pouvez ajouter ou mettre à jour des marques de sécurité que sur les éléments compatibles par Security Command Center. Pour obtenir la liste des éléments que Security Command Center compatibles, consultez Types d'éléments compatibles avec Security Command Center

Avant de commencer

Pour ajouter ou modifier des marques de sécurité, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant des autorisations pour le type de marque que vous souhaitez utiliser :

  • Marques d'éléments : Rédacteur de marques de sécurité d'élément, securitycenter.assetSecurityMarksWriter
  • Marques de résultats : Rédacteur de marques de sécurité de résultat, securitycenter.findingSecurityMarksWriter

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments, et les sources de sécurité dépendent du niveau d'accès accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Marques de sécurité

Les marques de sécurité sont propres à Security Command Center. IAM autorisations s'appliquent à et sont réservés aux utilisateurs disposant et Security Command Center. Pour lire et modifier des marques, vous devez disposer des rôles "Rédacteur de marques de sécurité pour les éléments du centre de sécurité" et "Rédacteur de marques de sécurité pour les résultats du centre de sécurité". Ces rôles n'incluent pas les autorisations permettant d'accéder à la ressource sous-jacente.

Les marques de sécurité vous permettent d'ajouter le contexte de votre entreprise aux éléments et aux résultats. Étant donné que les rôles IAM s'appliquent aux marques de sécurité, ils peuvent être utilisés pour filtrer et appliquer des stratégies sur les éléments comme sur les résultats.

Les marques de sécurité sont traitées lors des analyses par lot (qui s'exécutent deux fois par jour), pas en temps réel. Un délai de 12 à 24 heures peut être nécessaire avant que les marques de sécurité ne soient visibles. traitées et les règles d'application qui résolvent ou rouvrent les résultats sont appliquées.

Étiquettes et tags

Les étiquettes et les tags sont des types de métadonnées similaires que vous pouvez utiliser avec Security Command Center, mais leurs utilisations et autorisations diffèrent légèrement que les marques de sécurité.

Les libellés sont des annotations de niveau utilisateur qui sont appliquées à des ressources spécifiques et sont compatibles dans plusieurs produits Google Cloud. Les libellés sont principalement utilisés pour la facturation, la comptabilité et l’attribution de ressources.

Il existe deux types de tags dans Google Cloud :

  • Les tags réseau sont des annotations de niveau utilisateur, spécifiques aux ressources Compute Engine. Les tags réseau sont principalement utilisés pour définir les groupes de sécurité, la segmentation du réseau et les règles de pare-feu.

  • Les tags de ressources sont des paires clé/valeur qui peuvent être associées à une organisation, un dossier ou un projet. Vous pouvez utiliser les tags pour autoriser ou refuser des règles de manière conditionnelle selon qu'une ressource possède ou non un tag spécifique.

La possibilité de lire ou mettre à jour des libellés et des tags dépend des autorisations accordées au niveau de la ressource sous-jacente. Les libellés et les tags sont ingérés en tant qu'attributs de ressources dans l'affichage des éléments de Security Command Center. Vous pouvez rechercher la présence d'un libellé, d'un tag, d'une clé ou d'une valeur spécifique lors du post-traitement des résultats de la commande "List" de l'API.

Ajouter des marques de sécurité aux ressources et aux résultats

Vous pouvez ajouter des marques de sécurité à toutes les ressources compatibles avec Security Command Center, y compris types de composants les résultats.

Les marques sont visibles dans la console Google Cloud et dans les résultats de l'API Security Command Center. Elles peuvent être utilisées pour filtrer, définir des groupes de règles, ou ajouter un contexte métier aux éléments et aux résultats. Les marques d'éléments sont distinctes des marques de résultats. Les marques d'éléments ne sont pas automatiquement ajoutées aux résultats pour les éléments.

Marques de sécurité dans l'affichage des éléments

Les étapes suivantes vous expliquent comment ajouter des marques de sécurité aux éléments du Page Composants:

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    Accéder

  2. Dans le sélecteur de projet, sélectionnez le projet, le dossier ou l'organisation contenant les éléments que vous devez marquer.

  3. Dans l'affichage des éléments, cochez la case correspondant à chaque élément que vous souhaitez marquer.

  4. Sélectionnez Définir des marques de sécurité.

  5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.

  6. Spécifiez une ou plusieurs marques de sécurité en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des projets qui sont en phase de production, ajoutez une clé "stage" et une valeur "prod". Chaque projet sélectionné dispose alors du nouvel élément mark.stage: prod, que vous pouvez utiliser pour les filtrer.

  7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur. Vous pouvez supprimer des marques en cliquant sur l'icône de la corbeille à côté de la marque .

  8. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Les éléments que vous avez sélectionnés sont désormais associés à une marque. Par défaut, les marques sont affichées sous forme de colonne dans l'affichage des éléments.

Pour en savoir plus sur les marques d'éléments dédiées aux détecteurs de Security Health Analytics, consultez la section Gérer les règles plus loin sur cette page.

Ajouter des marques de sécurité aux résultats

Les étapes suivantes permettent d'ajouter des marques de sécurité aux résultats à l'aide de la console Google Cloud. Une fois que vous avez ajouté des marques de sécurité, vous pouvez les utiliser pour filtrer les résultats dans le panneau Résultats de la requête "Résultats".

Pour ajouter des marques de sécurité aux résultats, procédez comme suit :

  1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

    Accéder à la page Résultats

  2. Sélectionnez le projet ou l'organisation que vous souhaitez examiner.

  3. Dans le panneau Résultats de la requête de résultats, cochez les cases correspondant aux résultats auxquels vous souhaitez ajouter une marque de sécurité.

  4. Sélectionnez Définir des marques de sécurité.

  5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.

  6. Spécifiez la marque de sécurité en tant qu'éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des résultats faisant partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". Chaque résultat a ensuite la nouvelle marque mark.incident-number: 1234.

  7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur.

  8. Pour supprimer des marques, cliquez sur l'icône représentant une corbeille à côté de celles-ci.

  9. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Gérer des règles

Pour supprimer des résultats, vous pouvez ignorer manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

La désactivation des résultats est la méthode recommandée lorsque vous ne souhaitez pas examiner les résultats de projets isolés ou relevant de paramètres d'entreprise acceptables.

Vous pouvez également définir des marques sur des éléments pour inclure ou exclure explicitement ces ressources de stratégies spécifiques. Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources présentant une marque de la règle de détection, en ajoutant une marque de sécurité allow_finding- type. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true. Ce type de marque fournit un niveau de contrôle précis pour chaque ressource et chaque détecteur. Pour en savoir plus sur l'utilisation de marques de sécurité dans Security Health Analytics, consultez la page Marquer des éléments et des résultats avec des marques de sécurité.

Étape suivante