Vous pouvez utiliser des marques de sécurité, ou "marques", dans Security Command Center pour annoter des éléments ou des résultats dans Security Command Center, puis rechercher, sélectionner ou filtrer à l'aide de ces marques. Vous pouvez fournir des annotations de LCA pour des éléments et des résultats à l'aide des marques de sécurité. Vous pouvez ensuite filtrer les composants et les résultats en fonction de ces annotations pour la gestion, l'application des règles ou l'intégration au workflow. Vous pouvez également utiliser des marques pour ajouter une classification de priorité, de niveau d'accès ou de sensibilité.
Vous ne pouvez ajouter ou mettre à jour des marques de sécurité que sur les éléments compatibles avec Security Command Center. Pour obtenir la liste des éléments compatibles avec Security Command Center, consultez la section Types d'éléments acceptés dans Security Command Center.
Avant de commencer
Pour ajouter ou modifier des marques de sécurité, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant des autorisations pour le type de marque que vous souhaitez utiliser :
- Marques d'éléments : Rédacteur de marques de sécurité d'élément,
securitycenter.assetSecurityMarksWriter
- Marques de résultats : Rédacteur de marques de sécurité de résultat,
securitycenter.findingSecurityMarksWriter
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Marques de sécurité
Les marques de sécurité sont propres à Security Command Center. Les autorisations IAM s'appliquent aux marques de sécurité et sont limitées aux seuls utilisateurs disposant des rôles Security Command Center appropriés. Pour lire et modifier des marques, vous devez disposer des rôles "Rédacteur de marques de sécurité pour les éléments du centre de sécurité" et "Rédacteur de marques de sécurité pour les résultats du centre de sécurité". Ces rôles n'incluent pas les autorisations permettant d'accéder à la ressource sous-jacente.
Les marques de sécurité vous permettent d'ajouter le contexte de votre entreprise aux éléments et aux résultats. Étant donné que les rôles IAM s'appliquent aux marques de sécurité, ils peuvent être utilisés pour filtrer et appliquer des stratégies sur les éléments comme sur les résultats.
Les marques de sécurité sont traitées lors des analyses par lot (qui s'exécutent deux fois par jour), pas en temps réel. Un délai de 12 à 24 heures peut être nécessaire avant que les marques de sécurité ne soient traitées et que les règles d'application qui permettent de résoudre ou de rouvrir des résultats ne soient appliquées.
Étiquettes et tags
Les libellés et les tags sont des types de métadonnées semblables que vous pouvez utiliser avec Security Command Center, mais ils emploient un modèle d'utilisation et d'autorisations légèrement différent de celui des marques de sécurité.
Les libellés sont des annotations de niveau utilisateur qui sont appliquées à des ressources spécifiques et sont compatibles dans plusieurs produits Google Cloud. Les libellés sont principalement utilisés pour la facturation, la comptabilité et l’attribution de ressources.
Il existe deux types de tags dans Google Cloud :
Les tags réseau sont des annotations de niveau utilisateur, spécifiques aux ressources Compute Engine. Les tags réseau sont principalement utilisés pour définir les groupes de sécurité, la segmentation du réseau et les règles de pare-feu.
Les tags de ressources sont des paires clé/valeur qui peuvent être associées à une organisation, un dossier ou un projet. Vous pouvez utiliser les tags pour autoriser ou refuser des règles de manière conditionnelle selon qu'une ressource possède ou non un tag spécifique.
La possibilité de lire ou mettre à jour des libellés et des tags dépend des autorisations accordées au niveau de la ressource sous-jacente. Les libellés et les tags sont ingérés en tant qu'attributs de ressources dans l'affichage des éléments de Security Command Center. Vous pouvez rechercher la présence d'un libellé, d'un tag, d'une clé ou d'une valeur spécifique lors du post-traitement des résultats de la commande "List" de l'API.
Ajouter des marques de sécurité aux ressources et aux résultats
Vous pouvez ajouter des marques de sécurité à toutes les ressources compatibles avec Security Command Center, ce qui inclut tous les types d'éléments et tous les résultats.
Les marques sont visibles dans la console Google Cloud et dans les résultats de l'API Security Command Center. Elles peuvent être utilisées pour filtrer, définir des groupes de règles, ou ajouter un contexte métier aux éléments et aux résultats. Les marques d'éléments sont distinctes des marques de résultats. Les marques d'éléments ne sont pas automatiquement ajoutées aux résultats pour les éléments.
Marques de sécurité dans l'affichage des éléments
Les étapes suivantes vous expliquent comment ajouter des marques de sécurité aux éléments sur la page Éléments:
Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.
Dans le sélecteur de projet, sélectionnez le projet, le dossier ou l'organisation contenant les éléments que vous devez marquer.
Dans l'affichage des éléments, cochez la case correspondant à chaque élément que vous souhaitez marquer.
Sélectionnez Définir des marques de sécurité.
Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.
Spécifiez une ou plusieurs marques de sécurité en ajoutant des éléments Clé et Valeur.
Par exemple, si vous souhaitez marquer des projets qui sont en phase de production, ajoutez une clé "stage" et une valeur "prod". Chaque projet sélectionné dispose alors du nouvel élément
mark.stage: prod
, que vous pouvez utiliser pour les filtrer.Pour modifier une marque existante, saisissez du texte dans le champ Valeur. Vous pouvez supprimer des marques en cliquant sur l'icône de la corbeille à côté de la marque delete.
Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.
Les composants que vous avez sélectionnés sont maintenant associés à une marque. Par défaut, les marques sont affichées sous forme de colonne dans l'affichage des éléments.
Pour en savoir plus sur les marques d'éléments dédiées aux détecteurs de Security Health Analytics, consultez la section Gérer les règles plus loin sur cette page.
Ajouter des marques de sécurité aux résultats
Les étapes suivantes permettent d'ajouter des marques de sécurité aux résultats à l'aide de la console Google Cloud. Une fois que vous avez ajouté des marques de sécurité, vous pouvez les utiliser pour filtrer les résultats dans le panneau Résultats de la requête "Résultats".
Pour ajouter des marques de sécurité aux résultats, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Sélectionnez le projet ou l'organisation que vous souhaitez examiner.
Dans le panneau Résultats de la requête de résultats, cochez les cases correspondant aux résultats auxquels vous souhaitez ajouter une marque de sécurité.
Sélectionnez Définir des marques de sécurité.
Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.
Spécifiez la marque de sécurité en tant qu'éléments Clé et Valeur.
Par exemple, si vous souhaitez marquer des résultats faisant partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". Chaque résultat a ensuite la nouvelle marque
mark.incident-number: 1234
.Pour modifier une marque existante, saisissez du texte dans le champ Valeur.
Pour supprimer des marques, cliquez sur l'icône représentant une corbeille à côté de celles-ci. delete
Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.
Gérer des règles
Pour supprimer des résultats, vous pouvez ignorer manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.
La désactivation des résultats est la méthode recommandée lorsque vous ne souhaitez pas examiner les résultats de projets isolés ou relevant de paramètres d'entreprise acceptables.
Vous pouvez également définir des marques sur des éléments pour inclure ou exclure explicitement ces ressources de stratégies spécifiques. Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources présentant une marque de la règle de détection, en ajoutant une marque de sécurité allow_finding-
type
. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED
, utilisez la marque de sécurité allow_ssl_not_enforced:true
. Ce type de marque fournit un niveau de contrôle précis pour chaque ressource et chaque détecteur. Pour en savoir plus sur l'utilisation de marques de sécurité dans Security Health Analytics, consultez la page Marquer des éléments et des résultats avec des marques de sécurité.
Étape suivante
- Découvrez comment utiliser Security Command Center dans la console Google Cloud pour examiner les éléments et les résultats.