Utiliser des marques de sécurité

Vous pouvez utiliser des marques de sécurité (ou "marques") dans Security Command Center pour annoter des éléments ou des résultats dans Security Command Center, puis rechercher, sélectionner ou filtrer à l'aide de ces marques. Vous pouvez fournir des annotations de LCA pour des éléments et des résultats à l'aide des marques de sécurité. Vous pouvez ensuite filtrer les éléments et les résultats à l'aide de ces annotations pour la gestion, l'application des règles ou l'intégration à votre workflow. Vous pouvez également utiliser des marques pour ajouter une classification de priorité, de niveau d'accès ou de sensibilité.

Vous ne pouvez ajouter ou mettre à jour des marques de sécurité que sur les éléments compatibles avec Security Command Center. Pour obtenir la liste des éléments compatibles avec Security Command Center, consultez la section Types d'éléments compatibles dans Security Command Center.

Avant de commencer

Pour ajouter ou modifier des marques de sécurité, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant des autorisations pour le type de marque que vous souhaitez utiliser :

• Marques d'éléments : Rédacteur de marques de sécurité d'élément, securitycenter.assetSecurityMarksWriter
• Marques de résultats : Rédacteur de marques de sécurité de résultat, securitycenter.findingSecurityMarksWriter

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. La possibilité d'afficher, de modifier, de créer ou de mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau auquel vous avez accès. Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.

Marques de sécurité

Les marques de sécurité sont propres à Security Command Center. Les autorisations IAM s'appliquent aux marques de sécurité et sont limitées aux utilisateurs disposant des rôles Security Command Center appropriés. Pour lire et modifier des marques, vous devez disposer des rôles "Rédacteur de marques de sécurité pour les éléments du centre de sécurité" et "Rédacteur de marques de sécurité pour les résultats du centre de sécurité". Ces rôles n'incluent pas les autorisations permettant d'accéder à la ressource sous-jacente.

Les marques de sécurité vous permettent d'ajouter le contexte de votre entreprise aux éléments et aux résultats. Étant donné que les rôles IAM s'appliquent aux marques de sécurité, ils peuvent être utilisés pour filtrer et appliquer des stratégies sur les éléments et les résultats.

Les marques de sécurité sont traitées lors des analyses par lot (qui s'exécutent deux fois par jour), pas en temps réel. Il peut s'écouler de 12 à 24 heures avant que les marques de sécurité soient traitées et que les règles qui résolvent ou rouvrent les résultats soient appliquées.

Libellés et tags

Les étiquettes et les tags sont des types de métadonnées similaires que vous pouvez utiliser avec Security Command Center, mais leur utilisation et leur modèle d'autorisations diffèrent légèrement de ceux des marques de sécurité.

Les libellés sont des annotations de niveau utilisateur qui sont appliquées à des ressources spécifiques et sont compatibles dans plusieurs produits Google Cloud. Les libellés sont principalement utilisés pour la facturation, la comptabilité et l’attribution de ressources.

Il existe deux types de tags dans Google Cloud :

• Les tags réseau sont des annotations de niveau utilisateur, spécifiques aux ressources Compute Engine. Les tags réseau sont principalement utilisés pour définir les groupes de sécurité, la segmentation du réseau et les règles de pare-feu.

• Les tags de ressources sont des paires clé/valeur qui peuvent être associées à une organisation, un dossier ou un projet. Vous pouvez utiliser les tags pour autoriser ou refuser des règles de manière conditionnelle selon qu'une ressource possède ou non un tag spécifique.

La possibilité de lire ou mettre à jour des libellés et des tags dépend des autorisations accordées au niveau de la ressource sous-jacente. Les libellés et les tags sont ingérés en tant qu'attributs de ressources dans l'affichage des éléments de Security Command Center. Vous pouvez rechercher la présence d'un libellé, d'un tag, d'une clé ou d'une valeur spécifique lors du post-traitement des résultats de la commande "List" de l'API.

Ajouter des marques de sécurité aux ressources et aux résultats

Vous pouvez ajouter des marques de sécurité à toutes les ressources compatibles avec Security Command Center, y compris tous les types d'éléments et résultats.

Les marques sont visibles dans la sortie de la console Google Cloud et de l'API Security Command Center. Elles peuvent être utilisées pour filtrer, définir des groupes de règles ou ajouter un contexte commercial aux éléments et aux résultats. Les marques d'éléments sont distinctes des marques de résultats. Les marques d'éléments ne sont pas automatiquement ajoutées aux résultats pour les éléments.

Marques de sécurité dans l'affichage des éléments

Les étapes suivantes vous expliquent comment ajouter des marques de sécurité aux éléments de la page Éléments:

1. Accédez à la page Ressources de Security Command Center dans Google Cloud Console.

   Accéder

2. Dans le sélecteur de projet, choisissez le projet, le dossier ou l'organisation contenant les éléments que vous devez marquer.

3. Dans l'écran des éléments qui s'affiche, cochez la case correspondant à chaque élément que vous souhaitez marquer.

4. Sélectionnez Définir des marques de sécurité.

5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.

6. Spécifiez une ou plusieurs marques de sécurité en ajoutant des éléments Clé et Valeur.

   Par exemple, si vous souhaitez marquer des projets qui sont en phase de production, ajoutez une clé "stage" et une valeur "prod". Chaque projet sélectionné dispose alors du nouveau mark.stage: prod, que vous pouvez utiliser pour les filtrer.

7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur. Vous pouvez supprimer des marques en cliquant sur l'icône Corbeille à côté de la marque delete.

8. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Les éléments que vous avez sélectionnés sont désormais associés à une marque. Par défaut, les marques sont affichées sous forme de colonne dans l'affichage des éléments.

Pour en savoir plus sur les marques d'éléments dédiées aux détecteurs de Security Health Analytics, consultez la section Gérer les règles plus loin sur cette page.

Ajouter des marques de sécurité aux résultats

Les étapes suivantes permettent d'ajouter des marques de sécurité aux résultats à l'aide de la console Google Cloud. Après avoir ajouté des marques de sécurité, vous pouvez les utiliser pour filtrer les résultats dans le panneau Résultats de la requête de résultats.

Pour ajouter des marques de sécurité aux résultats, procédez comme suit :

1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

   Accéder à la page "Résultats"

2. Sélectionnez le projet ou l'organisation que vous souhaitez examiner.

3. Dans le panneau Résultats de la requête de résultat, sélectionnez un ou plusieurs résultats auxquels ajouter une marque de sécurité en cochant les cases correspondantes.

4. Sélectionnez Définir des marques de sécurité.

5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.

6. Spécifiez la marque de sécurité en tant qu'éléments Clé et Valeur.

   Par exemple, si vous souhaitez marquer des résultats faisant partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". Chaque résultat a ensuite la nouvelle marque mark.incident-number: 1234.

7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur.

8. Pour supprimer des marques, cliquez sur l'icône représentant une corbeille à côté de celles-ci. delete

9. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Gérer des règles

Pour supprimer des résultats, vous pouvez ignorer manuellement ou automatiquement des résultats individuels, ou créer des règles de blocage qui désactivent automatiquement les résultats actuels et futurs en fonction des filtres que vous définissez. Pour en savoir plus, consultez la section Ignorer les résultats dans Security Command Center.

La désactivation des résultats est la méthode recommandée lorsque vous ne souhaitez pas examiner les résultats de projets isolés ou relevant de paramètres d'entreprise acceptables.

Vous pouvez également définir des marques sur des éléments pour inclure ou exclure explicitement ces ressources de stratégies spécifiques. Chaque détecteur de Security Health Analytics comporte un type de marque dédié qui vous permet d'exclure les ressources présentant une marque de la règle de détection, en ajoutant une marque de sécurité allow_finding- type. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true. Ce type de marque fournit un niveau de contrôle précis pour chaque ressource et chaque détecteur. Pour en savoir plus sur l'utilisation des marques de sécurité dans Security Health Analytics, consultez la page Marquer des éléments et des résultats avec des marques de sécurité.

Étapes suivantes

• Découvrez comment utiliser Security Command Center dans la console Google Cloud pour examiner les éléments et les résultats.