Utiliser des marques de sécurité

>

Utilisez des marques de sécurité, ou simplement des "marques", dans Security Command Center pour annoter des éléments ou des résultats dans Security Command Center, puis rechercher, sélectionner ou filtrer à l'aide de marque. Vous pouvez fournir des annotations de LCA pour les éléments et les résultats à l'aide des marques de sécurité. Vous pouvez ensuite les regrouper en fonction de ces annotations pour la gestion, l'application des règles ou l'intégration au workflow. Vous pouvez également utiliser des marques pour ajouter des classifications de priorité, de niveau d'accès ou de sensibilité.

Avant de commencer

Pour ajouter ou modifier des marques de sécurité, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant des autorisations pour le type de marque que vous souhaitez utiliser :

  • Marques d'éléments : Rédacteur de marques de sécurité d'élément, securitycenter.assetSecurityMarksWriter
  • Marques de résultats : Rédacteur de marques de sécurité de résultat, securitycenter.findingSecurityMarksWriter

Marques, libellés et tags

Les marques de sécurité sont propres à Security Command Center et n'existent que dans la base de données de Security Command Center. Les autorisations IAM s'appliquent aux marques de sécurité. Elles sont réservées aux utilisateurs disposant des rôles Security Command Center appropriés. Les marques de lecture et de modification nécessitent les rôles de rédacteur de marques de sécurité pour les éléments du centre de sécurité et de rédacteur de marques de sécurité pour les résultats du centre de sécurité. Ces rôles n'incluent pas les autorisations permettant d'accéder à la ressource sous-jacente.

Les marques de sécurité vous permettent d'ajouter le contexte de votre entreprise pour les éléments et les résultats. Les libellés et les tags sont des types de métadonnées similaires disponibles via Security Command Center, mais utilisent un modèle d'utilisation et d'autorisations légèrement différent. Les rôles IAM s'appliquant aux marques de sécurité, ils peuvent être utilisés pour regrouper et appliquer des stratégies à la fois pour les actifs et les résultats.

Les libellés sont des annotations de niveau utilisateur qui sont appliquées à des ressources spécifiques et sont compatibles dans plusieurs produits Google Cloud. Les libellés sont principalement utilisés pour la facturation, la comptabilité et l’attribution de ressources.

Les tags sont également des annotations de niveau utilisateur et sont spécifiques aux ressources Compute Engine. Les tags sont principalement utilisés pour définir les groupes de sécurité, la segmentation du réseau et les règles de pare-feu.

La possibilité de lire ou mettre à jour des libellés et des tags dépend des autorisations accordées au niveau de la ressource sous-jacente. Les libellés et les tags sont ingérés en tant qu'attributs de ressources dans l'affichage des éléments de Security Command Center. Vous pouvez rechercher la présence d'un libellé, d'un tag, d'une clé ou d'une valeur spécifique lors du post-traitement des résultats de la commande "List" de l'API.

Utiliser des marques de sécurité

Vous pouvez utiliser des marques de sécurité pour regrouper, filtrer, définir des groupes de règles, ou ajouter un contexte commercial aux éléments et aux résultats dans Security Command Center.

Marques de sécurité dans l'affichage des éléments

Les étapes suivantes vous permettent de filtrer les projets en tant qu'éléments que vous regroupez sous la même marque :

  1. Accédez à la page Éléments de Security Command Center dans Cloud Console.
    Accéder à la page Éléments
  2. Sélectionnez l'organisation que vous souhaitez examiner.
  3. Dans l'affichage des éléments qui s'affiche, sous resourceProperties.name, sélectionnez deux projets ou plus que vous souhaitez marquer.
  4. Dans le Panneau d'informations, sous Marques de sécurité, cliquez sur Ajouter une marque.
    • Si le panneau d'informations ne s'affiche pas, cliquez sur Afficher le panneau d'informations.
  5. Identifiez les projets en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des projets qui sont en phase de production, ajoutez une clé "stage" et une valeur "prod". Chaque projet dispose alors du nouvel élément mark.stage: prod.

  6. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Les projets que vous avez sélectionnés sont maintenant associés à une marque. Par défaut, les marques sont affichées dans une colonne de l'affichage des éléments. Pour inclure ou exclure des marques spécifiques dans l'affichage des éléments, sélectionnez le nom de la marque dans la liste déroulante Colonnes située en haut des éléments affichés.

Marques de sécurité dans l'affichage des résultats

Les étapes suivantes vous permettent de filtrer les résultats que vous regroupez sous la même marque :

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.
    Accéder à la page "Résultats"
  2. Sélectionnez l'organisation que vous souhaitez examiner.
  3. Dans l'affichage des résultats qui s'affiche, sous Finding type (Type de résultat), sélectionnez le type de résultat que vous souhaitez marquer.
  4. Sous category, sélectionnez deux catégories de résultats ou plus à marquer.
  5. Dans le Panneau d'informations, sous Marques de sécurité, cliquez sur Ajouter une marque.
    • Si le panneau d'informations ne s'affiche pas, cliquez sur Afficher le panneau d'informations.
  6. Identifiez les catégories de résultats en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer les résultats qui font partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". Chaque résultat est alors associé au nouvel élément mark.incident-number: 1234.

  7. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Gérer des règles

Vous pouvez définir des marques sur des éléments pour inclure ou exclure explicitement ces ressources de certaines règles. Chaque détecteur de l'analyse de l'état de la sécurité comporte un type de marque dédié qui vous permet d'exclure les ressources marquées de la règle de détection, en ajoutant une marque de sécurité allow_finding-type. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true. Ce type de marque fournit un contrôle précis pour chaque ressource et détecteur. Pour en savoir plus sur la définition des marques dans les résultats de l'analyse de l'état de la sécurité, voir Utiliser l'analyse de l'état de la sécurité.

Étape suivante