Utiliser des marques de sécurité

>

Utilisez des marques de sécurité, ou "marques", dans Security Command Center pour annoter des éléments ou des résultats dans Security Command Center, puis rechercher, sélectionner ou filtrer à l'aide de ces marques. Vous pouvez fournir des annotations de LCA pour des éléments et des résultats à l'aide des marques de sécurité. Vous pouvez ensuite les regrouper en fonction de ces annotations pour la gestion, l'application des règles ou l'intégration au workflow. Vous pouvez également utiliser des marques pour ajouter une classification de priorité, de niveau d'accès ou de sensibilité.

Avant de commencer

Pour ajouter ou modifier des marques de sécurité, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant des autorisations pour le type de marque que vous souhaitez utiliser :

  • Marques d'éléments : Rédacteur de marques de sécurité d'élément, securitycenter.assetSecurityMarksWriter
  • Marques de résultats : Rédacteur de marques de sécurité de résultat, securitycenter.findingSecurityMarksWriter

Marques de sécurité

Les marques de sécurité sont propres à Security Command Center et n'existent que dans la base de données Security Command Center. Les autorisations IAM s'appliquent aux marques de sécurité et sont limitées aux seuls utilisateurs disposant des rôles Security Command Center appropriés. Pour lire et modifier des marques, vous devez disposer des rôles "Rédacteur de marques de sécurité pour les éléments du centre de sécurité" et "Rédacteur de marques de sécurité pour les résultats du centre de sécurité". Ces rôles n'incluent pas les autorisations permettant d'accéder à la ressource sous-jacente.

Les marques de sécurité vous permettent d'ajouter le contexte de votre entreprise aux éléments et aux résultats. Étant donné que les rôles IAM s'appliquent aux marques de sécurité, ils peuvent être utilisés pour regrouper et appliquer des stratégies sur les éléments comme sur les résultats.

Les marques de sécurité sont traitées lors des analyses par lot, qui s'exécutent deux fois par jour, et non en temps réel. Un délai de 12 à 24 heures peut s'écouler avant que les marques de sécurité soient traitées et que les forces de l'application qui résolvent ou ouvrent les résultats soient appliquées.

Libellés et tags

Les libellés et les tags sont des types de métadonnées similaires disponibles via Security Command Center, mais ils emploient un modèle d'utilisation et d'autorisations légèrement différent de celui des marques de sécurité.

Les libellés sont des annotations de niveau utilisateur qui sont appliquées à des ressources spécifiques et sont compatibles dans plusieurs produits Google Cloud. Les libellés sont principalement utilisés pour la facturation, la comptabilité et l’attribution de ressources.

Les tags sont également des annotations de niveau utilisateur et sont spécifiques aux ressources Compute Engine. Les tags sont principalement utilisés pour définir les groupes de sécurité, la segmentation du réseau et les règles de pare-feu.

La possibilité de lire ou mettre à jour des libellés et des tags dépend des autorisations accordées au niveau de la ressource sous-jacente. Les libellés et les tags sont ingérés en tant qu'attributs de ressources dans l'affichage des éléments de Security Command Center. Vous pouvez rechercher la présence d'un libellé, d'un tag, d'une clé ou d'une valeur spécifique lors du post-traitement des résultats de la commande "List" de l'API.

Ajouter des marques de sécurité aux ressources et aux résultats

Vous pouvez utiliser des marques de sécurité pour regrouper, filtrer, définir des groupes de stratégies, ou ajouter un contexte métier aux éléments et aux résultats dans Security Command Center. Les marques d'éléments sont distinctes des marques de résultats. Les marques d'éléments ne sont pas automatiquement ajoutées aux résultats pour les éléments.

Marques de sécurité dans l'affichage des éléments

Les étapes suivantes vous permettent de filtrer les projets en tant qu'éléments sous la même marque :

  1. Accédez à la page Éléments de Security Command Center dans Cloud Console.
    Accéder à la page "Éléments"
  2. Sélectionnez l'organisation que vous souhaitez examiner.
  3. Dans l'affichage des éléments, sous resourceProperties.name, cochez les cases correspondant aux projets que vous souhaitez marquer.
  4. Sélectionnez Définir des marques de sécurité.
  5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.
  6. Identifiez les projets en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des projets qui sont en phase de production, ajoutez une clé "stage" et une valeur "prod". Chaque projet dispose alors du nouvel élément mark.stage: prod.

  7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur. Vous pouvez supprimer des marques en cliquant sur l'icône de la corbeille à côté de la marque.

  8. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Les projets que vous avez sélectionnés sont maintenant associés à une marque. Par défaut, les marques sont affichées sous forme de colonne dans l'affichage des éléments.

Consultez la section Gérer les règles pour en savoir plus sur les marques d'éléments dédiées aux détecteurs de l'analyse de l'état de la sécurité.

Marques de sécurité dans l'affichage des résultats

Les étapes suivantes vous permettent de filtrer les résultats que vous regroupez sous la même marque :

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.
    Accéder à la page Résultats
  2. Sélectionnez l'organisation que vous souhaitez examiner.
  3. Dans l'affichage des résultats qui s'affiche, sous catégorie, cochez les cases correspondant aux résultats que vous souhaitez marquer.
  4. Sélectionnez Définir des marques de sécurité.
  5. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.
  6. Identifiez les catégories de résultats en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des résultats faisant partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". Chaque résultat a ensuite la nouvelle marque mark.incident-number: 1234.

  7. Pour modifier une marque existante, saisissez du texte dans le champ Valeur.

  8. Pour supprimer des marques, cliquez sur l'icône représentant une corbeille à côté de celles-ci.

  9. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Gérer des règles

Vous pouvez définir des marques sur des éléments pour inclure ou exclure explicitement ces ressources de stratégies spécifiques. Chaque détecteur de l'analyse de l'état de la sécurité comporte un type de marque dédié qui vous permet d'exclure les ressources présentant une marque de la règle de détection, en ajoutant une marque de sécurité allow_finding-type. Par exemple, pour exclure le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true. Ce type de marque fournit un niveau de contrôle précis pour chaque ressource et chaque détecteur. Pour en savoir plus sur la définition de marques pour les résultats de l'analyse de l'état de la sécurité, consultez la page sur l'utilisation de l'analyse de l'état de la sécurité.

Étape suivante