Utilizzo dei contrassegni di sicurezza

Puoi utilizzare i segni di sicurezza, o "segni", in Security Command Center per annotare asset o risultati in Security Command Center e poi cercare, selezionare o filtrare utilizzando il segno. Puoi fornire annotazioni ACL su asset e risultati utilizzando i contrassegni di sicurezza. Poi, puoi filtrare gli asset e i risultati in base a queste annotazioni per la gestione, l'applicazione dei criteri o l'integrazione con il tuo flusso di lavoro. Puoi anche utilizzare i segni per aggiungere classificazioni di priorità, livello di accesso o sensibilità.

Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, consulta la pagina Tipi di asset supportati in Security Command Center.

Prima di iniziare

Per aggiungere o modificare i segni di sicurezza, devi disporre di un ruolo Identity and Access Management (IAM) che includa le autorizzazioni per il tipo di segno che vuoi utilizzare:

  • Contrassegni asset: Scrittore contrassegni di sicurezza per asset, securitycenter.assetSecurityMarksWriter
  • Scrittore contrassegni di sicurezza per risultati Centro sicurezza: Finding Security Marks Writer, securitycenter.findingSecurityMarksWriter

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta la sezione Controllo dell'accesso.

Contrassegni di sicurezza

I segni di sicurezza sono univoci per Security Command Center. Le autorizzazioni IAM si applicano ai segni di sicurezza e sono limitate solo agli utenti che dispongono dei ruoli Security Command Center appropriati. La lettura e la modifica dei contrassegni richiedono i ruoli Writer contrassegni di sicurezza per asset Centro sicurezza e Writer contrassegni di sicurezza per esiti Centro sicurezza. Questi ruoli non includono le autorizzazioni per accedere alla risorsa sottostante.

I contrassegni di sicurezza ti consentono di aggiungere il contesto aziendale per asset e risultati. Poiché i ruoli IAM si applicano ai contrassegni di sicurezza, possono essere utilizzati per filtrare e applicare le policy ad asset e risultati.

I badge di sicurezza vengono elaborati durante le scansioni batch, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i contrassegni di sicurezza vengano elaborati e vengano applicati i criteri di applicazione forzata che risolvono o riaprono i risultati.

Etichette e tag

Le etichette e i tag sono tipi simili di metadati che puoi utilizzare con Security Command Center, ma hanno un utilizzo e un modello di autorizzazioni leggermente diversi rispetto ai segni di sicurezza.

Le etichette sono annotazioni a livello di utente che vengono applicate a risorse specifiche e sono supportate in più prodotti Google Cloud . Le etichette vengono utilizzate principalmente per la contabilità e l'attribuzione della fatturazione.

Esistono due tipi di tag in Google Cloud:

  • I tag di rete sono annotazioni a livello utente, specifiche per le risorse Compute Engine. I tag di rete vengono utilizzati principalmente per definire gruppi di sicurezza, segmentazione di rete e regole firewall.

  • I tag delle risorse, o tag, sono coppie chiave-valore che possono essere associate a un'organizzazione, una cartella o un progetto. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico.

La lettura o l'aggiornamento di etichette e tag è legato alle autorizzazioni per la risorsa sottostante. Le etichette e i tag vengono inseriti come parte degli attributi delle risorse nella visualizzazione degli asset di Security Command Center. Puoi cercare etichette e tag specifici e chiavi e valori specifici durante la post-elaborazione dei risultati dell'API List.

Aggiunta di contrassegni di sicurezza ad asset e risultati

Puoi aggiungere indicatori di sicurezza a tutte le risorse supportate da Security Command Center, inclusi tutti i tipi di asset e i risultati.

I segni sono visibili nell'API Security Command Center; per i livelli di servizio Standard e Premium, i segni sono visibili anche nella console Google Cloud . Puoi utilizzare i segni per filtrare asset e risultati, definire gruppi di policy o aggiungere il contesto aziendale ad asset e risultati. I segni degli asset sono separati dai segni di ricerca. I segni degli asset non vengono aggiunti automaticamente ai risultati per gli asset.

Contrassegni di sicurezza nella visualizzazione degli asset

Per aggiungere indicatori di sicurezza agli asset nella console Google Cloud :

  1. Nella console Google Cloud , vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Nel selettore di progetti, seleziona il progetto, la cartella o l'organizzazione che contiene gli asset che devi contrassegnare.

  3. Nella visualizzazione degli asset visualizzata, seleziona la casella di controllo per ogni asset che vuoi contrassegnare.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Contrassegni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica uno o più indicatori di sicurezza aggiungendo elementi Chiave e Valore.

    Ad esempio, se vuoi contrassegnare i progetti che si trovano in una fase di produzione, aggiungi una chiave "stage" e un valore "prod". Ogni progetto selezionato ha il nuovo mark.stage: prod, che puoi utilizzare per filtrarli.

  7. Per modificare un segno esistente, aggiorna il testo nel campo Valore. Puoi eliminare i segni facendo clic sull'icona del cestino accanto al segno, .

  8. Al termine dell'aggiunta dei segni, fai clic su Salva.

Gli asset selezionati sono ora associati a un marchio. Per impostazione predefinita, i segni vengono visualizzati come colonna nella visualizzazione degli asset.

Per informazioni sui segni degli asset dedicati per i rilevatori di Security Health Analytics, vedi Gestione dei criteri più avanti in questa pagina.

Aggiungere contrassegni di sicurezza agli esiti

I seguenti passaggi aggiungono i segni di sicurezza ai risultati utilizzando la consoleGoogle Cloud . Dopo aver aggiunto i segni di sicurezza, puoi utilizzarli per filtrare i risultati nel riquadro Risultati della query sui risultati.

Per aggiungere contrassegni di sicurezza ai risultati:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai alla pagina Risultati

  2. Seleziona il progetto o l'organizzazione che vuoi esaminare.

  3. Nel riquadro Risultati della query sui risultati, seleziona uno o più risultati a cui aggiungere uncontrassegno di sicurezzaa selezionando le relative caselle di controllo.

  4. Seleziona Imposta contrassegni di sicurezza.

  5. Nella finestra di dialogo Contrassegni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.

  6. Specifica il contrassegno di sicurezza come elementi Chiave e Valore.

    Ad esempio, se vuoi contrassegnare i risultati che fanno parte dello stesso incidente, aggiungi una chiave "incident-number" e un valore "1234". Ogni risultato ha il nuovo mark.incident-number: 1234.

  7. Per modificare un segno esistente, aggiorna il testo nel campo Valore.

  8. Per eliminare i segni, fai clic sull'icona del cestino accanto al segno.

  9. Al termine dell'aggiunta dei segni, fai clic su Salva.

Gestione dei criteri

Per eliminare i risultati, puoi disattivarli manualmente o a livello di programmazione oppure creare regole di disattivazione che disattivino automaticamente i risultati attuali e futuri in base ai filtri che definisci. Per ulteriori informazioni, vedi Disattivare i risultati in Security Command Center.

La disattivazione delle risultanze è il metodo consigliato quando non vuoi esaminarle per i progetti isolati o che rientrano in parametri aziendali accettabili.

In alternativa, puoi impostare dei segni sugli asset per includere o escludere in modo esplicito queste risorse da policy specifiche. Ogni rilevatore di Security Health Analytics ha un tipo di segno dedicato che puoi utilizzare per escludere le risorse contrassegnate dai criteri di rilevamento aggiungendo un contrassegno di sicurezza allow_finding-type. Ad esempio, per escludere il tipo di risultato SSL_NOT_ENFORCED, utilizza il contrassegno di sicurezza allow_ssl_not_enforced:true. Questo tipo di segno fornisce un controllo granulare per ogni risorsa e rilevatore. Per saperne di più sull'utilizzo dei segni di sicurezza in Security Health Analytics, vedi Contrassegnare asset e risultati con segni di sicurezza.

Passaggi successivi