Como usar marcações de segurança

Use marcações de segurança, ou "marcações", no Security Command Center para anotar recursos ou descobertas no Security Command Center e pesquisar, selecionar ou filtrar usando a marcação. É possível fornecer anotações do ACL sobre recursos e descobertas usando marcações de segurança. Em seguida, você pode agrupá-los por essas anotações para gerenciamento, aplicativo de política ou integração com seu fluxo de trabalho. Você também pode usar marcações para adicionar classificações de prioridade, nível de acesso ou confidencialidade.

Antes de começar

Para adicionar ou alterar marcações de segurança, você precisa ter um papel de gerenciamento de identidade e acesso (IAM, na sigla em inglês) que inclua permissões para o tipo de marcação que você quer usar:

  • Marcações de recurso: Gravador de marcação de recursos de recurso, securitycenter.assetSecurityMarksWriter
  • Como encontrar marcações: Como encontrar o gravador de marcações de segurança, securitycenter.findingSecurityMarksWriter

Os papéis do Security Command Center são concedidos no nível da organização, pasta ou projeto. A capacidade de visualizar, editar, criar ou atualizar descobertas, recursos, fontes de segurança e marcas de segurança depende do nível ao qual você recebe acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Marcações de segurança

As marcações de segurança são exclusivas do Security Command Center e só existem no banco de dados do Security Command Center. As permissões do IAM se aplicam a marcações de segurança e estão restritas a apenas usuários que tenham os papéis apropriados do Security Command Center. As marcações de leitura e edição exigem as funções de gravador de marcação de recursos da Central de segurança e de marcação de segurança de descoberta da Central de segurança. Esses papéis não incluem permissões para acessar o recurso subjacente.

As marcações de segurança permitem que você adicione seu contexto comercial a recursos e descobertas. Como os papéis do IAM se aplicam a marcações de segurança, eles podem ser usados para agrupar e aplicar políticas em recursos e descobertas.

As marcas de segurança são processadas durante verificações de lote, que são executadas duas vezes ao dia, e não em tempo real. Pode levar de 12 a 24 horas para que as marcas de segurança sejam processadas e que as políticas de aplicação que resolvam ou reabram as descobertas sejam aplicadas.

Rótulos e tags

Rótulos e tags são tipos semelhantes de metadados disponíveis no Security Command Center, mas têm um modelo de permissões e uso um pouco diferente do que as marcas de segurança.

Rótulos são anotações no nível do usuário aplicadas a recursos específicos e compatíveis com vários produtos do Google Cloud. Os rótulos são usados principalmente para contabilidade de faturamento e atribuição.

Há dois tipos de tags no Google Cloud:

  • Tags de rede são anotações no nível do usuário, específicas para recursos do Compute Engine. As tags são usadas principalmente para definir grupos de segurança, segmentação de rede e regras de firewall.

  • Tags de recurso, ou tags, são pares de chave-valor que podem ser anexados a uma organização, pasta ou projeto. É possível usar tags para permitir ou negar políticas condicionalmente com base no fato de um recurso ter uma tag específica.

A leitura ou atualização de rótulos e tags está vinculada às permissões no recurso subjacente. Os rótulos e tags são processados como parte dos atributos do recurso na exibição de recursos do Security Command Center. É possível pesquisar a presença específica de rótulo e tag, e chaves e valores específicos durante o pós-processamento dos resultados da API List.

Como adicionar marcações de segurança a recursos e descobertas

É possível adicionar marcações de segurança a todos os recursos compatíveis com o Security Command Center, incluindo todos os tipos de recursos e descobertas.

As marcações são visíveis no painel do Security Command Center e na saída da API Security Command Center e podem ser usadas para agrupar, filtrar, definir grupos de políticas ou adicionar contexto comercial a recursos e descobertas. As marcas de recursos são separadas das marcas encontradas. As marcas de recursos não são adicionadas automaticamente às descobertas dos recursos

Marcações de segurança na exibição de recursos

As etapas a seguir permitem filtrar projetos como recursos agrupados na mesma marcação:

  1. Acesse a página Recursos do Security Command Center no Console do Cloud.
    Acessar a página "Recursos"
  2. Selecione a organização que você quer analisar.
  3. Na exibição de recursos mostrada, em resourceProperties.name, marque as caixas de seleção de dois ou mais projetos que você quer marcar.
  4. Selecione Definir marcações de segurança.
  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.
  6. Identifique os projetos adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar projetos que estão em um estágio de produção, adicione uma chave "stage" e um valor "prod". Cada projeto tem o novo mark.stage: prod.

  7. Para editar uma marcação existente, atualize o texto do campo Valor. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  8. Quando terminar de adicionar marcações, clique em Salvar.

Os projetos que você selecionou estão associados a uma marcação. Por padrão, as marcações são exibidas como uma coluna na exibição de recursos.

Para informações sobre marcas de recursos dedicadas para detectores do Security Health Analytics, consulte Como gerenciar políticas mais adiante nesta página.

Marcações de segurança na exibição das descobertas

As etapas a seguir permitem filtrar as descobertas agrupadas na mesma marcação:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.
    Acessar a página "Descobertas"
  2. Selecione a organização que você quer analisar.
  3. Na exibição das descobertas mostrada, em categoria, marque as caixas de seleção de duas ou mais categorias de descoberta que você quer marcar.
  4. Selecione Definir marcações de segurança.
  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.
  6. Identifique as categorias de localização adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar descobertas que façam parte do mesmo incidente, adicione uma chave de "número de incidente" e um valor de "1234". Cada descoberta tem a nova mark.incident-number: 1234.

  7. Para editar uma marcação existente, atualize o texto do campo Valor.

  8. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  9. Quando terminar de adicionar marcações, clique em Salvar.

Como gerenciar políticas

Para suprimir descobertas, é possível silenciar descobertas individuais de forma manual ou programática ou criar regras de desativação de som que desativam automaticamente as descobertas atuais e futuras com base em filtros definidos. Para mais informações, consulte Desativar descobertas no Security Command Center.

A desativação de descobertas é o método recomendado quando você não quer revisar as descobertas de projetos isolados ou que se enquadram em parâmetros aceitáveis de negócios.

Como alternativa, é possível definir marcações em recursos para incluir ou excluir explicitamente esses recursos de políticas específicas. Cada detector de análise de integridade de segurança tem um tipo de marcação dedicado que permite excluir recursos marcados da política de detecção, adicionando uma marcação de segurança allow_finding- type. Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, use a marcação de segurança allow_ssl_not_enforced:true. Esse tipo de marcação oferece granularidade do controle para cada recurso e detector. Para mais informações sobre o uso de marcações de segurança no Security Health Analytics, consulte Como marcar recursos e descobertas com marcações de segurança.

A seguir