Como usar marcações de segurança

>

Use marcações de segurança, ou "marcações", no Security Command Center para anotar recursos ou descobertas no Security Command Center e pesquisar, selecionar ou filtrar usando a marcação. É possível fornecer anotações do ACL sobre recursos e descobertas usando marcações de segurança. Em seguida, você pode agrupá-los por essas anotações para gerenciamento, aplicativo de política ou integração com fluxo de trabalho. Você também pode usar marcações para adicionar classificações de prioridade, nível de acesso ou confidencialidade.

Antes de começar

Para adicionar ou alterar marcações de segurança, você precisa ter um papel de gerenciamento de identidade e acesso (IAM, na sigla em inglês) que inclua permissões para o tipo de marcação que você quer usar:

  • Marcações de recurso: Gravador de marcação de recursos de recurso, securitycenter.assetSecurityMarksWriter
  • Como encontrar marcações: Como encontrar o gravador de marcações de segurança, securitycenter.findingSecurityMarksWriter

Marcações de segurança

As marcações de segurança são exclusivas do Security Command Center e só existem no banco de dados do Security Command Center. As permissões do IAM se aplicam a marcações de segurança e estão restritas a apenas usuários que tenham os papéis apropriados do Security Command Center. As marcações de leitura e edição exigem as funções de gravador de marcação de recursos da Central de segurança e de marcação de segurança de descoberta da Central de segurança. Esses papéis não incluem permissões para acessar o recurso subjacente.

As marcações de segurança permitem que você adicione seu contexto comercial a recursos e descobertas. Como os papéis do IAM se aplicam a marcações de segurança, eles podem ser usados para agrupar e aplicar políticas em recursos e descobertas.

As marcas de segurança são processadas durante verificações de lote, que são executadas duas vezes ao dia, e não em tempo real. Pode levar de 12 a 24 horas para que as marcas de segurança sejam processadas e que as políticas de aplicação que resolvam ou reabram as descobertas sejam aplicadas.

Rótulos e tags

Rótulos e tags são tipos semelhantes de metadados disponíveis no Security Command Center, mas têm um modelo de permissões e uso um pouco diferente do que as marcas de segurança.

Rótulos são anotações no nível do usuário aplicadas a recursos específicos e compatíveis com vários produtos do Google Cloud. Os rótulos são usados principalmente para contabilidade de faturamento e atribuição.

Tags também são uma anotação no nível do usuário, específica para recursos do Compute Engine. As tags são usadas principalmente para definir grupos de segurança, segmentação de rede e regras de firewall.

A leitura ou atualização de rótulos e tags está vinculada às permissões no recurso subjacente. Os rótulos e tags são processados como parte dos atributos do recurso na exibição de recursos do Security Command Center. É possível pesquisar a presença específica de rótulo e tag, e chaves e valores específicos durante o pós-processamento dos resultados da API List.

Como adicionar marcações de segurança a recursos e descobertas

É possível usar marcações de segurança para agrupar, filtrar, definir grupos de políticas ou adicionar contexto comercial a recursos e descobertas no Security Command Center. As marcas de recursos são separadas das marcas encontradas. As marcas de recursos não são adicionadas automaticamente às descobertas dos recursos.

Marcações de segurança na exibição de recursos

As etapas a seguir permitem filtrar projetos como recursos agrupados na mesma marcação:

  1. Acesse a página Recursos do Security Command Center no Console do Cloud.
    Acessar a página "Recursos"
  2. Selecione a organização que você quer analisar.
  3. Na exibição de recursos mostrada, em resourceProperties.name, marque as caixas de seleção de dois ou mais projetos que você quer marcar.
  4. Selecione Definir marcações de segurança.
  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.
  6. Identifique os projetos adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar projetos que estão em um estágio de produção, adicione uma chave "stage" e um valor "prod". Cada projeto tem o novo mark.stage: prod.

  7. Para editar uma marcação existente, atualize o texto do campo Valor. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  8. Quando terminar de adicionar marcações, clique em Salvar.

Os projetos que você selecionou estão associados a uma marcação. Por padrão, as marcações são exibidas como uma coluna na exibição de recursos.

Leia Como gerenciar políticas para informações sobre marcações de recursos exclusivas para detectores do Security Health Analytics.

Marcações de segurança na exibição das descobertas

As etapas a seguir permitem filtrar as descobertas agrupadas na mesma marcação:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.
    Acessar a página "Descobertas"
  2. Selecione a organização que você quer analisar.
  3. Na exibição das descobertas mostrada, em categoria, marque as caixas de seleção de duas ou mais categorias de descoberta que você quer marcar.
  4. Selecione Definir marcações de segurança.
  5. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.
  6. Identifique as categorias de localização adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar descobertas que façam parte do mesmo incidente, adicione uma chave de "número de incidente" e um valor de "1234". Cada descoberta tem a nova mark.incident-number: 1234.

  7. Para editar uma marcação existente, atualize o texto do campo Valor.

  8. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  9. Quando terminar de adicionar marcações, clique em Salvar.

Como gerenciar políticas

É possível definir marcações em recursos para incluir ou excluir explicitamente esses recursos de políticas específicas. Cada detector de análise de integridade de segurança tem um tipo de marcação dedicado que permite excluir recursos marcados da política de detecção, adicionando uma marcação de segurança allow_finding-type. Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, use a marcação de segurança allow_ssl_not_enforced:true. Esse tipo de marcação oferece granularidade do controle para cada recurso e detector. Para mais informações sobre como definir marcações nas descobertas do Security Health Analytics, consulte Como usar o Security Health Analytics.

A seguir