您可以在 Security Command Center 中使用安全标记(或简称“标记”)来注解 Security Command Center 中的资产或发现结果,然后使用该标记进行搜索、选择或过滤。您可以使用安全标记提供有关资源和发现结果的 ACL 注释。然后,您可以按这些注解过滤资源和发现结果,以用于管理、政策应用或与您的工作流集成。您还可以使用标记添加优先级、访问权限级别或灵敏度分类。
您只能为 Security Command Center 支持的资产添加或更新安全标记。如需查看 Security Command Center 支持的资产列表,请参阅 Security Command Center 中支持的资产类型。
准备工作
要添加或更改安全标记,您必须拥有包含您要使用的标记类型的权限的 Identity and Access Management (IAM) 角色:
- 资源标记:Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter
- 发现结果标记:Finding Security Marks Writer、
securitycenter.findingSecurityMarksWriter
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
安全标记
安全标记对于 Security Command Center 而言是唯一的。IAM 权限适用于安全标记,并且仅限于具有适当 Security Command Center 角色的用户。读取和修改标记需要 Security Asset Security Marks Writer 和 Security Finding Security Marks Writer 角色。这些角色不包含访问底层资源的权限。
安全标记可让您为资源和发现结果添加业务上下文。由于 IAM 角色适用于安全标记,因此它们可用于对资源和发现结果进行过滤和强制执行政策。
批量扫描(每天运行两次)期间会处理安全标记,不是实时处理。在处理安全标记和应用解决或重开发现结果的执行政策之前可能会有 12 到 24 小时的延迟。
标签和标记
标签和标记是类似的元数据种类,您可以将其与 Security Command Center 搭配使用,但它们的使用和权限模型与安全标记略有不同。
标签 是应用于特定资源且支持在多个 Google Cloud 产品中的用户级注释。标签主要用于结算账号和归因。
Google Cloud 中有两种类型的标记:
网络标记是特定于 Compute Engine 资源的用户级注释。网络标记主要用于定义安全组、网络细分和防火墙规则。
读取或更新标签与标记会与底层资源的权限相关联。标签和标记作为 Security Command Center 资源中显示的资源属性的一部分进行提取。您可以在 List API 结果的后处理过程中搜索特定的标签和标记存在情况以及特定的键和值。
向资源和发现结果添加安全标记
您可以向 Security Command Center 支持的所有资源添加安全标记,包括所有资产类型和发现结果。
标记会显示在 Google Cloud 控制台和 Security Command Center API 输出中,且可用于对资源和发现结果进行过滤、定义政策组或添加业务上下文。资源标记与查找标记互不相关。资源标记不会自动添加到资产的发现结果中。
资源中显示的安全标记
以下步骤演示了如何为资源页面上的资源添加安全标记:
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
从项目选择器中,选择包含您需要标记的资产的项目、文件夹或组织。
在出现的资产显示视图上,选中您要标记的每个资产对应的复选框。
选择设置安全标记。
在出现的安全标记对话框中,点击添加标记。
通过添加键和值项来指定一个或多个安全标记。
例如,如果您要标记处于生产阶段的项目,请添加“阶段”键和“prod”值。然后,每个选择项目都具有新的
mark.stage: prod
,可用于对它们进行过滤。若要修改现有标记,请更新值字段中的文本。您可以通过点击标记旁边的垃圾箱图标将其删除 delete。
添加完标记后,点击保存。
您选择的资源现已带有标记。默认情况下,在资源显示中标记显示为一列。
如需了解 Security Health Analytics 检测器的专用资源标记,请参阅本页面后面的管理政策。
将安全标记添加到发现结果
以下步骤使用 Google Cloud 控制台向发现结果添加安全标记。添加安全标记后,您可以使用它们在发现结果查询结果面板中过滤发现结果。
若要向发现结果添加安全标记,请执行以下操作:
转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。
选择要查看的项目或组织。
在发现结果查询结果面板中,通过选中一个或多个发现结果的复选框来选择要添加安全标记的发现结果。
选择设置安全标记。
在出现的安全标记对话框中,点击添加标记。
将安全标记指定为键和值项。
例如,如果要标记属于同一突发事件的发现结果,请添加“incident-number”键和“1234”值。然后,每个发现结果都具有新的
mark.incident-number: 1234
。若要修改现有标记,请更新值字段中的文本。
要删除标记,请点击标记旁边的垃圾箱图标。 delete
添加完标记后,点击保存。
管理政策
如需禁止发现结果,您可以手动或以编程方式忽略各个发现结果,或者创建忽略规则,这些规则会自动根据您定义的过滤条件忽略当前和未来的发现结果。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
如果您不想查看隔离的或在可接受的业务参数范围内的项目的发现结果,建议您忽略发现结果。
或者,您可以在资源上设置标记,以明确包含或排除特定政策中的这些资源。每个 Security Health Analytics 检测器都有一个专用标记类型,可让您通过添加安全标记 allow_finding-
type
从检测政策中排除已标记的资源。例如,要排除发现结果类型 SSL_NOT_ENFORCED
,请使用安全标记 allow_ssl_not_enforced:true
。此标记类型可为每个资源和检测器提供精细的控制。如需详细了解如何在 Security Health Analytics 中使用安全标记,请参阅使用安全标记标记资产和发现结果。
后续步骤
- 了解如何在 Google Cloud 控制台中使用 Security Command Center 来查看资产和发现结果。