使用安全标记

>

在 Security Command Center 中使用安全标记(或简称“标记”)来注释 Security Command Center 中的资源或发现结果,然后使用该标记搜索、选择或过滤标记。您可以使用安全标记提供有关资源和发现结果的 ACL 注释。然后,您可以按这些注释对其进行分组,以便进行管理,应用政策或与工作流程集成。您还可以使用标记添加优先级、访问权限级别或灵敏度分类。

准备工作

要添加或更改安全标记,您必须拥有身份和访问权限管理(IAM) 角色,其中包含您要使用的标记类型的权限:

  • 资源标记:Asset Security Marks Writersecuritycenter.assetSecurityMarksWriter
  • 发现结果标记:Finding Security Marks Writersecuritycenter.findingSecurityMarksWriter

安全标记,标签和标记

安全标记对于 Security Command Center 而言是唯一的,并且仅存在于 Security Command Center 数据库中。IAM 权限适用于安全标记,并且仅限于具有适当 Security Command Center 角色的用户。读取和修改标记需要 Security Asset Security Marks Writer 和 Security Finding Security Marks Writer 角色。这些角色不包含访问底层资源的权限。

安全标记可让您为资源和发现结果添加业务上下文。标签和标记是类似的安全元数据,可通过 Security Command Center 获得,但它们的使用和权限模型略有不同。由于 IAM 角色适用于安全标记,因此它们可用于对资源和发现结果进行分组和强制执行政策。

标签 是应用于特定资源且支持在多个 Google Cloud 产品中的用户级注释。标签主要用于结算账号和归因。

标记 也是特定于 Compute Engine 资源的用户级注释。标记主要用于定义安全组、网络细分和防火墙规则。

读取或更新标签与标记会与底层资源的权限相关联。标签和标记作为 Security Command Center 资源中显示的资源属性的一部分进行提取。您可以在 List API 结果的后处理过程中搜索特定的标签和标记存在情况以及特定的键和值。

使用安全标记

您可以使用安全标记对 Security Command Center 中的资源和发现结果进行分组、过滤、定义政策组或将业务上下文添加到资源中。 资产标记与查找标记互不相关。资产标记不会自动添加到资产的发现结果中。

资源中显示的安全标记

您可以按照以下步骤将项目过滤为按相同标记分组的资源:

  1. 转到 Cloud Console 中的 Security Command Center 资源 页面。
    转到资源页面
  2. 选择您要查看的组织。
  3. 在出现的资源显示视图上,在 resourceProperties.name 下,选中您要标记的两个或更多项目对应的复选框。
  4. 选择设置安全标记
  5. 在出现的安全标记对话框中,点击添加标记
  6. 通过添加 项来标识项目。

    例如,如果您要标记处于生产阶段的项目,请添加“阶段”键和“prod”值。每个项目都将具有新的 mark.stage: prod

  7. 要修改现有标记,请更新字段中的文本。您可以点击标志旁边的垃圾箱图标将其删除。

  8. 添加完标记后,点击保存

您选择的项目现已带有标记。默认情况下,在资源显示中将列标记为列。

请参阅管理政策,了解 Security Health Analytics 检测器的专用资源标记。

发现结果中显示的安全标记

通过以下步骤,您可以过滤在同一标记下分组的发现结果:

  1. 转到 Cloud Console 中的 Security Command Center 发现结果 页面。
    转到“发现结果”页面
  2. 选择您要查看的组织。
  3. 在出现的发现结果显示视图中,在类别下,选中您要标记的一个或多个发现结果类别对应的复选框。
  4. 选择设置安全标记
  5. 在出现的安全标记对话框中,点击添加标记
  6. 通过添加 项来标识发现结果类别。

    例如,如果要标记属于同一突发事件的发现结果,请添加“incident-number”的键和“1234”的值。然后,每个发现结果都具有新的 mark.incident-number: 1234

  7. 要修改现有标记,请更新字段中的文本。

  8. 要删除标记,请点击标记旁边的垃圾箱图标。

  9. 添加完标记后,点击保存

管理政策

您可以在资源上设置标记,以明确包含或排除特定政策中的这些资源。每个 Security Health Analytics 检测器都有一个专用标记类型,可让您通过添加安全标记 allow_finding-type 从检测政策中排除已标记的资源。例如,要排除发现结果类型 SSL_NOT_ENFORCED,请使用安全标记 allow_ssl_not_enforced:true。此标记类型可为每个资源和检测器提供精细的控制。如需详细了解如何为 Security Health Analytics 的发现结果设置标记,请参阅 使用 Security Health Analytics

后续步骤