使用安全标记

>

在 Security Command Center 中使用安全标记(或简称“标记”)来注释 Security Command Center 中的资源或发现结果,然后使用该标记搜索、选择或过滤标记。您可以使用安全标记提供有关资源和发现结果的 ACL 注释。然后,您可以按这些注释对其进行分组,以便进行管理,应用政策或与工作流程集成。您还可以使用标记添加优先级、访问权限级别或灵敏度分类。

准备工作

要添加或更改安全标记,您必须拥有身份和访问权限管理(IAM) 角色,其中包含您要使用的标记类型的权限:

  • 资源标记:Asset Security Marks Writersecuritycenter.assetSecurityMarksWriter
  • 发现结果标记:Finding Security Marks Writersecuritycenter.findingSecurityMarksWriter

安全标记,标签和标记

安全标记对于 Security Command Center 而言是唯一的,并且仅存在于 Security Command Center 数据库中。IAM 权限适用于安全标记,并且仅限于具有适当 Security Command Center 角色的用户。读取和修改标记需要 Security Asset Security Marks Writer 和 Security Finding Security Marks Writer 角色。这些角色不包含访问底层资源的权限。

安全标记可让您为资源和发现结果添加业务上下文。标签和标记是类似的安全元数据,可通过 Security Command Center 获得,但它们的使用和权限模型略有不同。由于 IAM 角色适用于安全标记,因此它们可用于对资源和发现结果进行分组和强制执行政策。

标签 是应用于特定资源且支持在多个 Google Cloud 产品中的用户级注释。标签主要用于结算账号和归因。

标记 也是特定于 Compute Engine 资源的用户级注释。标记主要用于定义安全组、网络细分和防火墙规则。

读取或更新标签与标记会与底层资源的权限相关联。标签和标记作为 Security Command Center 资源中显示的资源属性的一部分进行提取。您可以在 List API 结果的后处理过程中搜索特定的标签和标记存在情况以及特定的键和值。

使用安全标记

您可以使用安全标记对 Security Command Center 中的资源和发现结果进行分组、过滤、定义政策组或将业务上下文添加到资源中。

资源中显示的安全标记

您可以按照以下步骤将过滤项目作为资源分组到同一标记下:

  1. 转到 Cloud Console 中的 Security Command Center 资源 页面。
    转到资源页面
  2. 选择您要查看的组织。
  3. 在出现的资源显示上,在 resourceProperties.name 下,选择您要标记的一个或多个项目。
  4. 信息面板安全标记 下,点击 添加标记
    • 如果未显示信息面板,请点击 显示信息面板
  5. 通过添加 项来标识项目。

    例如,如果您要标记处于生产阶段的项目,请添加“阶段”键和“prod”值。每个项目都将具有新的 mark.stage: prod

  6. 添加完标记后,点击 保存

您选择的项目现已带有标记。默认情况下,在资源显示中将列标记为列。要在资源显示中包含或排除特定标记,请在显示的资源顶部的 下拉列表中选择标记名称。

发现结果中显示的安全标记

通过以下步骤,您可以过滤分组到同一标记中的发现结果:

  1. 转到 Cloud Console 中的 Security Command Center 发现结果 页面。
    转到“发现结果”页面
  2. 选择您要查看的组织。
  3. 在出现的结果显示视图中,在 发现结果类型 下,选择要标记的发现类型。
  4. category 下,选择您要标记的两个或多个查找类别。
  5. 信息面板安全标记 下,点击 添加标记
    • 如果未显示信息面板,请点击 显示信息面板
  6. 通过添加 项来标识发现结果类别。

    例如,如果要标记属于同一突发事件的发现结果,请添加“incident-number”的键和“1234”的值。然后,每个发现结果都具有新的 mark.incident-number: 1234

  7. 添加完标记后,点击 保存

管理政策

您可以在资源上设置标记,以明确包含或排除特定政策中的这些资源。每个 Security Health Analytics 检测器都有一个专用标记类型,可让您通过添加安全标记 allow_finding-type 从检测政策中排除已标记的资源。例如,要排除发现结果类型 SSL_NOT_ENFORCED,请使用安全标记 allow_ssl_not_enforced:true。此标记类型可为每个资源和检测器提供精细的控制。如需详细了解如何为 Security Health Analytics 的发现结果设置标记,请参阅 使用 Security Health Analytics

后续步骤