Auf dieser Seite wird beschrieben, wie Sie die Service für den Sicherheitsstatus nachdem Sie Security Command Center aktiviert haben. Zunächst müssen Sie einen Sicherheitsstatus erstellen, Ihre Richtlinien enthält, organisiert in Richtliniensätzen, und stellt den Sicherheitsstatus dann mithilfe eines Bereitstellung des Sicherheitsstatus. Nachdem ein Sicherheitsstatus bereitgestellt wurde, können Sie die Abweichung überwachen und Ihre Position im Laufe der Zeit weiter zu optimieren.
Hinweise
Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.
Premium- oder Enterprise-Stufe von Security Command Center aktivieren
Prüfen Sie, ob die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktiviert ist.
Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie die Security Health Analytics-Dienst während des Aktivierungsprozesses.
Berechtigungen einrichten
Um die Berechtigungen zu erhalten, die Sie zum Verwenden des Sicherheitsstatus benötigen,
bitten Sie Ihren Administrator, Ihnen
IAM-Rolle Security Posture Admin (roles/securityposture.admin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu Rollen für den Sicherheitsstatus und zum Sicherheitsstatus Berechtigungen finden Sie unter IAM für Organisationsebene Aktivierungen.
Google Cloud CLI einrichten
Sie müssen die Google Cloud CLI ab Version 461.0.0 verwenden.
Sie können die gcloud CLI-Beispiele auf dieser Seite über eine der folgenden Entwicklungsumgebungen verwenden:
-
Cloud Shell: Aktivieren Sie Cloud Shell, um ein Onlineterminal mit der bereits eingerichteten gcloud CLI zu verwenden.
Unten auf dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.
-
Lokale Shell: Zur Verwendung der gcloud CLI in einer lokalen Entwicklungsumgebung müssen Sie die gcloud CLI installieren und initialisieren.
Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.
APIs aktivieren
Aktivieren Sie den Organisationsrichtliniendienst und die Security Posture-Dienst-APIs:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Verbindung zu AWS konfigurieren
Wenn Sie integrierte AWS-spezifische Detektoren für Security Health Analytics verwenden möchten, müssen Sie Security Command Center aktivieren Enterprise und Connect zur Sicherheitslücke in AWS -Erkennung.
Sicherheitsstatus erstellen und bereitstellen
Damit Sie einen Sicherheitsstatus verwenden können, müssen Sie die folgenden Schritte ausführen:
Erstellen Sie eine YAML-Datei für den Status, in der die Richtlinien definiert sind, die für Ihre Ihren Sicherheitsstatus.
Erstellen Sie einen Status in Google Cloud, der auf der YAML-Datei für den Status basiert.
Stellen Sie den Sicherheitsstatus bereit.
In den folgenden Abschnitten finden Sie eine detaillierte Anleitung.
YAML-Datei für den Status erstellen
Ein Status besteht aus einem oder mehreren Richtliniensätzen, die Sie zusammen bereitstellen. Diese enthalten alle Präventiv- und Erkennungsrichtlinien, in Ihrer Körperhaltung enthalten sein.
Führen Sie einen der folgenden Schritte aus, um Ihren Status zu erstellen:
Vordefinierte Statusvorlage kopieren. Nehmen Sie bei Bedarf Änderungen an der damit sie für Ihre Umgebung gelten und die behördlichen Vorschriften Ihres Unternehmens erfüllen. und Sicherheitsstandards. Eine Anleitung finden Sie unter Statusdatei aus einem vordefinierte Posture-Vorlage.
Extrahieren Sie vorhandene Richtlinien aus Ihrer Umgebung. Nehmen Sie bei Bedarf Änderungen vor. an die Richtlinien anpassen, damit sie den Vorschriften und Sicherheitsstandards Ihres Unternehmens entsprechen. zu entwickeln. Eine Anleitung finden Sie unter Statusdatei durch Extrahieren von Richtlinien erstellen in einer vorhandenen Umgebung.
Erstellen Sie eine Terraform-Ressource, die den Sicherheitsstatus definiert. Anweisungen finden Sie unter Terraform-Ressource mit Richtlinie erstellen Definitionen.
Weitere Informationen zu den Feldern, die Sie in einem Status verwenden können, finden Sie in der
Referenz zu Posture
und die
Referenz zu PolicySet
Statusdatei aus einer vordefinierten Posture-Vorlage erstellen
Sie können eine vordefinierte Posture-Vorlage verwenden, um eine Posture-Datei zu erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.
Stellen Sie sicher, dass Sie die Organisation sehen, in der Sie das Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Klicken Sie auf dem Tab Vorlagen auf die Vorlage, die Sie verwenden möchten.
Klicken Sie auf der Seite Vorlagendetails auf Status erstellen.
Geben Sie einen eindeutigen Namen für den Status ein und klicken Sie auf Erstellen. Die Posture wird die Seite „Details“ geöffnet.
Führen Sie einen der folgenden Schritte aus:
Wenn Sie den Sicherheitsstatus verwenden können, ohne Änderungen vorzunehmen (z. B. _essentials verwendet, können Sie die Körperhaltung. Eine Anleitung dazu finden Sie unter Ein Sicherheitsstatus.
Wenn Sie Richtliniensätze oder Richtlinien ändern müssen (z. B. Sie eine der _optimierten Vorlagen verwendet haben, führen Sie einen Status aus. YAML-Datei und setzen Sie den Status auf
ACTIVE
gcloud
Überprüfen Sie den vordefinierten Sicherheitsstatus Vorlagen um zu ermitteln, welche für Ihre Umgebung gelten. Sie können einige davon anwenden, ohne Änderungen vorzunehmen. Bei anderen müssen Sie die Richtlinien an Ihre Umgebung anzupassen.
Kopieren Sie die YAML-Dateien mit einer der folgenden Methoden in Ihren eigenen Text. Herausgeber:
Kopieren Sie die YAML-Datei aus dem Referenzinhalt in einem vordefinierten Sicherheitsstatus Vorlagen.
Führen Sie den Befehl
gcloud scc posture-templates describe
aus, um die YAML-Datei zu kopieren. -Datei.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Ersetzen Sie die folgenden Werte:
ORGANIZATION_ID
ist die Organisation, in der Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.LOCATION
ist der Standort, an dem Sie den Sicherheitsstatus bereitstellen und speichern möchten. Der einzige unterstützte Standort istglobal
.POSTURE_TEMPLATE
ist der Vorlagenname der vordefinierten Sicherheitsstatus, wie in Vordefinierte Statusvorlagen.REVISION_ID
ist die Überarbeitungsversion für die vordefinierten Sicherheitsstatus. Wenn Sie keine Versions-ID angeben, wird die aktuelle des vordefinierten Status wird angezeigt.
Um beispielsweise die sichere KI, den vordefinierten Sicherheitsstatus von Essentials anzusehen, in der Organisation
3589215982
führen Sie den Folgendes:gcloud scc posture-templates describe
organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
--revision-id=v.1.0Führen Sie einen der folgenden Schritte aus:
Wenn Sie den Sicherheitsstatus verwenden können, ohne Änderungen vorzunehmen (z. B. _essentials verwendet, können Sie den Posture erstellen. Eine Anleitung finden Sie unter Sicherheitsstatus erstellen.
Wenn Sie Richtliniensätze oder Richtlinien ändern müssen, führen Sie YAML-Datei für den Status ändern
Statusdatei durch Extrahieren von Richtlinien aus einer vorhandenen Umgebung erstellen
Sie können die Richtlinien extrahieren (Organisationsrichtlinien, einschließlich benutzerdefinierter Richtlinien) und allen Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren), die Sie konfiguriert haben in einem vorhandenen Projekt, Ordner oder einer Organisation, um eine Statusdatei zu erstellen. Ich Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, für das bereits eine bestimmte Haltung.
Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für den Organisation, Ordner oder Projekt und extrahiert keine Richtlinien aus übergeordneten Ordner oder Organisationen.
Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, extrahiert die für AWS spezifischen Detektoren (Vorabversion).
Führen Sie den Befehl
gcloud scc postures extract
aus, um die vorhandene Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung.gcloud scc postures extract \ POSTURE_NAME --workload=WORKLOAD
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname des Körperhaltung. Beispiel:organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihr Körperhaltung die für Ihr Unternehmen einzigartig sind.POSTURE_ID
ist auf 63 Zeichen begrenzt.
WORKLOAD
ist das Projekt, der Ordner oder die Organisation. aus dem Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Wenn Sie beispielsweise Richtlinien aus dem Ordner
3589215982
unter der6589215984
, führen Sie Folgendes aus:gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yaml
Öffnen Sie die resultierende
posture.yaml
-Datei zur Bearbeitung.Führen Sie einen der folgenden Schritte aus:
Wenn Sie den Sicherheitsstatus verwenden können, ohne Änderungen vorzunehmen (z. B. _essentials verwendet, können Sie die Körperhaltung. Eine Anleitung finden Sie unter Sicherheitsstatus erstellen.
Wenn Sie Richtliniensätze oder Richtlinien ändern möchten, führen Sie die Schritte unter Ändern eine Status-YAML-Datei
Terraform-Ressource mit Richtliniendefinitionen erstellen
Sie können eine Terraform-Konfiguration erstellen, um eine Statusressource zu erstellen.
Sie können beispielsweise eine Statusressource erstellen, die integrierte und benutzerdefinierte Einschränkungen für Organisationsrichtlinien und integrierte und benutzerdefinierte Detektoren für Security Health Analytics. Statusverwaltung für integrierte AWS-spezifische Detektoren von Security Health Analytics befinden sich in der Vorabversion.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Weitere Informationen finden Sie unter google_securityposture_posture.
YAML-Datei für den Status ändern
Führen Sie die folgenden Schritte aus, um eine Status-YAML-Datei zu ändern:
Öffnen Sie die Status-YAML-Datei in einem Texteditor.
name
,description
undstate
am Anfang bestätigen der Datei.name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID description: DESCRIPTION state: STATE
Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu
Posture
Beispiel:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an.
Weitere Informationen zu den verfügbaren Feldern finden Sie in der Referenz zu
PolicySet
Überprüfen Sie die bestehenden Richtlinien und ihre Werte. Für Richtlinien, die eine die für Ihre Umgebung spezifisch sind, legen Sie Werte fest, angemessen. Für die Richtlinie
ainotebooks.accessMode
im Sichere KI, erweiterter vordefinierter Sicherheitsstatus, zulässige Zugriffsmodi hinzufügen unterpolicy_rules
:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie unter Einschränkungen für Organisationsrichtlinien: Achten Sie beim Definieren einer benutzerdefinierten Organisationsrichtlinie darauf, dass die YAML-Datei -Datei die Definition der benutzerdefinierten Einschränkung enthält. Sie können keine benutzerdefinierte Einschränkung, die Sie mit anderen Methoden erstellt haben (z. B. mithilfe der Google Cloud Console). Sie können beispielsweise die Die Einschränkung
compute.trustedImageProjects
zum Definieren von Projekten kann zum Speichern von Images und zur Instanziierung des Laufwerks. Wenn Sie dieses Beispiel kopieren, Ersetzen Sieallowed_values
durch eine geeignete Projektliste:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Fügen Sie zusätzliche Detektoren für Security Health Analytics hinzu, z. B. die unter Ergebnisse von Security Health Analytics dokumentiert. Fügen Sie beispielsweise einen Security Health Analytics-Detektor hinzu, um ein Ergebnis zu erstellen, wenn ein Projekt verwendet keinen API-Schlüssel zur Authentifizierung:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Als weiteres Beispiel können Sie ein benutzerdefiniertes Modul von Security Health Analytics hinzufügen, um zu erkennen, Vertex AI-Datasets werden verschlüsselt:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
Ein weiteres Beispiel: Fügen Sie für Security Command Center Enterprise eine Security Health Analytics-Analyse hinzu. Detektor für AWS (Vorschau):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
Wenn Sie einen AWS-spezifischen Detektor hinzufügen, müssen Sie den Sicherheitsstatus bereitstellen auf Organisationsebene an.
Laden Sie Ihre Statusdatei in ein versionsgesteuertes Quell-Repository hoch, können Sie die daran vorgenommenen Änderungen im Zeitverlauf verfolgen.
Status erstellen
Führen Sie diese Aufgabe aus, um in Security Command Center eine Statusressource zu erstellen, die Sie bereitstellen können. Wenn Sie einen Sicherheitsstatus aus einer vordefinierten Posture-Vorlage mit In der Google Cloud Console wird die Statusressource automatisch für von dir.
gcloud
Führen Sie den Befehl
gcloud scc postures create
aus, um mit derposture.yaml
-Datei.gcloud scc postures create \ POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname des Körperhaltung. Beispiel:organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihr für Ihr Unternehmen zu entwickeln.POSTURE_ID
ist auf 63 Zeichen begrenzt.
POSTURE_FROM_FILE
ist der relative oder absolute Pfad zu die Dateiposture.yaml
.
Um beispielsweise einen Status mit der ID
posture-example-1
zu erstellen, innerhalb der Organisationorganizations/3589215982
, führen Sie den Folgendes:gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml
Wenn das Erstellen des Status fehlschlägt, löschen Sie den Sicherheitsstatus. beheben Sie den Fehler und versuchen Sie es noch einmal.
Informationen dazu, ob der Sicherheitsstatus erfolgreich erstellt wurde, finden Sie unter Ein Sicherheitsstatus.
Um diesen Sicherheitsstatus auf Ihre Umgebung anzuwenden, müssen Sie den Befehl Sicherheitsstatus.
Terraform
Wenn Sie eine Terraform-Konfiguration für Statusressource haben, müssen Sie sie mithilfe Ihrer Infrastructure-as-Code-Pipeline.
Weitere Informationen finden Sie unter Terraform in Google Cloud.
Sicherheitsstatus bereitstellen
Nachdem Sie einen Status erstellt haben, stellen Sie ihn in einem Projekt, einem Ordner oder einer Organisation bereit damit Sie die Richtlinien und ihre Definitionen auf bestimmte Ressourcen anwenden können. und überwachen Sie die Abweichung. Sie können nur einen Sicherheitsstatus für einen Projekt, Ordner oder Organisation.
Prüfen Sie, ob der Status des Status ACTIVE
lautet.
Beim Bereitstellen des Sicherheitsstatus werden die folgenden Aktionen ausgeführt:
Die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren sind angewendet.
Die benutzerdefinierte Einschränkung für benutzerdefinierte Organisationsrichtlinien wird mit erstellt. Einschränkungs-ID, um die Statusversions-ID als Suffix für die Einschränkung aufzunehmen ID, die Sie im Sicherheitsstatus definiert haben.
Der Standardstatus für die benutzerdefinierten Module ist Aktiviert.
Console
Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.
Stellen Sie sicher, dass Sie die Organisation sehen, in der Sie das Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Klicken Sie auf dem Tab Status auf den Status, den Sie bereitstellen möchten.
Wählen Sie auf der Seite Statusdetails die gewünschte Überarbeitung des Sicherheitsstatus aus. die Sie bereitstellen möchten.
Klicken Sie auf Auf Knoten bereitstellen.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die bzw. das Sie den auf die Lebenshaltung. Wenn Ihr Sicherheitsstatus einen AWS-spezifischen Detektor enthält, müssen Sie den Sicherheitsstatus auf Organisationsebene bereitstellen (Vorschau).
Klicken Sie auf Auswählen.
Wiederholen Sie die Schritte 5 bis 7 für jede Organisation, jeden Ordner oder jedes Projekt, auf die Sie den Sicherheitsstatus anwenden möchten.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments create
aus, um einen Sicherheitsstatus in einem
Projekt, Ordner oder Organisation.
gcloud scc posture-deployments create \ POSTURE_DEPLOYMENT_NAME --posture-name=POSTURE_NAME \ --posture-revision-id=POSTURE_REVISION_ID \ --target-resource=TARGET_RESOURCE
Ersetzen Sie die folgenden Werte:
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für den Bereitstellung des Sicherheitsstatus. Das Format istorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
LOCATION
istglobal
.POSTURE_DEPLOYMENT_ID
ist ein eindeutiger Name für den Status Bereitstellung.POSTURE_DEPLOYMENT_ID
ist auf 63 Zeichen begrenzt.
--posture-name=POSTURE_NAME
ist der Name des Sicherheitsstatus, den Sie bereitstellen. Das Format istorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihr für Ihr Unternehmen zu entwickeln.
--posture-revision-id=POSTURE_REVISION_ID
ist der/die/das Sicherheitsstatusüberarbeitung, die Sie bereitstellen möchten. Sie finden ihn in der Antwort die Sie erhalten, wenn Sie den Status erstellen oder den Status ansehen.--target-resource=TARGET_RESOURCE
ist der Name des Organisation, Ordner oder Projekt, für das Sie den Sicherheitsstatus bereitstellen möchten. Sie können Verwenden Sie eines der folgenden Formate:organizations/ORGANIZATION_ID
folders/FOLDER_ID
projects/PROJECT_NUMBER
Wenn Ihr Sicherheitsstatus einen AWS-spezifischen Detektor enthält, müssen Sie den Sicherheitsstatus auf Organisationsebene bereitstellen (Vorschau).
Führen Sie beispielsweise den folgenden Befehl aus, um einen Sicherheitsstatus bereitzustellen:
gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982
Während der Befehl ausgeführt wird, können Sie Statusinformationen aufrufen. Wenn der Status Bereitstellung schlägt fehl, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.
Terraform
Sie können eine Terraform-Ressource erstellen, um einen Sicherheitsstatus bereitzustellen.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Weitere Informationen finden Sie unter google_securityposture_posture_deployment.
Nachdem Sie die Terraform-Ressource erstellt haben, stellen Sie sie mithilfe der Infrastructure-as-Code-Pipeline.
Informationen zum Sicherheitsstatus und -status aufrufen
Sie können Informationen zum Status und Status aufrufen, um beispielsweise die folgenden zu sehen:
Welche Sicherheitsstatus an welcher Stelle in der Ressourcenhierarchie bereitgestellt werden (Organisationen, Projekten und Ordnern), werden sie
Überarbeitungen und Status der Sicherheitsstatus
Die operativen Details einer Statusbereitstellung
Status ansehen
Sie können Informationen zu einem Status aufrufen, z. B. Status und Richtlinie Definitionen).
Console
Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.
Wählen Sie die Organisation aus, die Sie aktiviert haben. Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Klicken Sie auf dem Tab Status auf den Posture, den Sie ansehen möchten. Die Statusdetails werden angezeigt.
gcloud
Führen Sie den Befehl gcloud scc postures describe
aus, um einen Sicherheitsstatus zu sehen,
erstellt.
gcloud scc postures describe POSTURE_NAME \ --revision-id=REVISION_ID
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname des Körperhaltung. Beispiel:organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihren Status die für Ihr Unternehmen einzigartig sind.
revision-id=REVISION_ID
ist ein optionales Flag, das gibt an, welche Version des Status angezeigt werden soll. Wenn Sie das Flag nicht einfügen, wird die neueste Version zurückgegeben.
Um beispielsweise einen Sicherheitsstatus mit dem Namen
organizations/3589215982/locations/global/postures/posture-example-1
und der Überarbeitungs-ID abcdefgh
, führen Sie folgenden Befehl aus:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh
Informationen zu einem Statusbereitstellungsvorgang ansehen
Führen Sie den Befehl gcloud scc posture-operations describe
aus, um die
Vorgangsdetails für eine Statusbereitstellung.
gcloud scc posture-operations describe OPERATION_NAME
Dabei ist OPERATION_NAME
der relative Ressourcenname für
für den Vorgang. Das Format ist
organizations/ORGANIZATION_ID/
LOCATION
/global/operations/OPERATION_IDLOCATION
ist der Standort, an dem Sie
die Statusbereitstellung bereitgestellt. Sie erhalten die
OPERATION_ID
mithilfe des Arguments --async
wenn Sie den Posture-Befehl ausführen.
Um beispielsweise einen Suchlauf mit dem Namen
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
,
führen Sie folgenden Befehl aus:
gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Informationen zu einer Statusbereitstellung ansehen
Sie können sehen, wo ein Status bereitgestellt wird, und den Bereitstellungsstatus sehen.
Console
Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.
Stellen Sie sicher, dass Sie die Organisation sehen, in der Sie das Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Klicken Sie auf dem Tab Status auf den Status, den Sie bereitgestellt haben.
Klicken Sie auf den Tab Deployments. Sie können die Projekte, Ordner und Organisation, in der der Sicherheitsstatus bereitgestellt wird, und Bundesstaat.
gcloud
Zum Ansehen den Befehl gcloud scc posture-deployments describe
ausführen
Informationen zu einem bereitgestellten Status.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Dabei ist POSTURE_DEPLOYMENT_NAME
der relative Ressourcenname für die
Bereitstellung des Sicherheitsstatus. Das Format ist
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
LOCATION
istglobal
.POSTURE_DEPLOYMENT_ID
ist ein eindeutiger Name für den Status Bereitstellung.
Wenn Sie beispielsweise die Details für eine Statusbereitstellung mit dem Namen
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
,
führen Sie folgenden Befehl aus:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Bereitstellung von Status und Status aktualisieren
Sie können Folgendes aktualisieren:
Der Status des Sicherheitsstatus.
Die Richtliniendefinitionen in einem Status.
Die Organisation, Ordner oder Projekte, für die ein Status bereitgestellt wird.
Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
Möglicherweise müssen Sie einen Status aktualisieren, wenn Sie weitere Google Cloud-Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien für neue sich ändernde Compliance-Anforderungen. Wenn Sie eine bereitgestellte Statusüberarbeitung aktualisieren, erstellt eine neue Statusüberarbeitung. Andernfalls wird die Überarbeitung des Sicherheitsstatus, den Sie beim Ausführen des Aktualisierungsbefehls angeben.
Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die Felder hinzu, die Sie aktualisieren möchten, mit ihren Werten. Wenn Sie Richtliniensätze aktualisieren, achten Sie darauf, enthält alle Richtliniensätze, die Sie in den Sicherheitsstatus aufnehmen möchten. einschließlich der bereits vorhandenen Richtliniensätze. Eine Anleitung dazu finden Sie unter YAML-Datei für den Status ändern.
Führen Sie den Befehl
gcloud scc postures update
aus, um den Sicherheitsstatus zu aktualisieren.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname des Körperhaltung. Beispiel:organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihren Status die für Ihr Unternehmen einzigartig sind.
POSTURE_FROM_FILE
ist der relative oder absolute Pfad zu die Dateiposture.yaml
, die Ihre Änderungen enthält.--revision-id=REVISION_ID
ist der/die/das Sicherheitsstatusüberarbeitung, die Sie bereitstellen möchten. Wenn der Sicherheitsstatus derzeit bereitgestellt wird, Security Posture-Dienst erstellt automatisch eine neue Version des Status mit einer anderen Versions-ID hat und die Versions-ID im .--update-mask=UPDATE_MASK
ist die Liste der Felder, die Sie aktualisieren möchten, im kommagetrennten Format. Dieses Argument ist optional. Sie können fürUPDATE_MASK
einen der folgenden Werte festlegen Werte:*
oder nicht angegeben: Die Änderungen, die Sie an den Richtliniensätzen vorgenommen haben, werden angewendet. und eine Statusbeschreibung.policy_sets
: Die vorgenommenen Änderungen werden nur an den Richtliniensätzen angewendet.description
: Die Änderungen, die Sie an der Statusbeschreibung vorgenommen haben, werden nur übernommen.policy_sets, description
: Übernehmen Sie die vorgenommenen Änderungen in Richtliniensätze und Statusbeschreibung.state
: Nur die Statusänderung wird angewendet.
Um beispielsweise einen Status mit dem Namen
posture-example-1
unter dem der Organisationorganizations/3589215982/locations/global
und der Versions-ID aufabcd1234
festgelegt ist, führen Sie Folgendes aus:gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Wenn das Update des Status fehlschlägt, beheben Sie den Fehler und versuchen Sie es noch einmal.
Informationen dazu, ob der Sicherheitsstatus erfolgreich aktualisiert wurde, finden Sie unter Anzeigen eines Sicherheitsstatus.
Status eines Sicherheitsstatus ändern
Der Status eines Status bestimmt, ob er für die Bereitstellung in einem Projekt, Ordner oder Organisation.
Ein Sicherheitsstatus kann folgende Status haben:
DRAFT
: Die Statusüberarbeitung ist nicht zur Bereitstellung bereit. Sie können kein Statusüberarbeitung mit dem StatusDRAFT
.ACTIVE
: Die Statusüberarbeitung ist für die Bereitstellung verfügbar. Sie können die Bundesland vonACTIVE
inDRAFT
oderDEPRECATED.
DEPRECATED
: EineDEPRECATED
-Statusüberarbeitung kann nicht für eine Ressource bereitgestellt werden. Sie müssen alle vorhandenen Statusbereitstellungen des Sicherheitsstatus löschen. bevor Sie eine Statusüberarbeitung verwerfen können. Wenn Sie einen Sicherheitsstatus noch einmal bereitstellen möchten eingestellten Version müssen Sie ihren Status inACTIVE
ändern.
Führen Sie den Befehl gcloud scc postures update
aus, um den Status eines Sicherheitsstatus zu ändern.
Sie können den Status nicht gleichzeitig mit der Aktualisierung anderer
. Eine Anleitung zum Ausführen des Befehls gcloud scc postures update
Siehe Status-YAML-Datei ändern.
Statusbereitstellung aktualisieren
Aktualisieren Sie eine Statusbereitstellung in einem Projekt, einem Ordner oder einer Organisation, um ein oder eine neue Version eines Sicherheitsstatus bereitstellen.
Wenn die zu aktualisierende Statusüberarbeitung eine benutzerdefinierte Organisationseinschränkung enthält der mit der Google Cloud Console gelöscht wurde, können Sie den Status Bereitstellung mit derselben Status-ID. Der Organisationsrichtliniendienst verhindert das Erstellen von benutzerdefinierten Organisationseinschränkungen mit demselben Namen. Stattdessen müssen Sie eine neue Version des Status erstellen oder eine andere Status-ID verwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.
Prüfen, ob die aktivierte Organisation angezeigt wird die Security Command Center Premium- oder Enterprise-Stufe ist.
Klicken Sie auf dem Tab Status auf den Status, den Sie aktualisiert haben.
Wählen Sie auf der Seite Statusdetails die gewünschte Überarbeitung des Sicherheitsstatus aus. aktualisiert.
Klicken Sie auf Auf Knoten bereitstellen.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die bzw. das Sie den auf die Lebenshaltung. Wenn die Meldung angezeigt wird, dass die Bereitstellung bereits vorhanden ist, Löschen Sie die Bereitstellung, bevor Sie es noch einmal versuchen. Wenn Ihr Sicherheitsstatus einen AWS-spezifischen Detektor enthält, müssen Sie Stellen Sie den Sicherheitsstatus auf Organisationsebene bereit (Vorschau).
Klicken Sie auf Auswählen.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments update
aus, um einen Sicherheitsstatus bereitzustellen.
gcloud scc posture-deployments update \ POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \ --update-mask=UPDATE_MASK --posture-id=POSTURE_ID \ --posture-revision-id=POSTURE_REVISION_ID
Ersetzen Sie die folgenden Werte:
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für den Bereitstellung des Sicherheitsstatus. Das Format istorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
LOCATION
istglobal
.POSTURE_DEPLOYMENT_ID
ist ein eindeutiger Name für den Status Bereitstellung.
--description=DESCRIPTION
ist die optionale Beschreibung. für den bereitgestellten Status.--posture-id=POSTURE_ID
ist der Name Ihres Status die für Ihr Unternehmen einzigartig sind. Das Format dafür lautetorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME
.--posture-revision-id=POSTURE_REVISION_ID
ist der/die/das Sicherheitsstatusüberarbeitung, die Sie bereitstellen möchten. Sie finden ihn in der Antwort die Sie beim Erstellen des Sicherheitsstatus oder beim Aufrufen des Sicherheitsstatus.--update-mask=UPDATE_MASK
ist die Liste der Felder, die Sie aktualisieren möchten, im kommagetrennten Format. Dieses Argument ist optional.
Um beispielsweise eine Statusbereitstellung mit der Methode folgenden Kriterien:
- Organisation:
organizations/3589215982/locations/global
- Bereitstellungs-ID des Sicherheitsstatus:
postureDeploymentexample
- Status-ID:
StagingAIPosture
- Version:
version2
Führen Sie dazu diesen Befehl aus:
gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2
Während der Befehl ausgeführt wird, können Sie Statusinformationen aufrufen. Wenn der Status Aktualisierung der Bereitstellung schlägt fehl, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.
Sicherheitsstatusabweichungen überwachen
Sie können einen bereitgestellten Sicherheitsstatus auf Abweichungen von Ihren definierten Richtlinien innerhalb von Ihren Sicherheitsstatus. Eine Abweichung ist eine Änderung an einer Richtlinie, außerhalb einer Körperhaltung. Beispielsweise tritt eine Abweichung auf, wenn ein Administrator die Richtliniendefinition in der Console aus, anstatt die Statusbereitstellung zu aktualisieren.
Der Security Posture-Dienst erstellt Ergebnisse, die Sie sich ansehen können: die Google Cloud Console oder die gcloud CLI, wenn eine Abweichung auftritt.
Console
Wenn Sie einen Sicherheitsstatus erstellt haben, der für Vertex AI-Arbeitslasten gilt, lässt sich auf zwei Arten überwachen: über die Seite Ergebnisse und über die Übersicht angezeigt. Für alle anderen Sicherheitsstatus können Sie die Abweichung vom Seite Ergebnisse:
So überwachen Sie auf der Seite Ergebnisse die Abweichungen:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf.
Stellen Sie sicher, dass Sie die Organisation sehen, in der Sie das Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Wählen Sie im Bereich Schnellfilter das Ergebnis Statusverstoß aus. Sie können auch den folgenden Filter in der Abfragevorschau eingeben:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Klicken Sie auf ein Ergebnis, um die Details aufzurufen.
Über die Seite Übersicht (Vertex AI-Arbeitslasten) auf Abweichungen überwachen ))
Rufen Sie in der Google Cloud Console die Seite Übersicht auf.
Stellen Sie sicher, dass Sie die Organisation sehen, in der Sie das Premium- oder Enterprise-Stufe von Security Command Center aktiviert.
Sehen Sie sich den Bereich KI-Arbeitslastergebnisse an.
- Auf dem Tab Sicherheitslücken werden alle Sicherheitslücken angezeigt, Benutzerdefinierte Module von Security Health Analytics, die speziell angewendet werden mit Vertex AI-Arbeitslasten.
- Auf dem Tab Richtlinienabweichung werden alle Abweichungen im Zusammenhang mit Vertex AI angezeigt Organisationsrichtlinien, die Sie in einem Sicherheitsstatus angewendet haben.
Klicken Sie auf ein Ergebnis, um die Details aufzurufen.
gcloud
Führen Sie in der gcloud CLI folgenden Befehl aus, um Abweichungsergebnisse anzusehen:
gcloud scc findings list ORGANIZATION_ID \ --filter="category=\"SECURITY_POSTURE_DRIFT\""
Dabei ist ORGANIZATION_ID die ID der Organisation.
Weitere Informationen zum Umgang mit diesen Ergebnissen finden Sie unter Service für den Sicherheitsstatus Ergebnisse. Sie können diese Ergebnisse auf dieselbe Weise wie alle anderen Ergebnisse exportieren. über Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.
Um ein Abweichungsergebnis zu deaktivieren, haben Sie folgende Möglichkeiten: Aktualisieren Sie die Statusbereitstellung, indem Sie Status-ID und Überarbeitung des Sicherheitsstatus.
Abweichungsergebnis zu Testzwecken generieren
Nachdem Sie einen Sicherheitsstatus bereitgestellt haben, können Sie die Abweichung von Ihren Richtlinien überwachen. Bis um die Abweichungsergebnisse in einer Testumgebung in Aktion zu sehen, führen Sie folgende Schritte aus:
Rufen Sie in der Console die Seite Organisationsrichtlinie auf.
Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Status definiert haben. Für Wenn Sie beispielsweise einen vordefinierten sicheren KI-Status verwenden, können Sie den Beschränken Sie den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und Instanz.
Nachdem Sie die Richtlinie geändert haben, klicken Sie auf Richtlinie festlegen.
Rufen Sie die Seite Ergebnisse auf.
Gehen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle so vor: Wählen Sie Security Posture (Sicherheitsstatus) aus. Es sollte ein Ergebnis zu Ihrer Änderung angezeigt werden innerhalb von fünf Minuten.
Klicken Sie auf ein Ergebnis, um die Details aufzurufen.
Statusbereitstellung löschen
Sie können eine Statusbereitstellung löschen, wenn sie nicht ordnungsgemäß bereitgestellt wurde. eine bestimmte Haltung erfordern oder nicht die einem Projekt, Ordner oder einer Organisation zugewiesen sind. Um eine Statusbereitstellung zu löschen, Die Statusbereitstellung muss einen der folgenden Status haben:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Informationen zum Prüfen des Status einer Statusbereitstellung finden Sie unter Informationen zu einer Statusbereitstellung ansehen.
Wenn Sie eine Statusbereitstellung löschen, entfernen Sie den Status aus dem Ressource (Ihre Organisation, Ihren Ordner oder Ihr Projekt), der Sie sie zugewiesen haben.
Die Ausgabe für verschiedene Richtlinientypen lautet:
Wenn Sie eine Statusbereitstellung löschen, die eine benutzerdefinierte Organisation enthält werden die benutzerdefinierten Organisationsrichtlinien gelöscht. Die benutzerdefinierte dass die Einschränkung bestehen bleibt.
Wenn Sie eine Statusbereitstellung löschen, die integrierte Security Health Analytics enthält Detektoren verwenden, hängt der endgültige Zustand der Module von Security Health Analytics vom Organisation, Ordner oder Projekt, in dem bzw. dem die Bereitstellung vorhanden war.
- Wenn Sie einen Status für einen Ordner oder ein Projekt bereitgestellt haben, Security Health Analytics-Detektoren übernehmen ihren Status von der übergeordneten Organisation Ordner.
- Wenn Sie einen Sicherheitsstatus auf Organisationsebene bereitgestellt haben, Security Health Analytics-Detektoren werden auf den Standardstatus zurückgesetzt. Eine Beschreibung der Standardstatus finden Sie unter Detektoren aktivieren und deaktivieren
Führen Sie den Befehl gcloud scc posture-deployments delete
aus, um einen Status zu löschen
Bereitstellung.
gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für den
Bereitstellung des Sicherheitsstatus. Das Format ist
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
LOCATION
istglobal
.POSTURE_DEPLOYMENT_ID
ist der eindeutige Name für den Status Bereitstellung.
Um beispielsweise eine Statusbereitstellung mit dem Namen
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
,
führen Sie folgenden Befehl aus:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Status löschen
Wenn Sie einen Status löschen, werden auch alle Überarbeitungen gelöscht. Sie können Folgendes nicht löschen: bereitgestellt wird. Sie müssen die Bereitstellung des Sicherheitsstatus löschen, bevor Sie diese Aufgabe ausführen können.
Führen Sie den Befehl gcloud scc postures delete
aus, um einen Status zu löschen.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
ist der relative Ressourcenname des
Körperhaltung. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
Die Status-ID ist ein alphanumerischer Name für Ihren Status, der für Ihre Organisation eindeutig ist. LOCATION
ist global
.
Um beispielsweise einen Status mit dem Namen
organizations/3589215982/locations/global/postures/posture-example-1
,
führen Sie folgenden Befehl aus:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1
Nächste Schritte
- Übersicht über Sicherheitsstatus.
- Weitere Informationen zu benutzerdefinierten Modulen für Security Health Analytics
- Informationen zu Einschränkungen für benutzerdefinierte Organisationsrichtlinien
- Prüfen Sie die Audit-Logs auf Vorgänge, die sich auf den Sicherheitsstatus beziehen.
- Export von Dienstdaten zum Sicherheitsstatus