- Representação JSON
- Política
- ComplianceStandard
- Restrição
- SecurityHealthAnalyticsModule
- EnablementState
- SecurityHealthAnalyticsCustomModule
- CustomConfig
- Expr
- CustomOutputSpec
- Property
- ResourceSelector
- Gravidade
- OrgPolicyConstraint
- PolicyRule
- StringValues
- OrgPolicyConstraintCustom
- CustomConstraint
- MethodType
- ActionType
Um grupo de um ou mais recursos Policy
.
Representação JSON |
---|
{
"policySetId": string,
"description": string,
"policies": [
{
object ( |
Campos | |
---|---|
policy |
Obrigatório. Um identificador para o conjunto de políticas. |
description |
Opcional. Uma descrição do conjunto de políticas. |
policies[] |
Obrigatório. Os recursos Cada política precisa ter um |
Política
Os detalhes de uma política, incluindo as restrições que ela inclui.
Representação JSON |
---|
{ "policyId": string, "complianceStandards": [ { object ( |
Campos | |
---|---|
policy |
Obrigatório. Um identificador especificado pelo usuário para a política. Em um |
compliance |
Opcional. Os padrões de compliance que a política ajuda a aplicar. |
constraint |
Obrigatório. As restrições que a política inclui. |
description |
Opcional. Uma descrição da política. |
ComplianceStandard
Informações sobre um padrão de compliance que a política ajuda a aplicar.
Representação JSON |
---|
{ "standard": string, "control": string } |
Campos | |
---|---|
standard |
Opcional. O padrão de compliance que a política ajuda a aplicar. Por exemplo, |
control |
Opcional. O controle no padrão de compliance que a política ajuda a aplicar. Por exemplo, |
Restrição
Metadados de uma restrição em uma Policy
.
Representação JSON |
---|
{ // Union field |
Campos | |
---|---|
Campo de união implementation . A implementação da restrição. implementation pode ser apenas de um dos tipos a seguir: |
|
security |
Opcional. Um detector integrado para a Análise de integridade da segurança. |
security |
Opcional. Um módulo personalizado para a Análise de integridade de segurança. |
org |
Opcional. Uma restrição de política da organização predefinida. |
org |
Opcional. Uma restrição de política da organização personalizada. |
SecurityHealthAnalyticsModule
Um detector integrado para a Análise de integridade da segurança.
Representação JSON |
---|
{
"moduleName": string,
"moduleEnablementState": enum ( |
Campos | |
---|---|
module |
Obrigatório. O nome do detector. Por exemplo, |
module |
Indica se o detector está ativado em um nível especificado da hierarquia de recursos. |
EnablementState
Indica se um detector integrado ou um módulo personalizado está ativado em um nível especificado da hierarquia de recursos.
Enums | |
---|---|
ENABLEMENT_STATE_UNSPECIFIED |
Valor padrão. Esse valor não é usado. |
ENABLED |
O detector ou o módulo personalizado está ativado. |
DISABLED |
O detector ou o módulo personalizado está desativado. |
SecurityHealthAnalyticsCustomModule
Um módulo personalizado para a Análise de integridade de segurança.
Representação JSON |
---|
{ "id": string, "displayName": string, "config": { object ( |
Campos | |
---|---|
id |
Apenas saída. Imutável. O identificador exclusivo do módulo personalizado. Contém de 1 a 20 dígitos. |
display |
Opcional. Nome de exibição do módulo personalizado. Esse valor é usado como a categoria de descoberta de todas as descobertas retornadas pelo módulo personalizado. O nome de exibição precisa conter entre 1 e 128 caracteres alfanuméricos ou sublinhados e começar com uma letra minúscula. |
config |
Obrigatório. Configurações do módulo personalizado. |
module |
Indica se o módulo personalizado está ativado em um nível especificado da hierarquia de recursos. |
CustomConfig
Uma configuração de módulo personalizado para a Análise de integridade de segurança. Use CustomConfig
para criar detectores personalizados que geram descobertas personalizadas para os recursos especificados.
Representação JSON |
---|
{ "predicate": { object ( |
Campos | |
---|---|
predicate |
Obrigatório. A expressão da linguagem de expressão comum (CEL) a ser avaliada. Quando a expressão é avaliada como |
custom |
Opcional. Definições de propriedades de origem personalizadas a serem incluídas nas descobertas. |
resource |
Obrigatório. Os tipos de recurso em que o módulo personalizado opera. |
severity |
Obrigatório. A gravidade das descobertas geradas pelo módulo personalizado. |
description |
Opcional. Uma descrição da vulnerabilidade ou configuração incorreta detectada pelo módulo personalizado. A descrição aparece em cada descoberta. Forneça informações suficientes para ajudar um investigador a entender a descoberta. O valor precisa estar entre aspas. |
recommendation |
Opcional. Uma explicação das etapas que as equipes de segurança podem seguir para resolver o problema detectado. A explicação aparece em cada descoberta. |
Expr
Representa uma expressão textual na sintaxe Common Expression Language (CEL). A CEL é uma linguagem de expressão semelhante a C. A sintaxe e a semântica do CEL estão documentadas em https://github.com/google/cel-spec.
Exemplo (comparação):
title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"
Exemplo (igualdade):
title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"
Exemplo (lógica):
title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"
Exemplo (manipulação de dados):
title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"
As variáveis e funções exatas que podem ser referenciadas em uma expressão são determinadas pelo serviço que a avalia. Consulte a documentação do serviço para mais informações.
Representação JSON |
---|
{ "expression": string, "title": string, "description": string, "location": string } |
Campos | |
---|---|
expression |
Representação textual de uma expressão na sintaxe Common Expression Language. |
title |
Opcional. Título da expressão, ou seja, uma string curta que descreve sua finalidade. Isso pode ser usado, por exemplo, em IUs que permitam inserir a expressão. |
description |
Opcional. Descrição da expressão. Este é um texto mais longo que descreve a expressão, por exemplo, quando o cursor é passado sobre ela em uma IU. |
location |
Opcional. String que indica o local da expressão para o relatório de erros, por exemplo, um nome de arquivo e uma posição no arquivo. |
CustomOutputSpec
Definições de propriedades de origem personalizadas que podem aparecer nos resultados.
Representação JSON |
---|
{
"properties": [
{
object ( |
Campos | |
---|---|
properties[] |
Opcional. As propriedades de origem personalizadas que podem aparecer nas descobertas. |
Propriedade
Um par de nome e valor usado como uma propriedade de origem personalizada.
Representação JSON |
---|
{
"name": string,
"valueExpression": {
object ( |
Campos | |
---|---|
name |
Obrigatório. O nome da propriedade de origem personalizada. |
value |
Opcional. A expressão CEL para o valor da propriedade de origem personalizada. Para propriedades de recursos, você pode retornar o valor da propriedade ou uma string entre aspas. |
ResourceSelector
Um seletor para os tipos de recurso em que o detector será executado.
Representação JSON |
---|
{ "resourceTypes": [ string ] } |
Campos | |
---|---|
resource |
Obrigatório. Os tipos de recurso em que o detector será executado. Cada módulo personalizado pode especificar até cinco tipos de recursos. |
Gravidade
A gravidade de uma descoberta.
Enums | |
---|---|
SEVERITY_UNSPECIFIED |
Valor padrão. Esse valor não é usado. |
CRITICAL |
Gravidade crítica. |
HIGH |
Alta gravidade. |
MEDIUM |
Média gravidade. |
LOW |
Baixa gravidade. |
OrgPolicyConstraint
Uma restrição de política da organização predefinida.
Representação JSON |
---|
{
"cannedConstraintId": string,
"policyRules": [
{
object ( |
Campos | |
---|---|
canned |
Obrigatório. Um identificador exclusivo para a restrição. |
policy |
Obrigatório. As regras aplicadas pela restrição. |
PolicyRule
Uma regra que define os valores permitidos e negados para uma restrição da política da organização.
Representação JSON |
---|
{ "condition": { object ( |
Campos | |
---|---|
condition |
Uma condição que determina se essa regra é usada para avaliar a política. Quando definido, o campo A função
Por exemplo: A função
Por exemplo: |
Campo de união kind . O tipo de regra que o PolicyRule define. kind pode ser apenas de um dos tipos a seguir: |
|
values |
Os valores permitidos e negados para uma restrição de lista. Válido apenas para restrições de lista. |
allow |
Permite qualquer valor para uma restrição de lista. Válido apenas para restrições de lista. |
deny |
Define se todos os valores de uma restrição de lista serão negados. Válido apenas para restrições de lista. |
enforce |
Define se a restrição será aplicada. Válido apenas para restrições booleanas. |
StringValues
Os valores permitidos e negados para uma restrição de lista.
Para todas as restrições, esses campos podem conter valores literais. Opcionalmente, você pode adicionar o prefixo is:
a esses valores. Se o valor contiver dois-pontos (:
), o prefixo is:
será necessário.
Algumas restrições permitem que você especifique uma parte da hierarquia de recursos, conhecida como subárvore de hierarquia, à qual a restrição se aplica. Para especificar um subárvore de hierarquia, use o prefixo under:
, seguido de um valor com um destes formatos:
projects/{projectId}
(por exemplo,projects/tokyo-rain-123
)folders/{folder_id}
(por exemplo,folders/1234567890123
)organizations/{organization_id}
(por exemplo,organizations/123456789012
)
O campo supportsUnder
de uma restrição indica se é possível especificar um subárvore de hierarquia. Para saber quais restrições predefinidas permitem especificar uma subárvore de hierarquia, consulte a referência de restrições.
Representação JSON |
---|
{ "allowedValues": [ string ], "deniedValues": [ string ] } |
Campos | |
---|---|
allowed |
Os valores permitidos para a restrição. |
denied |
Os valores negados para a restrição. |
OrgPolicyConstraintCustom
Uma restrição de política da organização personalizada.
Representação JSON |
---|
{ "customConstraint": { object ( |
Campos | |
---|---|
custom |
Obrigatório. Metadados da restrição. |
policy |
Obrigatório. As regras aplicadas pela restrição. |
CustomConstraint
Uma restrição personalizada e definida pelo usuário. É possível aplicar a restrição apenas aos tipos de recurso especificados nela e apenas na organização em que ela foi definida.
Quando você cria uma restrição personalizada, ela não é aplicada automaticamente. É necessário usar uma política da organização para aplicar a restrição.
Representação JSON |
---|
{ "name": string, "resourceTypes": [ string ], "methodTypes": [ enum ( |
Campos | |
---|---|
name |
Imutável. O nome da restrição, no formato Precisa conter de 1 a 62 caracteres, excluindo o prefixo |
resource |
Imutável. O tipo de recurso ao qual a restrição se aplica, no formato |
method |
Os tipos de operações a que a restrição se aplica. |
condition |
Uma expressão de condição da Common Expression Language (CEL) que precisa ser avaliada como Exemplo:
|
action |
Se a ação será permitida ou negada. |
display |
Um nome de exibição para a restrição. O tamanho máximo é de 200 caracteres. |
description |
Uma descrição da restrição. O tamanho máximo é de 2.000 caracteres. |
update |
Apenas saída. A última vez em que a restrição foi atualizada ou criada. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
MethodType
Um tipo de operação a que a restrição se aplica.
Se uma restrição se aplica a operações MethodType.UPDATE
, ela também precisa se aplicar a operações MethodType.CREATE
.
Enums | |
---|---|
METHOD_TYPE_UNSPECIFIED |
Valor padrão. Esse valor não é usado. |
CREATE |
Restrição aplicada ao criar o recurso. |
UPDATE |
Restrição aplicada ao atualizar o recurso. |
DELETE |
Incompatível. Restrição aplicada ao excluir o recurso. |
ActionType
Se a ação será permitida ou negada.
Enums | |
---|---|
ACTION_TYPE_UNSPECIFIED |
Valor padrão. Esse valor não é usado. |
ALLOW |
Permita a ação. |
DENY |
Negar a ação. |