资源:SecurityProfile
SecurityProfile 是定义多个 ProfileType 之一的行为的资源。下一个 ID:10
| JSON 表示法 |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "etag": string, "labels": { string: string, ... }, "type": enum ( |
| 字段 | |
|---|---|
name |
不可变。标识符。SecurityProfile 资源的名称。它与模式 |
description |
可选。配置文件的说明(可选)。长度上限为 512 个字符。 |
createTime |
仅限输出。资源创建时间戳。 时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例: |
updateTime |
仅限输出。上次资源更新时间戳。 时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例: |
etag |
仅限输出。该校验和由服务器根据其他字段的值计算,并且可能会在更新和删除请求时发送,以确保客户端在继续操作之前具有最新的值。 |
labels |
可选。以键值对形式提供的标签。 包含一系列 |
type |
不可变。SecurityProfile 资源配置的单个 ProfileType。 |
联合字段 profile。SecurityProfile 资源要配置的 ProfileType 的行为。此字段必须与 SecurityProfile 的 ProfileType 对应。profile 只能是下列其中一项: |
|
threatPreventionProfile |
SecurityProfile 的威胁防护配置。 |
customMirroringProfile |
SecurityProfile 的自定义数据包镜像 v2 配置。 |
ThreatPreventionProfile
Threat PreventionProfile 会针对特定威胁签名或严重级别定义操作。
| JSON 表示法 |
|---|
{ "severityOverrides": [ { object ( |
| 字段 | |
|---|---|
severityOverrides[] |
可选。用于按严重级别匹配覆盖威胁操作的配置。 |
threatOverrides[] |
可选。通过 threatId 匹配覆盖威胁操作的配置。如果 severityOverrides 和 threatOverrides 中提供的配置与某一威胁匹配,则应用 threatOverrides 操作。 |
SeverityOverride
定义针对特定严重级别匹配要执行的操作。
| JSON 表示法 |
|---|
{ "severity": enum ( |
| 字段 | |
|---|---|
severity |
必需。要匹配的严重级别。 |
action |
必需。威胁操作覆盖。 |
严重级别
严重级别。
| 枚举 | |
|---|---|
SEVERITY_UNSPECIFIED |
未指定严重级别。 |
INFORMATIONAL |
不会造成直接威胁的可疑事件,但被报告是为了引起人们关注可能存在的更深层次的问题。 |
LOW |
对组织的基础架构影响非常小的警告级威胁。它们通常需要本地或物理系统访问,往往会导致受害者隐私问题和信息泄露。 |
MEDIUM |
轻微威胁,影响最小,没有危害目标或需要攻击者与受害者驻留在同一本地网络的漏洞,仅影响非标准配置或模糊应用程序,或者提供非常有限的访问。 |
HIGH |
能够变得关键性但具有缓解因素的威胁;例如,它们可能很难被利用、不会带来更高的特权,或者没有庞大的受害者池。 |
CRITICAL |
严重的威胁(例如影响广泛部署的软件的默认安装)会导致服务器的根遭到入侵,并且攻击者广泛地接触到利用代码。攻击者通常不需要任何特殊的受害者身份验证凭据或信息,并且无需操纵目标以执行任何特殊功能。 |
ThreatAction
威胁操作覆盖。
| 枚举 | |
|---|---|
THREAT_ACTION_UNSPECIFIED |
未指定威胁操作。 |
DEFAULT_ACTION |
执行默认操作(由供应商指定)。 |
ALLOW |
系统将允许传输与此规则匹配的数据包。 |
ALERT |
系统将允许传输与此规则匹配的数据包,但会向使用方项目发送一个 threat_log 条目。 |
DENY |
系统会丢弃与此规则匹配的数据包,并将一个 threat_log 条目发送到使用方项目。 |
ThreatOverride
定义针对特定 threatId 匹配要执行的操作。
| JSON 表示法 |
|---|
{ "threatId": string, "type": enum ( |
| 字段 | |
|---|---|
threatId |
必需。要覆盖的威胁的供应商特定 ID。 |
type |
仅限输出。威胁的类型(只读)。 |
action |
必需。威胁操作覆盖。对于某些威胁类型,只有部分操作适用。 |
ThreatType
威胁类型。
| 枚举 | |
|---|---|
THREAT_TYPE_UNSPECIFIED |
未指定威胁类型。 |
UNKNOWN |
威胁类型不能通过威胁 ID 得到。系统会为所有类型创建一个替换值。防火墙会忽略在特定类型中不存在的已替换签名 ID。 |
VULNERABILITY |
与攻击者可能会试图利用的系统缺陷相关的威胁。 |
ANTIVIRUS |
在可执行文件和文件类型中发现的与病毒和恶意软件相关的威胁。 |
SPYWARE |
与命令和控制 (C2) 活动相关的威胁,其中受感染客户端上的间谍软件在未经用户同意和/或与远程攻击者通信的情况下收集数据。 |
DNS |
与 DNS 相关的威胁。 |
CustomMirroringProfile
CustomMirroringProfile 定义了将流量镜像到收集器 EndpointGroup 的操作
| JSON 表示法 |
|---|
{ "mirroringEndpointGroup": string } |
| 字段 | |
|---|---|
mirroringEndpointGroup |
必需。应该将与 SP 关联的流量镜像到的 MirroringEndpointGroup。 |
ProfileType
SecurityProfile 资源可以配置的可能类型。
| 枚举 | |
|---|---|
PROFILE_TYPE_UNSPECIFIED |
未指定配置文件类型。 |
THREAT_PREVENTION |
威胁防护的配置文件类型。 |
CUSTOM_MIRRORING |
数据包镜像 v2 的配置文件类型 |
方法 |
|
|---|---|
|
在指定的组织和位置创建新的 SecurityProfile。 |
|
删除单个 SecurityProfile。 |
|
获取单个 SecurityProfile 的详细信息。 |
|
列出给定组织和位置中的 SecurityProfile。 |
|
更新单个 SecurityProfile 的参数。 |