Empfehlungen für Advisory Notifications anwenden

Advisory Notifications enthält IAM-Richtlinienempfehlungen, damit die richtigen Personen in Ihrer Organisation Zugriff auf wichtige Sicherheits- und Datenschutzbenachrichtigungen in der Google Cloud Console haben. Diese Empfehlungen werden automatisch generiert, indem Ihre Konfiguration für wichtige Kontakte und Ihre IAM-Richtlinie analysiert werden. Mit diesen Empfehlungen können Ihre Sicherheitsadministratoren Sicherheitsbenachrichtigungen erhalten und schnell darauf reagieren.

Funktionsweise von Empfehlungen für richtlinienkonforme Benachrichtigungen

Bei Empfehlungen für Benachrichtigungen zur Kontoverwaltung werden Ihre Konfigurationen für wichtige Kontakte und IAM-Richtlinien überwacht und Empfehlungen basierend auf den Daten des Vortags gegeben.

Zu den Empfehlungen gehören:

  • Wenn kein Nutzer die Berechtigung zum Ansehen von Benachrichtigungen hat, wird empfohlen, den entsprechenden Personen in Ihrer Organisation Zugriff zu gewähren.

  • Wenn ein Hauptkonto als wichtiger Kontakt für Sicherheit aufgeführt ist, aber nicht berechtigt ist, sich Beratungsbenachrichtigungen in der Google Cloud Console anzusehen, wird empfohlen, dem Hauptkonto Zugriff zu gewähren. Bei Empfehlungen für Benachrichtigungen werden keine benutzerdefinierten Rollen berücksichtigt. Wenn Sie einem Hauptkonto über eine benutzerdefinierte Rolle die Berechtigung für richtlinienkonforme Benachrichtigungen gewähren, ignorieren oder schließen Sie die Empfehlung einfach.

Empfehlungen für Advisory Notifications ansehen

Mit Benachrichtigungen zu Empfehlungen können Sie Statistiken und Empfehlungen über den Recommender mit der Google Cloud CLI, der API oder der BigQuery-Exportfunktion abrufen.

Hinweise

Bevor Sie sich die Statistiken und Empfehlungen ansehen können, müssen Sie Folgendes tun:

  • Sie müssen die Recommender API aktivieren. Sie müssen die API nur für ein einzelnes Abrechnungsprojekt aktivieren. Sie können dann dasselbe Abrechnungsprojekt mit der gcloud-Funktion „--billing-project“ und API-Anfragen zu Empfehlungen und Informationen für andere Projekte, die gesamte Organisation oder das Abrechnungskonto verwenden.
  • Prüfen, ob Sie die erforderlichen Berechtigungen haben

Empfehlungen abrufen

gcloud

Verwenden Sie den folgenden gcloud recommender recommendations list-Befehl, um Ihre Empfehlungen aufzurufen:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: ist Ihr bevorzugtes Ausgabeformat. Beispiel: yaml, text und json. Alle möglichen Werte finden Sie unter Projektionen. Für die Werte csv, diff, get, table und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: Die ID des Projekts, die für das Kontingent und die Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender recommendations list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: Eine Liste der zugehörigen Statistiken.

Außerdem können Sie sich die zugehörigen Statistiken ansehen. Verwenden Sie den Befehl gcloud recommender insights list unten, um die Statistiken aufzurufen.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: ist Ihr bevorzugtes Ausgabeformat. Beispiel: yaml, text und json. Alle möglichen Werte finden Sie unter Projektionen. Für die Werte csv, diff, get, table und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: die ID des Projekts, die für das Kontingent und die Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender insights list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: eine menschenlesbare Erklärung der Statistik.
  • associatedRecommendations: eine Liste der zugehörigen Empfehlungen.

Weitere Informationen finden Sie in den Dokumenten zu Recommender.

API

Verwenden Sie die Recommender API mit der Recommender-ID google.cloud.security.GeneralRecommender, um Ihre Empfehlungen aufzurufen.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen für eine curl-Anfrage zurückgegeben wird. Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: die ID des Projekts, die für das Kontingent und die Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: Eine Liste der zugehörigen Statistiken.

Verwenden Sie die Recommender API mit dem Insight-Typ google.cloud.security.GeneralInsight, um Ihre Statistiken aufzurufen.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen für eine curl-Anfrage zurückgegeben wird. Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: die ID des Projekts, die für das Kontingent und die Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedRecommendations: eine Liste der zugehörigen Empfehlungen.

Weitere Informationen finden Sie unter Recommender API verwenden.

BigQuery Export

Empfehlungen und Statistiken können auch im Bulk-Verfahren in eine BigQuery-Tabelle exportiert werden. Weitere Informationen finden Sie in der Dokumentation zum BigQuery-Export.

Auf Empfehlungen in Advisory Notifications reagieren

In den folgenden Abschnitten finden Sie gezielte Ratschläge dazu, wie Sie auf bestimmte Empfehlungen in Benachrichtigungen reagieren können. Jeder Abschnitt entspricht einem Untertyp des Empfehlungssystems für Benachrichtigungen. In der folgenden Liste sind die Abschnitte für Ihren Recommender-Untertyp aufgeführt.

Zugriff auf Advisory Notifications gewähren

In diesem Abschnitt erfahren Sie, wie Sie Empfehlungen mit dem Untertyp SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS umsetzen.

Sie erhalten diese Empfehlung, weil einige Ihrer wichtigen Kontakte in den Kategorien „Sicherheit“ und „Alle“ keinen Zugriff auf Warnhinweise haben. Das bedeutet, dass diese Kontakte E-Mail-Benachrichtigungen erhalten, die Benachrichtigung aber nicht in der Google Cloud Console sehen können.

Wir empfehlen, jedem wichtigen Kontakt Zugriff auf Benachrichtigungen zu geben, anstatt den Zugriff über übergeordnete Gruppen oder Domains zu gewähren. Wenn Sie jedem wichtigen Kontakt Zugriff gewähren, ist es weniger wahrscheinlich, dass der Zugriff in Zukunft versehentlich entzogen wird. Außerdem können Sie die selbstdokumentierende Rolle „Betrachter von Advisory Notifications“ verwenden, um zu erläutern, warum die Bindung besteht.

So implementieren Sie diese Empfehlung:

  1. Suchen Sie in Ihrer Konfiguration für wichtige Kontakte nach allen wichtigen Kontakten auf Ebene der Abteilung „Sicherheit“. Das sind die Kontakte in den Kategorien „Sicherheit“ und „Alle“.

    Rufen Sie Wichtige Kontakte auf.

  2. Gewähren Sie jedem Kontakt die Berechtigung, auf der Seite „Identity and Access Management Admin“ (IAM-Administrator) die Rolle „Betrachter von Advisory Notifications“ (roles/advisorynotifications.viewer) zuzuweisen, um sich Advisory Notifications anzusehen. Unter Hinweisbenachrichtigungen ansehen finden Sie Informationen zu den Berechtigungen, die zum Ansehen von Hinweisbenachrichtigungen erforderlich sind.

    IAM aufrufen

„Advisory Notifications Viewer“ konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie Empfehlungen mit dem Untertyp NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS umsetzen.

Sie erhalten diese Empfehlung, weil wir keine natürlichen Personen in Ihrer Organisation mit Zugriff auf Advisory Notifications finden konnten.

Wir empfehlen Ihnen, wichtige Kontakte und Advisory Notifications so zu konfigurieren, dass Sie kritische Sicherheits- und Datenschutzhinweise erhalten.

So implementieren Sie diese Empfehlung:

  1. Konfigurieren Sie die wichtigen Kontakte für die Sicherheit auf Organisationsebene auf der Seite „Wichtige Kontakte“.

    Rufen Sie Wichtige Kontakte auf.

  2. Weisen Sie jedem Kontakt die Rolle „Betrachter von Advisory Notifications“ (roles/advisorynotifications.viewer) auf der Seite „Identity and Access Management Admin“ (IAM-Administrator) zu, damit er sich Advisory Notifications ansehen kann. Unter Hinweisbenachrichtigungen ansehen finden Sie Informationen zu den Berechtigungen, die zum Ansehen von Hinweisbenachrichtigungen erforderlich sind.

    IAM aufrufen

Wenn Sie „Wichtige Kontakte“ nicht verwenden möchten, empfehlen wir Ihnen dennoch, den entsprechenden Personen in Ihrer Organisation, z. B. einem Sicherheitsadministrator, Leseberechtigungen für Advisory Notifications zu erteilen. Wenn Sie Leseberechtigungen für richtlinienbezogene Benachrichtigungen gewähren, ohne „Wichtige Kontakte“ zu konfigurieren, ist nicht garantiert, dass die Parteien E-Mail-Benachrichtigungen von richtlinienbezogenen Benachrichtigungen erhalten.

Preise

Preisinformationen finden Sie unter Recommender-Preise.

Nächste Schritte