Empfehlungen für Advisory Notifications anwenden

Advisory Notifications bietet Empfehlungen für IAM-Richtlinien, damit die richtigen Parteien in Ihrer Organisation Zugriff auf wichtige Sicherheits- und Datenschutzbenachrichtigungen in der Google Cloud -Konsole haben. Diese Empfehlungen werden automatisch generiert, indem Ihre Konfiguration für wichtige Kontakte und Ihre IAM-Richtlinie analysiert werden. Mit diesen Empfehlungen können Sie dafür sorgen, dass Ihre Sicherheitsadministratoren Sicherheitsbenachrichtigungen erhalten und schnell darauf reagieren können.

So funktionieren Empfehlungen für Warnhinweisbenachrichtigungen

Bei Empfehlungen für Advisory Notifications werden Ihre wichtigen Kontakte und IAM-Richtlinienkonfigurationen überwacht und Empfehlungen auf Grundlage der Daten des Vortags gegeben.

Die Empfehlungen umfassen Folgendes:

  • Wenn kein Nutzer berechtigt ist, Benachrichtigungen anzusehen, wird in Advisory Notifications empfohlen, den entsprechenden Personen in Ihrer Organisation Zugriff zu gewähren.

  • Wenn ein Hauptkonto als wichtiger Sicherheitskontakt aufgeführt ist, aber keine Berechtigung zum Ansehen von Advisory Notifications in derGoogle Cloud -Konsole hat, wird empfohlen, dem Hauptkonto Zugriff zu gewähren. Bei Empfehlungen für Advisory Notifications werden benutzerdefinierte Rollen nicht berücksichtigt. Wenn Sie einem Hauptkonto über eine benutzerdefinierte Rolle die Berechtigung für Advisory Notifications gewähren, ignorieren oder schließen Sie die Empfehlung.

Empfehlungen in Advisory Notifications ansehen

Mit Advisory Notifications sind Statistiken und Empfehlungen über Recommender mit der Google Cloud CLI, der API oder der BigQuery-Exportfunktion verfügbar.

Hinweise

Bevor Sie sich die Statistiken und Empfehlungen ansehen können, müssen Sie Folgendes tun:

  • Sie müssen die Recommender API aktivieren. Sie müssen die API nur für ein einzelnes Abrechnungsprojekt aktivieren. Sie können dann dasselbe Abrechnungsprojekt verwenden, um Empfehlungen und Informationen zu anderen Projekten, der gesamten Organisation oder dem Abrechnungskonto abzurufen. Geben Sie dazu das Abrechnungsprojekt in Ihren gcloud-Befehlen und API-Anfragen an.
  • Prüfen, ob Sie die erforderlichen Berechtigungen haben

Empfehlungen ansehen

gcloud

Verwenden Sie den folgenden gcloud recommender recommendations list-Befehl, um Ihre Empfehlungen aufzurufen:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: Ihr bevorzugtes Ausgabeformat. Beispiel: yaml, text und json. Alle möglichen Werte finden Sie unter Projections. Für die Werte csv, diff, get, table und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: Die ID des Projekts, das für Kontingente und die Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender recommendations list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: Eine Liste der zugehörigen Statistiken.

Sie können sich auch die zugehörigen Statistiken ansehen. Verwenden Sie den folgenden Befehl gcloud recommender insights list, um Ihre Statistiken aufzurufen.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: Ihr bevorzugtes Ausgabeformat. Beispiel: yaml, text und json. Alle möglichen Werte finden Sie unter Projections. Für die Werte csv, diff, get, table und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: die ID des Projekts, das für Kontingente und die Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender insights list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: Eine menschenlesbare Erklärung der Statistik.
  • associatedRecommendations: Eine Liste der zugehörigen Empfehlungen.

Weitere Informationen finden Sie in den Dokumenten zu Recommender.

API

Wenn Sie Ihre Empfehlungen aufrufen möchten, verwenden Sie die Recommender API mit der Recommender-ID google.cloud.security.GeneralRecommender.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen für eine curl-Anfrage zurückgegeben wird. Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: die ID des Projekts, das für Kontingente und die Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: Eine Liste der zugehörigen Statistiken.

Verwenden Sie die Recommender API mit dem Insight-Typ google.cloud.security.GeneralInsight, um Ihre Insights aufzurufen.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen für eine curl-Anfrage zurückgegeben wird. Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: die ID des Projekts, das für Kontingente und die Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedRecommendations: Eine Liste der zugehörigen Empfehlungen.

Weitere Informationen finden Sie unter Recommender API verwenden.

BigQuery Export

Empfehlungen und Statistiken können auch im Bulk in eine BigQuery-Tabelle exportiert werden. Weitere Informationen finden Sie in der Dokumentation zum BigQuery-Export.

Auf Empfehlungen in Advisory Notifications reagieren

In den folgenden Abschnitten finden Sie gezielte Ratschläge dazu, wie Sie auf bestimmte Empfehlungen in Advisory Notifications reagieren können. Jeder Abschnitt entspricht einem Recommender-Untertyp für Advisory Notifications. In der folgenden Liste sind die Abschnitte für Ihren Recommender-Untertyp aufgeführt.

Zugriff auf Advisory Notifications gewähren

In diesem Abschnitt erfahren Sie, wie Sie Empfehlungen mit dem Recommender-Untertyp SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS umsetzen.

Sie haben diese Empfehlung erhalten, weil einige Ihrer wichtigen Kontakte in den Kategorien „Sicherheit“ und „Alle“ keinen Zugriff auf Advisory Notifications haben. Das bedeutet, dass diese Kontakte E‑Mail-Benachrichtigungen erhalten, die Benachrichtigung aber nicht in der Google Cloud -Konsole aufrufen können.

Wir empfehlen, jedem wichtigen Kontakt Zugriff auf Advisory Notifications zu gewähren, anstatt den Zugriff über übergeordnete Gruppen oder Domains zu gewähren. Wenn Sie jedem wichtigen Kontakt Zugriff gewähren, ist es weniger wahrscheinlich, dass der Zugriff in Zukunft versehentlich widerrufen wird. Außerdem können Sie die selbstdokumentierende Rolle „Betrachter von Advisory Notifications“ verwenden, um zu verdeutlichen, warum die Bindung vorhanden ist.

So implementieren Sie diese Empfehlung:

  1. Alle wichtigen Kontakte auf Organisationsebene finden Sie in Ihrer Konfiguration für wichtige Kontakte. Das sind die Kontakte in den Kategorien „Sicherheit“ und „Alle“.

    Rufen Sie Wichtige Kontakte auf.

  2. Weisen Sie jedem Kontakt die Rolle „Betrachter von Advisory Notifications“ (roles/advisorynotifications.viewer) zu, um ihm die Berechtigung zu erteilen, Advisory Notifications auf der Seite „Identity and Access Management“ (IAM) zu sehen. Unter Advisory Notifications ansehen finden Sie Informationen zu den spezifischen Berechtigungen, die zum Aufrufen von Advisory Notifications erforderlich sind.

    IAM aufrufen

„Advisory Notifications Viewer“ konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie Empfehlungen mit dem Recommender-Untertyp NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS umsetzen.

Sie haben diese Empfehlung erhalten, weil wir in Ihrer Organisation keine Hauptnutzer mit Zugriff auf Advisory Notifications gefunden haben.

Wir empfehlen Ihnen, wichtige Kontakte und Advisory Notifications zu konfigurieren, damit Sie kritische Sicherheits‑ und Datenschutzhinweise erhalten.

So implementieren Sie diese Empfehlung:

  1. Konfigurieren Sie die wichtigen Sicherheitskontakte auf Organisationsebene auf der Seite „Wichtige Kontakte“.

    Rufen Sie Wichtige Kontakte auf.

  2. Weisen Sie jedem Kontakt die Rolle „Betrachter von Advisory Notifications“ (roles/advisorynotifications.viewer) auf der Seite „Identity and Access Management“ zu, damit er Advisory Notifications aufrufen kann. Unter Advisory Notifications ansehen finden Sie Informationen zu den spezifischen Berechtigungen, die zum Aufrufen von Advisory Notifications erforderlich sind.

    IAM aufrufen

Wenn Sie „Wichtige Kontakte“ nicht verwenden möchten, empfehlen wir dennoch, den entsprechenden Personen in Ihrer Organisation, z. B. einem Sicherheitsadministrator, Leseberechtigungen für Advisory Notifications zu gewähren. Wenn Sie die Berechtigung zum Aufrufen von Advisory Notifications erteilen, ohne wichtige Kontakte zu konfigurieren, wird nicht garantiert, dass die entsprechenden Personen E‑Mail-Benachrichtigungen von Advisory Notifications erhalten.

Preise

Preisinformationen finden Sie unter Recommender-Preise.

Nächste Schritte