Notificaciones de asesoramiento proporciona recomendaciones de políticas de gestión de identidades y accesos para asegurarse de que las partes interesadas de tu organización tengan acceso a las notificaciones críticas de seguridad y privacidad en la Google Cloud consola. Estas recomendaciones se generan automáticamente analizando la configuración de tus contactos esenciales y tu política de gestión de identidades y accesos. Sigue estas recomendaciones para asegurarte de que tus administradores de seguridad puedan recibir y abordar rápidamente las notificaciones de seguridad.
Cómo funcionan las recomendaciones de las notificaciones de asesoramiento
Las recomendaciones de Notificaciones de asesoramiento monitorizan las configuraciones de Contactos esenciales y de políticas de gestión de identidades y accesos, y hacen recomendaciones basadas en los datos del día anterior.
Las recomendaciones incluyen lo siguiente:
Si ningún usuario tiene permiso para ver las notificaciones, Notificaciones informativas recomienda conceder acceso a las partes correspondientes de tu organización.
Si un principal figura como contacto esencial de seguridad, pero no tiene permiso para ver las notificaciones de asesoramiento en la consolaGoogle Cloud , se recomienda concederle acceso. Las recomendaciones de las notificaciones informativas no tienen en cuenta los roles personalizados. Si vas a conceder a un principal permiso para recibir notificaciones de asesoramiento a través de un rol personalizado, ignora o rechaza la recomendación.
Ver recomendaciones de notificaciones de asesoramiento
Notificaciones de asesoramiento pone a tu disposición información valiosa y recomendaciones a través de Recomendador mediante la CLI de Google Cloud, la API o la función de exportación de BigQuery.
Antes de empezar
Para poder ver las estadísticas y las recomendaciones, debes hacer lo siguiente:
- Debe habilitar la API Recommender. Solo tienes que habilitar la API en un proyecto de facturación. Después, puedes usar el mismo proyecto de facturación para consultar recomendaciones y estadísticas de otros proyectos, de toda la organización o de la cuenta de facturación. Para ello, especifica el proyecto de facturación en los comandos de gcloud y en las solicitudes a la API.
- Asegúrate de que tienes los permisos necesarios
Ver recomendaciones
gcloud
Para ver tus recomendaciones, usa el siguiente comando gcloud recommender recommendations list:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización.FORMAT: el formato de salida que prefieras. Por ejemplo,yaml,textyjson. Para ver todos los valores posibles, consulta Proyecciones. Los valorescsv,diff,get,tableyvaluerequieren projections no vacías.QUOTA_PROJECT: ID del proyecto que se usará para la cuota y la facturación.
El resultado del comando gcloud recommender recommendations list incluye los siguientes campos:
name: el nombre de la recomendación.description: una explicación de la recomendación que sea legible por humanos.associatedInsights: una lista de estadísticas asociadas.
También puedes ver las estadísticas asociadas a estas recomendaciones. Para ver tus estadísticas, usa el comando gcloud recommender insights list
que aparece abajo.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización.FORMAT: el formato de salida que prefieras. Por ejemplo,yaml,textyjson. Para ver todos los valores posibles, consulta Proyecciones. Los valorescsv,diff,get,tableyvaluerequieren projections no vacías.QUOTA_PROJECT: el ID del proyecto que se usará para la cuota y la facturación.
El resultado del comando gcloud recommender insights list incluye los siguientes campos:
name: el nombre de la recomendación.description: una explicación de la estadística que se pueda leer.associatedRecommendations: lista de recomendaciones asociadas.
Para obtener más información, consulta la documentación de Recommender.
API
Para ver tus recomendaciones, usa la API Recommender con el ID de recomendador google.cloud.security.GeneralRecommender.
En el siguiente ejemplo de secuencia de comandos de Bash se usa un token de acceso devuelto por Credenciales predeterminadas de la aplicación para una solicitud curl. Para obtener información sobre cómo configurar las credenciales predeterminadas de la aplicación, consulta Proporcionar credenciales para las credenciales predeterminadas de la aplicación.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización.QUOTA_PROJECT: el ID del proyecto que se usará para la cuota y la facturación.
La respuesta incluye los siguientes campos:
name: el nombre de la recomendación.description: explicación de la recomendación legible por humanos.associatedInsights: una lista de estadísticas asociadas.
Para ver tus estadísticas, usa la API Recommender con el tipo de estadística google.cloud.security.GeneralInsight.
En el siguiente ejemplo de secuencia de comandos de Bash se usa un token de acceso devuelto por Credenciales predeterminadas de la aplicación para una solicitud curl. Para obtener información sobre cómo configurar las credenciales predeterminadas de la aplicación, consulta Proporcionar credenciales para las credenciales predeterminadas de la aplicación.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización.QUOTA_PROJECT: el ID del proyecto que se usará para la cuota y la facturación.
La respuesta incluye los siguientes campos:
name: el nombre de la recomendación.description: explicación de la recomendación legible por humanos.associatedRecommendations: lista de recomendaciones asociadas.
Para obtener más información, consulta Usar la API Recommender.
Exportación a BigQuery
Las recomendaciones y las estadísticas también se pueden exportar en bloque a una tabla de BigQuery. Para obtener más información, consulta la documentación de BigQuery Export.
Aplicar las recomendaciones de Notificaciones de Asesoramiento
En las secciones siguientes se ofrecen consejos específicos sobre cómo actuar en función de las recomendaciones de las notificaciones de asesoramiento. Cada sección corresponde a un subtipo de recomendación de las notificaciones de asesoramiento. En la siguiente lista se mencionan las secciones de tu subtipo de recomendación.
Conceder acceso a las notificaciones de asesoramiento
Esta sección te ayuda a aplicar las recomendaciones con el SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS subtipo de recomendación.
Te hacemos esta recomendación porque algunos de tus contactos esenciales de las categorías Seguridad y Todos no tienen acceso a las notificaciones de asesoramiento. Esto significa que estos contactos reciben notificaciones por correo, pero no pueden verlas en la consola de Google Cloud .
Recomendamos que se conceda acceso a las notificaciones informativas a cada contacto esencial en lugar de hacerlo a través de grupos o dominios principales. Si das acceso a cada contacto esencial, es menos probable que se revoque el acceso por error en el futuro. Además, puede usar el rol Lector de notificaciones de asesoramiento, que se documenta automáticamente, para aclarar por qué existe la vinculación.
Para aplicar esta recomendación, sigue estos pasos:
Encuentra todos los contactos esenciales de seguridad de la organización en tu configuración de Essential Contacts. Estos son los contactos de las categorías Seguridad y Todos.
Concede a cada contacto permiso para ver las notificaciones de asesoramiento en la página de administrador de Gestión de Identidades y Accesos asignándoles el rol Visor de notificaciones de asesoramiento (
roles/advisorynotifications.viewer). Consulta la sección Ver notificaciones de aviso si quieres saber qué permisos específicos se necesitan para ver las notificaciones de aviso.
Configurar los lectores de tus notificaciones informativas
Esta sección te ayuda a aplicar las recomendaciones con el NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS subtipo de recomendación.
Ha recibido esta recomendación porque no hemos podido identificar a ningún principal de su organización que tenga acceso a las notificaciones de asesoramiento.
Te recomendamos que configures Contactos esenciales y Notificaciones de asesoramiento para estar preparado para recibir notificaciones importantes sobre seguridad y privacidad.
Para aplicar esta recomendación, sigue estos pasos:
Configura los contactos esenciales de seguridad de tu organización en la página Contactos esenciales.
Concede a cada contacto permiso para ver las notificaciones de asesoramiento asignándole el rol Visor de notificaciones de asesoramiento (
roles/advisorynotifications.viewer) en la página de administrador de gestión de identidades y accesos. Consulta la sección Ver notificaciones de aviso si quieres saber qué permisos específicos se necesitan para ver las notificaciones de aviso.
Si prefieres no usar Contactos esenciales, te recomendamos que concedas permisos de lectura de las notificaciones de asesoramiento a las partes correspondientes de tu organización, como un administrador de seguridad. Si se conceden permisos de lectura para las notificaciones de asesoramiento sin configurar los contactos esenciales, no se garantiza que las partes reciban notificaciones por correo de las notificaciones de asesoramiento.
Precios
Para obtener información sobre los precios, consulta los precios de Recommender.
Siguientes pasos
- Consulta más información sobre las notificaciones informativas.
- Consulta más información sobre Recommender y su API.