Aplica recomendaciones de Notificaciones de aviso

Las Notificaciones de aviso proporcionan recomendaciones sobre políticas de IAM para garantizar que las partes correctas de tu organización tengan acceso para ver notificaciones importantes de seguridad y privacidad en la consola de Google Cloud . Estas recomendaciones se generan automáticamente analizando tu configuración de Essential Contacts y tu política de IAM. Usa estas recomendaciones para asegurarte de que tus administradores de seguridad puedan recibir y abordar rápidamente las notificaciones de seguridad.

Cómo funcionan las recomendaciones de las Notificaciones de asesoramiento

Las recomendaciones de las Notificaciones de aviso supervisan tus contactos esenciales y la configuración de políticas de IAM, y hacen recomendaciones basadas en los datos del día anterior.

Las recomendaciones incluyen lo siguiente:

  • Si ningún usuario tiene permiso para ver las notificaciones, las Notificaciones de aviso recomiendan otorgar acceso a las partes correspondientes de tu organización.

  • Si un principal aparece como contacto esencial de seguridad, pero no tiene permiso para ver las Notificaciones de aviso en la consola deGoogle Cloud , las Notificaciones de aviso recomiendan otorgarle acceso. Las recomendaciones de las Notificaciones de aviso no tienen en cuenta los roles personalizados. Si le otorgas permiso a una principal para acceder a las Notificaciones de aviso a través de un rol personalizado, descarta o rechaza la recomendación.

Cómo ver las recomendaciones de las Notificaciones de aviso

Notificaciones de aviso ponen a disposición estadísticas y recomendaciones a través del Recomendador con Google Cloud CLI, la API o la función de exportación de BigQuery.

Antes de comenzar

Antes de que puedas ver las estadísticas y las recomendaciones, debes hacer lo siguiente:

  • Debes habilitar la API de Recommender. Solo necesitas habilitar la API en un proyecto de facturación. Luego, puedes usar este mismo proyecto de facturación para examinar las recomendaciones y estadísticas de otros proyectos, toda la organización o la cuenta de facturación. Para ello, especifica el proyecto de facturación en tus comandos de gcloud y solicitudes a la API.
  • Asegúrate de tener los permisos necesarios

Ver recomendaciones

gcloud

Para ver tus recomendaciones, usa el siguiente comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida que prefieras. Por ejemplo, yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender recommendations list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: una explicación legible de la recomendación
  • associatedInsights: Es una lista de estadísticas asociadas.

También puedes ver las estadísticas asociadas a estas recomendaciones. Para ver tus estadísticas, usa el siguiente comando gcloud recommender insights list.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida que prefieras. Por ejemplo, yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender insights list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la estadística.
  • associatedRecommendations: Es una lista de recomendaciones asociadas.

Para obtener más información, consulta la documentación sobre Recommender.

API

Para ver tus recomendaciones, usa la API del Recomendador con el ID del recomendador google.cloud.security.GeneralRecommender.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación para una solicitud curl. Para obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona credenciales para las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la recomendación
  • associatedInsights: Es una lista de estadísticas asociadas.

Para ver tus estadísticas, usa la API del Recomendador con el tipo de estadística google.cloud.security.GeneralInsight.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación para una solicitud curl. A fin de obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la recomendación
  • associatedRecommendations: Es una lista de recomendaciones asociadas.

Para obtener más información, consulta Cómo usar la API de Recommender.

Exportación a BigQuery

Las recomendaciones y las estadísticas también se pueden exportar de forma masiva a una tabla de BigQuery. Para obtener más detalles, consulta la documentación de BigQuery Export.

Toma medidas en función de las recomendaciones de las Notificaciones de aviso

En las siguientes secciones, se proporcionan sugerencias específicas para aplicar las recomendaciones de las Notificaciones de aviso. Cada sección corresponde a un subtipo de recomendador de las Notificaciones de aviso. En la siguiente lista, se mencionan las secciones de tu subtipo de recomendador.

¿Quieres otorgarle acceso a Notificaciones de aviso?

En esta sección, se te ayuda a implementar las recomendaciones con el subtipo de recomendador SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque algunos de tus contactos esenciales en las categorías Seguridad y Todas no tienen acceso a las Notificaciones de aviso. Esto significa que estos contactos reciben notificaciones por correo electrónico, pero no pueden verlas en la consola de Google Cloud .

Te recomendamos que se les otorgue acceso a las Notificaciones de aviso a cada contacto esencial en lugar de otorgar acceso a través de grupos o dominios principales. Otorgar acceso a cada contacto esencial reduce la probabilidad de que el acceso se revoque accidentalmente en el futuro. Además, puedes usar el rol de visualizador de notificaciones de aviso con documentación propia para aclarar por qué existe la vinculación.

Para aplicar esta recomendación, haz lo siguiente:

  1. Encuentra todos los contactos esenciales de seguridad a nivel de la organización en la configuración de Contactos esenciales. Estos son los contactos de las categorías Seguridad y Todas.

    Ir a Contactos esenciales.

  2. Otorga a cada contacto permiso para ver las Notificaciones de aviso en la página de administrador de Identity and Access Management asignándole el rol de visualizador de Notificaciones de aviso (roles/advisorynotifications.viewer). Consulta cómo ver las Notificaciones de aviso si deseas conocer los permisos específicos que se requieren para verlas.

    Ir a IAM

Configura los visualizadores de Notificaciones de aviso

En esta sección, se te ayuda a implementar las recomendaciones con el subtipo de recomendador NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque no pudimos identificar a ningún principal de tu organización con acceso a las Notificaciones de aviso.

Te recomendamos que configures los Contactos esenciales y las Notificaciones de aviso para que estés preparado para recibir notificaciones críticas de seguridad y privacidad.

Para aplicar esta recomendación, haz lo siguiente:

  1. Configura los contactos esenciales de seguridad a nivel de la organización en la página Contactos esenciales.

    Ir a Contactos esenciales.

  2. Otorga a cada contacto permiso para ver las Notificaciones de aviso asignándole el rol de visualizador de Notificaciones de aviso (roles/advisorynotifications.viewer) en la Página de administrador de Identity and Access Management. Consulta cómo ver las Notificaciones de aviso si deseas conocer los permisos específicos que se requieren para verlas.

    Ir a IAM

Si prefieres no usar los contactos esenciales, te recomendamos que otorgues permisos de visualización para las notificaciones de aviso a las partes correspondientes de tu organización, como un administrador de seguridad. Si otorgas permisos de visualización para las Notificaciones de aviso sin configurar los contactos esenciales, no se garantiza que las partes reciban notificaciones por correo electrónico de las Notificaciones de aviso.

Precios

Para obtener información sobre los precios, consulta Precios del recomendador.

¿Qué sigue?