Aplica recomendaciones de Notificaciones de aviso

Las Notificaciones de aviso proporcionan recomendaciones de políticas de IAM para garantizar que las partes correctas de tu organización tengan acceso para ver notificaciones importantes de seguridad y privacidad en la consola de Google Cloud. Estas recomendaciones se generan automáticamente a partir del análisis de tu configuración de Essential Contacts y tu política de IAM. Usa estas recomendaciones para asegurarte de que los administradores de seguridad puedan recibir y abordar rápidamente las notificaciones de seguridad.

Cómo funcionan las recomendaciones de Notificaciones de aviso

Las recomendaciones de las notificaciones de advertencia supervisan tus configuraciones de la política de IAM y de Contactos esenciales, y hacen recomendaciones basadas en los datos del día anterior.

Las recomendaciones incluyen las siguientes:

  • Si ningún usuario tiene permiso para ver las notificaciones, las Notificaciones de aviso recomiendan otorgar acceso a las partes adecuadas de tu organización.

  • Si una persona principal aparece como contacto esencial de seguridad, pero no tiene permiso para ver las Notificaciones de aviso en la consola de Google Cloud, se recomienda otorgarle acceso. Las recomendaciones de las notificaciones de aviso no tienen en cuenta los roles personalizados. Si otorgas un permiso principal a las notificaciones de aviso a través de un rol personalizado, ignora o descarta la recomendación.

Cómo ver las recomendaciones de las Notificaciones de aviso

Las notificaciones de advertencia ponen las estadísticas y las recomendaciones a disposición del Recomendador a través de Google Cloud CLI, la API o la función de exportación de BigQuery.

Antes de comenzar

Antes de que puedas ver las estadísticas y las recomendaciones, debes hacer lo siguiente:

  • Debes habilitar la API de Recommender. Solo necesitas habilitar la API en un proyecto de facturación. Luego, puedes usar este mismo proyecto de facturación para examinar las recomendaciones y estadísticas de otros proyectos, toda la organización o la cuenta de facturación. Para ello, especifica el proyecto de facturación en tus solicitudes a la API y comandos de gcloud.
  • Asegúrate de tener los permisos necesarios

Ver recomendaciones

gcloud

Para ver tus recomendaciones, usa el siguiente comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida que prefieras. Por ejemplo, usa las etiquetas yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender recommendations list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: una explicación legible de la recomendación
  • associatedInsights: Es una lista de estadísticas asociadas.

También puedes ver las estadísticas asociadas a estas recomendaciones. Para ver tus estadísticas, usa el siguiente comando gcloud recommender insights list.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida que prefieras. Por ejemplo, usa las etiquetas yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender insights list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la estadística.
  • associatedRecommendations: Es una lista de recomendaciones asociadas.

Para obtener más información, consulta la documentación sobre Recommender.

API

Para ver tus recomendaciones, usa la API de Recommender con el ID de recomendador google.cloud.security.GeneralRecommender.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación para una solicitud curl. Para obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona credenciales para las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la recomendación
  • associatedInsights: Una lista de estadísticas asociadas.

Para ver tus estadísticas, usa la API de Recommender con el tipo de estadísticas google.cloud.security.GeneralInsight.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación para una solicitud curl. A fin de obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación legible de la recomendación
  • associatedRecommendations: Es una lista de recomendaciones asociadas.

Para obtener más información, consulta Cómo usar la API de Recommender.

Exportación a BigQuery

Las recomendaciones y las estadísticas también se pueden exportar de forma masiva a una tabla de BigQuery. Para obtener más detalles, consulta la documentación de BigQuery Export.

Sigue las recomendaciones de las Notificaciones de aviso

En las siguientes secciones, se proporcionan consejos específicos para actuar en función de recomendaciones específicas de las notificaciones de advertencia. Cada sección corresponde a un subtipo de recomendador de notificaciones de advertencia. En la siguiente lista, se mencionan las secciones de tu subtipo de recomendador.

¿Quieres otorgarle acceso a Notificaciones de aviso?

En esta sección, se te ayuda a implementar las recomendaciones con el subtipo de recomendador SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque algunos de tus Contactos esenciales de las categorías Seguridad y Todos no tienen acceso a las Notificaciones de aviso. Esto significa que estos contactos reciben notificaciones por correo electrónico, pero no pueden verlas en la consola de Google Cloud.

Recomendamos que se otorgue acceso a las notificaciones de advertencia a cada contacto esencial en lugar de otorgar acceso a través de grupos o dominios superiores. Si otorgas acceso a cada contacto esencial, es menos probable que se revoque accidentalmente en el futuro. Además, puedes usar el rol de Visualizador de Notificaciones de aviso con autodocumentación para aclarar por qué existe la vinculación.

Para aplicar esta recomendación, haz lo siguiente:

  1. Busca todos los contactos esenciales de seguridad a nivel de la organización en la configuración de Contactos esenciales. Estos son los contactos de las categorías Seguridad y Todos.

    Ir a Contactos esenciales.

  2. Otórgale a cada contacto permiso para ver las notificaciones de aviso en la página Administrador de Identity and Access Management. Para ello, asígnale el rol de Visualizador de notificaciones de aviso (roles/advisorynotifications.viewer). Consulta Cómo ver las notificaciones de aviso si deseas conocer los permisos específicos necesarios para ver las notificaciones de aviso.

    Ir a IAM

Configura los visualizadores de Notificaciones de aviso

En esta sección, se te ayuda a implementar las recomendaciones con el subtipo de recomendador NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque no pudimos identificar a ningún responsable de tu organización con acceso a las Notificaciones de aviso.

Te recomendamos que configures Contactos esenciales y Notificaciones de aviso para que te prepares para recibir notificaciones importantes de seguridad y privacidad.

Para aplicar esta recomendación, haz lo siguiente:

  1. Configura tus Contactos esenciales de seguridad a nivel de la organización en la página Contactos esenciales.

    Ir a Contactos esenciales.

  2. Para otorgarle a cada contacto permiso para ver las Notificaciones de aviso, asígnale el rol de Visualizador de Notificaciones de aviso (roles/advisorynotifications.viewer) en la página Administrador de la administración de identidades y accesos. Consulta Cómo ver las notificaciones de aviso si deseas conocer los permisos específicos necesarios para ver las notificaciones de aviso.

    Ir a IAM

Si prefieres no usar Contactos esenciales, te recomendamos que otorgues permisos de visualización de las Notificaciones de aviso a las partes adecuadas de tu organización, como un administrador de seguridad. Otorgar permisos de visualización para las Notificaciones de aviso sin configurar Contactos esenciales no garantiza que las partes reciban notificaciones por correo electrónico de las Notificaciones de aviso.

Precios

Para obtener información sobre los precios, consulta Precios del recomendador.

¿Qué sigue?