Appliquer les recommandations Advisory Notifications

Advisory Notifications fournit des recommandations concernant les règles IAM pour s'assurer que les membres appropriés de votre organisation ont accès aux notifications critiques de sécurité et de confidentialité dans la console Google Cloud . Ces recommandations sont générées automatiquement en analysant votre configuration des contacts essentiels et votre stratégie IAM. Suivez ces recommandations pour vous assurer que vos administrateurs de la sécurité peuvent recevoir et traiter rapidement les notifications de sécurité.

Fonctionnement des recommandations de notifications consultatives

Les recommandations de Advisory Notifications d'avertissement surveillent vos contacts essentiels et vos configurations de stratégies IAM. Elles sont basées sur les données de la veille.

Voici quelques exemples de recommandations :

  • Si aucun utilisateur n'est autorisé à afficher les notifications, Advisory Notifications recommande d'accorder l'accès aux parties concernées de votre organisation.

  • Si un compte principal est listé comme contact essentiel pour la sécurité, mais n'est pas autorisé à consulter les notifications consultatives dans la consoleGoogle Cloud , Advisory Notifications recommande de lui accorder l'accès. Les recommandations de Advisory Notifications ne tiennent pas compte des rôles personnalisés. Si vous accordez à un compte principal l'autorisation d'accéder à Advisory Notifications via un rôle personnalisé, ignorez ou fermez la recommandation.

Afficher les recommandations de notifications consultatives

Advisory Notifications mettent à disposition des insights et des recommandations via l'outil de recommandation à l'aide de Google Cloud CLI, de l'API ou de la fonctionnalité BigQuery Export.

Avant de commencer

Avant de pouvoir afficher les insights et les recommandations, vous devez effectuer les opérations suivantes :

  • Vous devez activer l'API Recommender. Vous n'avez besoin d'activer l'API que sur un seul projet de facturation. Vous pouvez ensuite utiliser ce même projet de facturation pour examiner des recommandations et des insights pour d'autres projets, pour l'ensemble de l'organisation ou pour le compte de facturation, en spécifiant le projet de facturation dans vos commandes gcloud et vos requêtes API.
  • Assurez-vous de disposer des autorisations requises.

Afficher les recommandations

gcloud

Pour afficher vos recommandations, utilisez la commande gcloud recommender recommendations list suivante :

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT : format de sortie souhaité. Par exemple, yaml, text et json. Pour connaître toutes les valeurs possibles, consultez Projections. Les valeurs csv, diff, get, table et value requièrent des projections non vides.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender recommendations list inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights : liste des insights associés.

Vous pouvez également consulter les insights associés à ces recommandations. Pour afficher vos insights, utilisez la commande gcloud recommender insights list ci-dessous.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT : format de sortie souhaité. Par exemple, yaml, text et json. Pour connaître toutes les valeurs possibles, consultez Projections. Les valeurs csv, diff, get, table et value requièrent des projections non vides.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender insights list inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de l'insight, dans un format lisible.
  • associatedRecommendations : liste des recommandations associées.

Pour en savoir plus, consultez la documentation sur le service de recommandation.

API

Pour afficher vos recommandations, utilisez l'API Recommender avec l'ID de l'outil de recommandation google.cloud.security.GeneralRecommender.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une requête curl. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez Fournir des identifiants aux identifiants par défaut de l'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights : liste des insights associés.

Pour afficher vos insights, utilisez l'API Recommender avec le type d'insight google.cloud.security.GeneralInsight.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une requête curl. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez la page Fournir les identifiants par défaut des identifiants d'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedRecommendations : liste des recommandations associées.

Pour en savoir plus, consultez Utiliser l'API Recommender.

BigQuery Export

Vous pouvez également exporter les recommandations et les insights de manière groupée vers une table BigQuery. Pour en savoir plus, consultez la documentation sur l'exportation BigQuery.

Mettre en œuvre les recommandations d'Advisory Notifications

Les sections suivantes fournissent des conseils ciblés sur la façon d'agir en fonction des recommandations spécifiques de Advisory Notifications#39;avertissement. Chaque section correspond à un sous-type de recommandation de Advisory Notifications d'information. La liste suivante mentionne les sections de votre sous-type d'outil de recommandation.

Accorder l'accès à Advisory Notifications

Cette section vous aide à appliquer les recommandations associées au sous-type d'outil de recommandation SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Cette recommandation s'affiche, car certains de vos contacts essentiels dans les catégories "Sécurité" et "Toutes" n'ont pas accès à Advisory Notifications. Cela signifie que ces contacts reçoivent des notifications par e-mail, mais ne peuvent pas les consulter dans la console Google Cloud .

Nous vous recommandons d'accorder à chaque contact essentiel l'accès à Advisory Notifications plutôt que par le biais de groupes ou de domaines parents. En accordant l'accès à chaque contact essentiel, vous réduisez le risque que l'accès soit révoqué accidentellement à l'avenir. De plus, vous pouvez utiliser le rôle de lecteur Advisory Notifications, qui est auto-documenté, pour comprendre pourquoi la liaison existe.

Procédez comme suit pour appliquer cette recommandation :

  1. Retrouvez tous les contacts essentiels de sécurité au niveau de l'organisation dans votre configuration des contacts essentiels. Il s'agit des contacts des catégories "Sécurité" et "Toutes".

    Accéder aux contacts essentiels.

  2. Accordez à chaque contact l'autorisation d'afficher les notifications consultatives sur la page "Identity and Access Managementquot; en lui attribuant le rôle Lecteur Advisory Notifications (roles/advisorynotifications.viewer). Consultez Afficher les notifications d'information si vous souhaitez connaître les autorisations spécifiques requises pour afficher Advisory Notifications d'information.

    Accéder à IAM

Configurer vos lecteurs Advisory Notifications

Cette section vous aide à appliquer les recommandations associées au sous-type d'outil de recommandation NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Vous avez reçu cette recommandation, car nous n'avons pas pu identifier de comptes principaux dans votre organisation ayant accès à Advisory Notifications.

Nous vous recommandons de configurer les contacts essentiels et Advisory Notifications afin d'être prêt à recevoir les notifications critiques concernant la sécurité et la confidentialité.

Procédez comme suit pour appliquer cette recommandation :

  1. Configurez vos contacts essentiels pour la sécurité au niveau de l'organisation sur la page "Contacts essentiels".

    Accéder aux contacts essentiels.

  2. Accordez à chaque contact l'autorisation d'afficher les notifications en lui attribuant le rôle Lecteur Advisory Notifications (roles/advisorynotifications.viewer) sur la page "Administrateur" du Identity and Access Management. Consultez Afficher les notifications d'information si vous souhaitez connaître les autorisations spécifiques requises pour afficher Advisory Notifications d'information.

    Accéder à IAM

Si vous préférez ne pas utiliser les contacts essentiels, nous vous recommandons tout de même d'accorder des droits d'accès à Advisory Notifications aux personnes appropriées de votre organisation, comme un administrateur de la sécurité. Accorder des autorisations de lecture pour Advisory Notifications sans configurer les contacts essentiels ne garantit pas que les parties reçoivent des notifications par e-mail de la part de Advisory Notifications.

Tarifs

Pour en savoir plus sur la tarification, consultez la page Tarifs de l'outil de recommandation.

Étapes suivantes