Appliquer les recommandations Advisory Notifications

Advisory Notifications fournit des recommandations sur les règles IAM pour vous assurer que les personnes concernées de votre organisation ont accès aux notifications critiques de sécurité et de confidentialité dans la console Google Cloud. Ces recommandations sont générées automatiquement en analysant votre configuration des contacts essentiels et votre stratégie IAM. Suivez ces recommandations pour vous assurer que vos administrateurs de sécurité peuvent recevoir et traiter rapidement les notifications de sécurité.

Fonctionnement des recommandations de notifications d'avertissement

Les recommandations de notifications d'avis surveillent vos contacts essentiels et les configurations de votre stratégie IAM, et vous proposent des recommandations basées sur les données du jour précédent.

Voici quelques-unes des recommandations:

  • Si aucun utilisateur n'est autorisé à afficher les notifications, Advisory Notifications recommande d'accorder l'accès aux personnes concernées de votre organisation.

  • Si un compte principal est listé en tant que contact essentiel de sécurité, mais qu'il n'est pas autorisé à afficher les notifications d'avis dans la console Google Cloud, Advisory Notifications recommande d'accorder à ce compte l'accès. Les recommandations Advisory Notifications ne tiennent pas compte des rôles personnalisés. Si vous accordez une autorisation de principal aux notifications d'avis via un rôle personnalisé, ignorez ou ignorez la recommandation.

Afficher les recommandations Advisory Notifications

Les notifications d'alerte rendent les insights et les recommandations disponibles via l'outil de recommandation à l'aide de Google Cloud CLI, de l'API ou de la fonctionnalité d'exportation BigQuery.

Avant de commencer

Avant de pouvoir afficher les insights et les recommandations, vous devez effectuer les opérations suivantes :

  • Vous devez activer l'API Recommender. Vous n'avez besoin d'activer l'API que sur un seul projet de facturation. Vous pouvez ensuite utiliser ce même projet de facturation pour examiner des recommandations et des insights pour d'autres projets, pour l'ensemble de l'organisation ou pour le compte de facturation, en spécifiant le projet de facturation dans vos commandes gcloud et requêtes API.
  • Assurez-vous de disposer des autorisations requises

Afficher les recommandations

gcloud

Pour afficher vos recommandations, utilisez la commande gcloud recommender recommendations list suivante:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT: format de sortie souhaité. Par exemple, yaml, text et json. Pour connaître toutes les valeurs possibles, consultez Projections. Les valeurs csv, diff, get, table et value requièrent des projections non vides.
  • QUOTA_PROJECT: ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender recommendations list inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights: liste des insights associés.

Vous pouvez également consulter les insights associés à ces recommandations. Pour afficher vos insights, utilisez la commande gcloud recommender insights list ci-dessous.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT: format de sortie souhaité. Par exemple, yaml, text et json. Pour connaître toutes les valeurs possibles, consultez Projections. Les valeurs csv, diff, get, table et value requièrent des projections non vides.
  • QUOTA_PROJECT: ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender insights list inclut les champs suivants :

  • name : nom de la recommandation
  • description: explication de l'insight, dans un format lisible
  • associatedRecommendations: liste des recommandations associées.

Pour en savoir plus, consultez la documentation sur le service de recommandation.

API

Pour afficher vos recommandations, utilisez l'API Recommender avec l'ID de l'outil de recommandation google.cloud.security.GeneralRecommender.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une requête curl. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez la section Fournir des identifiants pour les identifiants par défaut de l'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT: ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights: liste des insights associés.

Pour afficher vos insights, utilisez l'API Recommender avec le type d'insight google.cloud.security.GeneralInsight.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une requête curl. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez la page Fournir les identifiants par défaut des identifiants d'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT: ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedRecommendations: liste des recommandations associées.

Pour en savoir plus, consultez la section Utiliser l'API Recommender.

BigQuery Export

Vous pouvez également exporter les recommandations et les insights de manière groupée vers une table BigQuery. Pour en savoir plus, consultez la documentation sur l'exportation BigQuery.

Suivre les recommandations d'Advisory Notifications

Les sections suivantes fournissent des conseils ciblés sur la façon de suivre les recommandations spécifiques des notifications d'avis. Chaque section correspond à un sous-type de recommandateur pour les notifications d'alerte. La liste suivante indique les sections de votre sous-type d'outil de recommandation.

Accorder l'accès à Advisory Notifications

Cette section vous aide à suivre les recommandations avec le sous-type de recommandateur SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Vous avez reçu cette recommandation, car certains de vos contacts essentiels des catégories "Sécurité" et "Toutes" n'ont pas accès aux notifications d'alerte. Cela signifie que ces contacts reçoivent des notifications par e-mail, mais ne peuvent pas les consulter dans la console Google Cloud.

Nous vous recommandons d'accorder l'accès aux notifications d'avis à chaque contact essentiel plutôt que d'accorder l'accès via des groupes ou des domaines parents. Accorder l'accès à chaque contact essentiel réduit la probabilité que l'accès soit révoqué accidentellement à l'avenir. De plus, vous pouvez utiliser le rôle de lecteur Advisory Notifications auto-documenté pour clarifier la raison de l'existence de la liaison.

Procédez comme suit pour appliquer cette recommandation :

  1. Recherchez tous les contacts essentiels de sécurité au niveau de l'organisation dans votre configuration des contacts essentiels. Il s'agit des contacts des catégories "Sécurité" et "Toutes".

    Accéder aux contacts essentiels

  2. Accordez à chaque contact l'autorisation de consulter les notifications d'alerte sur la page "Administration de la gestion de l'identité et des accès" en lui attribuant le rôle "Lecteur Advisory Notifications" (roles/advisorynotifications.viewer). Consultez Afficher les notifications d'avis pour connaître les autorisations spécifiques requises pour afficher les notifications d'avis.

    Accéder à IAM

Configurer vos lecteurs Advisory Notifications

Cette section vous aide à suivre les recommandations avec le sous-type de recommandateur NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Vous avez reçu cette recommandation, car nous n'avons pas pu identifier de comptes principaux dans votre organisation ayant accès aux notifications d'alerte.

Nous vous recommandons de configurer les contacts essentiels et les notifications d'avis afin de recevoir les notifications critiques de sécurité et de confidentialité.

Procédez comme suit pour appliquer cette recommandation :

  1. Configurez vos contacts essentiels de sécurité au niveau de l'organisation sur la page "Contacts essentiels".

    Accéder aux contacts essentiels

  2. Accordez à chaque contact l'autorisation de consulter les notifications d'alerte en leur attribuant le rôle de lecteur Advisory Notifications (roles/advisorynotifications.viewer) sur la page "Administration de la gestion de l'identité et des accès". Consultez Afficher les notifications d'avis pour connaître les autorisations spécifiques requises pour afficher les notifications d'avis.

    Accéder à IAM

Si vous préférez ne pas utiliser les contacts essentiels, nous vous recommandons tout de même d'accorder des autorisations de consultation des notifications d'alerte aux personnes appropriées de votre organisation, comme un administrateur de sécurité. Accorder des autorisations de visionnage pour les notifications d'avis sans configurer les contacts essentiels ne garantit pas que les parties recevront des notifications par e-mail de la part des notifications d'avis.

Tarifs

Pour en savoir plus sur la tarification, consultez la section Tarifs des outils de recommandation.

Étape suivante