Advisory Notifications fornisce consigli sui criteri IAM per garantire che le persone giuste all'interno della tua organizzazione abbiano accesso per visualizzare notifiche critiche sulla sicurezza e sulla privacy nella console Google Cloud. Questi consigli vengono generati automaticamente analizzando la configurazione di Contatti fondamentali e i criteri IAM. Segui questi consigli per assicurarti che gli amministratori della sicurezza possano ricevere e risolvere rapidamente le notifiche di sicurezza.
Come funzionano i consigli di Advisory Notifications
I consigli per le notifiche di consulenza monitorano le configurazioni dei criteri IAM e dei contatti necessari e forniscono consigli in base ai dati del giorno precedente.
I consigli includono quanto segue:
Se nessun utente ha l'autorizzazione per visualizzare le notifiche, Advisory Notifications consiglia di concedere l'accesso alle parti appropriate all'interno della tua organizzazione.
Se un'entità è elencata come contatto necessario per la sicurezza, ma non ha l'autorizzazione per visualizzare le notifiche di avviso nella console Google Cloud, Advisory Notifications consiglia di concedere l'accesso all'entità. I consigli di Advisory Notifications non tengono conto dei ruoli personalizzati. Se concessi un'autorizzazione principale a Notifiche di consulenza tramite un ruolo personalizzato, ignora o ignora il suggerimento.
Visualizzare i consigli per le notifiche di consulenza
Le notifiche di consulenza rendono disponibili approfondimenti e consigli tramite il motore per suggerimenti utilizzando Google Cloud CLI, l'API o la funzionalità di esportazione in BigQuery.
Prima di iniziare
Prima di poter visualizzare gli approfondimenti e i consigli, devi:
- Devi abilitare l'API Recommender. Devi abilitare l'API in un solo progetto di fatturazione. Puoi quindi utilizzare lo stesso progetto di fatturazione per esaminare consigli e approfondimenti per altri progetti, per l'intera organizzazione o per l'account di fatturazione, specificando il progetto di fatturazione nei comandi gcloud e nelle richieste API.
- Assicurati di disporre delle autorizzazioni necessarie
Visualizza i suggerimenti
gcloud
Per visualizzare i consigli, utilizza il seguente comando gcloud recommender recommendations list:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione.FORMAT: il formato di output che preferisci. Ad esempio,yaml,textejson. Per tutti i valori possibili, consulta Proiezioni. I valoricsv,diff,get,tableevaluerichiedono proiezioni non vuote.QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.
L'output del comando gcloud recommender recommendations list include
i seguenti campi:
name: il nome del consiglio.description: una spiegazione leggibile del consiglio.associatedInsights: un elenco di approfondimenti associati.
Puoi anche visualizzare gli approfondimenti associati a questi consigli. Per visualizzare gli approfondimenti, utilizza il comando gcloud recommender insights list riportato di seguito.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione.FORMAT: il formato di output che preferisci. Ad esempio,yaml,textejson. Per tutti i valori possibili, consulta Proiezioni. I valoricsv,diff,get,tableevaluerichiedono proiezioni non vuote.QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.
L'output del comando gcloud recommender insights list include
i seguenti campi:
name: il nome del consiglio.description: una spiegazione leggibile dell'insight.associatedRecommendations: un elenco di consigli associati.
Per saperne di più, consulta la documentazione del motore per suggerimenti.
API
Per visualizzare i tuoi consigli, utilizza l'API Recommender con l'ID recommender google.cloud.security.GeneralRecommender.
Il seguente script bash di esempio utilizza un token di accesso restituito dalle Credenziali predefinite dell'applicazione per una richiesta curl. Per informazioni su come configurare le Credenziali predefinite dell'applicazione, consulta Fornire le credenziali per le Credenziali predefinite dell'applicazione.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione.QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.
La risposta include i seguenti campi:
name: il nome del consiglio.description: una spiegazione leggibile del consiglio.associatedInsights: un elenco di approfondimenti associati.
Per visualizzare gli approfondimenti, utilizza l'API Recommender con il tipo di approfondimento google.cloud.security.GeneralInsight.
Il seguente script bash di esempio utilizza un token di accesso restituito dalle Credenziali predefinite dell'applicazione per una richiesta curl. Per informazioni sulla configurazione delle Credenziali predefinite dell'applicazione, consulta Fornire le credenziali per le Credenziali predefinite dell'applicazione.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione.QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.
La risposta include i seguenti campi:
name: il nome del consiglio.description: una spiegazione leggibile del consiglio.associatedRecommendations: un elenco di consigli associati.
Per ulteriori informazioni, consulta Utilizzo dell'API Recommender.
Esportazione in BigQuery
I suggerimenti e gli approfondimenti possono essere esportati collettivamente anche in una tabella BigQuery. Per maggiori dettagli, consulta la documentazione di BigQuery Export.
Agire in base ai consigli delle notifiche di consulenza
Le seguenti sezioni forniscono consigli mirati su come seguire consigli specifici delle Notifiche di consulenza. Ogni sezione corrisponde a un Sottotipo di consigliatore per le notifiche di avviso. L'elenco seguente indica le sezioni per il tuo sottotipo di consigliatore.
Concedi l'accesso ad Advisory Notifications
Questa sezione ti aiuta a intervenire in base ai consigli con il SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONStipo di consigliatore.
Hai ricevuto questo consiglio perché alcuni dei tuoi contatti necessari nelle categorie Sicurezza e Tutto non hanno accesso alle notifiche di consulenza. Ciò significa che questi contatti ricevono notifiche via email, ma non sono in grado di visualizzarle nella console Google Cloud.
Ti consigliamo di concedere a ogni contatto necessario l'accesso alle notifiche di avviso anziché concedere l'accesso tramite gruppi o domini principali. Se concedi l'accesso a ogni contatto necessario, è meno probabile che l'accesso venga revocato accidentalmente in futuro. Inoltre, puoi utilizzare il ruolo Visualizzatore Notifiche di consulenza autodocumentante per chiarire perché esiste il vincolo.
Per applicare questo consiglio:
Trova tutti i contatti fondamentali per la sicurezza a livello di organizzazione nella configurazione di Contatti necessari. Si tratta dei contatti nelle categorie Sicurezza e Tutto.
Concedi a ogni contatto l'autorizzazione per visualizzare le notifiche di consulenza nella pagina Amministrazione di Identity and Access Management assegnando il ruolo Visualizzatore Notifiche di consulenza (
roles/advisorynotifications.viewer). Per conoscere le autorizzazioni specifiche necessarie per visualizzare le notifiche di consulenza, consulta la sezione Visualizzazione delle notifiche di consulenza.
Configura i visualizzatori di Advisory Notifications
Questa sezione ti aiuta a intervenire in base ai consigli con il NO_VIEWERS_OF_ADVISORY_NOTIFICATIONStipo di consigliatore.
Hai ricevuto questo consiglio perché non è stato possibile identificare alcun principale nella tua organizzazione con accesso alle notifiche di consulenza.
Ti consigliamo di configurare i contatti fondamentali e le notifiche di avviso in modo da essere pronto a ricevere notifiche critiche sulla sicurezza e sulla privacy.
Per applicare questo consiglio:
Configura i contatti fondamentali per la sicurezza a livello di organizzazione nella pagina Contatti fondamentali.
Concedi a ogni contatto l'autorizzazione per visualizzare le notifiche di consulenza assegnandogli il ruolo Visualizzatore notifiche di consulenza (
roles/advisorynotifications.viewer) nella pagina Amministrazione di Identity and Access Management. Per conoscere le autorizzazioni specifiche necessarie per visualizzare le notifiche di consulenza, consulta la sezione Visualizzazione delle notifiche di consulenza.
Se preferisci non utilizzare i contatti fondamentali, ti consigliamo comunque di concedere le autorizzazioni di visualizzazione per le notifiche di consulenza alle parti appropriate all'interno della tua organizzazione, ad esempio un amministratore della sicurezza. La concessione delle autorizzazioni di visualizzazione per le notifiche di avviso senza configurare i contatti necessari non garantisce che le parti ricevano notifiche via email dalle notifiche di avviso.
Prezzi
Per informazioni sui prezzi, consulta Prezzi di Recommender.
Passaggi successivi
- Scopri di più sulle notifiche di avviso.
- Scopri di più sul motore per suggerimenti e sulla sua API