Applicare i consigli di Advisory Notifications

Notifiche di consulenza fornisce consigli sui criteri IAM per garantire che le parti giuste all'interno della tua organizzazione abbiano accesso alla visualizzazione delle notifiche critiche sulla sicurezza e sulla privacy nella console Google Cloud . Questi consigli vengono generati automaticamente analizzando la configurazione dei contatti fondamentali e i criteri IAM. Utilizza questi consigli per assicurarti che gli amministratori della sicurezza possano ricevere e gestire rapidamente le notifiche di sicurezza.

Come funzionano i consigli delle notifiche di avviso

I consigli Notifiche di consulenza monitorano le configurazioni dei contatti necessari e dei criteri IAM e forniscono consigli in base ai dati del giorno precedente.

I consigli includono:

  • Se nessun utente è autorizzato a visualizzare le notifiche, Notifiche di consulenza consiglia di concedere l'accesso alle parti appropriate all'interno della tua organizzazione.

  • Se un'entità è elencata come contatto fondamentale per la sicurezza, ma non ha l'autorizzazione per visualizzare Notifiche di consulenza nella consoleGoogle Cloud , Notifiche di consulenza consiglia di concedere l'accesso all'entità. I suggerimenti di Notifiche di consulenza non tengono conto dei ruoli personalizzati. Se concedi a un'entità l'autorizzazione per le notifiche di consulenza tramite un ruolo personalizzato, ignora o chiudi il suggerimento.

Visualizzare i suggerimenti delle Notifiche di consulenza

Notifiche di consulenza rendono disponibili insight e suggerimenti tramite il motore per suggerimenti utilizzando Google Cloud CLI, l'API o la funzionalità di esportazione BigQuery.

Prima di iniziare

Prima di poter visualizzare gli approfondimenti e i consigli, devi:

  • Devi abilitare l'API Recommender. Devi abilitare l'API solo in un progetto di fatturazione. Puoi quindi utilizzare lo stesso progetto di fatturazione per esaminare consigli e approfondimenti per altri progetti, l'intera organizzazione o l'account di fatturazione, specificando il progetto di fatturazione nei comandi gcloud e nelle richieste API.
  • Assicurati di disporre delle autorizzazioni necessarie

Visualizza i suggerimenti

gcloud

Per visualizzare i suggerimenti, utilizza il seguente comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • FORMAT: il formato di output che preferisci Ad esempio, yaml, text e json. Per tutti i valori possibili, vedi Proiezioni. I valori csv, diff, get, table e value richiedono proiezioni non vuote.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

L'output del comando gcloud recommender recommendations list include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedInsights: un elenco di insight associati.

Puoi anche visualizzare gli approfondimenti associati a questi consigli. Per visualizzare gli approfondimenti, utilizza il comando gcloud recommender insights list di seguito.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • FORMAT: il formato di output che preferisci Ad esempio, yaml, text e json. Per tutti i valori possibili, vedi Proiezioni. I valori csv, diff, get, table e value richiedono proiezioni non vuote.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

L'output del comando gcloud recommender insights list include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione dell'insight leggibile da una persona.
  • associatedRecommendations: un elenco di suggerimenti associati.

Per saperne di più, consulta la documentazione del motore per suggerimenti.

API

Per visualizzare i suggerimenti, utilizza l'API Recommender con l'ID motore per suggerimenti google.cloud.security.GeneralRecommender.

Il seguente script bash di esempio utilizza un token di accesso restituito da Application Default Credentials, per una richiesta curl. Per informazioni su come configurare le credenziali predefinite dell'applicazione, consulta Fornire credenziali per le credenziali predefinite dell'applicazione.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

La risposta include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedInsights: un elenco di insight associati.

Per visualizzare gli insight, utilizza l'API Recommender con il tipo di insight google.cloud.security.GeneralInsight.

Il seguente script bash di esempio utilizza un token di accesso restituito da Application Default Credentials, per una richiesta curl. Per informazioni su come configurare le credenziali predefinite dell'applicazione, consulta Fornire credenziali per le credenziali predefinite dell'applicazione.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

La risposta include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedRecommendations: un elenco di suggerimenti associati.

Per saperne di più, consulta Utilizzo dell'API Recommender.

Esportazione in BigQuery

I suggerimenti e gli approfondimenti possono anche essere esportati collettivamente in una tabella BigQuery. Per maggiori dettagli, consulta la documentazione di BigQuery Export.

Agisci in base ai consigli di Notifiche di consulenza

Le seguenti sezioni forniscono consigli mirati su come agire in base a raccomandazioni specifiche delle notifiche di consulenza. Ogni sezione corrisponde a un sottotipo di sistema di raccomandazione di Notifiche di consulenza. Il seguente elenco indica le sezioni per il sottotipo di consiglio.

Concedi l'accesso ad Advisory Notifications

Questa sezione ti aiuta a intervenire in base ai consigli con il SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS sottotipo di consiglio.

Hai ricevuto questo consiglio perché alcuni dei tuoi contatti necessari nelle categorie Sicurezza e Tutto non hanno accesso ad Notifiche di consulenza. Ciò significa che questi contatti ricevono notifiche via email, ma non possono visualizzare la notifica nella console Google Cloud .

Ti consigliamo di concedere a ogni contatto essenziale l'accesso a Notifiche di consulenzai anziché concedere l'accesso tramite gruppi o domini principali. Se concedi l'accesso a ogni contatto fondamentale, è meno probabile che l'accesso venga revocato accidentalmente in futuro. Inoltre, puoi utilizzare il ruolo Visualizzatore Notifiche di consulenza con documentazione automatica per chiarire il motivo per cui esiste il binding.

Per applicare questo consiglio:

  1. Trova tutti i contatti fondamentali per la sicurezza a livello di organizzazione nella configurazione dei contatti fondamentali. Questi sono i contatti nelle categorie Sicurezza e Tutto.

    Vai alla pagina Contatti fondamentali.

  2. Concedi a ogni contatto l'autorizzazione per visualizzare le notifiche di consulenza nella pagina Amministrazione di Identity and Access Management assegnando il ruolo Visualizzatore Advisory Notifications (roles/advisorynotifications.viewer). Consulta la sezione Visualizzazione delle notifiche di consulenza se vuoi conoscere le autorizzazioni specifiche necessarie per visualizzare le notifiche di consulenza.

    Vai a IAM

Configura i visualizzatori di Advisory Notifications

Questa sezione ti aiuta a intervenire in base ai consigli con il NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS sottotipo di consiglio.

Hai ricevuto questo consiglio perché non siamo riusciti a identificare alcun principal nella tua organizzazione con accesso alle notifiche di consulenza.

Ti consigliamo di configurare i contatti fondamentali e Notifiche di consulenza in modo da essere pronto a ricevere notifiche critiche relative a sicurezza e privacy.

Per applicare questo consiglio:

  1. Configura i contatti fondamentali per la sicurezza a livello di organizzazione nella pagina Contatti fondamentali.

    Vai alla pagina Contatti fondamentali.

  2. Concedi a ogni contatto l'autorizzazione a visualizzare le notifiche di consulenza assegnando il ruolo Visualizzatore notifiche di consulenza (roles/advisorynotifications.viewer) nella pagina Amministrazione di Identity and Access Management. Consulta la sezione Visualizzazione delle notifiche di consulenza se vuoi conoscere le autorizzazioni specifiche necessarie per visualizzare le notifiche di consulenza.

    Vai a IAM

Se preferisci non utilizzare i contatti fondamentali, ti consigliamo comunque di concedere le autorizzazioni di visualizzazione perNotifiche di consulenzas alle parti appropriate all'interno della tua organizzazione, ad esempio a un amministratore della sicurezza. La concessione dei permessi di visualizzazione per Notifiche di consulenza senza configurare i contatti necessari non garantisce che le parti ricevano notifiche via email da Notifiche di consulenza.

Prezzi

Per informazioni sui prezzi, consulta la pagina Prezzi di Recommender.

Passaggi successivi