As Notificações consultivas oferecem recomendações de políticas do IAM para garantir que as partes certas da sua organização tenham acesso para conferir as notificações críticas de segurança e privacidade no console Google Cloud . Essas recomendações são geradas automaticamente analisando sua configuração de contatos essenciais e sua política do IAM. Use estas recomendações para garantir que seus administradores de segurança possam receber e resolver rapidamente as notificações de segurança.
Como funcionam as recomendações de notificações consultivas
As recomendações de Notificações Consultivas monitoram suas configurações de Contatos Essenciais e políticas do IAM e fazem sugestões com base nos dados do dia anterior.
As recomendações incluem o seguinte:
Se nenhum usuário tiver permissão para ver as notificações, as Notificações consultivas vão recomendar que você conceda acesso às partes apropriadas na sua organização.
Se um principal estiver listado como um contato essencial de segurança, mas não tiver permissão para acessar as Notificações consultivas no console doGoogle Cloud , as Notificações consultivas vão recomendar conceder acesso ao principal. As recomendações de Notificações consultivas não consideram papéis personalizados. Se você estiver concedendo a um principal permissão para Notificações consultivas usando um papel personalizado, ignore ou dispense a recomendação.
Conferir recomendações das Notificações consultivas
As notificações consultivas disponibilizam insights e recomendações pelo Recomendador usando a Google Cloud CLI, a API ou o recurso de exportação do BigQuery.
Antes de começar
Antes de ver os insights e recomendações, faça o seguinte:
- É preciso ativar a API Recommender. Você só precisa ativar a API em um único projeto de faturamento. É possível usar esse mesmo projeto de faturamento para examinar as recomendações e insights de outros projetos, da organização inteira ou da conta de faturamento, especificando o projeto de faturamento nos comandos gcloud e nas solicitações de API.
- Verifique se você tem as permissões necessárias
Ver recomendações
gcloud
Para ver suas recomendações, use o seguinte comando gcloud recommender recommendations list:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para conferir todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevalueexigem projeções não vazias.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender recommendations list inclui
os seguintes campos:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Você também pode conferir os insights associados a essas recomendações. Para conferir seus insights, use o comando gcloud recommender insights list
abaixo.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para conferir todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevalueexigem projeções não vazias.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender insights list inclui
os seguintes campos:
name: o nome da recomendação.description: uma explicação legível do insight.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte os documentos do Recommender.
API
Para conferir suas recomendações, use a
API Recommender com
o ID do recomendador google.cloud.security.GeneralRecommender.
O script bash de exemplo a seguir usa um token de acesso retornado por Application Default Credentials para uma solicitação de curl. Para informações sobre como configurar o Application Default Credentials, consulte
Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Para conferir seus insights, use a
API Recommender com
o tipo de insight google.cloud.security.GeneralInsight.
O script bash de exemplo a seguir usa um token de acesso retornado por Application Default Credentials para uma solicitação de curl. Para informações sobre como configurar o Application Default Credentials, consulte Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte Como usar a API Recommender.
Exportação para o BigQuery
As recomendações e os insights também podem ser exportados em massa para uma tabela do BigQuery. Para mais detalhes, consulte a documentação do BigQuery Export.
Seguir as recomendações das Notificações consultivas
As seções a seguir oferecem conselhos específicos sobre como seguir recomendações de notificações consultivas. Cada seção corresponde a um subtipo do recomendador das notificações consultivas. A lista a seguir menciona as seções do subtipo de recomendador.
Conceder acesso às Notificações consultivas?
Esta seção ajuda você a seguir as recomendações com o subtipo do Recommender SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.
Você recebeu essa recomendação porque alguns dos seus contatos essenciais nas categorias "Segurança" e "Todos" não têm acesso às Notificações consultivas. Isso significa que esses contatos recebem notificações por e-mail, mas não podem ver a notificação no console do Google Cloud .
Recomendamos que cada contato essencial tenha acesso às notificações consultivas, em vez de conceder acesso por grupos ou domínios principais. Ao conceder acesso a cada contato essencial, é menos provável que o acesso seja revogado acidentalmente no futuro. Além disso, é possível usar a função de leitor de notificações consultivas (em inglês) para esclarecer por que a vinculação existe.
Para aplicar essa recomendação, faça o seguinte:
Encontre todos os contatos essenciais de segurança no nível da organização na configuração de contatos essenciais. Esses são os contatos nas categorias "Segurança" e "Todos".
Conceda a cada contato permissão para visualizar as Notificações consultivas na página de administração do Identity and Access Management atribuindo a eles o papel de leitor das Notificações consultivas (
roles/advisorynotifications.viewer). Consulte Como acessar as Notificações consultivas se quiser saber as permissões específicas necessárias para acessar as Notificações consultivas.
Configure seus Leitores de Notificações consultivas
Esta seção ajuda você a seguir as recomendações com o subtipo do Recommender NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.
Você recebeu esta recomendação porque não conseguimos identificar nenhum principal na sua organização com acesso às Notificações consultivas.
Recomendamos que você configure os Contatos essenciais e as Notificações consultivas para receber notificações críticas de segurança e privacidade.
Para aplicar essa recomendação, faça o seguinte:
Configure os contatos essenciais de segurança no nível da organização na página "Contatos essenciais".
Conceda a cada contato permissão para visualizar as Notificações consultivas atribuindo a eles o papel de Leitor de Notificações consultivas (
roles/advisorynotifications.viewer) na página de administração do Identity and Access Management. Consulte Como acessar as Notificações consultivas se quiser saber as permissões específicas necessárias para acessar as Notificações consultivas.
Se você preferir não usar os Contatos essenciais, ainda recomendamos conceder permissões de visualização das Notificações consultivas às partes adequadas da sua organização, como um administrador de segurança. Conceder permissões de leitura para Notificações consultivas sem configurar os Contatos essenciais não garante que as partes recebam notificações por e-mail das Notificações consultivas.
Preços
Para informações sobre preços, consulte Preços do recomendador.
A seguir
- Saiba mais sobre as notificações de alerta.
- Saiba mais sobre o Recommender e a respectiva API