Configurare il periodo di osservazione e il ciclo di aggiornamento

Questa pagina descrive come configurare un periodo di osservazione e un ciclo di aggiornamento in Firewall Insights.

Per una panoramica degli insight disponibili, vedi Categorie e stati di Firewall Insights.

Per un elenco delle metriche di utilizzo del firewall, consulta Visualizzare le metriche di Firewall Insights.

Ruoli e autorizzazioni richiesti

Per ottenere l'autorizzazione necessaria per configurare il periodo di osservazione e il ciclo di aggiornamento, chiedi all'amministratore di concederti il ruolo IAM Firewall Recommender Admin (roles/recommender.firewallAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione recommender.computeFirewallInsightTypeConfigs.update necessaria per configurare il periodo di osservazione e il ciclo di aggiornamento.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Configurare il periodo di osservazione

Per alcuni insight, puoi configurare un periodo di osservazione, ovvero l'intervallo di tempo coperto dall'insight. Ad esempio, puoi configurare il periodo di osservazione per gli insight sulle regole eccessivamente permissive e deny. La finestra di osservazione predefinita è di sei settimane e puoi configurare il periodo di osservazione tra sette giorni e un anno.

Ad esempio, se imposti il periodo di osservazione per gli approfondimenti sulle regole deny a due mesi, quando esamini l'elenco delle regole deny con corrispondenze dopo il periodo di osservazione, Firewall Insights mostra solo quelle che hanno avuto corrispondenze negli ultimi due mesi. Supponiamo che in un secondo momento tu modifichi il periodo di osservazione in un mese. Firewall Insights potrebbe identificare un numero diverso di regole perché analizzerebbe un intervallo di tempo più breve.

Quando esamini gli approfondimenti e configuri i periodi di osservazione, tieni presente quanto segue:

  • Quando configuri il periodo di osservazione per le regole deny con corrispondenze, Firewall Insights aggiorna immediatamente i risultati degli insight.

  • Quando aggiorni il periodo di osservazione per gli insight sulle regole eccessivamente permissive, lFirewall Insights;aggiornamento dei risultati esistenti può richiedere fino a 48 ore. Nel frattempo, il periodo di osservazione per i risultati esistenti corrisponde a quello configurato in precedenza.

  • Per gli insight eccessivamente permissivi, se l'insight non ha identificato regole firewall, Firewall Insights non mostra il periodo di osservazione per identificare gli insight utilizzati.

  • Gli insight sulle regole oscurate non hanno un periodo di osservazione perché non valutano i dati storici. L'analisi delle regole con shadowing valuta la configurazione delle regole firewall esistenti ogni 24 ore.

  • I dati dei log del traffico delle ultime 24 ore potrebbero non essere inclusi durante la generazione degli approfondimenti.

Console

Configura un periodo di osservazione:

  1. Nella console Google Cloud , vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Periodo di osservazione.

  4. Se necessario, imposta l'elenco a discesa Periodo di osservazione sull'ora appropriata per ciascuno dei seguenti elementi:

    • Insight sulle regole eccessivamente permissive

    • Insight sulle regole di negazione

API

Per impostare il periodo di osservazione per le regole deny con hit, devi utilizzare la consoleGoogle Cloud . Tuttavia, puoi utilizzare l'API Recommender per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per attivare gli approfondimenti e recuperare i dettagli di configurazione.

Per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive, utilizza il metodo updateConfig.

Per utilizzare il metodo updateConfig, imposta i valori per tutti i relativi parametri. Specifica anche se gli insight regola oscurata e gli insight sulle regole eccessivamente permissive sono abilitati o disabilitati.

Per eseguire questo tipo di aggiornamento, utilizza la seguente richiesta.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del tuo progetto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
  • ENABLEMENT_SHADOWED: un valore booleano che indica se gli insightregola oscuratae sono abilitati
  • ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che indica se gli insight sulle regole eccessivamente permissive sono abilitati
  • ETAG: il valore etag dei criteri IAM; per recuperare il valore etag, utilizza il metodo getConfig, come descritto nella sezione seguente

Esempio

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recuperare i dettagli di configurazione

Per recuperare i dettagli sulla configurazione di Firewall Insights, utilizza il metodo getConfig come mostrato nell'esempio seguente. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Pianificare un ciclo di aggiornamento personalizzato

Configura un ciclo di aggiornamento per generare approfondimenti regola oscurata per il tuo progetto.

Puoi programmare l'inizio del ciclo di aggiornamento in una data specifica e personalizzare la frequenza del ciclo. La frequenza del ciclo predefinita è un giorno (24 ore).

Console

Configura un ciclo di aggiornamento personalizzato per gli approfondimenti:

  1. Nella console Google Cloud , vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Attivazione.

  4. Per abilitare gli insight regola oscurata, fai clic sul pulsante di attivazione/disattivazione.

  5. Nel campo Inizia il giorno, inserisci una data a partire dalla quale inizia il ciclo di aggiornamento personalizzato.

  6. Nel campo Ripeti ogni, seleziona la frequenza del ciclo di aggiornamento a partire dalla data di inizio del ciclo:

    • Giorno: ogni 24 ore
    • Settimana: ogni settimana nei giorni selezionati
    • Mese: ogni mese
    • Trimestre: ogni trimestre

    La nuova pianificazione di generazione degli insight diventa effettiva 24 ore dopo il salvataggio delle modifiche alla pianificazione.

Passaggi successivi