設定觀察期間和重新整理週期

本頁說明如何在防火牆洞察中設定觀察期和重新整理週期。

如需可用洞察總覽,請參閱「防火牆洞察類別和狀態」。

如需防火牆使用指標清單,請參閱「查看防火牆洞察指標」。

必要角色和權限

如要取得設定觀察期和重新整理週期所需的權限,請要求管理員為您授予專案的 防火牆建議工具管理員 (roles/recommender.firewallAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色包含 recommender.computeFirewallInsightTypeConfigs.update 權限,這是設定觀察期間和重新整理週期所需的權限。

您或許還可透過自訂角色或其他預先定義的角色取得此權限。

設定觀察期間

針對部分洞察資料,您可以設定觀測期間,也就是洞察資料涵蓋的時間間隔。舉例來說,您可以為過於寬鬆和 deny 規則深入分析設定觀察期間。預設的觀察期為六週,您可以將觀察期設定為七天到一年之間。

舉例來說,如果您將 deny 規則深入分析的觀察期設為兩個月,在觀察期後查看有命中項目的 deny 規則清單時,防火牆深入分析只會顯示過去兩個月內有命中項目的規則。假設您之後將觀察期間變更為一個月,防火牆深入分析可能會因為分析的時間間隔較短,而找出不同數量的規則。

查看洞察資料和設定觀察期間時,請注意下列事項:

  • 當您為發揮作用的 deny 規則設定觀察期時,防火牆深入分析會立即更新洞察結果。

  • 當您更新過於寬鬆的規則深入分析的觀察期時,防火牆深入分析功能最多可能需要 48 小時才能更新現有結果。在此期間,現有結果的觀察期間會與先前設定的觀察期間相符。

  • 針對過於寬鬆的洞察資料,如果洞察資料未找出任何防火牆規則,防火牆深入分析就不會顯示觀測期,以便找出所使用的洞察資料。

  • 覆蓋規則的深入分析沒有觀察期間,因為系統不會評估歷來資料。每 24 小時,系統會執行覆蓋規則分析,評估現有的防火牆規則設定。

  • 產生洞察時,系統可能不會納入過去 24 小時的流量記錄資料。

主控台

設定觀察期:

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 按一下「設定」

  3. 按一下「觀察期間」

  4. 視情況將「觀測期間」下拉式選單設為下列各項的適當時間:

    • 過於寬鬆的規則深入分析

    • 拒絕規則深入分析資訊

API

如要為發揮作用的 deny 規則設定觀察期,您必須使用Google Cloud 主控台。不過,您可以使用 Recommender API 設定過於寬鬆規則深入分析的觀測期間。您也可以使用 API 啟用洞察功能,並擷取設定詳細資料。

如要設定過於寬鬆規則深入分析的觀察期,請使用 updateConfig 方法

如要使用 updateConfig 方法,請為其所有參數設定值。並指定是否要啟用或停用遭覆蓋規則的深入分析和過於寬鬆規則的深入分析。

如要進行這類更新,請使用下列要求。

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

替換下列值:

  • PROJECT_ID:專案 ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE:過於寬鬆規則深入分析的觀察期間,以秒為單位
  • ENABLEMENT_SHADOWED:布林值,表示是否已啟用遭覆蓋規則的深入分析
  • ENABLEMENT_OVERLY_PERMISSIVE:布林值,表示是否已啟用過於寬鬆規則的洞察資料
  • ETAGIAM 政策 etag 值;如要擷取 etag 值,請使用 getConfig 方法,如以下章節所述

範例

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

擷取設定詳細資料

如要擷取防火牆洞察的設定詳細資料,請使用 getConfig 方法,如以下範例所示。

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

排定自訂重新整理週期

設定重新整理週期,為專案產生遭覆蓋規則深入分析。

您可以排定重新整理週期,讓週期在指定日期開始,並自訂週期頻率。預設週期頻率為 1 天 (24 小時)。

主控台

設定洞察資料的自訂重新整理週期:

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 按一下「設定」

  3. 按一下「啟用」

  4. 如要啟用遭覆蓋規則的深入分析,請按一下切換鈕。

  5. 在「Start on」欄位中,輸入自訂重新整理週期開始的日期。

  6. 在「Repeat every」欄位中,選取更新週期的頻率,並從週期開始日期開始計算:

    • day:每 24 小時
    • :每週在所選日期執行
    • month:每月
    • :每季

    新的洞察產生時間表會在儲存時間表變更後的 24 小時內生效。

後續步驟