Auf dieser Seite wird beschrieben, wie Sie die APIs und Funktionen aktivieren, die für die Verwendung von Firewall Insights erforderlich sind.
Bevor Sie Firewall Insights verwenden können, müssen Sie ein Projekt auswählen, prüfen, ob Sie die erforderlichen Rollen und Berechtigungen haben, und dann die erforderlichen Einrichtungsaufgaben ausführen. Weitere Informationen zu den ersten beiden Schritten finden Sie unter Rollen und Berechtigungen.
Die Einrichtungsaufgaben variieren je nach den Messwerten und Statistiken, die Sie verwenden möchten. Weitere Informationen finden Sie in der folgenden Tabelle.
| Aufgabe | Alle Messwerte | Statistiken für verdeckte Regeln | Statistiken für zu moderate Regeln | Deny-Regeln mit Treffern |
|---|---|---|---|---|
| Firewall Insights API aktivieren | ✔ | ✔ | ✔ | ✔ |
| Logging von Firewallregeln aktivieren | ✔ | ✔ | ✔ | |
| Aktivieren Sie die Recommender API | ✔ | ✔ | ||
| Diesen Typ von Insight aktivieren | ✔ | ✔ | ||
| Beobachtungszeitraum konfigurieren | ✔ | ✔ | ||
| Benutzerdefinierten Aktualisierungszyklus planen | ✔ |
In den folgenden Abschnitten wird beschrieben, wie Sie die APIs und Funktionen aktivieren.
Firewall Insights API aktivieren
Bevor Sie Aufgaben mit Firewall Insights ausführen können, müssen Sie die Firewall Insights API aktivieren.
Sie können die API mithilfe der folgenden Schritte oder der Google Cloud Console API-Bibliothek aktivieren. Eine entsprechende Anleitung finden Sie in der Cloud APIs-Dokumentation unter APIs aktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Seite Firewall Insights API auf Aktivieren.
gcloud
Verwenden Sie den folgenden Befehl:
gcloud services enable firewallinsights.googleapis.com
Logging von Firewallregeln aktivieren
Wenn Sie eine der folgenden Optionen aufrufen möchten, müssen Sie das Logging von Firewallregeln aktivieren:
- Messwerte zu Firewallregeln
- Statistiken für zu moderate Regeln oder
deny-Regeln. Diese Insights werden allgemein als logbasierte Statistiken bezeichnet
Firewall Insights generiert nur für diese Regeln Messwerte und logbasierte Statistiken, für die Logging aktiviert ist. Weitere Informationen finden Sie unter Logging von Firewallregeln – Übersicht.
Recommender API aktivieren
Wenn Sie die Recommender API aktivieren, können Sie Folgendes tun:
- Statistiken für verdeckte Regeln verwenden
- Statistiken für zu moderate Regeln verwenden
Daten durch API-Aufrufe oder die Google Cloud CLI abrufen
Console
Rufen Sie in der Google Cloud Console die Seite Zugriff auf API aktivieren auf.
Achten Sie darauf, dass das richtige Projekt ausgewählt ist, und klicken Sie auf Weiter.
Klicken Sie auf Aktivieren.
gcloud
Verwenden Sie den folgenden Befehl:
gcloud services enable recommender.googleapis.com
Statistiken für verdeckte Regeln oder zu moderate Regeln aktivieren
Firewall Insights generiert keine Statistiken für verdeckte oder zu moderate Regeln, es sei denn, Sie aktivieren diese Funktionen aktiv auf der Seite „Firewall Insights“.
Nachdem Sie eine der Funktionen aktiviert haben, kann es bis zu 48 Stunden dauern, bis die generierten Statistiken angezeigt werden.
Wenn Sie eine Firewallregel erstellen oder aktualisieren, kann es bis zu zehn Tage dauern, bis Vorhersagen für maschinelles Lernen für zu weit gefasste Regelstatistiken angezeigt werden. In der Zwischenzeit können Sie Statistiken basierend auf Daten ansehen, die aus Logging von Firewallregeln gesammelt wurden.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Konfiguration.
Klicken Sie auf Aktivierung.
Schieben Sie den Schieberegler bei Bedarf für einen oder beide der folgenden Werte auf Aktiviert oder Deaktiviert:
Statistiken für verdeckte Regeln
Statistiken für zu moderate Regeln
API
Sie können die Recommender API verwenden, um Statistiken für verdeckte Regeln und Statistiken für zu moderate Regeln zu aktivieren oder zu deaktivieren. Sie können die API auch verwenden, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen und Konfigurationsdetails abzurufen.
Mit der Methode updateConfig können Sie Statistikregeln für verdeckte Regeln und Statistiken für zu moderate Regeln aktivieren.
Wenn Sie die Methode updateConfig verwenden möchten, müssen Sie Werte für alle Parameter festlegen. Wenn Sie Statistiken aktivieren oder deaktivieren, müssen Sie auch den Beobachtungszeitraum für zu moderate Regeln konfigurieren.
Verwenden Sie die folgende Anfrage, um diese Art von Aktualisierung durchzuführen.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Ersetzen Sie die folgenden Werte:
- PROJECT_ID: die Projekt-ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: die Dauer des Beobachtungszeitraums in Sekunden für Statistiken für zu moderate Regeln
- ENABLEMENT_SHADOWED: ein boolescher Wert, der angibt, ob Statistiken für verdeckte Regeln aktiviert sind
- ENABLEMENT_OVERLY_PERMISSIVE: ein boolescher Wert, der angibt, ob Statistiken für zu moderate Regeln aktiviert sind
- ETAG: Wert der Etag-Richtlinie von IAM. Zum Abrufen des etag-Werts verwenden Sie die Methode
getConfig, wie im folgenden Abschnitt beschrieben
Beispiel
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Konfigurationsdetails abrufen
Wenn Sie Details zur Konfiguration von Firewall Insights abrufen möchten, verwenden Sie die Methode getConfig, wie im folgenden Beispiel gezeigt.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Beobachtungszeitraum konfigurieren
Für einige Statistiken können Sie den Beobachtungszeitraum konfigurieren, also das Zeitintervall, das die Statistik abdeckt. Weitere Informationen finden Sie unter Beobachtungszeitraum und Aktualisierungszyklus einrichten im Abschnitt Beobachtungszeitraum konfigurieren.
Benutzerdefinierten Aktualisierungszyklus planen
Sie können einen Aktualisierungszyklus einrichten, um verdeckte Regelinformationen für Ihr Projekt zu generieren. Weitere Informationen finden Sie unter Beobachtungszeitraum und Aktualisierungszyklus einrichten im Abschnitt Benutzerdefinierten Aktualisierungszyklus planen.