Benutzerdefinierte Module mit Security Health Analytics verwenden

Auf dieser Seite wird erläutert, wie Sie mit der Google Cloud Console oder der Google Cloud CLI benutzerdefinierte Module für Security Health Analytics erstellen, aufrufen, aktualisieren und löschen.

Weitere Einführungsinformationen finden Sie unter Übersicht über benutzerdefinierte Module für Security Health Analytics.

Hinweise

Bevor Sie mit benutzerdefinierten Modulen arbeiten können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Sie benötigen die Premium-Stufe von Security Command Center. Weitere Informationen zu den Security Command Center-Stufen finden Sie unter Security Command Center aktivieren.
  • Security Health Analytics muss aktiviert sein. Informationen zum Aktivieren von Security Health Analytics finden Sie unter Einen integrierten Dienst aktivieren oder deaktivieren.
  • Ihrem Nutzerkonto müssen eine oder mehrere IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Erforderliche IAM-Berechtigungen.
  • Wenn Sie eigene benutzerdefinierte Module erstellen und mithilfe von gcloud-Befehlen in Security Command Center hochladen möchten, benötigen Sie die Google Cloud CLI. Informationen zur Installation der gcloud CLI finden Sie unter gcloud CLI installieren.
  • Wenn die Security Command Center API noch nicht aktiviert ist, müssen Sie sie aktivieren, bevor Sie benutzerdefinierte Module für Security Health Analytics verwenden können. Sie können die Security Command Center API auf der Seite API-Bibliothek in der Google Cloud Console aktivieren.
  • Informationen zu den Nutzungslimits für Security Health Analytics finden Sie unter Kontingente für benutzerdefinierte Module.

Erforderliche IAM-Berechtigungen

Zum Arbeiten mit benutzerdefinierten Modulen benötigen Sie die folgenden IAM-Berechtigungen (Identity and Access Management):

Berechtigung Rolle
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor
roles/securitycenter.admin

Weitere Informationen zu IAM-Berechtigungen und ‑Rollen und dazu, wie Sie sie gewähren, finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen.

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Module mit der Google Cloud Console oder der gcloud CLI erstellen.

Wenn Sie Ihr benutzerdefiniertes Modul als Schritt im Erstellungsprozess testen möchten, müssen Sie Testressourcendefinitionen in einer YAML-Datei vorbereiten. Eine Anleitung finden Sie unter Testressourcen in einer YAML-Datei erstellen.

Wählen Sie auf einem der folgenden Tabs die gewünschte Methode aus, um ein benutzerdefiniertes Modul zu erstellen:

Google Cloud Console

Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Modul in der Google Cloud Console zu erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie bei Aufforderung die Organisation, den Ordner oder das Projekt aus, in dem Sie das benutzerdefinierte Modul erstellen möchten.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Klicke auf den Tab Module.

  5. Klicken Sie auf Modul erstellen. Die Seite Modul für Security Health Analytics erstellen wird geöffnet.

  6. Definieren Sie im Bereich Modul konfigurieren den Anzeigenamen, die zu scannenden Ressourcen und die Erkennungslogik:

    1. Geben Sie im Feld Modulname einen Namen für das Modul an. Der Name muss zwischen 1 und 128 Zeichen lang sein und mit einem Kleinbuchstaben beginnen. Er darf nur alphanumerische Zeichen oder Unterstriche enthalten. Dieser Name wird zur Ergebniskategorie der Ergebnisse, die dieser Detektor generiert. Sie können den Namen nach dem Erstellen des Moduls nicht mehr ändern.

    2. Geben Sie unter Ressourcentyp hinzufügen einen bis fünf Ressourcentypen an, die gescannt werden sollen. Sie können einen Ressourcentyp nicht mehrmals angeben.

      Eine Liste der unterstützten Ressourcentypen finden Sie unter Unterstützte Ressourcentypen.

    3. Erstellen Sie im Expression Editor CEL-Ausdrücke, um boolesche Prüfungen für eine oder mehrere Eigenschaften der im letzten Schritt angegebenen Ressourcen auszuführen. Damit eine Meldung ausgelöst wird, muss der Ausdruck auf TRUE verweisen. Mit dem folgenden Ausdruck wird beispielsweise eine Abweichung erkannt, wenn für eine CryptoKey-Ressource ein Rotationszeitraum festgelegt ist und dieser länger als 2.592.000 Sekunden (30 Tage) ist:

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
      

      Hier finden Sie weitere Informationen:

    4. Klicken Sie auf Weiter. Der Bereich Details zum Ergebnis definieren wird geöffnet.

  7. Beschreiben Sie im Bereich Details zum Ergebnis definieren das Problem, das das benutzerdefinierte Modul erkennt, einschließlich seiner Schwere, seiner Art, der Behebung und aller Daten, die Sie in den Ergebnissen als benutzerdefinierte Quell-Properties einbeziehen möchten:

    1. Geben Sie im Feld Schweregrad den Schweregrad des Problems an. Sie können Low, Medium, High oder Critical angeben. Standardmäßig ist Medium ausgewählt.

      Informationen zu Schweregraden finden Sie unter Schweregradklassifizierungen für Ergebnisse.

    2. Beschreiben Sie im Feld Beschreibung der Ergebnisse das Problem, das das benutzerdefinierte Modul erkennt. Diese Erklärung wird bei jeder Sicherheitslücke angezeigt, damit Sicherheitsteams das erkannte Problem besser verstehen und beheben können.

    3. Erläutern Sie im Feld Nächste Schritte finden, welche Schritte Ihr Sicherheitsteam ausführen kann, um das erkannte Problem zu beheben oder anderweitig zu beheben.

      Die Schritte werden bei jeder Ergebnisinstanz angezeigt. Geben Sie konkrete Schritte an, die das Sicherheitsteam unternehmen kann, um das Problem so schnell wie möglich zu beheben.

    4. Optional: Geben Sie im Feld Benutzerdefinierte Ergebniseigenschaften bis zu zehn Namen/Wert-Paare an, um benutzerdefinierte Quelleigenschaften zu definieren, die mit jeder Ergebnisinstanz zurückgegeben werden sollen. Die Informationen werden als Quelleigenschaften im JSON-Objekt für den Sicherheitsverstoß zurückgegeben und in der Google Cloud Console in den Details zum Sicherheitsverstoß auf dem Tab Quelleigenschaften angezeigt. Geben Sie die Text- oder Attributwerte als Schlüssel/Wert-Paare an:

      • Geben Sie im Feld Property-Name einen Namen für die benutzerdefinierte Quelleigenschaft an. Der Name muss den folgenden Regeln entsprechen:
        • Der Name muss mit einem Kleinbuchstaben beginnen.
        • Der Name darf nur alphanumerische Zeichen oder Unterstriche enthalten.
        • Der Name muss zwischen 1 und 128 Zeichen lang sein.
        • Jeder Name muss unter den anderen Quelleigenschaften eindeutig sein.
      • Geben Sie im Feld Property-Wert einen der folgenden Werte mit maximal 1.024 Zeichen ein:
        • Ein Textstring in Anführungszeichen. Die Anführungszeichen sind in der Beschränkung von 1.024 Zeichen enthalten. Beispiel: "This string provides additional useful information.".
        • Eine beliebige Property der gescannten Ressource. Wenn Sie beispielsweise die Ressource CryptoKey prüfen möchten, können Sie resource.rotationPeriod angeben. Der Wert der Property rotationPeriod wird zurückgegeben.
    5. Klicken Sie auf Weiter. Das Steuerfeld Modul aktivieren wird geöffnet.

  8. Optional: Legen Sie im Drop-down-Menü des Bereichs Modul aktivieren fest, ob das benutzerdefinierte Modul beim Erstellen aktiviert oder deaktiviert werden soll. Benutzerdefinierte Module sind standardmäßig beim Erstellen aktiviert. Wenn Sie Deaktivieren auswählen, können Sie das Modul später auf der Seite „Security Health Analytics-Einstellungen“ auf dem Tab Module aktivieren.

  9. Klicken Sie auf Weiter. Der Bereich Testmodul wird geöffnet.

  10. Optional: Wir empfehlen Ihnen, das benutzerdefinierte Modul vor dem Erstellen zu testen.

    So testen Sie ein benutzerdefiniertes Modul:

    1. Erstellen Sie eine YAML-Datei mit Testressourcendefinitionen für die Ressourcen, die Ihr benutzerdefiniertes Modul prüft.

      Informationen zum Erstellen einer Testdatendatei finden Sie unter Testressourcen in einer YAML-Datei erstellen.

    2. Klicken Sie unter YAML-Datei hochladen auf Durchsuchen, um die YAML-Datei mit den Testressourcendefinitionen hochzuladen. Der Test wird automatisch gestartet, sobald die Datei hochgeladen wurde.

    3. Sehen Sie sich die Ergebnisse unter Vorschau der Testergebnisse an.

      • Wenn Ihre YAML-Datei Syntax- oder andere Fehler enthält, wird unten auf der Browserseite eine schwebende Fehlermeldung angezeigt.
      • Wenn der Test erfolgreich ist, werden die folgenden Informationen zurückgegeben:

        • Der Anzeigename des benutzerdefinierten Moduls.
        • Der beliebige Name, den Sie in der Testdatendatei für die Property resource angegeben haben.
        • Die Organisation, der Ordner oder das Projekt, in dem das benutzerdefinierte Modul erstellt wurde oder erstellt wird.

    Testergebnisse werden nicht im Security Command Center gespeichert oder geschrieben.

    Weitere Informationen finden Sie unter Benutzerdefinierte Module testen.

  11. Klicken Sie auf Erstellen. Sie werden zur Seite Module zurückgeleitet und sollten das von Ihnen erstellte Modul mit dem Status Aktiviert sehen.

Neue benutzerdefinierte Module können nicht sofort in Security Health Analytics-Scans verwendet werden. Weitere Informationen finden Sie unter Erkennungslatenz.

gcloud-CLI

Wenn Sie ein benutzerdefiniertes Modul mithilfe von gcloud-Befehlen erstellen möchten, müssen Sie zuerst die Definition des benutzerdefinierten Moduls in einer YAML-Datei codieren, die CEL-Ausdrücke für die Erkennungslogik und Ausgabeeigenschaften enthält.

Nachdem die Definition fertig ist, laden Sie sie mithilfe von gcloud CLI-Befehlen in Security Command Center hoch.

  1. Erstellen Sie eine Definition für ein benutzerdefiniertes Modul in einer YAML-Datei. Folgen Sie dazu der Anleitung unter Benutzerdefiniertes Modul für Security Health Analytics programmieren.
  2. Speichern Sie die YAML-Datei an einem Speicherort, auf den Ihre Instanz der gcloud CLI zugreifen kann.
  3. Laden Sie die benutzerdefinierte Definition in Security Command Center hoch:

    gcloud scc custom-modules sha create \
        PARENT_FLAG=PARENT_ID \
        --display-name="MODULE_DISPLAY_NAME" \
        --enablement-state="ENABLEMENT_STATE" \
        --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ersetzen Sie Folgendes:

    • PARENT_FLAG: Die Ebene, auf der Sie das benutzerdefinierte Modul erstellen, entweder --organization, --folder oder --project.
    • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem Sie das benutzerdefinierte Modul erstellen.
    • ENABLEMENT_STATE: entweder enabled oder disabled.
    • MODULE_DISPLAY_NAME: Der Name der Kategorie für den Befund, der angezeigt werden soll, wenn das benutzerdefinierte Modul einen Befund zurückgibt. Der Name muss zwischen 1 und 128 Zeichen lang sein und mit einem Kleinbuchstaben beginnen. Er darf nur alphanumerische Zeichen oder Unterstriche enthalten.
    • MODULE_FILE_NAME: Pfad und Dateiname der YAML-Datei, die die Definition des benutzerdefinierten Moduls enthält.

Erkennungslatenz

Nachdem Sie die Definition eines benutzerdefinierten Moduls erstellt oder aktualisiert haben, kann es bis zu mehrere Stunden dauern, bis das neue oder aktualisierte benutzerdefinierte Modul für die Verwendung in Scans verfügbar ist.

Das Erstellen oder Ändern eines benutzerdefinierten Moduls löst keinen Scan aus. Nachdem ein benutzerdefiniertes Modul zur Verwendung verfügbar ist, werden die benutzerdefinierten Module in Security Health Analytics erst verwendet, wenn entweder der erste Batch-Scan oder eine Änderung an der Konfiguration der Zielressource einen Echtzeit-Scan auslöst.

Weitere Informationen zu den Security Health Analytics-Scantypen finden Sie unter Security Health Analytics-Scantypen.

Benutzerdefiniertes Modul aktualisieren

Sie können die meisten Eigenschaften von benutzerdefinierten Security Health Analytics-Modulen aktualisieren.

Die folgenden Eigenschaften eines benutzerdefinierten Moduls können nicht geändert werden:

  • Der Anzeigename.
  • Die ID des benutzerdefinierten Moduls.
  • Der vollständige Ressourcenname des benutzerdefinierten Moduls.

Wenn Sie ein benutzerdefiniertes Modul aktualisieren, werden alle zuvor vom benutzerdefinierten Modul veröffentlichten Ergebnisse nicht gleichzeitig aktualisiert. Wenn die Änderungen am Modul zu Änderungen an den gemeldeten Ergebnissen führen, werden die Änderungen erst nach dem nächsten Security Health Analytics-Batch- oder Echtzeit-Scan berücksichtigt.

Sie können ein benutzerdefiniertes Modul entweder über die Google Cloud Console oder die gcloud CLI ändern. Klicken Sie auf einen der folgenden Tabs, um eine Anleitung aufzurufen.

Google Cloud Console

So aktualisieren Sie ein vorhandenes benutzerdefiniertes Modul in der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie in der Projektauswahl die Organisation, den Ordner oder das Projekt aus, in dem das benutzerdefinierte Modul ursprünglich erstellt wurde. Sie können ein benutzerdefiniertes Modul nirgendwo anders bearbeiten.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Wählen Sie den Tab Module aus. Alle Security Health Analytics-Erkennungsmodule werden angezeigt.

  5. Verwenden Sie das Filterfeld oben in der Liste der Module oder scrollen Sie zu dem benutzerdefinierten Modul, das Sie ändern möchten.

  6. Klicken Sie rechts in der Zeile Ihres benutzerdefinierten Moduls auf das Symbol Aktionsmenü .

  7. Klicken Sie im Aktionsmenü auf das Symbol Bearbeiten (). Die Seite Modul ansehen wird geöffnet und der Tab Modul konfigurieren wird angezeigt.

  8. Bearbeiten Sie die benutzerdefinierten Modulfelder auf jedem Tab der Seite Modul ansehen nach Bedarf.

  9. Optional: Bevor Sie Ihre Änderungen speichern, empfehlen wir Ihnen, sie zu testen.

    So testen Sie ein benutzerdefiniertes Modul:

    1. Erstellen Sie eine YAML-Datei mit Testressourcendefinitionen für die Ressourcen, die Ihr benutzerdefiniertes Modul prüft.

      Informationen zum Erstellen einer Testdatendatei finden Sie unter Testressourcen in einer YAML-Datei erstellen.

    2. Klicken Sie unter YAML-Datei hochladen auf Durchsuchen, um die YAML-Datei mit den Testressourcendefinitionen hochzuladen. Der Test wird automatisch gestartet, sobald die Datei hochgeladen wurde.

    3. Sehen Sie sich die Ergebnisse unter Vorschau der Testergebnisse an.

      • Wenn Ihre YAML-Datei Syntax- oder andere Fehler enthält, wird unten auf der Browserseite eine schwebende Fehlermeldung angezeigt.
      • Wenn der Test erfolgreich ist, werden die folgenden Informationen zurückgegeben:

        • Der Anzeigename des benutzerdefinierten Moduls.
        • Der beliebige Name, den Sie in der Testdatendatei für die Property resource angegeben haben.
        • Die Organisation, der Ordner oder das Projekt, in dem das benutzerdefinierte Modul erstellt wurde oder erstellt wird.

    Testergebnisse werden nicht im Security Command Center gespeichert oder geschrieben.

    Weitere Informationen finden Sie unter Benutzerdefinierte Module testen.

  10. Klicken Sie unten auf der Seite auf Speichern. Ihre Änderungen werden auf das benutzerdefinierte Modul angewendet.

gcloud-CLI

Wenn Sie ein benutzerdefiniertes Modul mit der gcloud CLI aktualisieren möchten, bearbeiten Sie zuerst die YAML-Definition des benutzerdefinierten Moduls und aktualisieren Sie es dann mithilfe von gcloud-Befehlen in Security Health Analytics.

  1. Bearbeiten Sie die Definition des benutzerdefinierten Moduls. Informationen zum Codieren einer benutzerdefinierten Moduldefinition finden Sie unter Benutzerdefiniertes Modul für Security Health Analytics programmieren.

  2. Speichern Sie die bearbeitete YAML-Datei an einem Speicherort, auf den die gcloud CLI zugreifen kann.

  3. Aktualisieren Sie das benutzerdefinierte Modul in Security Health Analytics mit dem folgenden Befehl:

    gcloud scc custom-modules sha update MODULE_ID \
       PARENT_FLAG=PARENT_ID \
       --enablement-state="ENABLED" \
       --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ersetzen Sie Folgendes:

    • MODULE_ID: die ID oder der vollständige Ressourcenname des benutzerdefinierten Moduls.
    • PARENT_FLAG: Die Ebene, auf der das benutzerdefinierte Modul erstellt wurde, entweder --organization, --folder oder --project.
    • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.
    • MODULE_FILE_NAME: Pfad und Dateiname der YAML-Datei, die die Definition des benutzerdefinierten Moduls enthält.

Benutzerdefiniertes Modul ansehen

Wählen Sie einen Tab aus, um zu erfahren, wie Sie eine benutzerdefinierte Moduldefinition aufrufen.

Google Cloud Console

So rufen Sie benutzerdefinierte Module in der Google Cloud Console auf:

  1. Rufen Sie in den Security Command Center-Einstellungen die Seite Security Health Analytics auf.

    Einstellungen aufrufen

  2. Klicke auf den Tab Module. Der Bereich Module wird geöffnet.

  3. Verwenden Sie bei Bedarf das Filterfeld oben in der Liste der Module, um das benutzerdefinierte Modul zu finden, das Sie ändern möchten.

  4. Wenn Sie die Details der Definition des benutzerdefinierten Moduls aufrufen möchten, klicken Sie rechts neben der Zeile des benutzerdefinierten Moduls auf das Symbol Aktionsmenü .

  5. Klicken Sie im Aktionsmenü auf das Symbol Bearbeiten . Die Seite Modul ansehen wird geöffnet und der Tab Modul konfigurieren wird angezeigt.

  6. Klicken Sie sich auf der Seite Modul ansehen durch die Tabs, um alle Felder der benutzerdefinierten Moduldefinition zu sehen.

gcloud-CLI

Geben Sie den folgenden Befehl ein, um die Details eines benutzerdefinierten Moduls aufzurufen:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • MODULE_ID: die ID oder der vollständige Ressourcenname des benutzerdefinierten Moduls.
  • PARENT_FLAG: Die Ebene, auf der das benutzerdefinierte Modul erstellt wurde, entweder --organization, --folder oder --project.
  • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.

Benutzerdefinierte Module auflisten

Wählen Sie einen Tab aus, um zu erfahren, wie Sie eine Liste der benutzerdefinierten Module anzeigen.

Google Cloud Console

  1. Rufen Sie in den Security Command Center-Einstellungen die Seite Security Health Analytics auf.

    Einstellungen aufrufen

  2. Klicke auf den Tab Module. Der Bereich Module wird geöffnet.

  3. Klicken Sie oben in der Liste der Module in das Filterfeld, um die Liste der Filtertypen aufzurufen.

  4. Wählen Sie Typ aus und geben Sie Custom ein. Die Modullisten werden aktualisiert, sodass nur benutzerdefinierte Module angezeigt werden.

gcloud-CLI

Geben Sie den folgenden Befehl ein, um eine Liste der benutzerdefinierten Module aufzurufen:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • PARENT_FLAG: Die Ebene, auf der das benutzerdefinierte Modul erstellt wurde, entweder --organization, --folder oder --project.
  • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.

Benutzerdefiniertes Modul löschen

Sie können ein benutzerdefiniertes Modul aus der Organisation, dem Ordner oder dem Projekt löschen, in dem es erstellt wurde, oder aus einer übergeordneten Organisation oder einem übergeordneten Ordner. Sie können ein benutzerdefiniertes Modul nicht aus einem Ordner oder Projekt löschen, in dem es übernommen wird.

Wählen Sie einen der folgenden Tabs aus, um zu erfahren, wie Sie ein benutzerdefiniertes Modul löschen.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.

    Einstellungen aufrufen

  2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf der Karte Security Health Analytics auf Einstellungen verwalten.

  4. Wählen Sie den Tab Module aus. Alle Security Health Analytics-Erkennungsmodule werden angezeigt.

  5. Verwenden Sie das Filterfeld oben in der Liste der Module oder scrollen Sie zu dem benutzerdefinierten Modul, das Sie ändern möchten.

  6. Klicken Sie rechts in der Zeile Ihres benutzerdefinierten Moduls auf das Symbol Aktionsmenü .

  7. Klicken Sie im Aktionsmenü auf Löschen. Das Dialogfeld Benutzerdefiniertes Modul löschen wird geöffnet.

  8. Klicken Sie im Dialogfeld auf Löschen.

gcloud-CLI

Geben Sie den folgenden Befehl ein, um ein benutzerdefiniertes Modul zu löschen:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Ersetzen Sie Folgendes:

  • MODULE_ID: die ID oder der vollständige Ressourcenname des benutzerdefinierten Moduls.
  • PARENT_FLAG: Die Ebene, auf der das benutzerdefinierte Modul erstellt wurde, entweder --organization, --folder oder --project.
  • PARENT_ID: Die ID der Organisation, des Ordners oder des Projekts, in dem das benutzerdefinierte Modul erstellt wurde.

Ergebnisse für gelöschte benutzerdefinierte Module werden beim nächsten Batch-Scan von Security Health Analytics als inaktiv markiert.

Ergebnisse prüfen

Von benutzerdefinierten Modulen generierte Ergebnisse können in der Google Cloud Console, in der Security Operations Console (für Enterprise-Kunden) oder in der Security Command Center API angezeigt werden.

Console

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Security Health Analytics Custom aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie Security Health Analytics Custom aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

gcloud-CLI

So rufen Sie die Ergebnisse auf:

  1. Öffnen Sie ein Terminalfenster.
  2. So rufen Sie die Quell-ID für Security Health Analytics ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name='Security Health Analytics Custom'
    

    Die Ausgabe sollte in etwa so aussehen: In diesem Beispiel ist SOURCE_ID eine vom Server zugewiesene ID für Sicherheitsquellen.

    description: ...
    displayName: Security Health Analytics Custom
    name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
    
  3. Führen Sie den folgenden Befehl aus, um alle von Ihren benutzerdefinierten Modulen generierten Ergebnisse aufzulisten:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
    
  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
    

Nächste Schritte

Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Eine Anleitung dazu finden Sie hier: