Panduan ini menjelaskan cara menggunakan Security Command Center API untuk mengelola tanda keamanan. Tanda keamanan, atau "tanda", adalah anotasi yang dapat disesuaikan pada aset atau temuan di Security Command Center yang memungkinkan Anda menambahkan konteks bisnis Anda sendiri ke objek ini.
Anda hanya dapat menambahkan atau memperbarui tanda keamanan pada aset yang didukung oleh Security Command Center. Untuk mengetahui daftar aset yang didukung Security Command Center, lihat Jenis aset yang didukung di Security Command Center.
Sebelum memulai
Sebelum dapat menggunakan tanda keamanan, Anda perlu Menyiapkan akun layanan dan SDK.
Untuk menambahkan atau mengubah tanda keamanan, Anda harus memiliki peran Identity and Access Management yang mencakup izin untuk jenis tanda yang ingin Anda gunakan:
- Tanda aset: Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter
- Menemukan tanda: Finding Security Marks Writer,
securitycenter.findingSecurityMarksWriter
Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses. Untuk mempelajari cara menggunakan tanda keamanan secara efektif, lihat Menggunakan tanda keamanan Security Command Center.
Menambahkan atau memperbarui tanda keamanan pada aset
Saat menggunakan Security Command Center API, penambahan dan pembaruan tanda keamanan adalah operasi yang sama. Contoh ini menunjukkan cara menambahkan tanda keamanan untuk pasangan nilai kunci (key_a, value_a)
dan (key_b, value_b)
.
Kode berikut menggunakan masker kolom untuk memastikan hanya nilai tersebut yang diperbarui. Jika mask kolom tidak diberikan, semua tanda keamanan akan dihapus sebelum menambahkan kunci dan nilai yang diberikan.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Ganti kode berikut:
ASSET_ID
: aset yang akan diperbarui.PARENT
: tingkat hierarki resource tempat aset berada; gunakanorganization
,folder
, atauproject
.PARENT_ID
: ID numerik organisasi, folder, atau project induk, atau ID alfanumerik project induk.LOCATION
: lokasi Security Command Centertempat memperbarui tanda keamanan pada aset; jika retensi data diaktifkan, gunakaneu
,ksa
, atauus
; jika tidak, gunakan nilaiglobal
.SECURITY_MARKS
: pasangan nilai kunci yang dipisahkan koma yang merepresentasikan tanda keamanan dan nilainya; misalnya,key_a=value_a,key_b=value_b
.UPDATE_MASK
: daftar kolom tanda keamanan yang dipisahkan koma untuk diperbarui asetnya; misalnya,marks.key_a,marks.key_b
.
Go
Python
Baca Mengelola kebijakan untuk mengetahui informasi tentang tanda aset khusus untuk detektor Security Health Analytics.
Menghapus tanda keamanan pada aset
Penghapusan tanda keamanan tertentu dilakukan dengan cara yang serupa dengan penambahan
atau pembaruannya, khususnya dengan memanggil update dengan mask kolom, tetapi tanpa
nilai yang sesuai. Dalam contoh ini, tanda keamanan dengan kunci key_a
dan
key_b
dihapus.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: aset yang akan diperbarui.PARENT
: tingkat hierarki resource tempat aset berada; gunakanorganization
,folder
, atauproject
.PARENT_ID
: ID numerik organisasi, folder, atau project induk, atau ID alfanumerik project induk.LOCATION
: lokasi Security Command Center tempat untuk menghapus tanda keamanan dari aset; jika retensi data diaktifkan, gunakaneu
,ksa
, atauus
; jika tidak, gunakan nilaiglobal
.UPDATE_MASK
: daftar kolom tanda keamanan yang dipisahkan koma untuk dihapus dari aset; misalnya,marks.key_a,marks.key_b
.
Node.js
Python
Menambahkan dan menghapus tanda keamanan dalam permintaan yang sama
Teknik untuk menambahkan dan memperbarui tanda keamanan serta menghapus tanda keamanan dapat digabungkan dalam permintaan yang sama. Dalam contoh, key_a
diperbarui, dan
key_b
dihapus.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: aset yang akan diperbarui.PARENT
: tingkat hierarki resource tempat aset berada; gunakanorganization
,folder
, atauproject
.PARENT_ID
: ID numerik organisasi, folder, atau project induk, atau ID alfanumerik project induk.LOCATION
: lokasi Security Command Center tempat memperbarui dan menghapus tanda keamanan untuk aset; jika retensi data diaktifkan, gunakaneu
,ksa
, atauus
; jika tidak, gunakan nilaiglobal
.SECURITY_MARKS
: pasangan nilai kunci yang dipisahkan koma yang merepresentasikan tanda keamanan yang ingin Anda perbarui; misalnya,key_a=value_a
; hapus tanda keamanan yang ingin Anda hapusUPDATE_MASK
: daftar kolom tanda keamanan yang dipisahkan koma untuk diperbarui atau dihapus; misalnya,marks.key_a,marks.key_b
.
Node.js
Python
Menambahkan tanda keamanan ke temuan
Menambahkan, memperbarui, dan menghapus tanda keamanan pada temuan mengikuti proses yang sama seperti memperbarui tanda keamanan pada aset. Satu-satunya perubahan adalah nama resource yang digunakan dalam panggilan API. Daripada resource aset, Anda memberikan nama resource temuan.
Misalnya, untuk memperbarui tanda keamanan pada temuan, gunakan kode berikut:
gcloud
gcloud scc findings update-marks FINDING_NAME \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Ganti kode berikut:
FINDING_NAME
: temuan yang akan diperbarui.PARENT
: tingkat hierarki resource tempat temuan berada; gunakanorganization
,folder
, atauproject
.PARENT_ID
: ID numerik organisasi, folder, atau project induk, atau ID alfanumerik project induk.LOCATION
: lokasi Security Command Centertempat untuk memperbarui tanda keamanan pada temuan; jika retensi data diaktifkan, gunakaneu
,ksa
, atauus
; jika tidak, gunakan nilaiglobal
.SOURCE_ID
: ID sumber.SECURITY_MARKS
: pasangan nilai kunci yang dipisahkan koma yang merepresentasikan tanda keamanan dan nilainya; misalnya,key_a=value_a,key_b=value_b
.UPDATE_MASK
: daftar kolom tanda keamanan yang dipisahkan koma untuk diperbarui asetnya; misalnya,marks.key_a,marks.key_b
.
Java
Node.js
Python
Tanda keamanan diproses selama pemindaian batch—yang dijalankan dua kali sehari—dan bukan secara real time. Mungkin ada penundaan selama 12 hingga 24 jam sebelum tanda keamanan diproses dan kebijakan penerapan yang menyelesaikan atau membuka kembali temuan diterapkan.
Mencantumkan aset dengan filter tanda keamanan
Setelah tanda keamanan ditetapkan pada aset, tanda tersebut dapat digunakan dalam argumen filter untuk panggilan API ListAssets
. Misalnya, untuk membuat kueri semua aset
dengan key_a = value_a
, gunakan kode berikut:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter="$FILTER"
Go
Java
Node.js
Python
Mencantumkan temuan dengan filter tanda keamanan
Setelah tanda keamanan ditetapkan pada temuan, tanda tersebut dapat digunakan dalam argumen filter
untuk panggilan API ListFindings
. Misalnya, untuk membuat kueri semua aset dengan
key_a != value_a
, gunakan kode berikut:
gcloud
gcloud scc findings list PARENT/PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --filter=FILTER
PARENT
: tingkat hierarki resource tempat temuan berada; gunakanorganizations
,folders
, atauprojects
.PARENT_ID
: ID numerik organisasi, folder, atau project induk, atau ID alfanumerik project induk.LOCATION
: lokasi Security Command Centertempat mencantumkan temuan; jika retensi data diaktifkan, gunakaneu
,ksa
, atauus
; jika tidak, gunakan nilaiglobal
.SOURCE_ID
: ID sumber.FILTER
: filter yang akan diterapkan ke temuan; misalnya, untuk mengecualikan temuan dengan tanda keamanankey_a=value_a
, gunakan"NOT security_marks.marks.key_a=\"value_a\""
Go
Java
Node.js
Python
Langkah berikutnya
- Pelajari lebih lanjut temuan listingan dan aset listingan.