Questa guida descrive come utilizzare l'API Security Command Center per gestire i segni di sicurezza. I contrassegni di sicurezza, o "contrassegni", sono annotazioni personalizzabili sugli asset o sui risultati in Security Command Center che ti consentono di aggiungere il tuo contesto aziendale a questi oggetti.
Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, consulta Tipi di asset supportati in Security Command Center.
Prima di iniziare
Prima di poter utilizzare i segni di sicurezza, devi configurare un account di servizio e un SDK.
Per aggiungere o modificare i segni di sicurezza, devi disporre di un ruolo Identity and Access Management che includa le autorizzazioni per il tipo di segno che vuoi utilizzare:
- Contrassegni asset: Scrittore contrassegni di sicurezza per asset,
securitycenter.assetSecurityMarksWriter
- Scrittore contrassegni di sicurezza per risultati: Finding Security Marks Writer,
securitycenter.findingSecurityMarksWriter
Per saperne di più sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso. Per scoprire come utilizzare in modo efficace i tag di sicurezza, consulta Utilizzo dei tag di sicurezza di Security Command Center.
Aggiunta o aggiornamento dei contrassegni di sicurezza sugli asset
Quando utilizzi l'API Security Command Center, l'aggiunta e l'aggiornamento dei segni di sicurezza sono la stessa operazione. L'esempio mostra come aggiungere indicatori di sicurezza per le coppie chiave-valore (key_a, value_a)
e (key_b, value_b)
.
Il seguente codice utilizza le maschere dei campi per garantire che vengano aggiornati solo i valori. Se le maschere dei campi non vengono fornite, tutti i segni di sicurezza vengono cancellati prima di aggiungere le chiavi e i valori specificati.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Sostituisci quanto segue:
ASSET_ID
: l'asset da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova l'asset; utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto padre oppure l'ID alfanumerico del progetto padre.LOCATION
: la posizione di Security Command Center in cui aggiornare un contrassegno di sicurezza su un asset; se la residenza dei dati è abilitata, utilizzaeu
,ksa
ous
; altrimenti, utilizza il valoreglobal
.SECURITY_MARKS
: coppie chiave-valore separate da virgole che rappresentano i segni di sicurezza e i relativi valori; ad esempio,key_a=value_a,key_b=value_b
.UPDATE_MASK
: elenco separato da virgole dei campi contrassegno di sicurezza da aggiornare per l'asset, ad esempiomarks.key_a,marks.key_b
.
Vai
Python
Leggi Gestione dei criteri per informazioni sui segni degli asset dedicati per i rilevatori di Security Health Analytics.
Eliminazione dei contrassegni di sicurezza sugli asset
L'eliminazione di indicatori di sicurezza specifici viene eseguita in modo simile all'aggiunta
o all'aggiornamento, in particolare chiamando l'aggiornamento con una maschera di campo, ma senza
alcun valore corrispondente. Nell'esempio, i segni di sicurezza con le chiavi key_a
e
key_b
vengono eliminati.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: l'asset da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova l'asset; utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto padre oppure l'ID alfanumerico del progetto padre.LOCATION
: la posizione di Security Command Center in cui eliminare un contrassegno di sicurezza da un asset; se la residenza dei dati è abilitata, utilizzaeu
,ksa
ous
; altrimenti, utilizza il valoreglobal
.UPDATE_MASK
: elenco separato da virgole dei campi contrassegno di sicurezzaa da eliminare dalla risorsa, ad esempiomarks.key_a,marks.key_b
.
Node.js
Python
Aggiunta ed eliminazione dei contrassegni di sicurezza nella stessa richiesta
La tecnica per aggiungere e aggiornare i contrassegni di sicurezza ed eliminare i contrassegni di sicurezza può
essere combinata nella stessa richiesta. Nell'esempio, key_a
viene aggiornato e
key_b
viene eliminato.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
ASSET_ID
: l'asset da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova l'asset; utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto padre oppure l'ID alfanumerico del progetto padre.LOCATION
: la posizione di Security Command Center in cui aggiornare ed eliminare i segni di sicurezza per un asset; se la residenza dei dati è attivata, utilizzaeu
,ksa
ous
; altrimenti, utilizza il valoreglobal
.SECURITY_MARKS
: coppie chiave-valore separate da virgole che rappresentano i segni di sicurezza che vuoi aggiornare; ad esempio,key_a=value_a
; ometti i segni di sicurezza che vuoi eliminareUPDATE_MASK
: elenco separato da virgole dei campi contrassegno di sicurezza da aggiornare o eliminare, ad esempiomarks.key_a,marks.key_b
.
Node.js
Python
Aggiunta di contrassegni di sicurezza agli esiti
L'aggiunta, l'aggiornamento e l'eliminazione dei contrassegni di sicurezza sugli esiti seguono la stessa procedura dell'aggiornamento dei contrassegni di sicurezza sugli asset. L'unica modifica riguarda il nome della risorsa utilizzata nella chiamata API. Anziché una risorsa asset, fornisci un nome risorsa di ricerca.
Ad esempio, per aggiornare i contrassegni di sicurezza di un risultato, utilizza il seguente codice:
gcloud
gcloud scc findings update-marks FINDING_NAME \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
Sostituisci quanto segue:
FINDING_NAME
: il risultato da aggiornare.PARENT
: il livello della gerarchia delle risorse in cui si trova il risultato; utilizzaorganization
,folder
oproject
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto padre oppure l'ID alfanumerico del progetto padre.LOCATION
: la posizione di Security Command Center in cui aggiornare un contrassegno di sicurezza in un problema; se la residenza dei dati è abilitata, utilizzaeu
,ksa
ous
; altrimenti, utilizza il valoreglobal
.SOURCE_ID
: l'ID origine.SECURITY_MARKS
: coppie chiave-valore separate da virgole che rappresentano i segni di sicurezza e i relativi valori; ad esempio,key_a=value_a,key_b=value_b
.UPDATE_MASK
: elenco separato da virgole dei campi contrassegno di sicurezza da aggiornare per l'asset, ad esempiomarks.key_a,marks.key_b
.
Java
Node.js
Python
I badge di sicurezza vengono elaborati durante le scansioni batch, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i contrassegni di sicurezza vengano elaborati e vengano applicati i criteri di applicazione forzata che risolvono o riaprono i risultati.
Elenco degli asset con filtri per contrassegno di sicurezza
Una volta impostati i segni di sicurezza su una risorsa, possono essere utilizzati nell'argomento
del filtro per la chiamata API ListAssets
. Ad esempio, per eseguire una query per tutti gli asset
in cui key_a = value_a
, utilizza il seguente codice:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter="$FILTER"
Vai
Java
Node.js
Python
Elenco dei risultati con filtri per contrassegno di sicurezza
Una volta impostati i segni di sicurezza in un risultato, possono essere utilizzati nell'argomento del filtro
per la chiamata API ListFindings
. Ad esempio, per eseguire una query su tutti gli asset in cui
key_a != value_a
, utilizza il seguente codice:
gcloud
gcloud scc findings list PARENT/PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --filter=FILTER
PARENT
: il livello della gerarchia delle risorse in cui si trova il risultato; utilizzaorganizations
,folders
oprojects
.PARENT_ID
: l'ID numerico dell'organizzazione, della cartella o del progetto padre oppure l'ID alfanumerico del progetto padre.LOCATION
: la posizione di Security Command Center in cui elencare i risultati; se la residenza dei dati è abilitata, utilizzaeu
,ksa
ous
; altrimenti, utilizza il valoreglobal
.SOURCE_ID
: l'ID origine.FILTER
: il filtro da applicare ai risultati; ad esempio, per escludere i risultati con il contrassegno di sicurezzakey_a=value_a
, utilizza"NOT security_marks.marks.key_a=\"value_a\""
Vai
Java
Node.js
Python
Passaggi successivi
- Scopri di più sui risultati delle schede e sugli asset delle schede.