In dieser Anleitung wird beschrieben, wie Sie Ergebnisse mit der Security Command Center API erstellen und aktualisieren.
Hinweise
Bevor Sie Ergebnisse erstellen und aktualisieren, müssen Sie die folgenden Schritte ausführen:
Sie können diese Anleitung nur ausführen, wenn Sie auf der Organisationsebene die Rolle Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) (Sicherheitscenter-Ergebnisbearbeiter) (securitycenter.findingsEditor
) haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Wenn Sie Ergebnisse mit Sicherheitsmarkierungen erstellen möchten, benötigen Sie außerdem eine IAM-Rolle, die Berechtigungen für die Art der zu verwendenden Markierung enthält:
- Autor für Asset-Sicherheitsmarkierungen (
securitycenter.assetSecurityMarksWriter
) - Autor von Sicherheitsmarkierungen suchen (
securitycenter.findingSecurityMarksWriter
)
Weitere Informationen zu Markierungen finden Sie unter Security Command Center-Sicherheitsmarkierungen verwenden.
Ergebnis erstellen
Erstellen Sie ein aktives Ergebnis für eine Quelle.
gcloud
gcloud scc findings create FINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Ersetzen Sie Folgendes:
FINDING_NAME
: der Name des Ergebnisses.PARENT_ID
: die numerische ID der übergeordneten Organisation.LOCATION
: Ist die Datenspeicherung aktiviert, der Speicherort im Security Command Center, an dem ein Ergebnis erstellt werden soll. Ist die Datenspeicherung nicht aktiviert, verwenden Sie den Wertglobal
.SOURCE_ID
: Die numerische ID der Quelle für das Ergebnis.STATE
: Der Status des Ergebnisses. Verwenden SieACTIVE
, wenn das Ergebnis behoben werden muss, oderINACTIVE
, wenn das Ergebnis behoben wurde.CATEGORY
: die Taxonomiegruppe, zu der der Fund gehört, z. B.AUDIT_LOGGING_DISABLED
.EVENT_TIME
: die Uhrzeit, zu der das Ereignis stattgefunden hat, formatiert als RFC 822-Zeitstempel oder ein anderes Zeitstempelformat, das von der gcloud CLI unterstützt wird.RESOURCE_NAME
: Der vollständige Ressourcenname der Ressource, auf die sich die Erkenntnis bezieht.
Go
Java
Node.js
Python
Informationen dazu, wie lange Ergebnisdaten im Security Command Center gespeichert werden, finden Sie unter Aufbewahrung von Ergebnissen.
Ergebniszustand aktualisieren
Security Command Center stellt auch eine API zur Verfügung, mit der sich der Zustand eines Ergebnisses lediglich aktualisieren lässt. Diese API bietet eine Möglichkeit, nur den Zustand eines Ergebnisses zu aktualisieren. Dabei handelt es sich um eine einfache API, mit der Berechtigungshauptkonten nur den Zustand und keinen anderen Aspekt eines Ergebnisses ändern können. Das folgende Beispiel zeigt, wie Sie den Zustand eines Ergebnisses auf "Inaktiv" ändern.
gcloud
gcloud scc findings update \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --state=STATE
Ersetzen Sie Folgendes:
PARENT
: Die Ebene der Ressourcenhierarchie, auf der sich der Wert befindet. Verwenden Sieorganizations
,folders
oderprojects
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.SOURCE_ID
: Die numerische ID der Quelle für das Ergebnis.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem ein Ergebnis aktualisiert werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.FINDING_NAME
: die zu aktualisierende Feststellung.STATE
: Der Status des Ergebnisses. Verwenden SieACTIVE
, wenn das Ergebnis behoben werden muss, oderINACTIVE
, wenn das Ergebnis behoben wurde.
Go
Java
Node.js
Nächste Schritte
Weitere Informationen zum Zugriff auf das Security Command Center mithilfe von Clientbibliotheken