Ce guide vous explique comment créer et mettre à jour des résultats à l'aide de l'API Security Command Center.
Avant de commencer
Avant de créer et de mettre à jour des résultats, vous devez effectuer les opérations suivantes :
Pour suivre ce guide, vous devez disposer du rôle de Identity and Access Management (IAM).Éditeur de données du centre de sécurité (securitycenter.findingsEditor
) au niveau de l'organisation. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Si vous souhaitez créer des résultats avec des marques de sécurité, vous devez également disposer d'un rôle IAM qui inclut des autorisations pour le type de marque que vous souhaitez utiliser :
- Rédacteur de marques de sécurité des éléments (
securitycenter.assetSecurityMarksWriter
) - Rédacteur de marques de sécurité des résultats (
securitycenter.findingSecurityMarksWriter
)
Pour en savoir plus sur les marques, consultez la page Utiliser les marques de sécurité Security Command Center.
Créer un résultat
Créez une recherche active pour une source.
gcloud
gcloud scc findings create FINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Remplacez les éléments suivants :
FINDING_NAME
: nom du résultat.PARENT_ID
: ID numérique de l'organisation parente.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel créer un résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID numérique de la source du résultat.STATE
: état du résultat. UtilisezACTIVE
si le résultat nécessite votre attention ouINACTIVE
s'il a été traité.CATEGORY
: groupe de taxonomie auquel appartient la découverte (par exemple,AUDIT_LOGGING_DISABLED
).EVENT_TIME
: heure à laquelle l'événement s'est produit, au format code temporel RFC 822 ou dans un autre format de code temporel compatible avec la gcloud CLI.RESOURCE_NAME
: nom complet de la ressource à laquelle le résultat s'applique.
Go
Java
Node.js
Python
Pour en savoir plus sur la durée de stockage des données de résultats dans Security Command Center, consultez la page Conservation des résultats.
Mettre à jour l'état d'un résultat
Security Command Center fournit également une API permettant de ne mettre à jour que l'état d'un résultat. Cette API fournit une solution de mise à jour d'un résultat uniquement. Il s'agit d'une API simple qui permet aux entités principales de ne modifier que l'état d'un résultat et aucun autre de ses aspects. L'exemple ci-dessous montre comment définir l'état d'un résultat sur "inactif".
gcloud
gcloud scc findings update \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --state=STATE
Remplacez les éléments suivants :
PARENT
: niveau de la hiérarchie des ressources où se trouve la découverte. Utilisezorganizations
,folders
ouprojects
.PARENT_ID
: ID numérique de l'organisation, du dossier ou du projet parent, ou ID alphanumérique du projet parent.SOURCE_ID
: ID numérique de la source du résultat.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel mettre à jour un résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.FINDING_NAME
: résultat à mettre à jour.STATE
: état du résultat. UtilisezACTIVE
si le résultat nécessite votre attention ouINACTIVE
s'il a été traité.
Go
Java
Node.js
Étape suivante
Découvrez comment accéder à Security Command Center à l'aide de bibliothèques clientes.