Ce guide vous explique comment créer et mettre à jour des résultats à l'aide de l'API Security Command Center.
Avant de commencer
Avant de créer et de mettre à jour des résultats, vous devez effectuer les opérations suivantes :
Pour suivre ce guide, vous devez disposer du rôle IAM (Identity and Access Management) Éditeur de données du centre de sécurité (securitycenter.findingsEditor
) au niveau de l'organisation. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Si vous souhaitez créer des résultats avec des marques de sécurité, vous devez également disposer d'un rôle IAM qui inclut des autorisations pour le type de marque que vous souhaitez utiliser :
- Rédacteur de marques de sécurité des éléments (
securitycenter.assetSecurityMarksWriter
) - Rédacteur de marques de sécurité des résultats (
securitycenter.findingSecurityMarksWriter
)
Pour en savoir plus sur les marques, consultez la page Utiliser les marques de sécurité Security Command Center.
Créer un résultat
Créez une recherche active pour une source.
gcloud
gcloud scc findings create FINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Remplacez les éléments suivants :
FINDING_NAME
: nom du résultat.PARENT_ID
: ID numérique de l'organisation parente.LOCATION
: emplacement Security Command Center dans lequel créer un résultat. Si la résidence des données est activée, utilisezeu
,ksa
ouus
. Sinon, utilisez la valeurglobal
.SOURCE_ID
: ID numérique de la source du résultat.STATE
: état du résultat. UtilisezACTIVE
si le résultat requiert votre attention ouINACTIVE
s'il a été traité.CATEGORY
: groupe de taxonomie auquel appartient le résultat (par exemple,AUDIT_LOGGING_DISABLED
).EVENT_TIME
: heure à laquelle l'événement s'est produit, au format de code temporel RFC 822 ou dans un autre format de code temporel compatible avec gcloud CLI.RESOURCE_NAME
: nom complet de la ressource à laquelle s'applique le résultat.
Go
Java
Node.js
Python
Pour en savoir plus sur la durée de stockage des données de résultats dans Security Command Center, consultez la page Conservation des résultats.
Mettre à jour l'état d'un résultat
Security Command Center fournit également une API permettant de ne mettre à jour que l'état d'un résultat. L'exemple suivant montre comment définir l'état d'un résultat sur "inactif".
gcloud
gcloud scc findings update \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --state=STATE
Remplacez les éléments suivants :
PARENT
: niveau de la hiérarchie des ressources où se trouve le problème. Utilisezorganizations
,folders
ouprojects
.PARENT_ID
: ID numérique de l'organisation, du dossier ou du projet parent, ou ID alphanumérique du projet parent.SOURCE_ID
: ID numérique de la source du résultat.LOCATION
: emplacement Security Command Center dans lequel mettre à jour un résultat. Si la résidence des données est activée, utilisezeu
,ksa
ouus
. Sinon, utilisez la valeurglobal
.FINDING_NAME
: résultat à mettre à jour.STATE
: état du résultat. UtilisezACTIVE
si le résultat requiert votre attention ouINACTIVE
s'il a été traité.
Go
Java
Node.js
Étapes suivantes
Découvrez comment accéder à Security Command Center à l'aide de bibliothèques clientes.