Neste guia, você aprende a criar e atualizar descobertas usando a API Security Command Center.
Antes de começar
Antes de criar e atualizar descobertas, você precisa concluir o seguinte:
Para concluir este guia, você precisa ter o papel Editor de descobertas da Central
de segurança (securitycenter.findingsEditor
) do Identity and Access Management (IAM) no nível da
organização. Para mais informações sobre
os papéis do Security Command Center, consulte
Controle de acesso.
Para criar descobertas com marcações de segurança, é preciso ter também um papel do IAM que inclua permissões para o tipo de marcação que você quer usar:
- Gravador de marcação de segurança de recursos (
securitycenter.assetSecurityMarksWriter
) - Como encontrar o gravador de marcações de segurança (
securitycenter.findingSecurityMarksWriter
)
Para mais informações sobre marcações, consulte Como usar marcações de segurança do Security Command Center.
Como criar uma descoberta
Crie uma descoberta ativa para uma fonte.
gcloud
gcloud scc findings create FINDING_NAME \ --organization=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --state=STATE \ --category=CATEGORY \ --event-time=EVENT_TIME \ --resource-name=RESOURCE_NAME
Substitua:
FINDING_NAME
: o nome da descoberta.PARENT_ID
: o ID numérico da organização principal.LOCATION
: o local do Security Command Center em que criar uma descoberta. Se a residência de dados estiver ativada, useeu
,ksa
ouus
. Caso contrário, use o valorglobal
.SOURCE_ID
: o ID numérico da origem da descoberta.STATE
: o estado da descoberta. UseACTIVE
se a descoberta precisar de atenção ouINACTIVE
se ela já tiver sido processada.CATEGORY
: o grupo de taxonomia a que a descoberta pertence, por exemplo,AUDIT_LOGGING_DISABLED
.EVENT_TIME
: o horário em que o evento ocorreu, formatado como um carimbo de data/hora RFC 822 ou outro formato de carimbo de data/hora compatível com a CLI gcloud.RESOURCE_NAME
: o nome completo do recurso a que a descoberta se aplica.
Go
Java
Node.js
Python
Para informações sobre como os dados de descobertas são armazenados no Security Command Center, leia Retenção de descobertas.
Como atualizar o estado de uma descoberta
O Security Command Center também fornece uma API para atualizar apenas o estado de uma descoberta. O exemplo a seguir mostra como mudar o estado de uma descoberta para inativa.
gcloud
gcloud scc findings update \ PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_NAME \ --state=STATE
Substitua:
PARENT
: o nível da hierarquia de recursos em que a descoberta está localizada. Useorganizations
,folders
ouprojects
.PARENT_ID
: o ID numérico da organização, pasta ou projeto pai, ou o ID alfanumérico do projeto pai.SOURCE_ID
: o ID numérico da origem da descoberta.LOCATION
: o local do Security Command Center em que uma descoberta será atualizada. Se a residência de dados estiver ativada, useeu
,ksa
ouus
. Caso contrário, use o valorglobal
.FINDING_NAME
: a descoberta a ser atualizada.STATE
: o estado da descoberta. UseACTIVE
se a descoberta precisar de atenção ouINACTIVE
se ela já tiver sido processada.
Go
Java
Node.js
A seguir
Saiba mais sobre como acessar o Security Command Center usando bibliotecas de cliente.