Auf dieser Seite werden zwei Methoden zum Exportieren von Security Command Center-Daten beschrieben, darunter Assets, Ergebnisse und Sicherheitsmarkierungen:
- Einmalige Exporte für vorhandene Ergebnisse, Assets und Sicherheitsmarkierungen
- Kontinuierliche Exporte, die neue Ergebnisse automatisch nach Pub/Sub exportieren
Sie können Security Command Center-Daten mit der Google Cloud Console, der Google Cloud CLI oder der Security Command Center API exportieren.
Sie können Ergebnisse auch nach BigQuery streamen. Weitere Informationen finden Sie unter Ergebnisse zur Analyse nach BigQuery streamen.
Einmalige Exporte
Mit einmaligen Exporten können Sie aktuelle und vergangene Ergebnisse und Assets manuell übertragen und herunterladen.
Sie können Daten im JSON-, JSONL- oder CSV-Format über die Google Cloud Console in einen Cloud Storage-Bucket übertragen. Sie können auch eine begrenzte Anzahl von Ergebnissen im CSV-Format auf Ihre Workstation herunterladen.
Bei Assets können Sie die Daten aus der Google Cloud Console als CSV-Datei auf Ihre lokale Workstation herunterladen.
Berechtigungen
Für einmalige Exporte benötigen Sie Folgendes:
Die IAM-Rolle (Identity and Access Management) Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer
) oder eine Rolle mit den folgenden Berechtigungen:resourcemanager.organizations.get
(nur für die Aktivierung von Security Command Center auf Organisationsebene erforderlich)resourcemanager.projects.get
(erforderlich für die Aktivierung von Security Command Center auf Projektebene)securitycenter.assets.group
securitycenter.assets.list
securitycenter.findings.group
securitycenter.findings.list
securitycenter.sources.get
securitycenter.sources.list
securitycenter.userinterfacemetadata.get
Die Rolle Storage-Administrator, mit der Sie Daten in Cloud Storage-Buckets speichern können.
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Datenspeicherort und einmalige Exporte
Daten, für die die Datenaufbewahrung gilt, können nicht in den Filter eines einmaligen Exports in Cloud Storage aufgenommen werden.
Wenn Sie im Ergebnisfilter eine Property angeben, die reglementierte Daten enthält, gibt Security Command Center beim Export eine Fehlermeldung zurück.
Daten mit der Google Cloud Console exportieren
Mit der Google Cloud Console können Sie Folgendes tun:
- Ergebnisse in einen Cloud Storage-Bucket exportieren
- Ergebnisse in eine CSV-Datei herunterladen
- Assets in eine CSV-Datei exportieren
Ergebnisse in einen Cloud Storage-Bucket exportieren
In diesem Abschnitt wird beschrieben, wie Sie Daten aus Security Command Center in einen Cloud Storage-Bucket exportieren. Wenn Sie in der Google Cloud Console auf der Seite Ergebnisse auf Exportieren klicken, erhält das Security Command Center automatisch Anmeldedaten oder Berechtigungen, um in den Cloud Storage-Bucket zu schreiben.
Ergebnisse werden in separaten Vorgängen exportiert. Sie können eine JSON-, JSONL- oder CSV-Datei in einen vorhandenen Cloud Storage-Bucket exportieren oder während des Exportvorgangs einen Bucket erstellen. Sie können alle aktuellen Ergebnisse exportieren oder die Filter auswählen, die Sie vor dem Export verwenden möchten.
Sie können Ergebnisse nicht in einen Cloud Storage-Bucket exportieren, für den die Aufbewahrungsrichtlinie festgelegt ist.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Klicken Sie in der Symbolleiste auf die Projektauswahl
und wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.Wählen Sie die Ergebnisse aus, die Sie exportieren möchten, indem Sie Filter auf die Suchanfrage für Ergebnisse anwenden. Weitere Informationen zum Erstellen von Filtern finden Sie unter Bestimmte Ergebnisse suchen und ansehen.
Wenn Sie mit der Erstellung eines Filters fertig sind, klicken Sie auf Exportieren und dann unter Einmalig auf Cloud Storage.
Konfigurieren Sie auf der Seite Export den Export:
- Geben Sie im Bereich Exportieren nach die folgenden Felder an:
- Geben Sie im Feld Project name (Projektname) das Projekt an, das den Cloud Storage-Bucket enthält.
- Klicken Sie im Feld Pfad exportieren, das nur angezeigt wird, wenn Sie ein Projekt angegeben haben, auf Durchsuchen.
- Wählen Sie im Bereich Objekt auswählen einen vorhandenen Cloud Storage-Bucket aus oder erstellen Sie einen Storage-Bucket.
- Nachdem Sie einen Bucket ausgewählt oder erstellt haben, geben Sie unter Dateiname einen Namen für die Exportdatei ein.
- Klicken Sie auf Auswählen.
- Geben Sie im Bereich Exportkriterien die folgenden Felder an:
- Klicken Sie auf Ergebnisse gruppieren nach und wählen Sie aus, wie die Exportdaten gruppiert werden sollen.
- Klicken Sie in das Feld Format und wählen Sie JSON, JSONL oder CSV aus.
- Klicken Sie in das Feld Zeitraum und wählen Sie den Zeitraum aus, für den Sie die Ergebnisse exportieren möchten.
- Prüfen Sie im Abschnitt Suchanfrage für Ergebnisse, ob die Abfrage wie erwartet angezeigt wird.
- Prüfen Sie unter der Abfrage, ob die Anzahl und Art der übereinstimmenden Ergebnisse Ihren Erwartungen entspricht.
- Klicken Sie auf Exportieren.
Wenn Sie eine vorhandene Datei im Bucket ausgewählt haben, wird das Dialogfeld Überschreibung bestätigen angezeigt.
- Wenn Sie die vorhandene Datei überschreiben möchten, klicken Sie auf Bestätigen.
- Wenn Sie die Datei, in die Sie schreiben, ändern möchten, klicken Sie auf Abbrechen. Klicken Sie dann im Feld Pfad exportieren auf Durchsuchen und wählen Sie eine andere Datei aus oder erstellen Sie eine neue.
- Geben Sie im Bereich Exportieren nach die folgenden Felder an:
Die konfigurierten Daten werden in dem von Ihnen angegebenen Cloud Storage-Bucket gespeichert.
Exportierte Daten aus einem Cloud Storage-Bucket herunterladen
Führen Sie die folgenden Schritte aus, um die exportierten JSON-, JSONL- oder CSV-Daten herunterzuladen:
Rufen Sie in der Google Cloud Console die Seite Storage-Browser auf.
Wählen Sie Ihr Projekt aus und klicken Sie auf den Bucket, in den Sie Daten exportiert haben.
Klicken Sie auf das Kästchen neben der Exportdatei und dann auf Herunterladen.
Wählen Sie im Dialogfeld Datei speichern den Speicherort für die Datei aus und klicken Sie auf Speichern.
Die JSON-, JSONL- oder CSV-Datei wird an den angegebenen Speicherort heruntergeladen.
Ergebnisse in eine CSV-Datei exportieren
Sie können Ergebnisse nach Kategorie, Schweregrad und anderen Eigenschaften filtern, um den Export zu konfigurieren. Alle Ergebnisse, die dem Filter entsprechen, sind in der CSV-Datei enthalten.
Sie können bis zu 1.000 Ergebnisse direkt auf Ihre Workstation herunterladen. Wenn die Anzahl der Ergebnisse mehr als 1.000 beträgt, werden Sie aufgefordert, Ihre Suchanfrage zu verfeinern, um weniger Ergebnisse zu erhalten. Alternativ können Sie die Daten in einen Cloud Storage-Bucket exportieren.
Die Datensätze mit den Ergebnissen werden mit einem Standardsatz von Spalten exportiert, der möglicherweise nicht mit den Daten in der Konsole übereinstimmt. Das heißt, das Ausblenden oder Einblenden von Spalten ändert nichts daran, welche Spalten exportiert werden. Ebenso hat die Anzahl der pro Seite angezeigten Zeilen, die Sie in der Google Cloud Console ändern können, keinen Einfluss auf die exportierten Inhalte.
Klicken Sie auf den Tab der von Ihnen verwendeten Console, um Informationen zum Exportieren von Ergebnissen in eine CSV-Datei aufzurufen.
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Optional: Wenden Sie Filter an, um die Auswahl der zu exportierenden Ergebnisse einzugrenzen.
- Klicken Sie auf > CSV. Die CSV-Datei wird auf Ihre lokale Workstation heruntergeladen. Exportieren
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Optional: Wenden Sie Filter an, um die Auswahl der zu exportierenden Ergebnisse einzugrenzen.
- Klicken Sie auf Exportieren > CSV. Die CSV-Datei wird auf Ihre lokale Workstation heruntergeladen.
Assets in eine CSV-Datei exportieren
Sie können Asset-Daten in der Google Cloud Console auf der Seite Assets als CSV-Datei herunterladen.
So laden Sie Asset-Daten in eine CSV-Datei herunter:
Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
Klicken Sie in der Symbolleiste auf die Projektauswahl
und wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.Wählen Sie im Bereich Schnellfilter oder im Feld Filter des Bereichs mit den Asset-Ergebnissen die Assets aus, die Sie exportieren möchten. Weitere Informationen zum Filtern von Assets finden Sie unter Assets filtern.
Klicken Sie über den angezeigten Assets auf Exportieren und dann auf CSV-Datei herunterladen. Die Daten für die Assets im Bereich „Ergebnisse“ werden auf Ihre Workstation heruntergeladen.
Daten mit API-Methoden exportieren
Sie können Assets, Ergebnisse und Markierungen mit der Security Command Center API in einen Cloud Storage-Bucket oder auf Ihre lokale Workstation exportieren.
Asset-Daten mit API-Methoden exportieren
Verwenden Sie die Cloud Asset Inventory API, um Asset-Daten zu exportieren oder aufzulisten. Weitere Informationen finden Sie unter Assetverlauf und Metadaten exportieren.
Die Asset-Methoden und ‑Felder der Security Command Center API werden eingestellt und am oder nach dem 26. Juni 2024 entfernt.
Bis zur Entfernung können Nutzer, die Security Command Center vor dem 26. Juni 2023 aktiviert haben, die Asset-Methoden der Security Command Center API verwenden, um Asset-Daten aufzulisten und zu exportieren. Diese Methoden unterstützen jedoch nur die von Security Command Center unterstützten Assets.
Informationen zur Verwendung der eingestellten Asset API-Methoden finden Sie unter Assets auflisten.
Daten zu Ergebnissen mit der Security Command Center API exportieren
Wenn Sie Ergebnisse mit der Security Command Center API exportieren möchten, folgen Sie der Anleitung zum Auflisten von Sicherheitsergebnissen und laden Sie dann die API-Antworten herunter oder exportieren Sie sie.
Sie können die folgenden API-Methoden verwenden, um Ergebnisse mit angehängten Sicherheitsmarkierungen aufzulisten:
organizations.sources.locations.findings.list
folders.sources.locations.findings.list
project.sources.locations.findings.list
Die Methoden geben Ergebnisse mit ihren vollständigen Eigenschaften, Attributen und zugehörigen Markierungen im JSON-Format zurück. Wenn Ihre Anwendung Daten in einem anderen Format benötigt, müssen Sie benutzerdefinierten Code schreiben, um die JSON-Ausgabe zu konvertieren.
Wenn Sie einen Wert im Feld groupBy
angeben, können Sie die folgenden Methoden verwenden, um Ergebnisse in einer Organisation, einem Ordner oder einem Projekt aufzulisten, gruppiert nach den von Ihnen angegebenen Eigenschaften:
organizations.sources.locations.findings.group
folders.sources.locations.findings.group
projects.sources.locations.findings.group
Ergebnisse mit der gcloud CLI exportieren
So exportieren Sie Ergebnisse mit Google Cloud CLI-Befehlen in Cloud Shell in einen Cloud Storage-Bucket:
Öffnen Sie Cloud Shell.
Wenn Sie Ergebnisse in eine Datei schreiben möchten, fügen Sie den gcloud CLI-Befehlen zum Auflisten von Ergebnissen einen Ausgabestring hinzu.
Mit dem folgenden Befehl werden die aufgelisteten Ergebnisse beispielsweise in einer Textdatei mit dem Namen
FINDINGS.txt
gespeichert.gcloud scc findings list PARENT_ID \ --source=SOURCE_ID \ --location=LOCATION \ --filter="FILTER" > FINDINGS.txt
Ersetzen Sie Folgendes:
FILTER
: Optionaler Ausdruck, um die Liste der gedruckten Ergebnisse auf diejenigen zu beschränken, die mit dem Filterausdruck übereinstimmen.LOCATION
: Wenn der Datenstandort aktiviert ist, der Speicherort im Security Command Center, an den die Ergebnisse exportiert werden sollen. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.
PARENT_ID
: die ID einer der folgenden übergeordneten Ressourcen:- Organisation, angegeben als
organizations/ORGANIZATION_ID
oderORGANIZATION_ID
- Ordner, angegeben als
folders/FOLDER_ID
- Projekt, angegeben als
projects/PROJECT_ID
- Organisation, angegeben als
SOURCE_ID
: Die Quell-ID für den Ergebnisanbieter. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.FINDINGS.txt
: Name und Erweiterung einer Zieldatei, in der die Liste der Ergebnisse gespeichert werden soll.
Kopieren Sie
FINDINGS.txt
in Ihren Cloud Storage-Bucket.gcloud storage cp FINDINGS.txt gs://BUCKET_NAME
Ersetzen Sie
BUCKET_NAME
durch den Namen Ihres Buckets:Führen Sie den folgenden Befehl aus, um
FINDINGS.txt
auf Ihrer lokalen Workstation anstelle eines Cloud Storage-Bucket zu speichern:cloudshell download FINDINGS.txt
Kontinuierliche Exporte
Kontinuierliche Exporte vereinfachen den automatischen Export von Ergebnissen des Security Command Center in Pub/Sub. Wenn neue Ergebnisse geschrieben werden, werden sie nahezu in Echtzeit automatisch in ausgewählte Pub/Sub-Themen exportiert, damit Sie sie in Ihren bestehenden Workflow einbinden können.
Weitere Informationen zu Pub/Sub finden Sie unter Was ist Pub/Sub?
Export von Security Command Center nach BigQuery
Wenn ein Attribut eines Ergebnisses in Security Command Center aktualisiert wird, wird ein Snapshot des Ergebnisses erstellt und Security Command Center versucht, diesen Snapshot an BigQuery zu senden.
Wenn die Attribute des Ergebnisses im Snapshot mit dem in BigQueryExport definierten Exportfilter übereinstimmen, wird der Snapshot an BigQuery gesendet, wo er zum aktuellen Datensatz des Ergebnisses in BigQuery wird.
Wenn die Attribute des Ergebnisses nicht mit dem Filter übereinstimmen, wird der Snapshot nicht an BigQuery gesendet. Wenn in BigQuery ein vorheriger Snapshot des Ergebnisses vorhanden ist, wird dieser vorherige Snapshot zum aktuellen Datensatz des Ergebnisses in BigQuery, auch wenn der Snapshot das Update des Attributs in Security Command Center nicht widerspiegelt.
Wenn der Filter für einen BigQuery-Export beispielsweise den Status „aktiv“ enthält, wird ein neues Ergebnis mit dem Status „aktiv“ ausgegeben und ein Snapshot des Ergebnisses wird erfolgreich nach BigQuery exportiert.
Später wird der Status dieses Ergebnisses in Security Command Center in „Inaktiv“ geändert. Durch die Aktualisierung wird ein neuer Snapshot des Ergebnisses nach BigQuery exportiert. Da der Statuswert jedoch nicht mehr mit dem Filter übereinstimmt, blockiert der Filter den Export des Snapshots des Ergebnisses.
Daher hat der Snapshot des Ergebnisses in BigQuery weiterhin den Status „Aktiv“, das gleiche Ergebnis in Security Command Center jedoch den Status „Inaktiv“.
Dies führt auch zu einer Abweichung zwischen der Anzahl der aktiven Ergebnisse in Security Command Center und der Anzahl der aktiven Ergebnisse in BigQuery. Die Anzahl ist in BigQuery fast immer höher als in Security Command Center.
Wenn in einem Exportfilter beispielsweise der aktive Status angegeben ist und 100 Ergebnisse mit dem aktiven Status generiert werden, werden alle 100 nach BigQuery exportiert. Später werden 50 dieser Ergebnisse im Security Command Center auf „Inaktiv“ gesetzt. Der Filter blockiert den durch die Aktualisierungen ausgelösten Export, da der Statuswert nicht mehr mit dem Filter übereinstimmt. In BigQuery sind also alle 100 Ergebnisse weiterhin aktiv, während in Security Command Center nur 50 Ergebnisse aktiv bleiben.
Kontinuierliche Exporte im Vergleich zu Ergebnisbenachrichtigungen
Mit dem Security Command Center können Sie mithilfe der Security Command Center API Benachrichtigungen für Pub/Sub einrichten. Für die API müssen Sie mit der Google Cloud CLI Pub/Sub-Themen einrichten, Ergebnisfilter erstellen und Dateien vom Typ NotificationConfigs
mit Konfigurationseinstellungen zum Senden von Benachrichtigungen erstellen. Kontinuierliche Exporte bieten dieselben Funktionen. Die Erstellung von Exporten wird jedoch über die Google Cloud Console vereinfacht.
Berechtigungen
Um kontinuierliche Exporte zu erstellen und zu verwalten, benötigen Sie eine der folgenden Rollen.
roles/securitycenter.adminEditor
roles/securitycenter.adminViewer
Sie können auch jede Rolle mit den folgenden Berechtigungen verwenden:
So zeigen Sie Pub/Sub-Themen an oder veröffentlichen sie:
pubsub.topics.publish
pubsub.topics.list
So rufen Sie die Seite für kontinuierliche Exporte auf:
securitycenter.notificationconfig.get
securitycenter.notificationconfig.list
So verwalten Sie kontinuierliche Exporte:
securitycenter.notificationconfig.create
securitycenter.notificationconfig.update
securitycenter.notificationconfig.delete
Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Speicherort der Daten und kontinuierliche Exporte
Wenn die Datenspeicherung für Security Command Center aktiviert ist, unterliegen die Konfigurationen, die Continuous Exports zu Pub/Sub-notificationConfig
-Ressourcen definieren, der Datenspeicherungssteuerung und werden an einem von Ihnen ausgewählten Speicherort in Security Command Center gespeichert.
Wenn Sie Ergebnisse an einem Security Command Center-Speicherort nach Pub/Sub exportieren möchten, müssen Sie den kontinuierlichen Export an demselben Security Command Center-Speicherort wie die Ergebnisse konfigurieren.
Da die Filter, die in kontinuierlichen Exporten verwendet werden, Daten enthalten können, die den Steuerregeln für Personen mit Wohnsitz in der EU unterliegen, müssen Sie vor dem Erstellen den richtigen Standort angeben. In Security Command Center ist nicht festgelegt, an welchem Speicherort Sie Exporte erstellen.
Kontinuierliche Exporte werden nur an dem Ort gespeichert, an dem sie erstellt wurden. Sie können an anderen Orten nicht angezeigt oder bearbeitet werden.
Nachdem Sie einen kontinuierlichen Export erstellt haben, können Sie seinen Speicherort nicht mehr ändern. Wenn Sie den Speicherort ändern möchten, müssen Sie den kontinuierlichen Export löschen und am neuen Speicherort neu erstellen.
Wenn Sie einen fortlaufenden Export mit API-Aufrufen abrufen möchten, müssen Sie den Speicherort im vollständigen Ressourcennamen der notificationConfig
angeben. Beispiel:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01
Wenn Sie einen kontinuierlichen Export mit der gcloud CLI abrufen möchten, müssen Sie den Speicherort mit dem Flag --location
angeben. Beispiel:
gcloud scc notifications describe myContinuousExport --organization=123 \ --location=us
Kontinuierlichen Export nach Pub/Sub erstellen
Mit kontinuierlichen Exporten können Sie den Export aller zukünftigen Ergebnisse nach Pub/Sub automatisieren oder Filter erstellen, um zukünftige Ergebnisse zu exportieren, die bestimmte Kriterien erfüllen. Sie können Ergebnisse nach Kategorie, Quelle, Inhaltstyp, Sicherheitsmarkierungen, Schweregrad, Status und anderen Variablen filtern.
Wenn Sie einen neuen kontinuierlichen Export für Pub/Sub erstellen, können Sie ihn über die Google Cloud Console, die gcloud CLI, die Security Command Center API v2 oder die Clientbibliotheken für Security Command Center v2 verwalten.
Ihre Organisation kann maximal 500 kontinuierliche Exporte erstellen.
So erstellst du einen Export für Pub/Sub:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Klicken Sie in der Symbolleiste auf die Projektauswahl
und wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Wählen Sie im Feld Ergebnisse der Suchanfrage die Ergebnisse aus, die Sie exportieren möchten. Dazu haben Sie folgende Möglichkeiten:
Klicken Sie auf Filter hinzufügen, um die Eigenschaften der Ergebnisse auszuwählen, die Sie exportieren möchten.
Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.
- Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Daraufhin wird eine Liste der verfügbaren Unterattribute angezeigt.
- Wählen Sie ein untergeordnetes Attribut aus. Es wird ein Auswahlfeld angezeigt, in dem Sie die Abfrageanweisung mit dem ausgewählten untergeordneten Attribut, einem Abfrageoperator und einem oder mehreren Werten für das untergeordnete Attribut erstellen können.
- Wählen Sie im Steuerfeld den Operator und einen oder mehrere Werte für das untergeordnete Attribut aus. Weitere Informationen zu Abfrageoperatoren und den verwendeten Funktionen finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
- Klicken Sie auf Anwenden.
Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.
- Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.
Durch manuelles Codieren der Suchanfrage im Abfrageeditor. Sie können die Standard-SQL-Operatoren
AND
,OR
, gleich (=
), enthält (:
) und nicht (-
) verwenden, um die Ergebnisattribute und Werte der Ergebnisse anzugeben, die Sie exportieren möchten.Während der Eingabe in der Abfrage wird ein Menü zur automatischen Vervollständigung angezeigt, in dem Sie Filternamen und Funktionen auswählen können.
Die folgende Abfrage blendet beispielsweise
anomalous IAM grant
-Ergebnisse mit niedrigem und mittlerem Schweregrad inprod-project
aus und schließt Ressourcentypen aus, bei denen der Name den Teilstringcompute
enthält:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"
Weitere Beispiele zum Filtern von Ergebnissen finden Sie unter Benachrichtigungen filtern.
Prüfen Sie die resultierende Abfrage auf Richtigkeit. Wenn Sie Änderungen vornehmen möchten, löschen Sie Attribute oder fügen Sie welche hinzu und filtern Sie Werte nach Bedarf.
Klicken Sie auf Übereinstimmende Ergebnisse aktualisieren. Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen. Weitere Informationen zum Abfragen von Ergebnissen finden Sie unter Ergebnisabfrage in der Google Cloud Console bearbeiten.
Klicken Sie auf Exportieren und dann unter Kontinuierlich auf Pub/Sub.
Überprüfen Sie den Filter auf seine Richtigkeit und kehren Sie bei Bedarf zur Seite Ergebnisse zurück, um ihn zu ändern.
Geben Sie unter Name des kontinuierlichen Exports einen Namen für den Export ein.
Geben Sie unter Beschreibung des kontinuierlichen Exports eine Beschreibung für den Export ein.
Wählen Sie unter Exportieren nach ein Projekt für den Export aus. Auf dieser Seite können Sie kein Projekt erstellen. Informationen zum Erstellen eines neuen Projekts finden Sie unter Projekt erstellen.
Wählen Sie unter Pub/Sub-Thema das Thema aus, in das Sie die Ergebnisse exportieren möchten. So erstellen Sie ein Thema:
- Wählen Sie Thema erstellen aus.
Geben Sie eine Themen-ID ein und wählen Sie nach Bedarf weitere Optionen aus:
Klicken Sie auf Thema erstellen.
Klicken Sie auf Speichern. Sie erhalten eine Bestätigung und werden zur Seite "Ergebnisse" zurückgeleitet.
Folgen Sie der Anleitung, um ein Abo für Ihr Pub/Sub-Thema zu erstellen.
Die Konfiguration des Pub/Sub-Exports ist abgeschlossen. Zum Veröffentlichen von Benachrichtigungen wird ein Dienstkonto für Sie im Format service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
erstellt.
Diesem Dienstkonto wird die Rolle roles/securitycenter.notificationServiceAgent
automatisch auf Organisationsebene zugewiesen. Diese Dienstkontorolle ist erforderlich, damit Benachrichtigungen funktionieren.
Kontinuierliche Exporte testen
Um zu bestätigen, dass ein Export funktioniert, führen Sie die folgenden Schritte aus, um zwischen dem aktiven und inaktiven Status zu wechseln.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Klicken Sie auf die Schaltfläche Abfrage bearbeiten. Der Abfrageeditor wird geöffnet.
Bearbeiten Sie die Abfrage so, dass sowohl aktive als auch inaktive Ergebnisse angezeigt werden. In der folgenden Abfrage wird die
state
-Eigenschaft weggelassen, um alle Ergebnisse zu sehen, mit Ausnahme der stummgeschalteten:NOT mute="MUTED"
- Geben Sie gegebenenfalls Filtervariablen noch einmal im Abfrageeditor ein, die dem zu testenden Exportfilter entsprechen.
- Wählen Sie eine Feststellung aus und klicken Sie dann auf Aktiven Status ändern > Inaktiv.
- Wählen Sie das Ergebnis, das Sie als inaktiv markiert haben, noch einmal aus und klicken Sie auf Aktiven Status ändern > Aktiv. Für das neu aktive Ergebnis wird eine Benachrichtigung gesendet.
- Rufen Sie in der Google Cloud Console die Seite „Pub/Sub“ auf.
- Klicken Sie in der Themenliste auf den Namen Ihres Themas.
- Rufen Sie den Tab Nachrichten auf und wählen Sie Ihr Abo aus der Liste aus, um die Ergebnisbenachrichtigung zu sehen.
- Optional: Klicken Sie auf Abrufen, um die Nachrichten zu aktualisieren.
Kontinuierliche Exporte verwalten
So können Sie Exporte aufrufen, bearbeiten oder löschen:
Rufen Sie in der Google Cloud Console die Seite Einstellungen des Security Command Center auf.
Klicken Sie in der Symbolleiste auf die Projektauswahl
und wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Wählen Sie Kontinuierliche Exporte aus. Sie sehen eine Liste kontinuierlicher Exporte für Ihr Projekt, Ihren Ordner oder Ihre Organisation.
In der Google Cloud Console sind einige fortlaufende Exporte möglicherweise mit dem Label Legacy gekennzeichnet. Das bedeutet, dass sie mit der Security Command Center API v1 erstellt wurden. Sie können diese kontinuierlichen Exporte über die Google Cloud Console, die gcloud CLI, die Security Command Center API v1 oder die Clientbibliotheken für Security Command Center v1 verwalten.
Wenn Sie diese kontinuierlichen Exporte mit der gcloud CLI verwalten möchten, dürfen Sie beim Ausführen des gcloud CLI-Befehls keinen Speicherort angeben.
Auf der Seite Kontinuierliche Exporte in den Einstellungen können Sie kontinuierliche Exporte erstellen, aufrufen, bearbeiten und löschen.
Ähnliche Ergebnisse ansehen
So rufen Sie Ergebnisse auf, die mit einem Exportfilter übereinstimmen:
Wählen Sie auf der Seite Kontinuierliche Exporte neben dem Namen eines Exports Mehr
aus und klicken Sie dann auf Zugehörige Filter ansehen.Die Seite Ergebnisse wird geladen. Die Ergebnisse entsprechen den Exportfiltern.
Kontinuierliche Exporte bearbeiten
- Klicken Sie auf der Seite Kontinuierliche Exporte auf den Namen des Exports, den Sie ansehen oder ändern möchten, oder klicken Sie auf Mehr .
- Wählen Sie Bearbeiten aus.
- Geben Sie eine neue Beschreibung ein, ändern Sie das Projekt, in dem Exporte gespeichert werden, oder geben Sie ein neues Pub/Sub-Thema ein.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Kontinuierliche Exporte löschen
- Klicken Sie auf der Seite Kontinuierliche Exporte auf den Namen des Exports, den Sie löschen möchten.
- Klicken Sie auf delete Löschen.
- Klicken Sie im Dialogfeld auf Löschen. Der Export wird gelöscht.
Nächste Schritte
Weitere Informationen zum Suchen nach Benachrichtigungen