Exportar dados do Security Command Center

Esta página descreve dois métodos para exportar dados do Security Command Center, incluindo recursos, descobertas e marcações de segurança:

É possível exportar dados do Security Command Center usando o consoleGoogle Cloud , a Google Cloud CLI ou a API Security Command Center.

Também é possível transmitir descobertas para o BigQuery. Para mais informações, consulte Fazer streaming das descobertas no BigQuery para análise.

Exportações únicas

As exportações únicas permitem transferir e fazer o download manualmente das descobertas e recursos atuais e históricos.

Para descobertas, use o console Google Cloud para transferir dados em formato JSON, JSONL ou CSV para um bucket do Cloud Storage. Também é possível baixar um número limitado de descobertas para sua estação de trabalho no formato CSV.

Para recursos, é possível fazer o download dos dados do console Google Cloud para a estação de trabalho local como um arquivo CSV.

Permissões

Para fazer exportações únicas, você precisa de:

  • O papel Leitor da Central de segurança (roles/securitycenter.adminViewer) do Identity and Access Management (IAM) ou qualquer papel que tenha as seguintes permissões:

    • resourcemanager.organizations.get (obrigatório apenas para ativações no nível da organização do Security Command Center)
    • resourcemanager.projects.get (obrigatório para ativações no nível do projeto do Security Command Center)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get

  • O papel Administrador do Storage, que permite armazenar dados em buckets do Cloud Storage.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações únicas

Não é possível incluir no filtro de uma exportação única para o Cloud Storage dados sujeitos ao controle de residência de dados.

Se você especificar uma propriedade que contenha dados controlados no filtro de descobertas, o Security Command Center vai retornar uma mensagem de erro quando você tentar fazer a exportação.

Exportar dados usando o console do Google Cloud

Usando o console Google Cloud , é possível fazer o seguinte:

Exportar descobertas para um bucket do Cloud Storage

Nesta seção, descrevemos como exportar dados do Security Command Center para um bucket do Cloud Storage. Ao clicar em Exportar na página Descobertas no console do Google Cloud , o Security Command Center recebe credenciais ou permissões automaticamente para gravar no bucket do Cloud Storage.

As descobertas são exportadas em operações separadas. É possível exportar um arquivo JSON, JSONL ou CSV para um bucket do Cloud Storage ou criar um durante o processo de exportação. Você pode exportar todas as descobertas atuais ou selecionar os filtros que quiser usar antes de exportar.

Não é possível exportar descobertas para um bucket do Cloud Storage com a política de retenção definida.

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Selecione as descobertas que você precisa exportar aplicando filtros à consulta de descobertas. Para mais informações sobre como criar filtros, consulte Encontrar e visualizar descobertas específicas.

  4. Quando terminar de criar um filtro, clique em Exportar e depois, em Uma vez, clique em Cloud Storage.

  5. Na página Exportar, configure a exportação:

    1. Na seção Exportar para, especifique os seguintes campos:
      1. No campo Nome do projeto, especifique o projeto que contém o bucket do Cloud Storage.
      2. No campo Caminho da exportação, que só aparece depois que você especifica um projeto, clique em Procurar.
      3. No painel Selecionar objeto, selecione um bucket existente do Cloud Storage ou crie um bucket de armazenamento.
      4. Depois de selecionar ou criar um bucket, em Nome do arquivo, insira um nome para o arquivo de exportação.
      5. Clique em Selecionar.
    2. Na seção Critérios de exportação, especifique os seguintes campos:
      1. Clique em Agrupar resultados por e selecione como quer agrupar os dados de exportação.
      2. Clique no campo Formato e selecione JSON, JSONL ou CSV.
      3. Clique no campo Período e selecione o período de tempo em que as descobertas serão exportadas.
    3. Na seção Consulta de descobertas, confirme se a consulta aparece como esperado.
    4. Abaixo da consulta, confirme se o número e o tipo de descobertas correspondentes são os esperados.
    5. Clique em Exportar.

    Se você tiver selecionado um arquivo existente no bucket, a caixa de diálogo Confirmar substituição será exibida.

    • Para substituir o arquivo atual, clique em Confirmar.
    • Para alterar o arquivo em que você está gravando, clique em Cancelar e depois em Procurar na caixa Caminho da exportação e selecione ou crie um arquivo diferente.

Os dados configurados são salvos no bucket do Cloud Storage especificado.

Fazer o download dos dados exportados de um bucket do Cloud Storage

Para fazer o download dos dados JSON, JSONL ou CSV exportados, siga estas etapas:

  1. Acesse a página Navegador do Storage no console Google Cloud .

    Acesse Navegador do Storage

  2. Selecione o projeto e clique no bucket para o qual você exportou dados.

  3. Marque a caixa de seleção ao lado do arquivo de exportação e clique em Fazer o download.

  4. Na caixa de diálogo Salvar arquivo, selecione o local em que você quer salvar o arquivo e clique em Salvar.

O arquivo JSON, JSONL ou CSV é baixado para o local especificado.

Exportar descobertas para um arquivo CSV

Para configurar a exportação, filtre as descobertas por categoria, gravidade e outras propriedades. Todas as descobertas que correspondem ao filtro são incluídas no arquivo CSV.

É possível fazer o download de até 1.000 descobertas diretamente para sua estação de trabalho. Se o número de descobertas exceder 1.000, você vai precisar refinar a consulta para ter menos resultados. Como alternativa, é possível exportar os dados para um bucket do Cloud Storage.

Os registros de descoberta são exportados com um conjunto padrão de colunas, que pode não corresponder ao que você vê no console. Ou seja, ocultar ou mostrar colunas não muda quais colunas são exportadas. Da mesma forma, mudar o número de linhas mostradas por página, o que pode ser feito no consoleGoogle Cloud , não afeta o conteúdo exportado.

Para saber como exportar descobertas para um arquivo CSV, clique na guia específica para seu nível de serviço.

Padrão ou Premium

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Selecione o projeto Google Cloud ou a organização.
  3. Opcional: para refinar a seleção de descobertas a serem exportadas, aplique filtros.
  4. Clique em Exportar > CSV. O arquivo CSV é baixado para sua estação de trabalho local.

Enterprise

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acesse Descobertas no nível Enterprise

  2. Opcional: para refinar a seleção de descobertas a serem exportadas, aplique filtros.
  3. Clique em Exportar > CSV. O arquivo CSV é baixado para sua estação de trabalho local.

Exportar recursos para um arquivo CSV

É possível fazer o download de dados de recursos para um arquivo CSV na página Recursos no console doGoogle Cloud .

Para fazer o download dos dados do recurso em um arquivo CSV, siga estas etapas:

  1. No console Google Cloud , acesse a página Recursos do Security Command Center.

    Acesse Recursos

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Use o painel Filtros rápidos ou o campo Filtro do painel de resultados do recurso para selecionar os recursos que você precisa exportar. Para mais informações sobre como filtrar recursos, consulte Como filtrar recursos.

  4. Acima dos recursos exibidos, clique em Exportar e em Fazer o download do CSV. Os dados dos recursos no painel de resultados são transferidos por download para a estação de trabalho.

Exportar dados usando métodos de API

É possível exportar recursos, descobertas e marcações de segurança para um bucket do Cloud Storage ou para a estação de trabalho local usando a API Security Command Center.

Exportar dados de recursos usando métodos de API

Para exportar ou listar dados de recursos, use a API do Inventário de recursos do Cloud. Para mais informações, consulte Exportar histórico de recursos e metadados.

Os métodos e campos de recursos da API Security Command Center estão descontinuados e serão removidos em 20 de junho de 2024 ou após essa data.

Até a remoção, os usuários que ativaram o Security Command Center antes de 20 de junho de 2023 poderão usar os métodos da API Security Command Center para listar e exportar dados de recursos, mas esses métodos só são compatíveis com os recursos que o Security Command Center aceita.

Para mais informações sobre como usar os métodos da API de recursos descontinuados, consulte Como listar recursos.

Exportar dados encontrados usando a API Security Command Center

Para exportar descobertas com a API do Security Command Center, siga o guia para listar descobertas de segurança e faça o download ou exporte as respostas da API.

Para listar as descobertas, com qualquer marca de segurança anexada, use os seguintes métodos de API:

Os métodos retornam descobertas com o conjunto completo de propriedades, atributos e marcas associadas no formato JSON. Se o aplicativo exigir que os dados estejam em um formato diferente, escreva um código personalizado para converter a saída JSON.

Se você especificar um valor no campo groupBy, será possível usar os seguintes métodos para listar descobertas em uma organização, pasta ou projeto, agrupadas pelas propriedades especificadas:

Exportar descobertas usando a CLI gcloud

Para usar comandos da Google Cloud CLI no Cloud Shell e exportar descobertas para um bucket do Cloud Storage, siga estas etapas:

  1. Abra o Cloud Shell.

    Acesse o Cloud Shell

  2. Para gravar descobertas em um arquivo, adicione uma string de saída aos comandos da CLI gcloud para listar descobertas.

    Por exemplo, o comando a seguir armazena descobertas listadas em um arquivo de texto chamado FINDINGS.txt.

    gcloud scc findings list PARENT_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="FILTER" > FINDINGS.txt

    Substitua:

    • FILTER: uma expressão opcional para limitar a lista de descobertas impressas àquelas que correspondem à expressão de filtro.

      • LOCATION: o local do Security Command Center em que exportar descobertas. Se a residência de dados estiver ativada, use eu, ksa ou us. Caso contrário, use o valor global.

    • PARENT_ID: o ID de qualquer um dos seguintes recursos pai:

      • Organização, especificada como organizations/ORGANIZATION_ID ou ORGANIZATION_ID
      • Pasta, especificada como folders/FOLDER_ID
      • Projeto, especificado como projects/PROJECT_ID

    • SOURCE_ID: o ID de origem do provedor da descoberta. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.

    • FINDINGS.txt: o nome e a extensão de um arquivo de destino para armazenar a lista de descobertas.

  3. Copie FINDINGS.txt para o bucket do Cloud Storage.

    gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

    Substitua BUCKET_NAME pelo nome do bucket.

  4. Para salvar FINDINGS.txt na estação de trabalho local em vez de em um bucket do Cloud Storage, execute o seguinte comando:

    cloudshell download FINDINGS.txt

Exportações contínuas

As exportações contínuas simplificam o processo de exportação automática de descobertas do Security Command Center para o Pub/Sub. Quando novas descobertas são gravadas, elas são exportadas automaticamente para tópicos designados do Pub/Sub quase em tempo real, permitindo que você as integre ao fluxo de trabalho atual.

Para saber mais sobre o Pub/Sub, consulte O que é o Pub/Sub?

Exportação do Security Command Center para o BigQuery

Quando um atributo de uma descoberta é atualizado no Security Command Center, um snapshot da descoberta é criado, e o Security Command Center tenta enviar esse snapshot para o BigQuery.

  • Se os atributos da descoberta no snapshot corresponderem ao filtro de exportação definido no BigQueryExport, o snapshot será enviado para o BigQuery, onde se tornará o registro atual da descoberta.

  • Se os atributos da descoberta não corresponderem ao filtro, o snapshot não será enviado ao BigQuery. Se um snapshot anterior da descoberta existir no BigQuery, ele se tornará o registro atual da descoberta no BigQuery, mesmo que não reflita a atualização do atributo que ocorreu no Security Command Center.

Por exemplo, se o filtro de uma exportação do BigQuery contiver o estado "ativo", uma nova descoberta será gerada com esse estado, e um snapshot dela será exportado para o BigQuery.

Depois, o estado dessa descoberta no Security Command Center é atualizado para inativo. A atualização aciona a exportação de um novo snapshot da descoberta para o BigQuery, mas, como o valor do estado não corresponde mais ao filtro, ele bloqueia a exportação do snapshot.

Consequentemente, o snapshot da descoberta no BigQuery ainda tem o estado ativo, mas a mesma descoberta no Security Command Center tem o estado inativo.

Isso também resulta em uma incompatibilidade entre o número de descobertas ativas no Security Command Center e no BigQuery. O número é quase sempre maior no BigQuery do que no Security Command Center.

Por exemplo, se um filtro de exportação especificar o estado ativo e 100 descobertas forem geradas com esse estado, todas as 100 serão exportadas para o BigQuery. Mais tarde, no Security Command Center, 50 dessas descobertas são atualizadas para inativas, e o filtro bloqueia a exportação acionada pelas atualizações porque o valor do estado não corresponde mais ao filtro. Consequentemente, no BigQuery, todas as 100 descobertas ainda estão ativas, enquanto no Security Command Center apenas 50 permanecem ativas.

Exportações contínuas x notificações de descobertas

O Security Command Center permite configurar notificações de descobertas do Pub/Sub usando a API Security Command Center. A API requer que você use o Google Cloud CLI para configurar tópicos do Pub/Sub, criar filtros de descoberta e criar NotificationConfigs, arquivos que contêm configurações para o envio de notificações. As exportações contínuas oferecem a mesma funcionalidade, mas a criação de exportações é simplificada com o uso do console Google Cloud .

Permissões

Para criar e gerenciar exportações contínuas, você precisa de um dos papéis a seguir.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

Também é possível usar qualquer papel com estas permissões:

  • Para ver ou publicar tópicos do Pub/Sub:

    • pubsub.topics.publish
    • pubsub.topics.list

  • Para ver a página de exportações contínuas:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list

  • Para gerenciar exportações contínuas:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Residência de dados e exportações contínuas

Se a residência de dados estiver ativada para o Security Command Center, as configurações que definem as exportações contínuas para o Pub/Sub (recursos notificationConfig) estarão sujeitas ao controle de residência de dados e serão armazenadas em um local do Security Command Center que você selecionar.

Para exportar descobertas em um local do Security Command Center para o Pub/Sub, configure a exportação contínua no mesmo local do Security Command Center das descobertas.

Como os filtros usados em exportações contínuas podem conter dados sujeitos a controles de residência, especifique o local correto antes de criar. O Security Command Center não restringe o local em que você cria exportações.

As exportações contínuas são armazenadas apenas no local em que foram criadas e não podem ser visualizadas ou editadas em outros locais.

Depois de criar uma exportação contínua, não é possível mudar o local dela. Para mudar o local, exclua a exportação contínua e recrie-a no novo local.

Para saber como usar o Security Command Center quando a residência de dados está ativada, consulte Endpoints regionais do Security Command Center.

Compatibilidade com políticas de armazenamento de mensagens do Pub/Sub

O Pub/Sub permite definir uma política de armazenamento de mensagens. Essa política garante que o Pub/Sub armazene e processe mensagens apenas no conjunto de regiões do Google Cloud que você especificar, independentemente da origem das solicitações de publicação ou inscrição.

No entanto, as exportações contínuas são incompatíveis com a opção enforceInTransit das políticas de armazenamento de mensagens. Ao configurar exportações contínuas, não escolha um tópico do Pub/Sub que tenha uma política de armazenamento de mensagens com enforceInTransit ativado. Um tópico assim pode não receber notificações de descoberta do Security Command Center.

Para mais informações, consulte Visão geral da política de armazenamento de mensagens.

Criar uma exportação contínua para o Pub/Sub

As exportações contínuas permitem automatizar a exportação de todas as descobertas futuras para o Pub/Sub ou criar filtros para exportar descobertas futuras que atendam a critérios específicos. É possível filtrar as descobertas por categoria, origem, tipo de recurso, marcações de segurança, gravidade, estado e outras variáveis.

Ao criar uma exportação contínua para o Pub/Sub, é possível gerenciá-la com o console Google Cloud , a CLI gcloud, a API v2 do Security Command Center ou as bibliotecas de cliente v2 do Security Command Center.

Sua organização pode criar no máximo 500 exportações contínuas.

Para criar uma exportação para o Pub/Sub, faça o seguinte:

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. No campo Resultados da consulta de descobertas, selecione as descobertas a serem exportadas usando um dos seguintes métodos:

    • Clique em Adicionar filtro para selecionar as propriedades das descobertas que você precisa exportar.

      A caixa de diálogo Selecionar filtro permite escolher os atributos e valores de descoberta suportados.

      1. Selecione um atributo de descoberta ou digite um nome na caixa Pesquisar atributos de descoberta. Uma lista dos subatributos disponíveis será exibida.
      2. Selecione um subatributo. Um campo de seleção aparece para que você possa criar a instrução de consulta usando o subatributo selecionado, um operador de consulta e um ou mais valores para o subatributo.
      3. Selecione o operador e um ou mais valores para o subatributo no painel. Para mais informações sobre operadores de consulta e funções que eles usam, consulte Operadores de consulta no menu "Adicionar filtros".
      4. Clique em Aplicar.

        A caixa de diálogo será fechada, e a consulta será atualizada.

      5. Repita até que a consulta de descobertas contenha todos os atributos que você quer.

    • Codifique manualmente a consulta de descoberta no editor de consultas. É possível usar operadores SQL padrão AND, OR, é igual a (=), tem (:) e não (-) para especificar as propriedades de descoberta e valores das descobertas que você precisa exportar.

      Conforme você digita a consulta, um menu de preenchimento automático é exibido, onde é possível selecionar nomes e funções de filtro.

      Por exemplo, a consulta a seguir silencia as descobertas de anomalous IAM grant de baixa e média gravidade em prod-project e exclui os tipos de recursos em que o nome tem a substring compute:

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
IAM Anomalous Grant" AND resource.project_display_name="prod-project"
AND -resource.type:"compute"

      Para mais exemplos sobre filtragem de descobertas, consulte Como filtrar notificações.

  4. Analise a precisão da consulta resultante. Para fazer mudanças, exclua ou adicione propriedades e filtre os valores conforme necessário.

  5. Clique em Atualizar as descobertas correspondentes. Uma tabela mostra descobertas que correspondem à sua consulta. Para mais informações sobre como consultar descobertas, consulte Editar uma consulta de descobertas no console Google Cloud .

  6. Clique em Exportação e, em Contínua, clique em Pub/Sub.

  7. Revise o filtro para garantir que ele esteja correto e, se necessário, retorne à página Descobertas para modificá-lo.

  8. Em Nome da exportação contínua, insira um nome para a exportação.

  9. Em Descrição da exportação contínua, insira uma descrição para a exportação.

  10. Em Exportar para, selecione um projeto para a exportação. Não é possível criar um projeto nesta página. Para criar um novo projeto, consulte Como criar um projeto.

  11. Em Tópico do Pub/Sub, selecione o tópico em que você quer exportar descobertas. Para criar um tópico:

    1. Selecione Criar um tópico.

    2. Digite um ID do tópico e selecione outras opções conforme necessário:

      1. Saiba mais sobre Como criar e gerenciar esquemas.
      2. Saiba mais sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) com o Pub/Sub.

    3. Clique em Criar tópico.

  12. Clique em Save. Você verá uma confirmação e retornará à página de descobertas.

  13. Siga o guia para criar uma assinatura para o tópico do Pub/Sub.

A configuração de exportação do Pub/Sub foi concluída. Para publicar notificações, uma conta de serviço é criada para você na forma de service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel roles/securitycenter.notificationServiceAgent no nível da organização. Esse papel de conta de serviço é necessário para que as notificações funcionem.

Testar exportações contínuas

Para confirmar se uma exportação está funcionando, siga as etapas a seguir para alternar as descobertas entre os estados ativo e inativo.

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Clique em Editar consulta. O editor de consultas é aberto.

  3. Edite a consulta para que as descobertas ativas e inativas sejam exibidas. A consulta a seguir omite a propriedade state para exibir todas as descobertas, exceto as que estão desativadas:

    NOT mute="MUTED"
    1. Se necessário, use o Editor de consultas para inserir novamente as variáveis que correspondem ao filtro de exportação que você está testando.
    2. Selecione uma descoberta e clique em Mudar estado ativo > Inativo.
    3. Selecione novamente a descoberta marcada como inativa e clique em Alterar estado ativo > Ativo. Uma notificação é enviada para a descoberta recém-ativa.
    4. Acesse a página do Pub/Sub no console Google Cloud .

    Ir para o Pub/Sub

    1. Na lista de tópicos, clique no nome do seu tópico.
    2. Acesse a guia Mensagens e selecione sua assinatura na lista para ver a notificação de descoberta.
    3. Opcional: clique em Extrair para atualizar as mensagens.

Gerenciar exportações contínuas

Para visualizar, editar ou excluir exportações, faça o seguinte:

  1. No console do Google Cloud , acesse a página Configurações do Security Command Center.

    Acesse configurações

  2. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto, pasta ou organização.

  3. Selecione Exportações contínuas. Você vai ver uma lista de exportações contínuas para o projeto, a pasta ou a organização.

No console do Google Cloud , algumas exportações contínuas podem ter um rótulo Legado, que indica que elas foram criadas com a API Security Command Center v1. É possível gerenciar essas exportações contínuas com o console Google Cloud , a CLI gcloud, a API v1 do Security Command Center ou as bibliotecas de cliente v1 do Security Command Center.

Para gerenciar essas exportações contínuas com a CLI gcloud, não especifique um local ao executar o comando da CLI gcloud.

Na página Exportações contínuas em Configurações, é possível criar, visualizar, editar e excluir exportações contínuas.

Para visualizar as descobertas que correspondem a um filtro de exportação, faça o seguinte:

Na página Exportações contínuas, ao lado do nome de uma exportação, selecione Mais e clique em Ver filtros relacionados.

A página Descobertas carregará com descobertas que correspondem ao filtro de exportação.

Editar exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer visualizar ou modificar ou clique em Mais .
  2. Selecione Editar.
  3. Insira uma nova descrição, altere o projeto em que as exportações estão salvas ou insira um novo tópico do Pub/Sub.
  4. Quando terminar, clique em Salvar.

Excluir exportações contínuas

  1. Na página Exportações contínuas, clique no nome da exportação que você quer excluir.
  2. Clique em Excluir.
  3. Na caixa de diálogo, clique em Excluir. A exportação foi excluída.

A seguir

Saiba mais sobre notificações de descobertas.