Puoi utilizzare gli indicatori di sicurezza, o "indicatori", in Security Command Center per annotare asset o risultati in Security Command Center, quindi eseguire ricerche, selezioni o filtraggi utilizzando l'indicatore. Puoi fornire annotazioni ACL su asset e risultati utilizzando i contrassegni di sicurezza. Dopodiché puoi filtrare gli asset e i risultati in base a queste annotazioni per la gestione, l'applicazione dei criteri o l'integrazione con il tuo flusso di lavoro. Puoi anche utilizzare i segni per aggiungere priorità, livello di accesso o classificazioni di sensibilità.
Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, consulta Tipi di asset supportati in Security Command Center.
Prima di iniziare
Per aggiungere o modificare i segni di sicurezza, devi disporre di un ruolo IAM (Identity and Access Management) che includa le autorizzazioni per il tipo di segno che vuoi utilizzare:
- Contrassegni delle risorse: Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter
- Contrassegni di sicurezza per risultati: Finding Security Marks Writer,
securitycenter.findingSecurityMarksWriter
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.
Contrassegni di sicurezza
I marchi di sicurezza sono specifici di Security Command Center. Le autorizzazioni IAM si applicano ai contrassegni di sicurezza e sono limitate solo agli utenti che dispongono dei ruoli appropriati di Security Command Center. La lettura e la modifica dei contrassegni richiedono i ruoli Security Center Asset Security Marks Writer e Security Center Finding Security Marks Writer. Questi ruoli non includono le autorizzazioni per accedere alla risorsa di base.
I contrassegni di sicurezza ti consentono di aggiungere il contesto aziendale per gli asset e i risultati. Poiché i ruoli IAM si applicano ai contrassegni di sicurezza, possono essere utilizzati per filtrare e applicare i criteri ad asset e risultati.
I segni di sicurezza vengono elaborati durante le analisi collettive, che vengono eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i segni di sicurezza vengano elaborati e vengano applicati i criteri di applicazione che risolvono o riaprono i risultati.
Etichette e tag
Le etichette e i tag sono tipi di metadati simili che puoi utilizzare con Security Command Center, ma hanno un modello di utilizzo e autorizzazioni leggermente diverso rispetto ai segni di sicurezza.
Le etichette sono annotazioni a livello di utente applicate a risorse specifiche e supportate in più prodotti Google Cloud. Le etichette vengono utilizzate principalmente per la contabilità e l'attribuzione della fatturazione.
In Google Cloud sono disponibili due tipi di tag:
I tag di rete sono annotazioni a livello di utente, specifiche per le risorse Compute Engine. I tag di rete vengono utilizzati principalmente per definire gruppi di sicurezza, segmentazione della rete e regole firewall.
I tag delle risorse, o semplicemente tag, sono coppie chiave-valore che possono essere collegate a un'organizzazione, una cartella o un progetto. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico.
La lettura o l'aggiornamento di etichette e tag è legata alle autorizzazioni della risorsa di base. Le etichette e i tag vengono importati come parte degli attributi della risorsa nella visualizzazione degli asset di Security Command Center. Puoi cercare la presenza di etichette e tag specifici, nonché chiavi e valori specifici, durante la post-elaborazione dei risultati dell'API List.
Aggiunta di contrassegni di sicurezza ad asset e risultati
Puoi aggiungere indicatori di sicurezza a tutte le risorse supportate da Security Command Center, inclusi tutti i tipi di asset e i risultati.
I segni sono visibili nella console Google Cloud e nell'output dell'API Security Command Center e possono essere utilizzati per filtrare, definire gruppi di criteri o aggiungere contesto aziendale ad asset e risultati. I segni degli asset sono separati dai segni di rilevamento. I segni degli asset non vengono aggiunti automaticamente ai risultati per gli asset.
Contrassegni di sicurezza nella visualizzazione degli asset
I passaggi riportati di seguito mostrano come aggiungere contrassegni di sicurezza agli asset nella pagina Asset:
Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
Dal selettore di progetti, seleziona il progetto, la cartella o l'organizzazione che contiene gli asset da contrassegnare.
Nella visualizzazione degli asset visualizzata, seleziona la casella di controllo per ogni asset da contrassegnare.
Seleziona Imposta contrassegni di sicurezza.
Nella finestra di dialogo Marchi di sicurezza visualizzata, fai clic su Aggiungi marchio.
Specifica uno o più indicatori di sicurezza aggiungendo elementi Key e Value.
Ad esempio, se vuoi contrassegnare i progetti in fase di produzione, aggiungi una chiave "stage" e un valore "prod". Ogni progetto selezionato ha quindi il nuovo
mark.stage: prod
, che puoi utilizzare per filtrarli.Per modificare un indicatore esistente, aggiorna il testo nel campo Valore. Puoi eliminare i segni facendo clic sull'icona del cestino accanto al segno,delete.
Al termine dell'aggiunta dei segni, fai clic su Salva.
Gli asset selezionati sono ora associati a un marchio. Per impostazione predefinita, i segni vengono visualizzati come colonna nella visualizzazione degli asset.
Per informazioni sui segni delle risorse dedicati per i rilevatori di Security Health Analytics, consulta la sezione Gestire le norme più avanti in questa pagina.
Aggiungere contrassegni di sicurezza ai risultati
I passaggi che seguono aggiungono i segni di sicurezza ai risultati utilizzando la console Google Cloud. Dopo aver aggiunto i segni di sicurezza, puoi utilizzarli per filtrare i risultati nel riquadro Risultati della query sui risultati.
Per aggiungere contrassegni di sicurezza ai risultati:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Seleziona il progetto o l'organizzazione da esaminare.
Nel riquadro Risultati della query sui risultati, seleziona uno o più risultati a cui aggiungere un contrassegno di sicurezza selezionando le relative caselle di controllo.
Seleziona Imposta contrassegni di sicurezza.
Nella finestra di dialogo Contrassegni di sicurezza visualizzata, fai clic su Aggiungi contrassegno.
Specifica il contrassegno di sicurezza come elementi Chiave e Valore.
Ad esempio, se vuoi contrassegnare i risultati che fanno parte dello stesso incidente, aggiungi una chiave "incident-number" e un valore "1234". Ogni risultato ha quindi il nuovo
mark.incident-number: 1234
.Per modificare un indicatore esistente, aggiorna il testo nel campo Valore.
Per eliminare i segni, fai clic sull'icona del cestino accanto al segno. delete
Al termine dell'aggiunta dei segni, fai clic su Salva.
Gestione dei criteri
Per eliminare i risultati, puoi disattivare manualmente o tramite programmazione i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci. Per ulteriori informazioni, vedi Disattivare i risultati in Security Command Center.
La disattivazione dei risultati è il metodo consigliato quando non vuoi esaminare i risultati per progetti isolati o che rientrano nei parametri aziendali accettabili.
In alternativa, puoi impostare indicatori sugli asset per includere o escludere esplicitamente queste risorse da criteri specifici. Ogni rilevatore di Security Health Analytics ha un
tipo di indicatore dedicato che ti consente di escludere le risorse contrassegnate dal
criterio di rilevamento aggiungendo un contrassegno di sicurezza allow_finding-
type
. Ad esempio, per escludere il tipo di rilevamento SSL_NOT_ENFORCED
,
utilizza il contrassegno di sicurezza allow_ssl_not_enforced:true
. Questo tipo di indicatore offre una granularità del controllo per ogni risorsa e rilevatore. Per ulteriori informazioni sull'utilizzo dei contrassegni di sicurezza in Security Health Analytics, consulta Contrassegnare asset e risultati con i contrassegni di sicurezza.
Passaggi successivi
- Scopri come utilizzare Security Command Center nella console Google Cloud per esaminare gli asset e i risultati.