使用安全標記

您可以在 Security Command Center 中使用安全標記 (簡稱「標記」) 註解資產或發現項目,然後使用標記搜尋、選取或篩選。您可以使用安全性標記,在資產和調查結果中提供 ACL 註解。然後,您可以依據這些註解篩選資產和發現項目,以便管理、套用政策或與工作流程整合。您也可以使用標記新增優先順序、存取層級或機密程度分類。

您只能在 Security Command Center 支援的資產上新增或更新安全標記。如需 Security Command Center 支援的資產清單,請參閱「Security Command Center 支援的資產類型」。

事前準備

如要新增或變更安全性標記,您必須具備包含權限的 Identity and Access Management (IAM) 角色,才能使用所需類型的標記:

  • 資產標記:資產安全標記寫入者securitycenter.assetSecurityMarksWriter
  • 發現項目標記:發現項目安全標記寫入者securitycenter.findingSecurityMarksWriter

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源,取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管

安全標記

安全標記是 Security Command Center 獨有的功能。IAM 權限適用於安全性標記,且僅限具備適當 Security Command Center 角色的使用者。如要讀取及編輯標記,必須具備安全中心資產安全標記寫入者和安全中心發現項目安全標記寫入者角色。這些角色不包含存取基礎資源的權限。

安全標記可讓您為資產和發現項目新增業務背景資訊。 由於 IAM 角色適用於安全性標記,因此可用於篩選及強制執行資產和搜尋結果的政策。

安全標記是在批次掃描期間處理,批次掃描每天執行兩次,而非即時處理。系統可能需要 12 到 24 小時,才會處理安全性標記,並套用解決或重新開啟調查結果的強制執行政策。

標籤

標籤和標記是類似的中繼資料,可用於 Security Command Center,但用途和權限模式與安全標記稍有不同。

標籤是套用至特定資源的使用者層級註解,且支援多項 Google Cloud 產品。標籤主要用於帳單會計和歸因。

Google Cloud中的代碼分為兩種類型:

  • 網路標記是使用者層級的註解,專用於 Compute Engine 資源。網路標記主要用於定義安全群組、網路區隔和防火牆規則。

  • 資源標記 (或標記) 是鍵/值組合,可附加至機構、資料夾或專案。您可以根據資源是否具備特定標記,有條件地允許或拒絕政策。

讀取或更新標籤和標記的權限與基礎資源的權限相關。標籤和標記會併入 Security Command Center 資產顯示頁面的資源屬性。您可以在 List API 結果的後續處理程序中,搜尋特定標籤和標記的存在狀態,以及特定鍵和值。

為資產和發現項目新增安全標記

您可以為 Security Command Center 支援的所有資源新增安全標記,包括所有資產類型和調查結果。

標記會顯示在 Google Cloud 控制台和 Security Command Center API 輸出內容中,可用於篩選、定義政策群組,或為資產和發現項目新增業務背景資訊。資產標記與發現標記不同。系統不會自動將素材資源標記新增至素材資源的發現項目。

資產顯示畫面中的安全標記

下列步驟說明如何在「資產」頁面中,為資產新增安全標記:

  1. 在 Google Cloud 控制台,前往 Security Command Center 的「資產」頁面。

    前往「資產」頁面

  2. 從專案選取器中,選取包含要標記資產的專案、資料夾或機構。

  3. 在隨即顯示的素材資源中,找出要標記的素材資源,並勾選相應的核取方塊。

  4. 選取「設定安全標記」

  5. 在隨即顯示的「安全標記」對話方塊中,按一下「新增標記」

  6. 新增「鍵」和「值」項目,指定一或多個安全標記。

    舉例來說,如要標記處於製作階段的專案,請新增「stage」鍵和「prod」值。每個選取的專案都會有新的 mark.stage: prod,可用於篩選專案。

  7. 如要編輯現有標記,請更新「價值」欄位中的文字。如要刪除標記,請按一下標記旁的垃圾桶圖示

  8. 新增完標記後,按一下「儲存」

您選取的資產現在已與標記建立關聯。根據預設,標記會以資料欄形式顯示在素材資源顯示畫面中。

如要瞭解 Security Health Analytics 偵測器專用的資產標記,請參閱本頁下方的「管理政策」。

為發現項目新增安全標記

下列步驟說明如何使用Google Cloud 控制台,為發現項目新增安全標記。新增安全標記後,您可以使用這些標記,在「發現項目查詢結果」面板中篩選發現項目。

如要為發現項目新增安全標記,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

    前往「發現項目」頁面

  2. 選取要查看的專案或機構。

  3. 在「發現項目查詢結果」面板中,勾選一或多個發現項目的核取方塊,即可為這些項目加上安全標記。

  4. 選取「設定安全標記」

  5. 在隨即顯示的「安全標記」對話方塊中,按一下「新增標記」

  6. 將安全標記指定為「Key」和「Value」項目。

    舉例來說,如要標記屬於同一事件的發現項目,請新增「incident-number」鍵和「1234」值。每個發現項目隨後都會有新的 mark.incident-number: 1234

  7. 如要編輯現有標記,請更新「值」欄位中的文字。

  8. 如要刪除標記,請按一下標記旁的垃圾桶圖示。

  9. 新增完標記後,按一下「儲存」

管理政策

如要隱藏發現項目,您可以手動或以程式輔助方式忽略個別發現項目,也可以建立忽略規則,根據您定義的篩選條件,自動忽略目前日後的發現項目。詳情請參閱「在 Security Command Center 中將調查結果設為靜音」。

如果專案已隔離或符合可接受的業務參數,建議您將調查結果設為靜音,這樣就不必查看這些結果。

或者,您也可以在資產上設定標記,明確納入或排除特定政策的資源。每項安全狀態分析偵測工具都有專屬的標記類型,可讓您新增安全標記 allow_finding- type,將標記的資源從偵測政策中排除。舉例來說,如要排除 SSL_NOT_ENFORCED 發現類型,請使用安全標記 allow_ssl_not_enforced:true。這類標記可針對每個資源和偵測工具提供精細的控制權。如要進一步瞭解如何在安全狀態分析中使用安全標記,請參閱「使用安全標記標示資產和發現項目」。

後續步驟