Auf dieser Seite wird beschrieben, wie Sie den Dienst zur Bewertung der Sicherheitslage konfigurieren und verwenden können, nachdem Sie Security Command Center aktiviert haben. Zuerst müssen Sie einen Status erstellen, der Ihre Richtlinien enthält, die in Richtliniensätzen organisiert sind, und dann den Status mithilfe einer Bereitstellung des Status bereitstellen. Nachdem eine Haltung bereitgestellt wurde, können Sie Abweichungen beobachten und die Haltung im Laufe der Zeit weiter optimieren.
Hinweise
Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.
Security Command Center Premium- oder Enterprise-Stufe aktivieren
Prüfen Sie, ob die Security Command Center Premium- oder Enterprise-Stufe auf Organisationsebene aktiviert ist.
Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie während der Aktivierung den Security Health Analytics-Dienst aus.
Berechtigungen einrichten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für den Sicherheitsstatus (roles/securityposture.admin
) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Sicherheitsstatus benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu Rollen und Berechtigungen für die Sicherheitskonfiguration finden Sie unter IAM für Aktivierungen auf Organisationsebene.
Google Cloud CLI einrichten
Sie müssen Google Cloud CLI-Version 461.0.0 oder höher verwenden.
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.
APIs aktivieren
Aktivieren Sie die APIs für den Organisationsrichtliniendienst und den Dienst zum Sicherheitsstatus:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Verbindung zu AWS konfigurieren
Wenn Sie integrierte Security Health Analytics-Detektoren verwenden möchten, die speziell für AWS sind, müssen Sie Security Command Center Enterprise aktivieren und eine Verbindung zu AWS für die Erkennung von Sicherheitslücken herstellen.
Status erstellen und bereitstellen
Wenn Sie eine Sicherheitskonfiguration verwenden möchten, müssen Sie Folgendes tun:
- Erstellen Sie eine YAML-Datei für die Sicherheitskonfiguration, in der die Richtlinien definiert sind, die für Ihre Sicherheitskonfiguration gelten.
- Erstellen Sie in Google Cloud eine Posture, die auf der YAML-Datei für die Posture basiert.
- Stellen Sie den Sicherheitsstatus bereit.
In den folgenden Abschnitten finden Sie eine detaillierte Anleitung.
YAML-Datei für die Gerätebereitschaft erstellen
Eine Posture besteht aus einer oder mehreren Richtliniengruppen, die Sie gemeinsam bereitstellen. Diese Richtliniensätze enthalten alle präventiven und erkennungsbezogenen Richtlinien, die Sie in Ihre Haltung einbeziehen möchten.
So erstellen Sie eine Haltung:
- Kopieren Sie eine vordefinierte Haltungsvorlage. Nehmen Sie gegebenenfalls Änderungen an den Richtlinien vor, damit sie auf Ihre Umgebung zutreffen und den rechtlichen und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung finden Sie unter Posture-Datei aus einer vordefinierten Posture-Vorlage erstellen.
- Extrahieren Sie vorhandene Richtlinien aus Ihrer Umgebung. Nehmen Sie bei Bedarf Änderungen an den Richtlinien vor, damit sie den rechtlichen und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung finden Sie unter Posture-Datei erstellen, indem Richtlinien aus einer vorhandenen Umgebung extrahiert werden.
- Erstellen Sie eine Terraform-Ressource, die die Position definiert. Eine Anleitung finden Sie unter Terraform-Ressource mit Richtliniendefinitionen erstellen.
Weitere Informationen zu den Feldern, die Sie in einer Haltung verwenden können, finden Sie in der Referenz zu Posture
und in der Referenz zu PolicySet
.
Sicherheitsstatusdatei aus einer vordefinierten Sicherheitsstatusvorlage erstellen
Sie können eine vordefinierte Haltungsvorlage verwenden, um eine Haltungsdatei zu erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Vorlagen auf die Vorlage, die Sie verwenden möchten.
Klicken Sie auf der Seite Vorlagendetails auf Pose erstellen.
Geben Sie einen eindeutigen Namen für die Körperhaltung ein und klicken Sie auf Erstellen. Die Seite Details zur Körperhaltung wird geöffnet.
Führen Sie einen der folgenden Schritte aus:
- Wenn Sie den Sicherheitsstatus ohne Änderungen verwenden können (z. B. wenn Sie eine der
_essentials
-Vorlagen verwendet haben), können Sie ihn bereitstellen. Eine Anleitung finden Sie unter Sicherheitsstatus bereitstellen. - Wenn Sie eine der Richtliniengruppen oder Richtlinien ändern müssen (z. B. wenn Sie eine der Vorlagen vom Typ _enhanced verwendet haben), führen Sie die Schritte unter YAML-Datei für die Gerätebereitschaft ändern aus und setzen Sie den Gerätebereitschaftsstatus auf
ACTIVE
.
- Wenn Sie den Sicherheitsstatus ohne Änderungen verwenden können (z. B. wenn Sie eine der
gcloud
- Sehen Sie sich die vordefinierten Vorlagen für Körperhaltungen an, um zu ermitteln, welche für Ihre Umgebung geeignet sind. Einige können Sie ohne Änderungen anwenden, bei anderen müssen Sie die Richtlinien an Ihre Umgebung anpassen.
Kopieren Sie die YAML-Dateien mit einer der folgenden Methoden in Ihren Texteditor:
- Kopieren Sie die YAML-Datei aus den Referenzinhalten in vordefinierte Posture-Vorlagen.
- Führen Sie den Befehl
gcloud scc posture-templates describe
aus, um die YAML-Datei zu kopieren.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Ersetzen Sie die folgenden Werte:
ORGANIZATION_ID
ist die Organisation, in der Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.LOCATION
ist der Speicherort, an dem Sie die Position bereitstellen und speichern möchten. Als Bucket-Standort wird nurglobal
unterstützt.POSTURE_TEMPLATE
ist der Name der Vorlage der vordefinierten Haltung, wie in Vordefinierte Vorlagen für Körperhaltungen beschrieben.REVISION_ID
ist die Versionsnummer der vordefinierten Haltung. Wenn Sie die Revisions-ID nicht angeben, wird die neueste Version der vordefinierten Position angezeigt.
Wenn Sie beispielsweise die vordefinierte Haltung für „Sichere KI“ für die Organisation
3589215982
aufrufen möchten, führen Sie Folgendes aus:gcloud scc posture-templates describe \ organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \ --revision-id=v.1.0
Führen Sie einen der folgenden Schritte aus:
- Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der
_essentials
-Vorlagen verwendet haben), können Sie sie erstellen. Eine Anleitung finden Sie unter Haltung erstellen. - Wenn Sie eine der Richtliniengruppen oder Richtlinien ändern möchten, lesen Sie den Hilfeartikel YAML-Datei für den Sicherheitsstatus ändern.
- Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der
Statusdatei erstellen, indem Richtlinien aus einer vorhandenen Umgebung extrahiert werden
Sie können die Richtlinien (Organisationsrichtlinien, einschließlich benutzerdefinierter Richtlinien, und alle Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren) extrahieren, die Sie in einem vorhandenen Projekt, Ordner oder einer vorhandenen Organisation konfiguriert haben, um eine Posture-Datei zu erstellen. Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, auf das bereits eine Haltung angewendet wurde.
Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für die Organisation, den Ordner oder das Projekt konfiguriert haben. Richtlinien aus übergeordneten Ordnern oder Organisationen werden nicht extrahiert.
Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, werden mit diesem Befehl auch die AWS-spezifischen Erkennungsmechanismen extrahiert (Vorabversion).
Führen Sie den Befehl
gcloud scc postures extract
aus, um die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung zu extrahieren.gcloud scc postures extract POSTURE_NAME \ --workload=WORKLOAD
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname der Haltung. Beispiel:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.POSTURE_ID
ist auf 63 Zeichen begrenzt.
WORKLOAD
ist das Projekt, der Ordner oder die Organisation, aus dem bzw. der Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Wenn Sie beispielsweise Richtlinien aus dem Ordner
3589215982
der Organisation6589215984
extrahieren möchten, führen Sie Folgendes aus:gcloud scc postures extract \ organizations/6589215984/locations/global/postures/myStagingPosture \ workload=folder/3589215982 > posture.yaml
Öffnen Sie die resultierende
posture.yaml
-Datei zur Bearbeitung.Führen Sie einen der folgenden Schritte aus:
- Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der
_essentials
-Vorlagen verwendet haben), können Sie sie erstellen. Eine Anleitung finden Sie unter Haltung erstellen. - Wenn Sie eine der Richtliniengruppen oder Richtlinien ändern möchten, lesen Sie den Hilfeartikel YAML-Datei für den Sicherheitsstatus ändern.
- Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der
Terraform-Ressource mit Richtliniendefinitionen erstellen
Sie können eine Terraform-Konfiguration erstellen, um eine Ressourcen-Posture zu erstellen.
Sie können beispielsweise eine Ressourcenübersicht erstellen, die integrierte und benutzerdefinierte Einschränkungen von Richtlinien für Organisationen sowie integrierte und benutzerdefinierte Security Health Analytics-Detektoren enthält. Die Unterstützung für die Posture-Verwaltung für integrierte Security Health Analytics-Detektoren, die speziell für AWS gelten, befindet sich in der Vorabversion.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
policies {
policy_id = "canned_org_policy_for_service"
constraint {
org_policy_constraint {
canned_constraint_id = "run.allowedVPCEgress"
policy_rules {
allow_all: true
condition {
expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
}
parameters {
fields {
key: "denyAll"
value {
bool_value: false
}
}
fields {
key: "allowAll"
value {
bool_value: false
}
}
fields {
key: "deniedLocations"
value {
null_value: NULL_VALUE
}
}
fields {
key: "allowedLocations"
value {
string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
}
}
}
resource_types {
included: "run.googleapis.com/Service"
}
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Weitere Informationen finden Sie unter google_securityposture_posture.
YAML-Datei für die Haltung ändern
So ändern Sie eine YAML-Datei für die Gerätebereitschaft:
- Öffnen Sie die YAML-Datei für die Position in einem Texteditor.
Prüfen Sie
name
,description
undstate
am Anfang der Datei.Prüfen Sie die
name
,description
undstate
am Anfang der Datei.name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID description: DESCRIPTION state: STATE
Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu
Posture
.Beispiel:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an.
Weitere Informationen zu den verfügbaren Feldern finden Sie in der Referenz zu
PolicySet
.Prüfen Sie die vorhandenen Richtlinien und ihre Werte. Legen Sie für Richtlinien, für die spezifische Informationen zu Ihrer Umgebung erforderlich sind, die Werte entsprechend fest. Fügen Sie beispielsweise für die Richtlinie
ainotebooks.accessMode
im vordefinierten Status für sichere KI, erweitert, die zulässigen Zugriffsmodi unterpolicy_rules
hinzu:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie unter Einschränkungen für Organisationsrichtlinien beschrieben. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie definieren, muss die YAML-Datei die Definition der benutzerdefinierten Einschränkung enthalten. Sie können keine benutzerdefinierte Einschränkung verwenden, die Sie mit anderen Methoden erstellt haben, z. B. mit der Google Cloud Console.
Sie können beispielsweise die Einschränkung
compute.trustedImageProjects
festlegen, um zu definieren, welche Projekte für die Image-Speicherung und die Datenträgerinstanziierung verwendet werden können. Wenn Sie dieses Beispiel kopieren, ersetzen Sieallowed_values
durch eine geeignete Liste von Projekten:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Fügen Sie zusätzliche Security Health Analytics-Detektoren hinzu, z. B. die in den Ergebnissen von Security Health Analytics dokumentierten. Sie können beispielsweise einen Security Health Analytics-Detektor hinzufügen, um eine Warnung zu erstellen, wenn in einem Projekt kein API-Schlüssel für die Authentifizierung verwendet wird:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Als weiteres Beispiel können Sie ein benutzerdefiniertes Security Health Analytics-Modul hinzufügen, um zu erkennen, ob Vertex AI-Datasets verschlüsselt sind:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
Als weiteres Beispiel fügen Sie Security Command Center Enterprise einen Security Health Analytics-Detektor hinzu, der speziell für AWS ist (Vorabversion):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
Wenn Sie einen Detektor hinzufügen, der speziell für AWS gilt, müssen Sie die Bedrohungslage auf Organisationsebene bereitstellen.
Laden Sie die Datei mit dem Sicherheitsstatus in ein versioniertes Quell-Repository hoch, damit Sie die Änderungen, die Sie daran vornehmen, im Zeitverlauf verfolgen können.
Status erstellen
Führen Sie diese Aufgabe aus, um eine Ressourcenübersicht in Security Command Center zu erstellen, die Sie bereitstellen können. Wenn Sie eine Posture aus einer vordefinierten Posture-Vorlage mit der Google Cloud Console erstellt haben, wird die Posture-Ressource automatisch für Sie erstellt.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf Körperhaltung erstellen. Sie können einen Status erstellen, indem Sie mit einem vorhandenen Status oder einer Vorlage beginnen oder die auf eine Ressource angewendeten Richtlinien verwenden.
Sicherheitsstatus mithilfe einer vorhandenen Sicherheitseinstellung oder Vorlage erstellen
- Wählen Sie Mit vorhandenem Status oder vorhandener Vorlage beginnen (Status durchsuchen) aus.
- Geben Sie Details zur Haltung an, z. B. Name und Beschreibung.
- Klicken Sie auf Haltung auswählen. Sie können eine Haltung auf Grundlage einer vorhandenen Haltung oder einer Vorlage erstellen.
- Wählen Sie Haltung aus, um eine Haltung anhand einer vorhandenen Haltung zu erstellen. Wählen Sie eine Haltung aus der Liste der angezeigten Haltungen und dann eine oder mehrere Versionen aus der Liste der verfügbaren Versionen für die ausgewählte Haltung aus.
- Wählen Sie Vorlage aus, um eine Haltung mithilfe einer Vorlage zu erstellen, und wählen Sie dann eine oder mehrere Vorlagen aus der angezeigten Liste aus.
- Klicken Sie auf Speichern. Im Abschnitt Richtliniengruppen sehen Sie eine Liste der Richtliniengruppen, die mit der ausgewählten Haltung verknüpft sind.
- Wählen Sie die Richtlinien aus der Liste der Richtliniengruppen aus. Sie können die Richtlinie auch auf dieser Seite bearbeiten und in eine andere Richtlinie verschieben. Sie können keine Posture mit zwei Richtlinien mit demselben Namen innerhalb desselben Richtliniensatzes erstellen.
- Klicken Sie auf Erstellen.
Status mit den auf eine Ressource angewendeten Richtlinien erstellen
- Wählen Sie Mit Status beginnen, der auf eine Ressource angewendet wurde (Ressourcen durchsuchen) aus.
- Geben Sie Details zur Haltung an, z. B. Name und Beschreibung.
- Klicken Sie auf Ressourcen auswählen.
- Wählen Sie eine Ressource aus der Liste der angezeigten Ressourcen aus und klicken Sie auf Erstellen.
Sie werden auf die Seite Details zum Status weitergeleitet, auf der Informationen zum von Ihnen erstellten Status angezeigt werden. Sie sehen die zugehörigen Richtliniensätze.
gcloud
Führen Sie den Befehl
gcloud scc postures create
aus, um eine Haltung mithilfe der Dateiposture.yaml
zu erstellen.gcloud scc postures create POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname der Haltung. Beispiel:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.POSTURE_ID
ist auf 63 Zeichen begrenzt.
Führen Sie beispielsweise den folgenden Befehl aus, um eine Posture mit der ID
posture-example-1
unter der Organisationorganizations/3589215982
zu erstellen:gcloud scc postures create \ organizations/3589215982/locations/global/postures/posture-example-1 \ --posture-from-file=posture.yaml
Wenn der Vorgang zum Erstellen der Haltung fehlschlägt, löschen Sie die Haltung, beheben Sie den Fehler und versuchen Sie es noch einmal.
Informationen dazu, wie Sie prüfen, ob die Körperhaltung erfolgreich erstellt wurde, finden Sie unter Körperhaltung ansehen.
Wenn Sie diese Haltung auf Ihre Umgebung anwenden möchten, müssen Sie sie implementieren.
Terraform
Wenn Sie für die Ressourcenerfassung eine Terraform-Konfiguration erstellt haben, müssen Sie sie mit Ihrer Pipeline für die Infrastruktur als Code bereitstellen.
Weitere Informationen finden Sie unter Terraform in Google Cloud.
Status bereitstellen
Nachdem Sie eine Posture erstellt haben, können Sie sie in einem Projekt, Ordner oder einer Organisation bereitstellen, um die Richtlinien und ihre Definitionen auf bestimmte Ressourcen in Ihrer Organisation anzuwenden und Abweichungen zu überwachen. Sie können nur eine Posture für ein Projekt, einen Ordner oder eine Organisation bereitstellen.
Prüfen Sie, ob der Körperhaltungsstatus ACTIVE
lautet.
Wenn Sie die Positionierung bereitstellen, geschieht Folgendes:
- Die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren werden angewendet.
- Die benutzerdefinierte Einschränkung für benutzerdefinierte Organisationsrichtlinien wird mit der Einschränkungs-ID erstellt, um die ID der Posture-Revision als Suffix an die in der Posture definierte Einschränkungs-ID anzuhängen.
Der Standardstatus für die benutzerdefinierten Module ist Aktiviert.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Postures (Posen) auf die Haltung, die Sie bereitstellen möchten.
Wählen Sie auf der Seite Details zur Haltung die Version der Haltung aus. Die ausgewählte Körperhaltungsversion muss den Status „Aktiv“ haben.
Klicken Sie auf Auf Ressourcen anwenden.
Klicken Sie auf Auswählen, um die Organisation, den Ordner oder das Projekt auszuwählen, in dem Sie die Positionierung bereitstellen möchten.
Klicken Sie auf Haltung anwenden.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments create
aus, um eine Posture für ein Projekt, einen Ordner oder eine Organisation bereitzustellen.
gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
--posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE
Ersetzen Sie die folgenden Werte:
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format istorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.--posture-name=POSTURE_NAME
ist der Name der Bereitstellungsposition. Das Format istorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.
Wenn Ihre Risikobewertung einen Detektor enthält, der speziell für AWS gilt, müssen Sie die Risikobewertung auf Organisationsebene bereitstellen (Vorabversion).
Führen Sie beispielsweise den folgenden Befehl aus, um eine Posture bereitzustellen:
gcloud scc posture-deployments create \
organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version1 \
--target-resource=projects/4589215982
Sie können sich Statusinformationen ansehen, während der Befehl ausgeführt wird. Wenn der Prozess zum Erstellen der Bereitstellung fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.
Terraform
Sie können eine Terraform-Ressource erstellen, um eine Posture bereitzustellen.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Weitere Informationen finden Sie unter google_securityposture_posture_deployment.
Nachdem Sie die Terraform-Ressource erstellt haben, stellen Sie sie mit Ihrer Pipeline für „Infrastruktur als Code“ bereit.
Informationen zum Sicherheitsstatus und zur Bereitstellung des Sicherheitsstatus aufrufen
Sie können Informationen zur Gerätesicherheit und zur Bereitstellung der Gerätesicherheit aufrufen, um z. B. folgende Informationen zu sehen:
- Welche Sicherheitsstufen bereitgestellt werden und wo in der Ressourcenhierarchie (Organisationen, Projekte und Ordner) sie angewendet werden
- Die Überarbeitungen und den Status der Körperhaltungen
- Die operativen Details einer Bereitstellung der Gerätestatusprüfung
Haltung ansehen
Sie können sich Informationen zu einer Posture ansehen, z. B. ihren Status und ihre Richtliniendefinitionen.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Wählen Sie die Organisation aus, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie sich ansehen möchten. Die Details zur Haltung werden angezeigt.
gcloud
Führen Sie den Befehl gcloud scc postures describe
aus, um eine von Ihnen erstellte Haltung aufzurufen.
gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname der Haltung. Beispiel:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.revision-id=REVISION_ID
ist ein optionales Flag, das angibt, welche Version der Gefährdungslage angezeigt werden soll. Wenn Sie das Flag nicht angeben, wird die neueste Version zurückgegeben.
Wenn Sie beispielsweise eine Haltung mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1
und der Versions-ID abcdefgh
aufrufen möchten, führen Sie Folgendes aus:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1 \
--revision-id=abcdefgh
Informationen zu einem Vorgang zur Bereitstellung des Sicherheitsstatus aufrufen
Führen Sie den Befehl gcloud scc posture-operations describe
aus, um die Vorgangsdetails für einen Vorgang zur Bereitstellung der Gerätesicherheit aufzurufen.
gcloud scc posture-operations describe OPERATION_NAME
Dabei ist OPERATION_NAME
der relative Ressourcenname für den Vorgang. Das Format ist organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID
.
Sie können OPERATION_ID
mit dem Argument --async
abrufen, wenn Sie den Befehl „posture“ ausführen.
Wenn Sie beispielsweise einen Scanvorgang mit dem Namen organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
aufrufen möchten, führen Sie Folgendes aus:
gcloud scc posture-operations describe \
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Informationen zu einer Bereitstellung des Sicherheitsstatus aufrufen
Sie können sehen, wo eine Posture bereitgestellt wird, und den Bereitstellungsstatus.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Postures (Stellungen) auf die von Ihnen bereitgestellte Bereitstellung.
Rufen Sie den Tab Ressourcen auf, um die Projekte, Ordner und die Organisation aufzurufen, in denen die Bewertung bereitgestellt wird, sowie den Bereitstellungsstatus.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments describe
aus, um Informationen zu einer bereitgestellten Posture aufzurufen.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Dabei ist POSTURE_DEPLOYMENT_NAME
der relative Ressourcenname für die Bereitstellung der Haltung. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
istglobal
.POSTURE_DEPLOYMENT_ID
ist ein eindeutiger Name für die Bereitstellung der Gerätesicherheit.
Wenn Sie beispielsweise die Details für eine Bereitstellung der Gerätesicherheit mit dem Namen organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
aufrufen möchten, führen Sie Folgendes aus:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Status und Statusbereitstellung aktualisieren
Sie können Folgendes aktualisieren:
- Der Status der Körperhaltung.
- Die Richtliniendefinitionen in einer Posture.
- Die Organisation, die Ordner oder die Projekte, in denen eine Posture bereitgestellt wird.
Richtliniendefinitionen in einer Haltung aktualisieren
Möglicherweise müssen Sie eine Haltung aktualisieren, wenn Sie weitere Google Cloud-Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien benötigen, um neue oder sich ändernde Compliance-Anforderungen zu erfüllen. Wenn Sie eine bereitgestellte Statusversion aktualisieren, wird mit dieser Aufgabe eine neue Statusversion erstellt. Andernfalls wird die Version des Sicherheitsstatus aktualisiert, die Sie beim Ausführen des Befehls „update“ angeben.
- Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die Felder, die Sie aktualisieren möchten, zusammen mit ihren Werten hinzu. Wenn Sie Richtliniengruppen aktualisieren, muss Ihre Datei alle Richtliniengruppen enthalten, die in die Bewertung aufgenommen werden sollen, einschließlich der bereits vorhandenen Richtliniengruppen. Eine Anleitung finden Sie unter YAML-Datei für die Haltung ändern.
Führen Sie den Befehl
gcloud scc postures update
aus, um die Position zu aktualisieren.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID \ --update-mask=UPDATE_MASK
Ersetzen Sie die folgenden Werte:
POSTURE_NAME
ist der relative Ressourcenname der Haltung. Beispiel:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.
POSTURE_FROM_FILE
ist der relative oder absolute Pfad zurposture.yaml
-Datei mit Ihren Änderungen.LOCATION
istglobal
.POSTURE_ID
ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.
POSTURE_FROM_FILE
ist der relative oder absolute Pfad zurposture.yaml
-Datei mit Ihren Änderungen.--revision-id=REVISION_ID
ist die Überarbeitung der Sicherheitskonfiguration, die Sie bereitstellen möchten. Wenn die Sicherheitskonfiguration bereits bereitgestellt wurde, erstellt der Dienst für die Sicherheitskonfiguration automatisch eine neue Version der Sicherheitskonfiguration mit einer anderen Versions-ID und fügt die Versions-ID in die Ausgabe ein.--update-mask=UPDATE_MASK
ist eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional. Sie könnenUPDATE_MASK
auf einen der folgenden Werte festlegen:*
oder „nicht angegeben“: Wenden Sie die Änderungen an den Richtliniensätzen und an der Beschreibung der Risikobereitschaft an.policy_sets
: Nur die Änderungen an den Richtliniensätzen anwenden.description
: Wenden Sie nur die Änderungen an der Beschreibung der Körperhaltung an.policy_sets, description
: Wenden Sie die Änderungen an den Richtliniensätzen und an der Beschreibung der Sicherheitsposition an.state
: Nur den Status ändern.
Wenn Sie beispielsweise eine Posture mit dem Namen
posture-example-1
für die Organisationorganizations/3589215982/locations/global
aktualisieren möchten und die Revision-ID aufabcd1234
festgelegt ist, führen Sie Folgendes aus:gcloud scc postures update \ organizations/3589215982/locations/global/posture-example-1 \ --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Wenn der Vorgang zum Aktualisieren der Haltung fehlschlägt, beheben Sie den Fehler und versuchen Sie es noch einmal.
Wie Sie prüfen, ob die Ausrichtung erfolgreich aktualisiert wurde, erfahren Sie unter Sich eine Ausrichtung ansehen.
Status einer Haltung ändern
Der Status einer Posture bestimmt, ob sie für die Bereitstellung in einem Projekt, Ordner oder einer Organisation verfügbar ist.
Eine Körperhaltung kann folgende Status haben:
DRAFT
: Die Überarbeitung des Status ist nicht bereit für die Bereitstellung. Sie können keine Postur-Überarbeitung bereitstellen, die sich im StatusDRAFT
befindet.ACTIVE
: Die Überarbeitung der Haltung ist für die Bereitstellung verfügbar. Sie können den Status vonACTIVE
inDRAFT
oderDEPRECATED.
ändern.DEPRECATED
: EineDEPRECATED
-Sicherheitsüberprüfung kann nicht auf einer Ressource bereitgestellt werden. Sie müssen alle vorhandenen Bereitstellungen der Posture löschen, bevor Sie eine Posture-Version verwerfen können. Wenn Sie eine Sicherheitskonfiguration, die Sie eingestellt haben, neu bereitstellen möchten, müssen Sie ihren Status inACTIVE
ändern.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aktualisieren möchten.
Klicken Sie auf der Seite Details zur Haltung auf Bearbeiten.
Wählen Sie den gewünschten Haltungsstatus aus und klicken Sie auf Speichern.
gcloud
Führen Sie den Befehl gcloud scc postures update
aus, um den Status einer Posture zu ändern.
Sie können den Status nicht gleichzeitig mit anderen Feldern aktualisieren. Eine Anleitung zum Ausführen des Befehls gcloud scc postures update
finden Sie unter YAML-Datei für die Haltung ändern.
Bereitstellung der Gerätestatusprüfung aktualisieren
Aktualisieren Sie eine Bereitstellung der Sicherheitskonfiguration für ein Projekt, einen Ordner oder eine Organisation, um eine neue Sicherheitskonfiguration oder eine neue Version einer Sicherheitskonfiguration bereitzustellen.
Wenn die zu aktualisierende Risikobewertung eine benutzerdefinierte Organisationsbeschränkung enthält, die über die Google Cloud Console gelöscht wurde, können Sie die Risikobewertung nicht mit derselben Risikobewertungs-ID aktualisieren. Der Organisationsrichtliniendienst verhindert das Erstellen benutzerdefinierter Organisationseinschränkungen mit demselben Namen. Stattdessen müssen Sie eine neue Version der Haltung erstellen oder eine andere Haltungs-ID verwenden.
Außerdem werden Ergebnisse für die Richtlinienimplementierungen deaktiviert, die im Rahmen des Aktualisierungsprozesses gelöscht wurden.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aktualisieren möchten.
Wählen Sie auf der Seite Details zur Haltung die Version der Haltung aus.
Klicken Sie auf Auf Ressourcen anwenden.
Klicken Sie auf Auswählen, um die Organisation, den Ordner oder das Projekt auszuwählen, in dem Sie die Positionierung bereitstellen möchten. Wenn Sie die Meldung erhalten, dass die Bereitstellung bereits vorhanden ist, löschen Sie die Bereitstellung, bevor Sie es noch einmal versuchen.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments update
aus, um eine Posture bereitzustellen.
gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
--description=DESCRIPTION \
--update-mask=UPDATE_MASK \
--posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID
Ersetzen Sie die folgenden Werte:
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format istorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.POSTURE_DEPLOYMENT_ID
ist ein eindeutiger Name für die Bereitstellung der Gerätesicherheit.
--description=DESCRIPTION
ist eine optionale Beschreibung für die bereitgestellte Position.--posture-id=POSTURE_ID
ist der eindeutige Name Ihrer Haltung für Ihre Organisation. Das Format dafür lautetorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME
.--posture-revision-id=POSTURE_REVISION_ID
ist die Bereitstellungsversion der Haltung. Sie finden sie in der Antwort, die Sie erhalten, wenn Sie die Haltung erstellen oder sich die Haltung ansehen.--update-mask=UPDATE_MASK
ist eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional.
So aktualisieren Sie beispielsweise eine Bereitstellung der Gerätestatusprüfung mit den folgenden Kriterien:
- Organisation:
organizations/3589215982/locations/global
- Bereitstellungs-ID des Sicherheitsstatus:
postureDeploymentexample
- Posture-ID:
StagingAIPosture
- Revision:
version2
Führen Sie dazu diesen Befehl aus:
gcloud scc posture-deployments update \
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version2
Sie können sich Statusinformationen ansehen, während der Befehl ausgeführt wird. Wenn der Aktualisierungsprozess der Bereitstellung fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.
Abweichungen des Sicherheitsstatus im Blick behalten
Sie können eine bereitgestellte Sicherheitskonfiguration im Hinblick auf Abweichungen von Ihren definierten Richtlinien im Rahmen des Sicherheitsstatus überwachen. Eine Abweichung ist eine Änderung an einer Richtlinie, die außerhalb einer Haltung auftritt. Abweichungen treten beispielsweise auf, wenn ein Administrator eine Richtliniendefinition in der Konsole ändert, anstatt die Bereitstellung der Gerätestatus zu aktualisieren.
Der Dienst zur Bewertung der Sicherheitslage erstellt Ergebnisse, die Sie in der Google Cloud Console oder der gcloud CLI aufrufen können, wenn Abweichungen auftreten.
Console
Wenn Sie eine Haltung erstellt haben, die auf Vertex AI-Arbeitslasten angewendet wird, können Sie Abweichungen auf zwei Arten überwachen: auf der Seite Ergebnisse und auf der Seite Übersicht. Bei allen anderen Haltungen können Sie auf der Seite Ergebnisse nach Abweichungen suchen.
So überwachen Sie Abweichungen auf der Seite Ergebnisse:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Wählen Sie im Bereich Schnellfilter die Abweichung Verletzung der Körperhaltung aus. Sie können auch den folgenden Filter in die Abfragevorschau eingeben:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Klicken Sie auf ein Ergebnis, um die Details aufzurufen.
So überwachen Sie auf der Seite Übersicht Abweichungen (nur Vertex AI-Arbeitslasten): 1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.
1. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben. 1. Sehen Sie sich den Bereich KI-Arbeitslastergebnisse an.
- Auf dem Tab Sicherheitslücken werden alle Sicherheitslücken angezeigt, die sich auf benutzerdefinierte Security Health Analytics-Module beziehen, die speziell für Vertex AI-Arbeitslasten gelten.
- Auf dem Tab Richtlinienabweichung werden alle Abweichungen im Zusammenhang mit den Vertex AI-Organisationsrichtlinien angezeigt, die Sie in einer Haltung angewendet haben.
- Klicken Sie auf ein Ergebnis, um die Details aufzurufen.
gcloud
Führen Sie in der gcloud CLI den folgenden Befehl aus, um die Abweichungsergebnisse aufzurufen:
gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""
Dabei ist ORGANIZATION_ID
die ID der Organisation.
Weitere Informationen zur Behebung dieser Probleme finden Sie unter Ergebnisse des Dienstes zum Sicherheitsstatus. Sie können diese Ergebnisse genauso exportieren wie andere Ergebnisse aus dem Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.
Wenn Sie ein Drift-Ergebnis deaktivieren möchten, können Sie die Bereitstellung der Sicherheitskonfiguration mit derselben Sicherheitskonfigurations-ID und ‑Version aktualisieren.
Abweichungsbefund zu Testzwecken generieren
Nachdem Sie eine Haltung bereitgestellt haben, können Sie Abweichungen von Ihren Richtlinien überwachen. So sehen Sie die Abweichungsergebnisse in einer Testumgebung in Aktion:
Wechseln Sie in der Console zur Seite Organisationsrichtlinie.
Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Sicherheitsstatus definiert haben. Wenn Sie beispielsweise eine vordefinierte Einstellung für sichere KI verwenden, können Sie die Richtlinie Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken bearbeiten.
Klicken Sie nach dem Ändern der Richtlinie auf Richtlinie festlegen.
Rufen Sie die Seite Ergebnisse auf.
Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option Sicherheitsstatus aus. Innerhalb von fünf Minuten sollte ein Ergebnis zu Ihrer Änderung angezeigt werden.
Klicken Sie auf das Ergebnis, um die Details aufzurufen.
Bereitstellung für den Gerätestatus löschen
Sie können eine Bereitstellung der Gerätestatusprüfung löschen, wenn sie nicht richtig bereitgestellt wurde, Sie eine bestimmte Gerätestatusprüfung nicht mehr benötigen oder einer bestimmten Bereitstellung keine Projekte, Ordner oder Organisationen mehr zugewiesen werden sollen. Damit eine Bereitstellung der Gerätestatuserfassung gelöscht werden kann, muss sie sich in einem der folgenden Status befinden:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Informationen zum Prüfen des Status einer Bereitstellung der Gerätesicherheit finden Sie unter Informationen zu einer Bereitstellung der Gerätesicherheit aufrufen.
Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, entfernen Sie den Sicherheitsstatus aus der Ressource (Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt), der Sie zugewiesen haben. Außerdem werden die zugehörigen Ergebnisse deaktiviert.
Die Ausgabe für verschiedene Richtlinientypen ist:
- Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, die benutzerdefinierte Organisationsrichtlinien enthält, werden auch diese gelöscht. Die benutzerdefinierte Einschränkung bleibt jedoch bestehen.
Wenn Sie eine Bereitstellung der Gerätestatusprüfung löschen, die integrierte Security Health Analytics-Detektoren enthält, hängt der endgültige Status der Security Health Analytics-Module von der Organisation, dem Ordner oder dem Projekt ab, in dem die Bereitstellung vorhanden war.
- Wenn Sie eine Posture für einen Ordner oder ein Projekt bereitgestellt haben, übernehmen integrierte Security Health Analytics-Detektoren ihren Status von der übergeordneten Organisation oder dem übergeordneten Ordner.
- Wenn Sie einen Sicherheitsstatus auf Organisationsebene bereitgestellt haben, kehren die integrierten Security Health Analytics-Detektoren zum Standardstatus zurück. Eine Beschreibung der Standardstatus finden Sie unter Detektoren aktivieren und deaktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aus der Ressource entfernen möchten, der sie zugewiesen ist.
Wählen Sie auf der Seite Posture-Details die Überarbeitung der Posture aus und gehen Sie zu Ressourcen.
Klicken Sie in der Liste der Ressourcen, auf denen die aktuelle aktive Richtlinienversion bereitgestellt ist, auf Entfernen.
gcloud
Führen Sie den Befehl gcloud scc posture-deployments delete
aus, um eine Bereitstellung für die Gerätesicherheit zu löschen.
gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
POSTURE_DEPLOYMENT_ID
ist der eindeutige Name für die Bereitstellung der Gerätesicherheit.
Wenn Sie beispielsweise ein Deployment für die Gerätesicherheit mit dem Namen organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
löschen möchten, führen Sie Folgendes aus:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Status löschen
Wenn Sie einen Status löschen, werden auch alle Versionen gelöscht. Sie können eine Haltung nicht löschen, wenn eine ihrer Überarbeitungen bereitgestellt wurde. Sie müssen alle Bereitstellungen für die Gerätesicherheit löschen, bevor Sie diese Aufgabe ausführen können.
Console
Rufen Sie in der Google Cloud Console die Seite Posture Management auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
Klicken Sie auf dem Tab Körperhaltungen auf die Körperhaltung, die Sie löschen möchten.
Klicken Sie auf der Seite Details zur Körperhaltung auf Löschen.
gcloud
Führen Sie den Befehl gcloud scc postures delete
aus, um eine Haltung zu löschen.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
Die Posture-ID ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.
Wenn Sie beispielsweise eine Haltung mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1
löschen möchten, führen Sie Folgendes aus:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1
Nächste Schritte
- Übersicht über den Sicherheitsstatus
- Weitere Informationen zu benutzerdefinierten Modulen für Security Health Analytics
- Weitere Informationen zu benutzerdefinierten Einschränkungen für Organisationsrichtlinien
- Prüfen Sie die Audit-Logs auf sicherheitsrelevante Vorgänge.
- Daten des Dienstes zur Bewertung der Sicherheitslage exportieren