Auf dieser Seite wird beschrieben, wie Sie neue und aktualisierte Ergebnisse in eine BigQuery-Dataset mithilfe von Security Command Center Exportfunktion für BigQuery. Vorhandene Ergebnisse werden nicht an BigQuery, es sei denn, sie werden aktualisiert.
BigQuery ist das vollständig verwaltete, kostengünstige Data Warehouse für Analysen im Petabyte-Bereich von Google Cloud. Damit können Sie große Datenmengen nahezu in Echtzeit analysieren. Sie können BigQuery zum Ausführen von Abfragen für neue und aktualisierte Ergebnisse, Daten nach Bedarf filtern und benutzerdefinierte Berichte erstellen. Weitere Informationen Weitere Informationen zu BigQuery finden Sie in der BigQuery-Dokumentation
Übersicht
Wenn Sie dieses Feature aktivieren, werden neue Ergebnisse, die in das Security Command Center geschrieben werden, nahezu in Echtzeit in eine BigQuery-Tabelle exportiert. Anschließend können Sie die Daten in vorhandene Workflows integrieren. und erstellen Sie benutzerdefinierte Analysen erstellen. Sie können diese Funktion in der Organisation, im Ordner, und auf Projektebene können Sie Ergebnisse basierend auf Ihren Anforderungen exportieren.
Dieses Feature ist die empfohlene Methode zum Exportieren von Security Command Center-Ergebnissen in BigQuery, da es vollständig verwaltet wird und keine manuellen Vorgänge oder das Schreiben von benutzerdefiniertem Code erfordert.
Dataset-Struktur
Dieses Feature fügt jedes neue Ergebnis und die nachfolgenden Aktualisierungen als neue Zeilen in die findings
-Tabelle ein. Diese ist geclustert nach source_id
,finding_id
und event_time
.
Wenn ein Ergebnis aktualisiert wird, erstellt dieses Feature mehrere Ergebnisdatensätze mit denselben source_id
- und finding_id
-Werten, aber mit unterschiedlichen event_time
-Werten.
Mit dieser Dataset-Struktur können Sie sehen, wie sich der Zustand jedes Ergebnisses im Laufe der Zeit ändert.
Beachten Sie, dass doppelte Einträge in Ihrem Dataset vorhanden sein können. Zum Herausfiltern dieser Einträge können Sie die Klausel DISTINCT
verwenden, wie in der ersten Beispielabfrage gezeigt.
Jedes Dataset enthält die Tabelle findings
mit den folgenden Feldern:
Feld | Beschreibung |
---|---|
source_id | Eine eindeutige Kennung, die Security Command Center der Quelle eines Ergebnisses zuweist. Beispielsweise haben alle Ergebnisse der Quelle Cloud-Anomalieerkennung denselben source_id-Wert. Beispiel: 1234567890
|
finding_id | Eindeutige Kennung für das Ergebnis. Innerhalb einer Quelle eindeutig für ein Unternehmen. Er ist alphanumerisch und hat höchstens 32 Zeichen. |
event_time | Die Zeit, zu der das Ereignis aufgetreten ist, oder die Zeit, zu der eine Aktualisierung des Ergebnisses erfolgt ist. Wenn das Ergebnis beispielsweise eine offene Firewall darstellt, erfasst "event_time" den Zeitpunkt, zu dem der Detektor der Meinung ist, dass die Firewall geöffnet ist.
Wenn das Ergebnis später behoben wird, gibt dieser Zeitpunkt an, wann das Ergebnis behoben wurde. Beispiel: 2019-09-26 12:48:00.985000 UTC
|
finding | Ein Datensatz von Bewertungsdaten wie Sicherheit, Risiko, Zustand oder Datenschutz, die in Security Command Center für Darstellung, Benachrichtigung, Analyse, Richtlinientests und Durchsetzung aufgenommen werden. Eine XSS-Sicherheitslücke (Cross-Site-Scripting) in einer App Engine-Anwendung ist beispielsweise ein Ergebnis. Weitere Informationen zu den verschachtelten Feldern finden Sie in der API-Referenz zum Objekt Finding . |
Ressource | Informationen zu der Google Cloud-Ressource, die diesem Ergebnis zugeordnet ist. Weitere Informationen zu den verschachtelten Feldern finden Sie in der API-Referenz zum Objekt Resource . |
Kosten
Für diese Funktion fallen BigQuery-Gebühren an. Weitere Informationen finden Sie unter BigQuery-Preise.
Hinweis
Führen Sie die folgenden Schritte aus, bevor Sie diese Funktion aktivieren.
Berechtigungen einrichten
Zum Durcharbeiten dieser Anleitung benötigen Sie die folgenden IAM-Rollen (Identity and Access Management):
Verwenden Sie für die Organisation, den Ordner oder das Projekt, aus dem Sie Ergebnisse exportieren möchten, eine der folgenden Optionen:
- Sicherheitscenter-BigQuery-Exporteditor (
roles/securitycenter.bigqueryExportsEditor
): - Sicherheitscenter-Administrator (
roles/securitycenter.admin
):
Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
- Sicherheitscenter-BigQuery-Exporteditor (
Für das BigQuery-Dataset: BigQuery-Dateninhaber (
roles/bigquery.dataOwner
).
BigQuery-Dataset erstellen
BigQuery-Dataset erstellen Weitere Informationen finden Sie unter Datasets erstellen.
Datenstandort planen
Wenn der Datenstandort
für Security Command Center aktiviert, die Konfigurationen,
Streaming von Exporten nach
BigQuery (BigQueryExport
Ressourcen) unterliegen der
und werden in einem
Speicherort von Security Command Center
die Sie auswählen.
So exportieren Sie Ergebnisse an einem Security Command Center-Speicherort nach BigQuery müssen Sie die BigQuery- und zwar am selben Security Command Center-Speicherort wie die Ergebnisse.
Da die in BigQuery verwendeten Filter Exporte können Daten enthalten, die Standortkontrollen unterliegen, achten Sie darauf, dass Sie den richtigen Speicherort angeben, bevor Sie sie erstellen. Security Command Center schränkt nicht ein, welchen Standort Sie erstellen die Exporte enthalten sollen.
BigQuery-Exporte werden nur an dem Speicherort gespeichert in die erstellt wurden und an anderen Orten nicht angezeigt oder bearbeitet werden können.
Nachdem Sie einen BigQuery-Export erstellt haben, Standort verwendet wird. Um den Standort zu ändern, müssen Sie Folgendes löschen: und erstellen Sie ihn am neuen Speicherort neu.
So rufen Sie einen BigQuery-Export mithilfe von API-Aufrufen ab:
müssen Sie den Standort im vollständigen Ressourcennamen der
bigQueryExport
Beispiel:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/bigQueryExports/my-export-01}
Zum Abrufen eines BigQuery-Exports
der gcloud CLI verwenden, müssen Sie den Standort entweder
im vollständigen Ressourcennamen der Konfiguration oder mithilfe der Methode --locations
melden. Beispiel:
gcloud scc scc bqexports get myBigQueryExport organizations/123 \ --location=locations/us
Ergebnisse aus Security Command Center in BigQuery exportieren
Aktivieren Sie zum Exportieren der Ergebnisse zuerst die Security Command Center API.
Security Command Center API aktivieren
So aktivieren Sie das Security Command Center API:
Rufen Sie in der Google Cloud Console die Seite „API-Bibliothek“ auf.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktivieren möchten.
Geben Sie im Feld Suchen
Security Command Center
ein und klicken Sie dann in den Suchergebnissen auf Security Command Center.Klicken Sie auf der angezeigten API-Seite auf Aktivieren.
Die Security Command Center API ist für Ihr Projekt aktiviert. Als Nächstes erstellen Sie mit der gcloud CLI eine neue Exportkonfiguration nach BigQuery.
Perimeterzugriff in VPC Service Controls gewähren
Wenn Sie VPC Service Controls und Ihr BigQuery-Dataset Teil eines Projekts in einem Dienst ist Perimeter müssen Sie Zugriff auf Projekte gewähren, um Ergebnisse exportieren zu können.
Um Zugriff auf Projekte zu gewähren, erstellen Sie
Regeln für eingehenden und ausgehenden Traffic
für die Hauptkonten und Projekte, aus denen Sie Ergebnisse exportieren. Regeln
Zugriff auf geschützte Ressourcen zulassen und BigQuery prüfen lassen,
Nutzer haben die Berechtigung setIamPolicy
für die BigQuery-Datei
Dataset.
Vor dem Einrichten eines neuen Exports nach BigQuery
Rufen Sie in der Google Cloud Console die Seite „VPC Service Controls“ auf.
Wählen Sie gegebenenfalls Ihre Organisation aus.
Klicken Sie auf den Namen des Dienstperimeters, den Sie ändern möchten.
Den zu ändernden Dienstperimeter finden Sie in Ihren Logs. für Einträge, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Verstöße zeigen. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Klicken Sie auf Perimeter bearbeiten.
Klicken Sie im Navigationsmenü auf Richtlinie für eingehenden Traffic.
Bis Regeln für eingehenden Traffic konfigurieren Für Nutzer oder Dienstkonten verwenden Sie die folgenden Parameter:
- FROM-Attribute des API-Clients:
- Wähle im Dropdown-Menü Identitäten die Option Ausgewählt aus. Identitäten.
- Wählen Sie im Drop-down-Menü Quelle die Option Alle Quellen aus.
- Klicken Sie auf Auswählen und geben Sie das gewünschte Hauptkonto ein. zum Aufrufen der Security Command Center API.
- TO-Attribute von Google Cloud-Diensten/-Ressourcen:
- Wählen Sie im Drop-down-Menü Projekt die Option Ausgewählte Projekte aus.
- Klicken Sie auf Auswählen und geben Sie das Projekt ein, enthält das BigQuery-Dataset .
- Wählen Sie im Dropdown-Menü Services die Option Ausgewählt aus. Dienste und wählen Sie dann BigQuery API aus.
- Wählen Sie im Drop-down-Menü Methoden die Option Alle Aktionen aus.
- FROM-Attribute des API-Clients:
Klicken Sie auf Speichern.
Klicken Sie im Navigationsmenü auf Richtlinie für ausgehenden Traffic.
Klicken Sie auf Add Rule (Regel hinzufügen).
Bis Regeln für ausgehenden Traffic konfigurieren Für Nutzer- oder Dienstkonten geben Sie die folgenden Parameter ein:
- FROM-Attribute des API-Clients:
- Wählen Sie im Drop-down-Menü Identitäten die Option Ausgewählte Identitäten aus.
- Klicken Sie auf Auswählen und geben Sie dann das gewünschte Hauptkonto ein. zum Aufrufen der Security Command Center API.
- TO-Attribute von Google Cloud-Diensten/-Ressourcen:
- Wählen Sie im Drop-down-Menü Projekt die Option Alle Projekte aus.
- Wählen Sie im Dropdown-Menü Services die Option Ausgewählt aus. Dienste und wählen Sie dann BigQuery API aus.
- Wählen Sie im Drop-down-Menü Methoden die Option Alle Aktionen aus.
- FROM-Attribute des API-Clients:
Klicken Sie auf Speichern.
Neuen Export nach BigQuery einrichten
In diesem Schritt erstellen Sie eine Exportkonfiguration, um Ergebnisse in eine BigQuery-Instanz zu exportieren. Sie können Exportkonfigurationen auf Projekt-, Ordner- oder Organisationsebene erstellen. Wenn Sie beispielsweise Ergebnisse aus einem Projekt in ein BigQuery-Dataset exportieren möchten, erstellen Sie eine Exportkonfiguration auf Projektebene, um nur die Ergebnisse zu exportieren, die sich auf dieses Projekt beziehen. Optional können Sie Filter angeben, um nur bestimmte Ergebnisse zu exportieren.
Erstellen Sie Ihre Exportkonfigurationen auf der entsprechenden Ebene. Wenn Sie beispielsweise eine Exportkonfiguration in Projekt B erstellen, um Ergebnisse aus Projekt A zu exportieren, und Sie Filter wie resource.project_display_name: project-a-id
definieren, exportiert die Konfiguration keine Ergebnisse.
Sie können für Ihre Organisation maximal 500 Exportkonfigurationen in BigQuery erstellen. Sie können dasselbe Dataset für mehrere Exportkonfigurationen verwenden. Wenn Sie dasselbe Dataset verwenden, werden alle Aktualisierungen in derselben Ergebnistabelle vorgenommen.
Wenn Sie Ihre erste Exportkonfiguration erstellen, wird automatisch ein Dienstkonto für Sie angelegt. Dieses Dienstkonto ist erforderlich, um die Ergebnistabelle in einem Dataset zu erstellen oder zu aktualisieren und Ergebnisse in die Tabelle zu exportieren. Es hat das Format service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gservicaccount.com
und erhält die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor
) auf BigQuery-Dataset-Ebene.
gcloud
Öffnen Sie die Google Cloud Console.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.
Klicken Sie auf Cloud Shell aktivieren .
Führen Sie den folgenden Befehl aus, um eine neue Exportkonfiguration zu erstellen:
gcloud scc bqexports create BIG_QUERY_EXPORT \ --dataset=DATASET_NAME \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--description=DESCRIPTION] \ [--filter=FILTER]
Ersetzen Sie Folgendes:
BIG_QUERY_EXPORT
durch einen Namen für diese Exportkonfiguration.DATASET_NAME
durch den Namen des BigQuery-Datasets, z. B.projects/<PROJECT_ID>/datasets/<DATASET_ID>
.FOLDER_ID
,ORGANIZATION_ID
oderPROJECT_ID
durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.LOCATION
: Wenn der Datenstandort aktiviert ist, Geben Sie den Security Command Center-Speicherort an. in dem der BigQuery-Export erstellt werden soll. Die Die BigQuery-Exportkonfiguration wird hier gespeichert: Standort. Nur Ergebnisse aus diesem Speicherort werden in den Export aufgenommen.Angabe des Flags
--location
, wenn der Datenstandort nicht aktiviert ist erstellt den BigQuery-Export mithilfe von Security Command Center API v2 und die einzige Der gültige Wert für das Flag istglobal
.DESCRIPTION
durch eine menschenlesbare Beschreibung der Exportkonfiguration. Diese Variable ist optional.FILTER
durch einen Ausdruck, der definiert, was Ergebnisse für den Export. Wenn Sie beispielsweise in der Kategorie XSS_SCRIPTING"category=\"XSS_SCRIPTING\"
ein. Diese Variable ist optional.
Java
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Python
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Die Ergebnisse sollten innerhalb von etwa 15 Minuten nach dem Erstellen der Exportkonfiguration in Ihrem BigQuery-Dataset angezeigt werden. Nachdem die BigQuery-Tabelle erstellt wurde, werden neue und aktualisierte Ergebnisse, die Ihrem Filter und Bereich entsprechen, nahezu in Echtzeit in der Tabelle angezeigt.
Informationen zum Ansehen der Ergebnisse finden Sie unter Ergebnisse prüfen.
Eingangsregel für den neuen Export nach BigQuery erstellen
Wenn Sie VPC Service Controls und Ihr BigQuery-Dataset Teil eines Projekts in einem Dienst ist Perimeter müssen Sie eine Regel für eingehenden Traffic für einen neuen Export nach BigQuery erstellen.
Öffnen Sie den Dienstperimeter aus Neuen Export nach BigQuery einrichten noch einmal.
Klicken Sie auf Richtlinie für eingehenden Traffic.
Klicken Sie auf Add Rule (Regel hinzufügen).
Um die Eingangsregel für die Exportkonfigurationen zu konfigurieren, geben Sie den Parameter folgende Parameter:
- FROM-Attribute des API-Clients:
- Wählen Sie im Drop-down-Menü Quelle die Option Alle Quellen aus.
- Wählen Sie im Drop-down-Menü Identitäten die Option Ausgewählte Identitäten aus.
- Klicken Sie auf Auswählen und geben Sie dann den Namen
Dienstkonto für die BigQuery-Exportkonfiguration:
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- TO-Attribute von GCP-Diensten/-Ressourcen:
- Wählen Sie im Drop-down-Menü Projekt die Option Ausgewählte Projekte aus.
- Klicken Sie auf Auswählen und wählen Sie das Projekt aus, enthält das BigQuery-Dataset.
- Wählen Sie im Dropdown-Menü Services die Option Ausgewählt aus. Dienste und wählen Sie dann BigQuery API aus.
- Wählen Sie im Drop-down-Menü Methoden die Option Alle Aktionen aus.
- FROM-Attribute des API-Clients:
Klicken Sie im Navigationsmenü auf Speichern.
Die ausgewählten Projekte, Nutzer und Dienstkonten können jetzt auf die geschützten und die Ergebnisse exportieren.
Wenn Sie alle Schritte in dieser Anleitung befolgt haben und die Exporte funktionieren können Sie Folgendes löschen:
- Die Eingangsregel für das Hauptkonto
- Die Ausgangsregel für das Hauptkonto
Diese Regeln wurden nur zum Konfigurieren der Exportkonfiguration benötigt. Sie können jedoch Damit Exportkonfigurationen weiterhin funktionieren, müssen Sie die Eingangsregel beibehalten die Sie oben erstellt haben, damit Security Command Center Ergebnisse in Ihr BigQuery-Dataset hinter dem Dienstperimeter.
Details einer Exportkonfiguration aufrufen
gcloud
Öffnen Sie die Google Cloud Console.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.
Klicken Sie auf Cloud Shell aktivieren .
Führen Sie den folgenden Befehl aus, um die Details der Exportkonfiguration zu prüfen:
gcloud scc bqexports get BIG_QUERY_EXPORT \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
BIG_QUERY_EXPORT
durch den Namen dieser Exportkonfiguration.FOLDER_ID
,ORGANIZATION_ID
oderPROJECT_ID
durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.LOCATION
: erforderlich, wenn entweder der Datenstandort aktiviert ist oder die RessourceBigQueryExport
mit dem Version 2 der API verfügbar.Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort, an dem der Export gespeichert wird.
Wenn der Datenstandort nicht aktiviert ist, fügen Sie
/locations/LOCATION
nur, wenn der RessourceBigQueryExport
wurde mit dem Security Command Center API v2. In diesem Fall ist dies der einzige gültige Standort, istglobal
.
Führen Sie beispielsweise den folgenden Befehl aus, um eine Exportkonfiguration mit dem Namen
my-bq-export
aus einer Organisation mit einer Organisations-ID abzurufen, die auf123
festgelegt ist:gcloud scc bqexports get my-bq-export --organization=123
Java
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Python
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Exportkonfiguration aktualisieren
Bei Bedarf können Sie den Filter, das Dataset und die Beschreibung einer vorhandenen Exportkonfiguration ändern. Der Name der Exportkonfiguration kann nicht geändert werden.
gcloud
Öffnen Sie die Google Cloud Console.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.
Klicken Sie auf Cloud Shell aktivieren .
Führen Sie den folgenden Befehl aus, um eine Exportkonfiguration zu aktualisieren:
gcloud scc bqexports update BIG_QUERY_EXPORT \ --dataset=DATASET_NAME \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--description=DESCRIPTION] \ [--filter=FILTER]
Ersetzen Sie Folgendes:
BIG_QUERY_EXPORT
durch den Namen der Exportkonfiguration, die Sie aktualisieren möchten.DATASET_NAME
durch den Namen des BigQuery-Datasets, z. B.projects/<PROJECT_ID>/datasets/<DATASET_ID>
.FOLDER_ID
,ORGANIZATION_ID
oderPROJECT_ID
durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.LOCATION
: erforderlich, wenn entweder der Datenstandort aktiviert ist oder die RessourceBigQueryExport
mit dem Version 2 der API verfügbar.Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort, an dem der Export gespeichert wird.
Wenn der Datenstandort nicht aktiviert ist, fügen Sie
/locations/LOCATION
im vollständigen Namen oder Geben Sie das Flag--location
nur an, wenn dieBigQueryExport
mit der Security Command Center API v2 erstellt wurde, In diesem Fall ist der einzige gültige Standortglobal
.DESCRIPTION
durch eine menschenlesbare Beschreibung der Exportkonfiguration. Diese Variable ist optional.FILTER
durch einen Ausdruck, der definiert, was Ergebnisse für den Export. Wenn Sie beispielsweise in der Kategorie XSS_SCRIPTING"category=\"XSS_SCRIPTING\"
ein. Diese Variable ist optional.
Java
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Python
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Alle Exportkonfigurationen anzeigen
Sie können alle Exportkonfigurationen in Ihrer Organisation, in Ihrem Ordner oder in Ihrem Projekt anzeigen.
gcloud
Öffnen Sie die Google Cloud Console.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.
Klicken Sie auf Cloud Shell aktivieren .
Führen Sie den folgenden Befehl aus, um die Exportkonfigurationen aufzulisten:
gcloud scc bqexports list \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--limit=LIMIT] \ [--page-size=PAGE_SIZE]
Ersetzen Sie Folgendes:
FOLDER_ID
,ORGANIZATION_ID
oderPROJECT_ID
durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.Wenn Sie eine Organisations-ID angeben, enthält die Liste alle Exportkonfigurationen, die in dieser Organisation definiert sind, einschließlich der Konfigurationen auf Ordner- und Projektebene. Wenn Sie eine Ordner-ID angeben, enthält die Liste alle Exportkonfigurationen, die auf Ordnerebene und in den Projekten in diesem Ordner definiert sind. Wenn Sie eine Projektnummer oder Projekt-ID angeben, enthält die Liste alle Exportkonfigurationen nur für dieses Projekt.
LOCATION
: erforderlich, wenn entweder der Datenstandort ist aktiviert oder die RessourcenBigQueryExport
wurden mit dem Version 2 der API verfügbar.Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort, an dem die Exporte gespeichert werden.
Wenn der Datenstandort nicht aktiviert ist, einschließlich Das Flag
--location
listet nur dieBigQueryExport
-Ressourcen auf die mit der Security Command Center API v2 und ist der einzige gültige Standortglobal
.LIMIT
durch die Anzahl der Exportkonfigurationen, die Sie anzeigen möchten. Diese Variable ist optional.PAGE_SIZE
durch einen Wert für die Seitengröße. Diese Variable ist optional.
Java
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Python
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Exportkonfiguration löschen
Wenn Sie eine Exportkonfiguration nicht mehr benötigen, können Sie sie löschen.
gcloud
Öffnen Sie die Google Cloud Console.
Wählen Sie das Projekt aus, für das Sie die Security Command Center API aktiviert haben.
Klicken Sie auf Cloud Shell aktivieren .
Führen Sie den folgenden Befehl aus, um eine Exportkonfiguration zu löschen:
gcloud scc bqexports delete BIG_QUERY_EXPORT \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
BIG_QUERY_EXPORT
durch einen Namen für die Exportkonfiguration, die Sie löschen möchten.FOLDER_ID
,ORGANIZATION_ID
oderPROJECT_ID
durch den Namen Ihres Ordners, Ihrer Organisation oder Ihres Projekts. Sie müssen eine dieser Optionen festlegen. Bei Ordnern und Organisationen ist der Name die Ordner-ID oder die Organisations-ID. Bei Projekten ist der Name die Projektnummer oder die Projekt-ID.LOCATION
: erforderlich, wenn entweder der Datenstandort aktiviert ist oder die RessourceBigQueryExport
mit dem Version 2 der API verfügbar.Wenn der Datenstandort aktiviert ist, geben Sie den Security Command Center-Speicherort, an dem der Export gespeichert wird.
Wenn der Datenstandort nicht aktiviert ist, fügen Sie
/locations/LOCATION
nur, wenn der RessourceBigQueryExport
wurde mit dem Security Command Center API v2. In diesem Fall ist dies der einzige gültige Standort, istglobal
.
Führen Sie beispielsweise den folgenden Befehl aus, um eine Exportkonfiguration mit dem Namen
my-bq-export
aus einer Organisation mit einer Organisations-ID zu löschen, die auf123
gesetzt ist:gcloud scc bqexports delete my-bq-export --organization=123
Java
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Python
Richten Sie die Standardeinstellung der Anwendung ein, um sich bei Security Command Center zu authentifizieren Anmeldedaten. Weitere Informationen finden Sie unter Richten Sie die Authentifizierung für eine lokale Entwicklungsumgebung ein.
Im folgenden Beispiel wird die v1-API verwendet. So ändern Sie die Einstellungen:
im Beispiel für v2, ersetzen Sie v1
durch v2
und fügen Sie
/locations/LOCATION
für den Ressourcennamen.
Für die meisten Ressourcen fügen Sie /locations/LOCATION
zum
Ressourcenname nach /PARENT/PARENT_ID
, wobei
PARENT
ist der organizations
, folders
,
oder projects
.
Fügen Sie der Ressource /locations/LOCATION
hinzu, um Ergebnisse zu erhalten
Name nach /sources/SOURCE_ID
, wobei SOURCE_ID
ist die ID des
Security Command Center-Dienst
die das Ergebnis
herausgegeben haben.
Nachdem Sie die Exportkonfiguration gelöscht haben, können Sie die Daten aus Looker Studio entfernen. Weitere Informationen finden Sie unter Datenquelle entfernen, löschen und wiederherstellen.
Ergebnisse in BigQuery prüfen
Nachdem Sie eine Exportkonfiguration erstellt haben, werden neue Ergebnisse in das BigQuery-Dataset in dem von Ihnen angegebenen Projekt exportiert.
So prüfen Sie die Ergebnisse in BigQuery:
Wechseln Sie zum Projekt in BigQuery.
Wenn Sie sich nicht im richtigen Projekt befinden, gehen Sie so vor:
- Klicken Sie in der Symbolleiste auf die Projektauswahl .
- Wählen Sie neben Auswählen aus Ihre Organisation aus.
- Wählen Sie in der Projektliste Ihr Projekt aus.
Maximieren Sie im Bereich Explorer den Knoten für Ihr Projekt.
Erweitern Sie Ihr Dataset.
Klicken Sie auf die Tabelle Ergebnisse.
Klicken Sie im geöffneten Tab auf Vorschau. Ein Beispielsatz mit Daten wird angezeigt:
Nützliche Abfragen
Dieser Abschnitt enthält Beispielabfragen für die Analyse von Ergebnisdaten. Ersetzen Sie in den folgenden Beispielen DATASET
durch den Ihrem Dataset zugewiesenen Namen und PROJECT_ID
durch den Projektnamen für Ihr Dataset.
Informationen zur Behebung von Fehlern finden Sie unter Fehlermeldungen.
Die Anzahl neuer Ergebnisse, die täglich erstellt und aktualisiert werden
SELECT
FORMAT_DATETIME("%Y-%m-%d", event_time) AS date,
count(DISTINCT finding_id)
FROM `PROJECT_ID.DATASET.findings`
GROUP BY date
ORDER BY date DESC
Der neueste Ergebnisdatensatz für jedes Ergebnis
SELECT
* EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
)
WHERE row = 1
Aktive Ergebnisse, sortiert nach Zeit
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
ORDER BY event_time DESC
Aktuelle Ergebnisse in einem Projekt
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
WHERE resource.project_display_name = 'PROJECT'
Ersetzen Sie PROJECT
durch den Projektnamen.
Aktuelle Ergebnisse in einem Ordner
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
CROSS JOIN UNNEST(resource.folders) AS folder
WHERE folder.resource_folder_display_name = 'FOLDER'
Ersetzen Sie FOLDER
durch den Ordnernamen.
Aktuelle Ergebnisse des Scanners Logging Scanner
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
CROSS JOIN UNNEST(finding.source_properties) AS source_property
WHERE source_property.key = "ScannerName"
AND source_property.value = "LOGGING_SCANNER"
Aktuell aktive Ergebnisse vom Typ Persistence: IAM Anomalous Grant
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
AND finding.category = "Persistence: IAM Anomalous Grant"
Aktive Ergebnisse eines bestimmten Typs mit Cloud-Audit-Logs korrelieren
Diese Beispielabfrage hilft, anomale IAM-Erteilungsergebnisse aus Event Threat Detection mithilfe von Cloud-Audit-Logs zu untersuchen. Dazu wird die Sequenz der Administratoraktivitätsaktion während des Zeitfensters vor und auf die Ausführung der anomalen IAM-Zuweisungsaktion angezeigt. Die folgende Abfrage korreliert Administratoraktivitätslogs zwischen einer Stunde vor und einer Stunde nach dem Zeitstempel des Ergebnisses.
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT
finding_id,
ANY_VALUE(event_time) as event_time,
ANY_VALUE(finding.access.principal_email) as grantor,
JSON_VALUE_ARRAY(ANY_VALUE(finding.source_properties_json), '$.properties.sensitiveRoleGrant.members') as grantees,
ARRAY_AGG(
STRUCT(
timestamp,
IF(timestamp < event_time, 'before', 'after') as timeline,
protopayload_auditlog.methodName,
protopayload_auditlog.resourceName,
protopayload_auditlog.serviceName
)
ORDER BY timestamp ASC
) AS recent_activity
FROM (
SELECT
f.*,
a.*,
FROM latestFindings AS f
LEFT JOIN `PROJECT_ID.DATASET.cloudaudit_googleapis_com_activity` AS a
ON a.protopayload_auditlog.authenticationInfo.principalEmail = f.finding.access.principal_email
WHERE f.finding.state = "ACTIVE"
AND f.finding.category = "Persistence: IAM Anomalous Grant"
AND a.timestamp >= TIMESTAMP_SUB(f.event_time, INTERVAL 1 HOUR)
AND a.timestamp <= TIMESTAMP_ADD(f.event_time, INTERVAL 1 HOUR)
)
GROUP BY
finding_id
ORDER BY
event_time DESC
Die entsprechende Ausgabe sieht etwa so aus:
Diagramme in Looker Studio erstellen
Mit Looker Studio können Sie interaktive Berichte und Dashboards.
Im Allgemeinen fallen BigQuery-Nutzungskosten an. wenn Sie über Looker Studio auf BigQuery zugreifen. Weitere Informationen finden Sie unter BigQuery-Daten mit Looker Studio visualisieren
So erstellen Sie ein Diagramm, das die Ergebnisdaten nach Schweregrad und Kategorie visualisiert:
- Öffnen Sie Looker Studio und melden Sie sich an.
- Wenn Sie dazu aufgefordert werden, geben Sie zusätzliche Informationen an und richten Sie andere Einstellungen ein. Lesen Sie die Nutzungsbedingungen und fahren Sie fort, wenn Sie zufrieden sind.
- Klicken Sie auf Leerer Bericht.
- Klicken Sie auf dem Tab Datenverbindung herstellen auf die Karte BigQuery.
- Autorisieren Sie Looker Studio für den Zugriff auf BigQuery, falls Sie dazu aufgefordert werden Projekten.
- Stellen Sie eine Verbindung zu Ihren Ergebnisdaten her:
- Wählen Sie unter Projekt das Projekt für Ihr Dataset aus. Geben Sie alternativ auf dem Tab Meine Projekte Ihre Projekt-ID ein, um danach zu suchen.
- Klicken Sie unter Dataset auf den Namen Ihres Datasets.
- Klicken Sie unter Tabelle auf Ergebnisse.
- Klicken Sie auf Add.
- Klicken Sie im Dialogfeld auf Zum Bericht hinzufügen.
- Nachdem der Bericht hinzugefügt wurde, klicken Sie auf Diagramm hinzufügen.
Klicken Sie auf Gestapeltes Säulendiagramm und dann auf den Bereich, in dem Sie das Diagramm platzieren möchten.
Legen Sie im Bereich Diagramm > Balken auf dem Tab Daten die folgenden Felder fest:
- Wählen Sie im Feld Dimension die Option finding.severity aus.
- Wählen Sie im Feld Aufschlüsselungsdimension die Option finding.category aus.
Der Bericht wird so aktualisiert, dass er mehrere Spalten mit nach Schweregrad und Kategorie aufgeschlüsselten Ergebnissen enthält.
Nächste Schritte
Abfrage in BigQuery ausführen.