Questa guida descrive come utilizzare l'API Security Command Center Security Command Center per gestire i contrassegni di sicurezza. I contrassegni di sicurezza, o "mark", sono annotazioni personalizzabili su asset o risultati in Security Command Center che ti consentono di aggiungere il tuo contesto aziendale a questi oggetti.
Puoi aggiungere o aggiornare i contrassegni di sicurezza solo sugli asset supportati da Security Command Center. Per un elenco degli asset supportati da Security Command Center, vedi Tipi di asset supportati in Security Command Center.
Prima di iniziare
Prima di poter utilizzare i contrassegni di sicurezza, devi configurare un account di servizio e un SDK.
Per aggiungere o modificare i contrassegni di sicurezza, devi disporre di un ruolo Identity and Access Management che includa le autorizzazioni per il tipo di contrassegno che vuoi utilizzare:
- Contrassegni asset: Writer contrassegni di sicurezza asset,
securitycenter.assetSecurityMarksWriter
- Contrassegni di ricerca: Finding Security Marks Writer,
securitycenter.findingSecurityMarksWriter
Per maggiori informazioni sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso. Per scoprire come utilizzare in modo efficace i contrassegni di sicurezza, consulta Utilizzare i contrassegni di sicurezza di Security Command Center.
Aggiunta o aggiornamento dei contrassegni di sicurezza sugli asset
Quando utilizzi l'API Security Command Center, l'aggiunta e l'aggiornamento dei contrassegni di sicurezza sono la stessa operazione. L'esempio riportato di seguito mostra come aggiungere contrassegni di sicurezza per due coppie chiave-valore (key_a, value_a)
e (key_b, value_b)
.
Il seguente codice utilizza maschere di campi per garantire che vengano aggiornati solo quei valori. Se non vengono fornite maschere di campo, tutti i contrassegni di sicurezza vengono cancellati prima di aggiungere le chiavi e i valori specificati.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=value_a,key_b=value_b" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Per altri esempi, esegui:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Per informazioni sui contrassegni degli asset dedicati per i rilevatori di Security Health Analytics, consulta Gestione dei criteri.
Eliminazione dei contrassegni di sicurezza sugli asset
L'eliminazione di contrassegni di sicurezza specifici avviene in modo simile all'aggiunta o all'aggiornamento, in particolare chiamando l'aggiornamento con una maschera di campo, ma senza alcun valore corrispondente. Nell'esempio che segue, i contrassegni di sicurezza con i token key_a
e key_b
vengono eliminati.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --update-mask $UPDATE_MASK
Per altri esempi, esegui:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Aggiunta ed eliminazione dei contrassegni di sicurezza nella stessa richiesta
La tecnica per aggiungere e aggiornare i contrassegni di sicurezza e l'eliminazione dei contrassegni di sicurezza può essere combinata nella stessa richiesta. Nell'esempio seguente, key_a
viene aggiornato
mentre viene eliminato key_b
.
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=new_value_for_a" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Per altri esempi, esegui:
gcloud scc assets update-marks --help
gcloud
# ORGANIZATION=12344321 # ASSET=43211234 SECURITY_MARKS="key_a=new_value_for_a" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc assets update-marks $ASSET \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Per altri esempi, esegui:
gcloud scc assets update-marks --help
Python
Java
Go
Node.js
Aggiunta di contrassegni di sicurezza ai risultati
L'aggiunta, l'aggiornamento e l'eliminazione dei contrassegni di sicurezza sui risultati segue la stessa procedura utilizzata per l'aggiornamento dei contrassegni di sicurezza sugli asset. L'unico cambiamento è il nome della risorsa utilizzata nella chiamata API. Invece di una risorsa asset, fornisci il nome della risorsa di ricerca.
Ad esempio, per aggiornare i contrassegni di sicurezza su un risultato, utilizza il seguente codice:
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 # FINDING_ID=testfindingid SECURITY_MARKS="key_a=value_a,key_b=value_b" UPDATE_MASK="marks.key_a,marks.key_b" gcloud scc findings update-marks $FINDING_ID \ --source $SOURCE \ --organization $ORGANIZATION \ --security-marks $SECURITY_MARKS \ --update-mask $UPDATE_MASK
Per altri esempi, esegui:
gcloud scc findings update-marks --help
Python
Java
Go
Node.js
I contrassegni di sicurezza vengono elaborati durante le scansioni batch, eseguite due volte al giorno, e non in tempo reale. Potrebbe verificarsi un ritardo di 12-24 ore prima che i contrassegni di sicurezza vengano elaborati e i criteri di applicazione per risolvere o riaprire i risultati.
Asset delle schede con filtri del contrassegno di sicurezza
Dopo aver impostato i contrassegni di sicurezza su un asset, puoi utilizzarli nell'argomento del filtro per la chiamata API ListAssets
. Ad esempio, per eseguire una query su tutti gli asset
in cui key_a = value_a
, utilizza il seguente codice:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter "$FILTER"
Per altri esempi, esegui:
gcloud scc assets list --help
Python
Java
Go
Node.js
Elenco dei risultati con i filtri del contrassegno di sicurezza
Dopo aver impostato i contrassegni di sicurezza su un risultato, puoi utilizzarli nell'argomento del filtro per la chiamata API ListFindings
. Ad esempio, per eseguire query su tutti gli asset in cui
key_a != value_a
, utilizza il seguente codice:
gcloud
# ORGANIZATION=12344321 # SOURCE=43211234 FILTER="NOT security_marks.marks.key_a=\"value_a\"" gcloud scc findings list $ORGANIZATION \ --source $SOURCE \ --filter "$FILTER"
Per altri esempi, esegui:
gcloud scc findings list --help
Python
Java
Go
Node.js
Passaggi successivi
- Scopri di più sui risultati delle schede e sugli asset scheda.