Empfehlungen für Advisory Notifications anwenden

Advisory Notifications bietet Empfehlungen für IAM-Richtlinien, damit die richtigen Parteien in Ihrer Organisation Zugriff auf wichtige Sicherheits- und Datenschutzbenachrichtigungen in der Google Cloud Console haben. Diese Empfehlungen werden automatisch generiert, indem Ihre Konfiguration für wichtige Kontakte und Ihre IAM Richtlinie analysiert werden. Mit diesen Empfehlungen können Sie dafür sorgen, dass Ihre Sicherheitsadministratoren Sicherheitsbenachrichtigungen erhalten und schnell darauf reagieren können.

Funktionsweise von Empfehlungen für Advisory Notifications

Empfehlungen für Advisory Notifications überwachen Ihre Konfigurationen für wichtige Kontakte und IAM-Richtlinien und geben Empfehlungen basierend auf den Daten des Vortags.

Die Empfehlungen umfassen Folgendes:

  • Wenn kein Nutzer die Berechtigung hat, Benachrichtigungen anzusehen, empfiehlt Advisory Notifications, den entsprechenden Parteien in Ihrer Organisation Zugriff zu gewähren.

  • Wenn ein Hauptkonto als wichtiger Kontakt für die Sicherheit aufgeführt ist, aber keine Berechtigung hat, Advisory Notifications in der Google Cloud Console anzusehen, empfiehlt Advisory Notifications, dem Hauptkonto Zugriff zu gewähren. Bei Empfehlungen für Advisory Notifications werden benutzerdefinierte Rollen nicht berücksichtigt. Wenn Sie einem Hauptkonto über eine benutzerdefinierte Rolle die Berechtigung für Advisory Notifications gewähren, ignorieren oder verwerfen Sie die Empfehlung.

Empfehlungen für Advisory Notifications ansehen

Advisory Notifications stellt Statistiken und Empfehlungen über den Recommender mit der Google Cloud CLI, der API oder der BigQuery-Exportfunktion zur Verfügung.

Hinweis

Bevor Sie sich die Statistiken und Empfehlungen ansehen können, müssen Sie Folgendes tun:

  • Sie müssen die Recommender API aktivieren. Sie müssen die API nur für ein einzelnes Abrechnungsprojekt aktivieren. Sie können dann dasselbe Abrechnungsprojekt verwenden, um Empfehlungen und Statistiken für andere Projekte, die gesamte Organisation oder das Rechnungskonto zu prüfen. Dazu müssen Sie das Abrechnungsprojekt in Ihren gcloud-Befehlen und API-Anfragen angeben.
  • Sie müssen die erforderlichen Berechtigungen haben.

Empfehlungen ansehen

gcloud

Verwenden Sie den folgenden gcloud recommender recommendations list Befehl, um Ihre Empfehlungen anzusehen:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: Ihr bevorzugtes Ausgabeformat. Beispiele: yaml, text und json. Alle möglichen Werte finden Sie unter Projektionen. Für die Werte csv, diff, get, table, und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: Die ID des Projekts, das für Kontingente und Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender recommendations list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: eine Liste der zugehörigen Statistiken

Sie können sich auch die Statistiken ansehen, die mit diesen Empfehlungen verknüpft sind. Verwenden Sie dazu den folgenden gcloud recommender insights list Befehl:

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • FORMAT: Ihr bevorzugtes Ausgabeformat. Beispiele: yaml, text und json. Alle möglichen Werte finden Sie unter Projektionen. Für die Werte csv, diff, get, table, und value sind nicht leere Projektionen erforderlich.
  • QUOTA_PROJECT: Die ID des Projekts, das für Kontingente und Abrechnung verwendet werden soll.

Die Ausgabe des Befehls gcloud recommender insights list enthält die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: eine menschenlesbare Erklärung der Statistik
  • associatedRecommendations: eine Liste der zugehörigen Empfehlungen

Weitere Informationen finden Sie in den Dokumenten zu Recommender.

API

Verwenden Sie die Recommender API mit der google.cloud.security.GeneralRecommender Recommender-ID, um Ihre Empfehlungen anzusehen.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen, für eine curl Anfrage zurückgegeben wird. Informationen zum Einrichten von Anwendungs Standardanmeldedaten finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: Die ID des Projekts, das für Kontingente und Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedInsights: eine Liste der zugehörigen Statistiken

Verwenden Sie die Recommender API mit dem google.cloud.security.GeneralInsight Statistiktyp, um Ihre Statistiken anzusehen.

Im folgenden Bash-Script-Beispiel wird ein Zugriffstoken verwendet, das von Standardanmeldedaten für Anwendungen, für eine curl Anfrage zurückgegeben wird. Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation.
  • QUOTA_PROJECT: Die ID des Projekts, das für Kontingente und Abrechnung verwendet werden soll.

Die Antwort umfasst die folgenden Felder:

  • name: ist der Name der Empfehlung
  • description: ist eine menschenlesbare Erklärung der Empfehlung
  • associatedRecommendations: eine Liste der zugehörigen Empfehlungen

Weitere Informationen finden Sie unter Recommender API verwenden.

BigQuery Export

Empfehlungen und Statistiken können auch in großen Mengen in eine BigQuery-Tabelle exportiert werden. Weitere Informationen finden Sie in der Dokumentation zum BigQuery-Export.

Auf Empfehlungen für Advisory Notifications reagieren

In den folgenden Abschnitten finden Sie gezielte Ratschläge zum Umsetzen bestimmter Empfehlungen für Advisory Notifications. Jeder Abschnitt entspricht einem Recommender-Untertyp für Advisory Notifications Recommender Subtype. In der folgenden Liste sind die Abschnitte für Ihren Recommender-Untertyp aufgeführt.

Zugriff auf Advisory Notifications gewähren

In diesem Abschnitt erfahren Sie, wie Sie auf Empfehlungen mit dem Recommender-Untertyp SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS reagieren.

Sie haben diese Empfehlung erhalten, weil einige Ihrer wichtigen Kontakte in den Sicherheit und Alle Kategorien keinen Zugriff auf Advisory Notifications haben. Das bedeutet, dass diese Kontakte E‑Mail-Benachrichtigungen erhalten, die Benachrichtigung aber nicht in der Google Cloud Console ansehen können.

Wir empfehlen, jedem wichtigen Kontakt Zugriff auf Advisory Notifications zu gewähren, anstatt den Zugriff über übergeordnete Gruppen oder Domains zu gewähren. Wenn Sie jedem wichtigen Kontakt Zugriff gewähren, ist es weniger wahrscheinlich, dass der Zugriff in Zukunft versehentlich widerrufen wird. Außerdem können Sie mit der selbst dokumentierenden Rolle „Advisory Notifications Viewer“ verdeutlichen, warum die Bindung besteht.

So implementieren Sie diese Empfehlung:

  1. Suchen Sie in Ihrer Konfiguration für wichtige Kontakte nach allen wichtigen Kontakten für die Sicherheit auf Organisationsebene. Das sind die Kontakte in den Kategorien „Sicherheit“ und „Alle“.

    Rufen Sie Wichtige Kontakte auf.

  2. Gewähren Sie jedem Kontakt die Berechtigung, Advisory Notifications auf der Seite „IAM-Administrator“ anzusehen, indem Sie ihm die Rolle „Advisory Notifications Viewer“ (roles/advisorynotifications.viewer) zuweisen. Unter viewing Advisory Notifications finden Sie die spezifischen Berechtigungen, die zum Ansehen von Advisory Notifications erforderlich sind.

    IAM aufrufen

„Advisory Notifications Viewer“ konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie auf Empfehlungen mit dem Recommender-Untertyp NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS reagieren.

Sie haben diese Empfehlung erhalten, weil wir keine Hauptkonten in Ihrer Organisation mit Zugriff auf Advisory Notifications finden konnten.

Wir empfehlen, wichtige Kontakte und Advisory Notifications so zu konfigurieren, dass Sie wichtige Sicherheits- und Datenschutzbenachrichtigungen erhalten können.

So implementieren Sie diese Empfehlung:

  1. Konfigurieren Sie Ihre wichtigen Kontakte für die Sicherheit auf Organisationsebene auf der Seite „Wichtige Kontakte“.

    Rufen Sie Wichtige Kontakte auf.

  2. Gewähren Sie jedem Kontakt die Berechtigung, Advisory Notifications anzusehen, indem Sie ihm auf der Seite „IAM-Administrator“ die Rolle „Advisory Notifications Viewer“ (roles/advisorynotifications.viewer) zuweisen. Unter viewing Advisory Notifications finden Sie die spezifischen Berechtigungen, die zum Ansehen von Advisory Notifications erforderlich sind.

    IAM aufrufen

Wenn Sie wichtige Kontakte nicht verwenden möchten, empfehlen wir dennoch, den entsprechenden Parteien in Ihrer Organisation, z. B. einem Sicherheitsadministrator, Leseberechtigungen für Advisory Notifications zu gewähren. Wenn Sie Leseberechtigungen für Advisory Notifications gewähren, ohne wichtige Kontakte zu konfigurieren, erhalten die Parteien nicht garantiert E‑Mail-Benachrichtigungen von Advisory Notifications.

Preise

Informationen zu den Preisen finden Sie unter Recommender-Preise.

Nächste Schritte