Aplica recomendaciones de Notificaciones de aviso

Las Notificaciones de aviso proporcionan recomendaciones de políticas de IAM para garantizar que las partes correctas de tu organización tengan acceso para ver notificaciones importantes de seguridad y privacidad en la Google Cloud consola. Estas recomendaciones se generan automáticamente mediante el análisis de tu configuración de Contactos esenciales y tu política de IAM. Usa estas recomendaciones para asegurarte de que tus administradores de seguridad puedan recibir y abordar rápidamente las notificaciones de seguridad.

Cómo funcionan las recomendaciones de Notificaciones de aviso

Las recomendaciones de Notificaciones de aviso supervisan tus Contactos esenciales y las configuraciones de políticas de IAM, y hacen recomendaciones basadas en los datos del día anterior.

Las recomendaciones incluyen lo siguiente:

  • Si ningún usuario tiene permiso para ver las notificaciones, Notificaciones de aviso recomienda otorgar acceso a las partes correspondientes de tu organización.

  • Si una principal aparece como un Contacto esencial de seguridad, pero no tiene permiso para ver las Notificaciones de aviso en la Google Cloud consola, Notificaciones de aviso recomienda otorgarle acceso a la principal. Las recomendaciones de Notificaciones de aviso no tienen en cuenta las funciones personalizadas. Si le otorgas permiso a una entidad para las Notificaciones de aviso a través de una función personalizada, ignora o descarta la recomendación.

Cómo ver las recomendaciones de Notificaciones de aviso

Las Notificaciones de aviso ponen a disposición estadísticas y recomendaciones a través del recomendador con Google Cloud CLI, la API o la función de exportación de BigQuery.

Antes de comenzar

Antes de que puedas ver las estadísticas y las recomendaciones, debes hacer lo siguiente:

  • Debes habilitar la API de Recommender. Solo necesitas habilitar la API en un proyecto de facturación. Luego, puedes usar este mismo proyecto de facturación para examinar las recomendaciones y estadísticas de otros proyectos, toda la organización o la cuenta de facturación. Para ello, especifica el proyecto de facturación en tus comandos de gcloud y solicitudes de API.
  • Asegúrate de contar con los permisos requeridos

Ver recomendaciones

gcloud

Para ver tus recomendaciones, usa el siguiente gcloud recommender recommendations list comando:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida preferido. Por ejemplo, yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías .
  • QUOTA_PROJECT: El ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender recommendations list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación de la recomendación que se puede leer
  • associatedInsights: Una lista de estadísticas asociadas

También puedes ver las estadísticas asociadas a estas recomendaciones. Para ver tus estadísticas, usa el gcloud recommender insights list comando siguiente.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • FORMAT: El formato de salida preferido. Por ejemplo, yaml, text y json. Para conocer todos los valores posibles, consulta Proyecciones. Los valores csv, diff, get, table y value requieren proyecciones no vacías .
  • QUOTA_PROJECT: El ID del proyecto que se usará para la cuota y la facturación.

El resultado del comando gcloud recommender insights list incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación de la estadística que se puede leer
  • associatedRecommendations: Una lista de recomendaciones asociadas

Para obtener más información, consulta la documentación sobre Recommender.

API

Para ver tus recomendaciones, usa la API de Recommender con el google.cloud.security.GeneralRecommender ID de recomendador.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación, para una solicitud curl. Para obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona credenciales para las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: El ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación de la recomendación que se puede leer
  • associatedInsights: Una lista de estadísticas asociadas

Para ver tus estadísticas, usa la API de Recommender con el tipo de estadística google.cloud.security.GeneralInsight.

La siguiente secuencia de comandos de Bash de ejemplo usa un token de acceso que muestran las credenciales predeterminadas de la aplicación, para una solicitud curl. Para obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona credenciales para las credenciales predeterminadas de la aplicación.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de tu organización.
  • QUOTA_PROJECT: El ID del proyecto que se usará para la cuota y la facturación.

La respuesta incluye los siguientes campos:

  • name: El nombre de la recomendación
  • description: Una explicación de la recomendación que se puede leer
  • associatedRecommendations: Una lista de recomendaciones asociadas

Para obtener más información, consulta Usa la API de Recommender.

Exportación a BigQuery

Las recomendaciones y las estadísticas también se pueden exportar de forma masiva a una tabla de BigQuery. Para obtener más detalles, consulta la documentación de BigQuery Export.

Toma medidas en las recomendaciones de Notificaciones de aviso

En las siguientes secciones, se proporciona asesoramiento específico sobre cómo tomar medidas en las recomendaciones específicas de Notificaciones de aviso. Cada sección corresponde a un subtipo de recomendador de Notificaciones de aviso Recommender Subtype. En la siguiente lista, se mencionan las secciones para tu subtipo de recomendador.

¿Quieres otorgarle acceso a Notificaciones de aviso?

Esta sección te ayuda a tomar medidas en las recomendaciones con el subtipo de recomendador SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque algunos de tus Contactos esenciales en las categorías Seguridad y Todos no tienen acceso a las Notificaciones de aviso. Esto significa que estos contactos reciben notificaciones por correo electrónico, pero no pueden ver la notificación en la Google Cloud consola.

Te recomendamos que se le otorgue acceso a cada Contacto esencial a las Notificaciones de aviso en lugar de otorgar acceso a través de grupos o dominios superiores. Si otorgas acceso a cada Contacto esencial, es menos probable que se revoque el acceso por accidente en el futuro. Además, puedes usar el rol de visualizador de Notificaciones de aviso autoexplicativo para aclarar por qué existe la vinculación.

Para aplicar esta recomendación, haz lo siguiente:

  1. Busca todos los Contactos esenciales de seguridad a nivel de la organización en tu configuración de Contactos esenciales. Estos son los contactos en las categorías Seguridad y Todos.

    Ir a Contactos esenciales

  2. Otorga a cada contacto permiso para ver las Notificaciones de aviso en la Página de administrador de Identity and Access Management. Para ello, asígnale el rol de visualizador de Notificaciones de aviso (roles/advisorynotifications.viewer). Consulta Cómo ver las Notificaciones de aviso si deseas conocer los permisos específicos necesarios para ver las Notificaciones de aviso.

    Ir a IAM

Configura los visualizadores de Notificaciones de aviso

Esta sección te ayuda a tomar medidas en las recomendaciones con el subtipo de recomendador NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Recibiste esta recomendación porque no pudimos identificar ninguna principal en tu organización con acceso a las Notificaciones de aviso.

Te recomendamos que configures los Contactos esenciales y las Notificaciones de aviso para que estés preparado para recibir notificaciones importantes de seguridad y privacidad.

Para aplicar esta recomendación, haz lo siguiente:

  1. Configura tus Contactos esenciales de seguridad a nivel de la organización en la página Contactos esenciales.

    Ir a Contactos esenciales

  2. Otorga a cada contacto permiso para ver las Notificaciones de aviso. Para ello, asígnale el rol de visualizador de Notificaciones de aviso (roles/advisorynotifications.viewer) en la Página de administrador de Identity and Access Management. Consulta Cómo ver las Notificaciones de aviso si deseas conocer los permisos específicos necesarios para ver las Notificaciones de aviso.

    Ir a IAM

Si prefieres no usar Contactos esenciales, te recomendamos que otorgues permisos de visualización para las Notificaciones de aviso a las partes correspondientes de tu organización, como un administrador de seguridad. Si otorgas permisos de visualización para las Notificaciones de aviso sin configurar los Contactos esenciales, no se garantiza que las partes reciban notificaciones por correo electrónico de las Notificaciones de aviso.

Precios

Para obtener información sobre los precios, consulta los precios del recomendador.

¿Qué sigue?