החלת המלצות של התראות אזהרה

בהתראות האזהרה נותנים המלצות לגבי מדיניות IAM, כדי לוודא שלגורמים המתאימים בארגון יש גישה לצפייה בהתראות קריטיות בנושאי אבטחה ופרטיות במסוף Google Cloud . ההמלצות האלה נוצרות באופן אוטומטי על ידי ניתוח של ההגדרות של אנשי הקשר העיקריים ומדיניות IAM. כדאי להשתמש בהמלצות האלה כדי לוודא שאדמינים של אבטחה יוכלו לקבל התראות אבטחה ולטפל בהן במהירות.

איך פועלות ההמלצות של התראות אזהרה

ההמלצות בהתראות מייעצות עוקבות אחרי אנשי הקשר החיוניים והגדרות מדיניות IAM, ומציעות המלצות על סמך נתונים מהיום הקודם.

ההמלצות כוללות:

  • אם לאף משתמש אין הרשאה לצפות בהתראות, השירות התראות אזהרה ממליץ להעניק גישה לגורמים המתאימים בארגון.

  • אם יש מנהל ראשי שמוגדר כאיש קשר חיוני לענייני אבטחה אבל אין לו הרשאה לצפות בהתראות אזהרה במסוףGoogle Cloud , התראות האזהרה יציעו להעניק לו גישה. ההמלצות בהתראות מייעצות לא מתייחסות לתפקידים בהתאמה אישית. אם אתם מעניקים לישות מורשית הרשאה לקבלת התראות אזהרה באמצעות תפקיד בהתאמה אישית, אתם יכולים להתעלם מההמלצה או לסגור אותה.

הצגת המלצות של התראות אזהרה

התובנות וההמלצות של Advisory Notifications זמינות דרך Recommender באמצעות Google Cloud CLI,‏ API או תכונת הייצוא של BigQuery.

לפני שמתחילים

כדי לראות את התובנות וההמלצות, צריך לבצע את הפעולות הבאות:

  • צריך להפעיל את Recommender API. צריך להפעיל את ה-API רק בפרויקט חיוב אחד. לאחר מכן תוכלו להשתמש באותו פרויקט לחיוב כדי לבדוק המלצות ותובנות לגבי פרויקטים אחרים, הארגון כולו או החשבון לחיוב, על ידי ציון הפרויקט לחיוב בפקודות gcloud ובבקשות API.
  • חשוב לוודא שיש לכם את ההרשאות הנדרשות

לצפייה בהמלצות

gcloud

כדי לראות את ההמלצות, משתמשים בפקודה gcloud recommender recommendations list הבאה:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • FORMAT: פורמט הפלט המועדף. לדוגמה, yaml,‏ text ו-json. רשימה של כל הערכים האפשריים זמינה במאמר בנושא תחזיות. הערכים csv, diff, get, table ו-value מחייבים הקרנות לא ריקות.
  • QUOTA_PROJECT: מזהה הפרויקט שמשמש למכסות ולחיוב.

הפלט של הפקודה gcloud recommender recommendations list כולל את השדות הבאים:

  • name: השם של ההמלצה.
  • description: הסבר על ההמלצה שכתוב בצורה שקריאה לאנשים.
  • associatedInsights: רשימה של תובנות משויכות.

אפשר גם לראות את התובנות שמשויכות להמלצות האלה. כדי לראות את התובנות, משתמשים בפקודה gcloud recommender insights list שבהמשך.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • FORMAT: פורמט הפלט המועדף. לדוגמה, yaml,‏ text ו-json. רשימה של כל הערכים האפשריים זמינה במאמר בנושא תחזיות. הערכים csv, diff, get, table ו-value מחייבים הקרנות לא ריקות.
  • QUOTA_PROJECT: מזהה הפרויקט שמשמש למכסות ולחיוב.

הפלט של הפקודה gcloud recommender insights list כולל את השדות הבאים:

  • name: השם של ההמלצה.
  • description: הסבר על התובנה שקריא לאנשים.
  • associatedRecommendations: רשימה של המלצות משויכות.

מידע נוסף מופיע במאמרים על שירות ההמלצות.

API

כדי לראות את ההמלצות, משתמשים ב-Recommender API עם מזהה הממליץ google.cloud.security.GeneralRecommender.

בדוגמה הבאה מוצג סקריפט bash שמשתמש באסימון גישה שמוחזר על ידי Application Default Credentials, לבקשת curl. במאמר איך מספקים פרטי כניסה ל-Application Default Credentials מוסבר איך להגדיר Application Default Credentials.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • QUOTA_PROJECT: מזהה הפרויקט שמשמש למכסות ולחיוב.

התשובה כוללת את השדות הבאים:

  • name: השם של ההמלצה.
  • description: הסבר על ההמלצה שכתוב בצורה שקריאה לאנשים.
  • associatedInsights: רשימה של תובנות משויכות.

כדי לראות את התובנות, משתמשים ב-Recommender API עם סוג התובנות google.cloud.security.GeneralInsight.

בדוגמה הבאה מוצג סקריפט bash שמשתמש באסימון גישה שמוחזר על ידי Application Default Credentials, לבקשת curl. במאמר העברת פרטי כניסה ל-Application Default Credentials מוסבר איך להגדיר Application Default Credentials.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • QUOTA_PROJECT: מזהה הפרויקט שמשמש למכסות ולחיוב.

התשובה כוללת את השדות הבאים:

  • name: השם של ההמלצה.
  • description: הסבר על ההמלצה שכתוב בצורה שקריאה לאנשים.
  • associatedRecommendations: רשימה של המלצות משויכות.

מידע נוסף זמין במאמר בנושא שימוש ב-Recommender API.

ייצוא ל-BigQuery

אפשר גם לייצא המלצות ותובנות בכמות גדולה לטבלה ב-BigQuery. פרטים נוספים זמינים במאמרי העזרה בנושא BigQuery Export.

פעולה לפי ההמלצות בהתראות אזהרה

בקטעים הבאים מפורטות עצות ממוקדות לגבי פעולות שמומלץ לבצע בעקבות המלצות ספציפיות בהתראות אזהרה. כל קטע מתאים לסוג משנה של שירות המלצות בהתראות אזהרה. ברשימה הבאה מפורטים הקטעים של סוג המשנה של שירות ההמלצות.

הענקת גישה להתראות אזהרה

בקטע הזה מוסבר איך לפעול בהתאם להמלצות באמצעות SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender Subtype.

ההמלצה הזו מוצגת לך כי לחלק מאנשי הקשר החיוניים שלך בקטגוריות 'אבטחה' ו'הכול' אין גישה להתראות אזהרה. המשמעות היא שאנשי הקשר האלה מקבלים התראות באימייל, אבל לא יכולים לראות את ההתראה במסוף Google Cloud .

מומלץ להעניק לכל איש קשר חיוני גישה להתראות אזהרה, במקום להעניק גישה דרך קבוצות או דומיינים של הורים. אם תעניקו גישה לכל איש קשר חיוני, הסיכוי שהגישה תבוטל בטעות בעתיד יקטן. בנוסף, אפשר להשתמש בתפקיד הצופה בהתראות אזהרה כדי להבין למה הקישור קיים.

כדי ליישם את ההמלצה הזו:

  1. אפשר למצוא את כל אנשי הקשר החיוניים לענייני אבטחה ברמת הארגון בהגדרות של Essential Contacts. אלה אנשי הקשר בקטגוריות 'אבטחה' ו'הכול'.

    כניסה לדף Essential Contacts

  2. כדי לתת לכל איש קשר הרשאה לצפייה בהתראות על המלצות בדף האדמין של ניהול הזהויות והרשאות הגישה, צריך להקצות לו את התפקיד 'צפייה בהתראות על המלצות' (roles/advisorynotifications.viewer). במאמר הצגת התראות אזהרה מוסבר אילו הרשאות ספציפיות נדרשות כדי לראות התראות אזהרה.

    כניסה לדף IAM

הגדרת הצופים בהתראות אזהרה

בקטע הזה מוסבר איך לפעול בהתאם להמלצות באמצעות NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender Subtype.

קיבלתם את ההמלצה הזו כי לא הצלחנו לזהות בארגון שלכם גורמים עם גישה להתראות מייעצות.

מומלץ להגדיר אנשי קשר חיוניים והתראות אזהרה כדי להיות מוכנים לקבל התראות קריטיות בנושאי אבטחה ופרטיות.

כדי ליישם את ההמלצה הזו:

  1. אפשר להגדיר את אנשי הקשר החיוניים ברמת הארגון בדף Essential Contacts.

    כניסה לדף Essential Contacts

  2. כדי לתת לכל איש קשר הרשאה לצפות בהתראות על המלצות, צריך להקצות לו את התפקיד Advisory Notifications Viewer (צפייה בהתראות על המלצות) (roles/advisorynotifications.viewer) בדף Identity and Access Management (ניהול זהויות והרשאות גישה) Admin. במאמר הצגת התראות אזהרה מוסבר אילו הרשאות ספציפיות נדרשות כדי לראות התראות אזהרה.

    כניסה לדף IAM

אם אתם מעדיפים לא להשתמש באנשי קשר חיוניים, עדיין מומלץ להעניק הרשאות צפייה בהודעות מייעצות לגורמים המתאימים בארגון, כמו אדמין אבטחה. מתן הרשאות צפייה בהתראות אזהרה בלי להגדיר אנשי קשר חיוניים לא מבטיח שהגורמים הרלוונטיים יקבלו התראות אזהרה באימייל.

תמחור

למידע על מחירים אפשר לעיין בתמחור של שירות ההמלצות.

המאמרים הבאים