Créer et gérer des profils de sécurité de prévention des menaces

Cette page explique comment créer et gérer des profils de sécurité de type threat-prevention à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Créer un profil de sécurité de prévention des menaces

Lorsque vous créez un profil de sécurité de prévention des menaces (profil de sécurité de type threat-prevention), vous pouvez spécifier le nom du profil de sécurité sous forme de chaîne ou d'identifiant d'URL unique. L'URL unique d'un profil de sécurité à l'échelle de l'organisation peut présenter le format suivant :

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si vous utilisez un identifiant d'URL unique pour le nom du profil de sécurité, l'organisation et l'emplacement du profil de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du profil de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du profil de sécurité.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le menu de sélection du projet, sélectionnez votre organisation.

  3. Sélectionnez l'onglet Profils de sécurité.

  4. Cliquez sur Créer un profil.

  5. Saisissez un nom dans le champ Nom.

  6. Facultatif : saisissez une description dans le champ Description.

  7. Pour créer un profil de sécurité Cloud Next Generation Firewall Enterprise, sélectionnez Cloud NGFW Enterprise dans la section Usage.

  8. Pour créer un profil de sécurité de prévention des menaces, sélectionnez Prévention des menaces dans la section Type.

  9. Cliquez sur Continuer.

Vous pouvez également ajouter des remplacements de gravité et de menace :

  1. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité que vous souhaitez remplacer.
  2. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.
  3. Pour ajouter un remplacement de signature de menace, cliquez sur Ajouter une signature par ID.
  4. Dans le champ ID de signature, saisissez l'ID de menace que vous souhaitez remplacer. Vous pouvez afficher les ID de menaces dans le tableau de bord des menaces.
  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour l'ID de menace.
  6. Cliquez sur Créer.

gcloud

Pour créer un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention create :

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité de prévention des menaces. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre les options ORGANIZATION_ID et LOCATION.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité de prévention des menaces est créé. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité de prévention des menaces.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité de prévention des menaces.

  • DESCRIPTION : description facultative pour le profil de sécurité de prévention des menaces.

Afficher un profil de sécurité de prévention des menaces

Vous pouvez afficher les détails d'un profil de sécurité de prévention des menaces spécifique dans une organisation.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Cliquez sur un profil de sécurité de type Prévention des menaces pour afficher ses détails.

gcloud

Pour afficher les détails d'un profil de sécurité de prévention des menaces, exécutez la commande gcloud beta network-security security-profiles describe :

  gcloud beta network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité de type threat-prevention que vous souhaitez décrire. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre les options ORGANIZATION_ID et LOCATION.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité de prévention des menaces est créé. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité de prévention des menaces. L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

Lister les profils de sécurité de prévention des menaces

Vous pouvez lister tous les profils de sécurité de prévention des menaces dans une organisation.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

gcloud

Pour répertorier tous les profils de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention list :

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Remplacez les éléments suivants :

  • ORGANIZATION_ID : organisation dans laquelle les profils de sécurité de prévention des menaces sont créés.

  • LOCATION : emplacement des profils de sécurité de prévention des menaces. L'emplacement est toujours défini sur global.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité de prévention des menaces.

Supprimer un profil de sécurité de prévention des menaces

Vous pouvez supprimer un profil de sécurité de prévention des menaces en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité est référencé par un groupe de profils de sécurité, il ne peut pas être supprimé.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité de prévention des menaces que vous souhaitez supprimer, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention delete :

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité de prévention des menaces que vous souhaitez supprimer. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité de prévention des menaces est créé. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité de prévention des menaces.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité de prévention des menaces.

Importer un profil de sécurité de prévention des menaces

Vous pouvez importer un profil de sécurité de protection contre les menaces (créé sur mesure ou exporté précédemment) à partir d'un fichier YAML. Lorsque vous importez un profil de sécurité de prévention des menaces, si un profil portant le même nom existe déjà, Cloud NGFW met à jour le profil existant.

gcloud

Pour importer un profil de sécurité de prévention des menaces à partir d'un fichier YAML, exécutez la commande gcloud beta network-security security-profiles import :

gcloud beta network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité de type threat-prevention que vous souhaitez importer. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre les options ORGANIZATION_ID et LOCATION.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité de prévention des menaces est créé. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité de prévention des menaces. L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • FILE_NAME : chemin d'accès au fichier YAML contenant les données d'exportation de la configuration du profil de sécurité de prévention des menaces. Par exemple,threat-prevention-sp.yaml.

    Le fichier YAML ne doit contenir aucun champ exclusivement de sortie. Vous pouvez également omettre l'option source pour lire à partir de l'entrée standard.

Exporter un profil de sécurité de prévention des menaces

Vous pouvez exporter un profil de sécurité de prévention des menaces dans un fichier YAML. Par exemple, au lieu d'utiliser l'interface utilisateur pour modifier un profil de sécurité volumineux, vous pouvez utiliser cette fonctionnalité pour exporter le profil de sécurité, le modifier rapidement et l'importer à nouveau.

gcloud

Pour exporter un profil de sécurité de prévention des menaces vers un fichier YAML, exécutez la commande gcloud beta network-security security-profiles export :

gcloud beta network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité de type threat-prevention que vous souhaitez exporter. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre les options ORGANIZATION_ID et LOCATION.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité de prévention des menaces est créé. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité de prévention des menaces. L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • FILE_NAME : chemin d'accès au fichier YAML dans lequel Cloud NGFW exportera la configuration du profil de sécurité de prévention des menaces. Exemple : threat-prevention-sp.yaml.

    Les données de configuration exportées ne contiennent aucun champ en sortie seule. Vous pouvez également omettre l'indicateur destination pour écrire dans la sortie standard.

Ajouter des actions de remplacement dans un profil de sécurité de prévention des menaces

Vous pouvez remplacer les actions associées à des signatures de menace ou des niveaux de gravité spécifiques dans un profil de sécurité de prévention des menaces existant.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité pour lequel vous souhaitez remplacer les actions, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité que vous souhaitez remplacer.

  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.

  6. Cliquez sur Confirmer.

  7. Cliquez sur Enregistrer.

gcloud

Pour ajouter une action de remplacement dans un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention add-override :

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels l'action doit être remplacée. Le point de terminaison de pare-feu applique l'option --action configurée à toutes les menaces associées aux niveaux de gravité spécifiés. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels l'action doit être remplacée. Le point de terminaison de pare-feu applique l'option --action configurée à toutes les menaces associées aux ID de menaces spécifiés.

  • PROTOCOLS : liste des protocoles réseau, séparés par une virgule, à surveiller pour détecter la menace antivirus. Pour en savoir plus, consultez la section Protocoles compatibles.

  • ACTION : action pour les ID de menaces ou les niveaux de gravité spécifiés. Pour en savoir plus, consultez la page Actions compatibles.

Lister les actions de remplacement dans un profil de sécurité de prévention des menaces

Vous pouvez lister toutes les actions de remplacement d'un profil de sécurité de prévention des menaces.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité pour afficher les actions de remplacement de gravité et les actions de remplacement de signature de menace configurées.

gcloud

Pour répertorier toutes les actions de remplacement d'un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention list-overrides :

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

Mettre à jour les actions de remplacement dans un profil de sécurité de prévention des menaces

Vous pouvez mettre à jour les actions de remplacement existantes pour les niveaux de gravité ou les signatures de menace dans un profil de sécurité de prévention des menaces.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité pour lequel vous souhaitez mettre à jour l'action de remplacement.

  5. Dans la liste Action de remplacement, sélectionnez l'action appropriée pour le niveau de gravité.

  6. Cliquez sur Confirmer.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour une action de remplacement dans un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention update-override :

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels vous souhaitez mettre à jour les remplacements. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels vous souhaitez mettre à jour les remplacements.

  • PROTOCOLS : liste des protocoles réseau, séparés par une virgule, à surveiller pour détecter la menace antivirus. Les protocoles suivants sont acceptés :

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION : action par défaut pour les ID de menaces ou les niveaux de gravité spécifiés. Les actions possibles sont les suivantes :

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Supprimer les actions de remplacement d'un profil de sécurité de prévention des menaces

Vous pouvez supprimer les actions de remplacement existantes pour les niveaux de gravité ou les signatures de menace dans un profil de sécurité de prévention des menaces.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.

  3. Sélectionnez le profil de sécurité, puis cliquez sur Modifier.

  4. Sous Remplacements de gravité, cliquez sur Modifier à côté du niveau de gravité pour lequel vous souhaitez supprimer l'action de remplacement.

  5. Dans la liste Action de remplacement, sélectionnez Aucun remplacement.

  6. Cliquez sur Confirmer.

  7. Sous Remplacements de signature, sélectionnez l'ID de menace que vous souhaitez supprimer.

  8. Cliquez sur Supprimer.

  9. Cliquez sur Enregistrer.

gcloud

Pour supprimer une action de remplacement d'un profil de sécurité de prévention des menaces, exécutez la commande gcloud network-security security-profiles threat-prevention delete-override :

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

Remplacez les éléments suivants :

  • NAME : nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION_ID : organisation dans laquelle le profil de sécurité est créé.

    Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option ORGANIZATION_ID.

  • LOCATION : emplacement du profil de sécurité.

    L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option NAME, vous pouvez omettre l'option LOCATION.

  • PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.

  • SEVERITIES : liste des niveaux de gravité, séparés par une virgule, pour lesquels vous souhaitez supprimer les remplacements. Le niveau de gravité peut être l'un des suivants :

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS : liste des ID de signature de menace, séparés par une virgule, pour lesquels vous souhaitez supprimer les remplacements.

  • PROTOCOLS : liste des protocoles réseau, séparés par une virgule, à surveiller pour détecter la menace antivirus. Les protocoles suivants sont acceptés :

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

Étapes suivantes