Gerenciar e exportar insights

Nesta página, descrevemos como listar, descrever, dispensar, restaurar e exportar insights.

Permissões e papéis necessários

Para ter as permissões necessárias para gerenciar e exportar insights, peça ao administrador para conceder a você os papéis do IAM a seguir no seu projeto:

Para obter mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para gerenciar e exportar insights. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar e exportar insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Também é possível obter essas permissões com funções personalizadas ou outras funções predefinidas.

Listar insights para um projeto

Para listar os insights de um projeto, faça o seguinte:

gcloud

Use o comando gcloud recommender insights list:

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Substitua PROJECT_ID pelo ID do projeto para o qual você quer listar insights.

A flag location sempre usa o local chamado global. A flag insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight. A menos que você formate a saída em JSON, a resposta ao comando é tabular.

Os seguintes campos são opcionais:

  • EXPRESSION: aplique esse filtro booleano a cada recurso que você quer listar.

    Se a expressão for avaliada como True, esse item será listado. Para obter mais detalhes e exemplos de expressões de filtro, execute $ gcloud topic filters ou consulte a documentação de gcloud topic filters.

  • LIMIT: o número máximo de recursos a serem listados. O número padrão de recursos listados é ilimitado.

  • PAGE_SIZE: o número máximo de recursos a serem listados por página.

    O tamanho da página padrão é determinado pelo serviço. Caso contrário, não haverá paginação. A paginação pode ser aplicada antes ou depois de FILTER e LIMIT.

  • SORT_BY: uma lista de nomes de chaves de campo separados por vírgulas para ordenar de acordo com um recurso.

    A ordem padrão é crescente. Para especificar uma ordem decrescente, inclua o prefixo ~ (um til) em um campo.

API

Faça uma solicitação GET ao método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

Este exemplo mostra uma resposta de amostra para o comando:

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Descrever insights

Para descrever detalhes sobre uma regra de firewall específica em um projeto, faça o seguinte:

gcloud

Use o comando gcloud recommender insights describe:

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Substitua:

  • INSIGHT_ID: o ID do insight a ser descrito
  • PROJECT_NAME: o nome do projeto para o qual você quer listar insights

A flag location sempre usa o local chamado global. A flag insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight.

API

Faça uma solicitação GET ao método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

Substitua:

  • PROJECT_ID: o ID do projeto
  • LOCATION: use sempre o local chamado global
  • INSIGHT_TYPE_ID: use sempre use o valor google.compute.firewall.Insight
  • INSIGHT_ID: o ID do insight

Como marcar um insight como dispensado

Se algum insight não for significativo ou se você quiser ocultá-lo por qualquer outro motivo, é possível dispensá-lo. Ao dispensar um insight, o console do Google Cloud não o exibirá para você ou outros usuários, a menos que ele seja restaurado.

Para marcar um insight como dispensado, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Encontre o card apropriado e clique em Ver lista completa.

  3. Selecione as regras que você quer dispensar e clique em Dispensar.

Como restaurar um insight dispensado

Se você descartou um insight que mais tarde considera relevante, você ou outro usuário pode restaurá-lo e torná-lo visível no console do Google Cloud .

Para restaurar um insight dispensado, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Dispensar histórico. Em resposta, o console do Google Cloud exibe a página Insights descartados.

  3. Selecione os insights que você quer restaurar e clique em Restaurar.

Exportar insights

Se necessário, você poderá exportar insights de regras ocultas e excessivamente permissivas no formato CSV ou JSON. As informações de Deny rules with hits não podem ser exportadas porque se baseiam em métricas do Stackdriver de firewall, e não em insights.

Recomendamos que você exporte insights em qualquer um dos casos a seguir:

  • Você precisa importar os dados para outro sistema.
  • Você quer acessar os dados quando estiver off-line.
  • Você pretende desativar o Firewall Insights, mas quer manter o acesso aos insights gerados anteriormente.

Para exportar insights, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Salvar como.

  3. Siga as instruções para escolher um formato para seus insights e fazer o download deles.

Também é possível exportar insights para o BigQuery. Ao exportar insights para o BigQuery, você conseguirá visualizar snapshots diários de insights sobre sua organização. Para obter mais informações, consulte Exportar recomendações para o BigQuery.

A seguir