O documento descreve como iniciar exportações em massa a pedido de conclusões do Security Command Center para o BigQuery.
O BigQuery é o armazém de dados de estatísticas rentável, com capacidade para petabytes de dados e totalmente gerido do Google Cloud que lhe permite executar estatísticas em enormes quantidades de dados quase em tempo real. Google CloudPara saber mais acerca do BigQuery, consulte a documentação do BigQuery.
Vista geral
Esta funcionalidade apresenta um resumo das conclusões até um determinado momento. Esta funcionalidade complementa a exportação contínua do BigQuery para fornecer estatísticas e relatórios abrangentes.
Com as exportações em massa, pode fazer o seguinte:
Estrutura do conjunto de dados
As descobertas são exportadas para o BigQuery como linhas na tabela findings
, que é agrupada por source_id, finding_id e event_time.
Cada conjunto de dados contém uma tabela findings, que tem os seguintes campos:
| Campo | Descrição |
|---|---|
source_id |
Um identificador exclusivo que o Security Command Center atribui à
origem de uma descoberta.
Por exemplo, todas as conclusões da origem de Deteção de anomalias na nuvem têm o mesmo valor Exemplo: |
finding_id |
Identificador exclusivo que representa a descoberta. É exclusivo numa fonte para uma organização. É alfanumérico e tem um máximo de 32 carateres. |
event_time |
A hora em que o evento ocorreu ou a hora em que ocorreu uma atualização da
descoberta. Por exemplo, se a descoberta representar uma firewall aberta, Exemplo: |
bulk_export_id |
Para exportações em massa, este é um UUID. Para exportações contínuas, este campo está vazio. |
finding |
Um registo de dados de avaliação, como segurança, risco, saúde ou privacidade, que é carregado no Security Command Center para apresentação, notificação, análise, testes de políticas e aplicação. Por exemplo, uma vulnerabilidade de cross-site scripting (XSS) numa aplicação do App Engine é uma descoberta.
Para mais informações sobre os campos aninhados, consulte a referência da API
para o objeto
|
resource |
Informações relacionadas com o Google Cloud recurso que está associado a esta descoberta.
Para mais informações sobre os campos aninhados, consulte a referência da API
para o objeto
|
Custo
Incorre em custos do BigQuery relacionados com esta funcionalidade para armazenar dados no BigQuery. Para mais informações, consulte os preços de armazenamento do BigQuery.
Antes de começar
Tem de concluir estes passos antes de ativar esta funcionalidade.
Configure as autorizações
Para concluir este guia, tem de ter as seguintes funções de gestão de identidade e de acesso (IAM):
Na organização a partir da qual quer exportar as conclusões, faça uma das seguintes ações:
- Editor de exportações do BigQuery do Centro de segurança
(
roles/securitycenter.bigQueryExportsEditor) - Administrador do Centro de segurança
(
roles/securitycenter.admin)
Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.
- Editor de exportações do BigQuery do Centro de segurança
(
No conjunto de dados do BigQuery, Proprietário dos dados do BigQuery (
roles/bigquery.dataOwner)Para saber mais sobre as funções do BigQuery, consulte o artigo Funções e autorizações do IAM do BigQuery.
No projeto ao qual o conjunto de dados do BigQuery de destino pertence, ProjectIAMAdmin (
roles/resourcemanager.projectIamAdmin)
Crie um conjunto de dados do BigQuery
Crie um conjunto de dados do BigQuery seguindo os passos descritos em Criar conjuntos de dados.
Ative a API Security Command Center
Para exportar resultados, tem de ativar a API Security Command Center seguindo estes passos:
Aceda à página da biblioteca de APIs na Google Cloud consola.
Selecione o projeto para o qual quer ativar a API Security Command Center.
No campo Pesquisar, introduza
Security Command Centere, de seguida, clique em Security Command Center nos resultados da pesquisa.Na página da API apresentada, clique em Ativar.
A API Security Command Center está ativada para o seu projeto.
Conceda acesso ao perímetro nos VPC Service Controls
Se usar os VPC Service Controls, reveja o artigo Conceder acesso ao perímetro nos VPC Service Controls e siga esses passos, se necessário.
Este passo tem de ser repetido para cada utilizador que cria uma exportação em massa para um determinado perímetro de serviço.
Crie uma regra de entrada para a nova exportação em massa do BigQuery
Se usar os VPC Service Controls, reveja o artigo Crie uma regra de entrada para a nova exportação para o BigQuery e siga esses passos, se necessário.
Limitações das exportações em massa do BigQuery
Considere as seguintes restrições ao criar exportações em massa do BigQuery:
- Só são permitidas três exportações em massa simultâneas em qualquer altura para uma única organização.
- Se pedir várias exportações em massa não simultâneas para o mesmo conjunto de dados do BigQuery, as novas descobertas na exportação são anexadas à tabela do BigQuery
findings. As conclusões não são substituídas.
Crie uma exportação em massa do BigQuery
Pode fazer uma exportação em massa das descobertas para uma organização, um projeto ou uma pasta.
Para iniciar uma exportação em massa de resultados para uma instância do BigQuery, use a CLI gcloud e siga estes passos:
Aceda à Google Cloud consola.
Selecione o projeto para o qual ativou a API Security Command Center.
Clique em Ativar Cloud Shell.
Para criar uma nova configuração de exportação, execute o seguinte comando:
gcloud scc findings export-to-bigquery PARENT \ --dataset=DATASET_NAME \ [--location=LOCATION; default="global"] \Substitua o seguinte:
PARENT: o nome relativo do âmbito de exportação: organização, projeto ou pasta. Formatos de exemplo:organizations/ORGANIZATION_ID,projects/PROJECT_ID,folders/FOLDER_IDDATASET_NAME: o nome do conjunto de dados do BigQuery. Exemplo de formato:projects/PROJECT_ID/datasets/DATASET_IDLOCATION: a localização do Security Command Center na qual criar uma configuração de exportação; se a residência de dados estiver ativada, useeu,saouus; caso contrário, use o valorglobal. Esta variável é opcional.Por exemplo, para criar uma exportação em massa de todas as conclusões, execute o seguinte comando:
gcloud scc findings export-to-bigquery organizations/123 --dataset=projects/123/datasets/DATASETEm termos de residência de dados, o exemplo anterior chama o ponto final global.
Para criar a mesma exportação em massa para o ponto final
eu, execute o seguinte comando:gcloud scc findings export-to-bigquery organizations/123 --dataset=projects/123/datasets/DATASET --location=locations/eu
Este comando devolve um objeto de operação de longa duração que contém uma namestring que é necessária quando acompanha o estado da exportação. Para acompanhar o estado desta exportação em massa do BigQuery, consulte o artigo Veja o estado de uma exportação em massa.
Para rever as suas conclusões, consulte o artigo Reveja as conclusões.
Consultas
Para ver uma variedade de consultas que pode usar para analisar os dados de resultados, consulte o artigo Consultas úteis.
Veja o estado de uma exportação em massa
Para ver o estado de uma exportação em massa, precisa da long running operation namestring que lhe foi devolvida quando criou a exportação em massa.
Aceda à Google Cloud consola.
Selecione o projeto para o qual ativou a API Security Command Center.
Clique em Ativar Cloud Shell.
Para validar os detalhes da configuração de exportação em massa, execute o seguinte comando:
gcloud scc operations describe LONG_RUNNING_OPERATION_NAME \ --organization=ORGANIZATION_IDSubstitua o seguinte:
LONG_RUNNING_OPERATION_NAME: a stringnamedevolvida quando criou a exportação em massa.ORGANIZATION_IDPor exemplo, para ver o estado de um pedido de exportação em massa, o comando
name: "long-running-operation-name"devolve o ID da organização de uma organização com um ID da organização definido como123. Execute o seguinte comando:gcloud scc operations describe long-running-operation-name \ --organization=123
- Se uma exportação tiver sido bem-sucedida, a resposta contém
done: true. - Se uma exportação falhou, a resposta contém um código de erro.
- Se uma exportação ainda estiver em curso, a resposta não contém
done: truenem um código de erro.
Exportações em massa e exportações contínuas do BigQuery
Se quiser usar exportações em massa e contínuas do BigQuery em conjunto no mesmo conjunto de dados do BigQuery, existem duas abordagens possíveis:
Crie primeiro uma exportação contínua e, em seguida, preencha com uma exportação em massa.
Configure uma exportação contínua para um conjunto de dados do BigQuery. Depois de criar a exportação com êxito, começa a receber as conclusões do Security Command Center em tempo real.
Crie uma exportação em massa com o mesmo conjunto de dados do BigQuery de destino. É exportada para o conjunto de dados selecionado uma imagem instantânea de todas as descobertas do Security Command Center no momento da exportação.
Uma exportação em massa demora tempo a ser executada. Assim, se a exportação contínua for criada em T1, a exportação em massa é acionada em T2 e a captura instantânea das descobertas para a exportação em massa é concluída em T3, podem ser vistos registos duplicados entre T1 e T3. No entanto, não existem lacunas de resultados.
Crie primeiro uma exportação em massa e, em seguida, crie uma exportação contínua.
Crie uma exportação em massa. Uma imagem instantânea de todas as conclusões do Security Command Center no momento da execução da exportação é exportada para o conjunto de dados do BigQuery selecionado.
Configure uma exportação contínua para o mesmo conjunto de dados do BigQuery. Assim que a exportação for criada com êxito, começa a receber descobertas do Security Command Center em tempo real.
Se a exportação em massa for criada em T1, a captura instantânea das descobertas para a exportação em massa é concluída em T2 e a exportação contínua é acionada em T3, as descobertas entre T2 e T3 podem estar em falta no conjunto de dados do BigQuery.
O que se segue?
- Saiba como fazer exportações únicas no Security Command Center.
- Saiba como fazer stream contínua de resultados para o BigQuery para análise.