שימוש במודולים מותאמים אישית ב-Security Health Analytics

בדף הזה מוסבר איך ליצור, להציג, לעדכן ולמחוק מודולים בהתאמה אישית עבור Security Health Analytics באמצעות מסוף Google Cloud או Google Cloud CLI.

מידע נוסף על מודולים מותאמים אישית זמין במאמר סקירה כללית על מודולים מותאמים אישית ב-Security Health Analytics.

לפני שמתחילים

כדי לעבוד עם מודולים בהתאמה אישית, צריך לעמוד בדרישות המוקדמות הבאות:

  • צריך להפעיל את Security Health Analytics. במאמר הפעלה או השבתה של שירות מובנה מוסבר איך להפעיל את Security Health Analytics.
  • צריך להקצות לחשבון המשתמש שלכם תפקיד אחד או יותר של ניהול זהויות והרשאות גישה (IAM) שכוללים את ההרשאות הנדרשות. מידע נוסף זמין במאמר בנושא הרשאות IAM הנדרשות.
  • אם אתם מתכוונים לכתוב מודולים מותאמים אישית משלכם ולהעלות אותם ל-Security Command Center באמצעות פקודות gcloud, תצטרכו את Google Cloud CLI. מידע על התקנת ה-CLI של gcloud זמין במאמר התקנת ה-CLI של gcloud.
  • אם Security Command Center API עדיין לא מופעל, צריך להפעיל אותו כדי להשתמש במודולים מותאמים אישית ל-Security Health Analytics. אפשר להפעיל את Security Command Center API בדף API Library במסוף Google Cloud .
  • כדי להבין את מגבלות השימוש ב-Security Health Analytics, אפשר לעיין במאמר בנושא מכסות של מודולים בהתאמה אישית.

הרשאות IAM נדרשות

כדי לעבוד עם מודולים בהתאמה אישית, אתם צריכים את ההרשאות הבאות לניהול זהויות והרשאות גישה (IAM):

הרשאה תפקיד
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor

מידע נוסף על הרשאות ותפקידים ב-IAM ועל אופן ההקצאה שלהם זמין במאמר הקצאת תפקיד ב-IAM באמצעות מסוף Google Cloud .

יצירת מודול בהתאמה אישית

בקטע הזה מוסבר איך ליצור מודולים בהתאמה אישית באמצעותGoogle Cloud המסוף, ה-CLI של gcloud או Terraform.

כדי לבדוק את המודול המותאם אישית כשלב בתהליך היצירה, צריך להכין הגדרות של משאבי בדיקה בקובץ YAML. הוראות מפורטות זמינות במאמר בנושא יצירת משאבי בדיקה בקובץ YAML.

כדי ליצור מודול בהתאמה אישית, בוחרים את השיטה שרוצים להשתמש בה מתוך הכרטיסיות הבאות:

מסוף Google Cloud

כדי ליצור מודול בהתאמה אישית במסוף Google Cloud :

  1. נכנסים לדף Settings של Security Command Center במסוףGoogle Cloud .

    כניסה לדף Settings

  2. אם מופיעה הנחיה, בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים ליצור את המודול בהתאמה אישית.

  3. בכרטיס Security Health Analytics, לוחצים על ניהול הגדרות.

  4. לוחצים על הכרטיסייה מודולים.

  5. לוחצים על יצירת מודול. ייפתח הדף Create module for Security Health Analytics.

  6. בחלונית Configure module, מגדירים את השם לתצוגה, את המשאבים לסריקה ואת לוגיקת הזיהוי:

    1. בשדה Module name, מציינים שם למודול. השם צריך להיות באורך של 1 עד 128 תווים, להתחיל באות קטנה ולהכיל רק תווים אלפאנומריים או קווים תחתונים. השם הזה הופך לקטגוריית הממצאים של הממצאים שהמזהה הזה מייצר. אי אפשר לשנות את השם אחרי שיוצרים את המודול.

    2. בקטע הוספת סוג משאב, מציינים סוג משאב אחד עד חמישה לסריקה. אי אפשר לציין סוג משאב יותר מפעם אחת.

      רשימה של סוגי המשאבים הנתמכים זמינה במאמר סוגי משאבים נתמכים.

    3. בעורך הביטויים, כותבים ביטויי CEL כדי להריץ בדיקות בוליאניות על מאפיין אחד או יותר של המשאב שצוין בשלב הקודם. כדי להפעיל ממצא, הביטוי צריך להחזיר את הערך TRUE. לדוגמה, הביטוי הבא מפעיל ממצא אם למשאב CryptoKey מוגדרת תקופת רוטציה, ותקופת הרוטציה ארוכה מ-2,592,000 שניות (30 ימים):

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))

      למידע נוסף, קראו את המאמרים הבאים:

    4. לוחצים על הבא. החלונית Define finding details (הגדרת פרטי הממצא) נפתחת.

  7. בחלונית Define finding details (הגדרת פרטי הממצא), מתארים את הבעיה שהמודול המותאם אישית מזהה, כולל רמת החומרה שלה, מהות הבעיה, איך לפתור אותה וכל נתון שרוצים לכלול בממצאים כמאפייני מקור מותאמים אישית:

    1. בשדה Severity (חומרה), מציינים את חומרת הבעיה. אפשר לציין את הערכים Low, ‏Medium, ‏High או Critical. Medium היא ברירת המחדל.

      מידע על רמות חומרה זמין במאמר בנושא סיווגים של חומרת הממצאים.

    2. בשדה Finding description, מסבירים את הבעיה שהמודול המותאם אישית מזהה. ההסבר הזה מופיע בכל מופע של ממצא, כדי לעזור לצוותי האבטחה להבין את הבעיה שזוהתה ולטפל בה.

    3. בשדה Finding next steps, מסבירים את השלבים שצוות האבטחה יכול לבצע כדי לפתור את הבעיה שזוהתה או לטפל בה בדרך אחרת.

      השלבים מוצגים עם כל מופע של ממצא. חשוב לכלול שלבים ספציפיים שצוות האבטחה יכול לבצע כדי לטפל בבעיה במהירות האפשרית.

    4. אופציונלי: בשדה Custom finding properties (מאפייני ממצאים מותאמים אישית), מציינים עד 10 צמדים של שם וערך כדי להגדיר מאפייני מקור מותאמים אישית שיוחזרו עם כל מופע של ממצא. המידע מוחזר כמאפייני מקור ב-JSON של הממצא, ומוצג בכרטיסייה מאפייני מקור בפרטי הממצא במסוףGoogle Cloud . מציינים את הטקסט או את ערכי המאפיינים כזוגות של מפתח וערך:

      • בשדה שם הנכס, מציינים שם לנכס המקור המותאם אישית. השם חייב לעמוד בכללים הבאים:
        • השם חייב להתחיל באות קטנה.
        • השם חייב להכיל רק תווים אלפאנומריים או קווים תחתונים.
        • אורך השם צריך להיות בין 1 ל-128 תווים.
        • כל שם צריך להיות ייחודי בין מאפייני המקור האחרים.
      • בשדה ערך המאפיין, מציינים אחד מהערכים הבאים באורך של עד 1,024 תווים:
        • מחרוזת טקסט שמוקפת במירכאות. סימני המירכאות נכללים במגבלת 1,024 התווים. לדוגמה, "This string provides additional useful information."
        • כל נכס של המשאב שנסרק. לדוגמה, אם בודקים את המשאב CryptoKey, אפשר לציין resource.rotationPeriod. הפונקציה מחזירה את הערך של המאפיין rotationPeriod.

    5. לוחצים על הבא. תיפתח החלונית Enable module.

  8. אופציונלי: משתמשים בתפריט הנפתח של החלונית הפעלת מודול כדי לציין אם המודול המותאם אישית יופעל או יושבת אחרי היצירה. כברירת מחדל, מודולים מותאמים אישית מופעלים כשיוצרים אותם. אם מציינים השבתה, אפשר להפעיל את המודול מאוחר יותר בכרטיסייה מודולים בדף ההגדרות של Security Health Analytics.

  9. לוחצים על הבא. החלונית Test module נפתחת.

  10. אופציונלי: לפני שיוצרים מודול בהתאמה אישית, מומלץ לבדוק אותו.

    כדי לבדוק מודול בהתאמה אישית, פועלים לפי השלבים הבאים:

    1. יוצרים קובץ YAML שמכיל הגדרות של משאבי בדיקה למשאבים שהמודול בהתאמה אישית בודק.

      מידע על יצירת קובץ נתוני בדיקה מופיע במאמר יצירת משאבי בדיקה בקובץ YAML.

    2. בקטע Upload the YAML file (העלאת קובץ ה-YAML), לוחצים על Browse (עיון) כדי להעלות את קובץ ה-YAML שמכיל את ההגדרות של משאבי הבדיקה. הבדיקה מתחילה אוטומטית כשהקובץ מועלה.

    3. בקטע תצוגה מקדימה של תוצאות הבדיקה, בודקים את התוצאות.

      • אם יש שגיאות בתחביר או שגיאות אחרות בקובץ ה-YAML, תוצג הודעת שגיאה צפה בחלק התחתון של דף הדפדפן.

      • אם הבדיקה מצליחה, היא מחזירה את הפרטים הבאים:

        • השם המוצג של המודול המותאם אישית.
        • השם השרירותי שציינתם במאפיין resource בקובץ נתוני הבדיקה.
        • הארגון, התיקייה או הפרויקט שבהם נוצר או ייווצר המודול בהתאמה אישית.

    תוצאות הבדיקה לא נשמרות ולא נכתבות ב-Security Command Center.

    מידע נוסף זמין במאמר בנושא בדיקת מודולים בהתאמה אישית.

  11. לוחצים על יצירה. תועברו בחזרה לדף Modules (מודולים) ותראו את המודול שיצרתם עם הסטטוס Enabled (מופעל).

מודולים מותאמים אישית חדשים לא זמינים באופן מיידי לשימוש בסריקות של Security Health Analytics. מידע נוסף זמין במאמר בנושא זמן האחזור של זיהוי האיומים.

‫CLI של gcloud

כדי ליצור מודול בהתאמה אישית באמצעות פקודות gcloud, קודם צריך לקודד את ההגדרה של המודול בהתאמה אישית בקובץ YAML שכולל ביטויי CEL ללוגיקת הזיהוי ולמאפייני הפלט.

אחרי שההגדרה מסתיימת, מעלים אותה ל-Security Command Center באמצעות פקודות של ה-CLI של gcloud.

  1. כותבים קוד של הגדרת מודול בהתאמה אישית בקובץ YAML לפי ההוראות במאמר כתיבת קוד של מודול בהתאמה אישית ל-Security Health Analytics.
  2. שומרים את קובץ ה-YAML במיקום שאפשר לגשת אליו ממופע ה-CLI של gcloud.

  3. מעלים את ההגדרה המותאמת אישית ל-Security Command Center:

    gcloud scc custom-modules sha create \
    PARENT_FLAG=PARENT_ID \
    --display-name="MODULE_DISPLAY_NAME" \
    --enablement-state="ENABLEMENT_STATE" \
    --custom-config-from-file=MODULE_FILE_NAME.yaml

    מחליפים את מה שכתוב בשדות הבאים:

    • PARENT_FLAG: הרמה שבה יוצרים את המודול המותאם אישית, כלומר --organization, ‏--folder או --project.
    • PARENT_ID: המזהה של הארגון, התיקייה או הפרויקט שבהם יוצרים את המודול המותאם אישית.
    • ENABLEMENT_STATE: enabled או disabled.
    • MODULE_DISPLAY_NAME: השם של קטגוריית הממצא שרוצים להציג כשהמודול המותאם אישית מחזיר ממצא. השם צריך להיות באורך של 1 עד 128 תווים, להתחיל באות קטנה ולהכיל רק תווים אלפאנומריים או קווים תחתונים.
    • MODULE_FILE_NAME: הנתיב ושם הקובץ של קובץ ה-YAML שמכיל את ההגדרה של המודול בהתאמה אישית.

Terraform

כדי ליצור מודול בהתאמה אישית לארגון:

resource "google_scc_management_organization_security_health_analytics_custom_module" "example" {
  organization = "123456789"
  display_name = "basic_custom_module"
  location = "global"
  enablement_state = "ENABLED"
  custom_config {
    predicate {
      expression = "resource.rotationPeriod > duration(\"2592000s\")"
    }
    resource_selector {
      resource_types = [
        "cloudkms.googleapis.com/CryptoKey",
      ]
    }
    description = "The rotation period of the identified cryptokey resource exceeds 30 days."
    recommendation = "Set the rotation period to at most 30 days."
    severity = "MEDIUM"
  }
}

כדי ליצור מודול בהתאמה אישית לתיקייה:

resource "google_folder" "folder" {
  parent       = "organizations/123456789"
  display_name = "folder-name"
  deletion_protection = false
}

resource "google_scc_management_folder_security_health_analytics_custom_module" "example" {
  folder = google_folder.folder.folder_id
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  custom_config {
    predicate {
      expression = "resource.rotationPeriod > duration(\"2592000s\")"
    }
    resource_selector {
      resource_types = [
        "cloudkms.googleapis.com/CryptoKey",
      ]
    }
    description = "The rotation period of the identified cryptokey resource exceeds 30 days."
    recommendation = "Set the rotation period to at most 30 days."
    severity = "MEDIUM"
  }
}

כדי ליצור מודול בהתאמה אישית לפרויקט:

resource "google_scc_management_project_security_health_analytics_custom_module" "example" {
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  custom_config {
    predicate {
      expression = "resource.rotationPeriod > duration(\"2592000s\")"
    }
    resource_selector {
      resource_types = [
        "cloudkms.googleapis.com/CryptoKey",
      ]
    }
    description = "The rotation period of the identified cryptokey resource exceeds 30 days."
    recommendation = "Set the rotation period to at most 30 days."
    severity = "MEDIUM"
  }
}

זמן האחזור של הזיהוי

אחרי שיוצרים או מעדכנים את ההגדרה של מודול מותאם אישית, יכול להיות שיעברו כמה שעות עד שהמודול המותאם אישית החדש או המעודכן יהיה זמין לשימוש בסריקות.

יצירה או שינוי של מודול בהתאמה אישית לא מפעילים סריקה. אחרי שמודול מותאם אישית זמין לשימוש, Security Health Analytics לא מתחיל להשתמש במודולים המותאמים אישית עד לסריקת האצווה הראשונה או עד ששינוי בתצורה של משאב היעד מפעיל סריקה בזמן אמת.

מידע נוסף על סוגי הסריקות של Security Health Analytics זמין במאמר סוגי הסריקות של Security Health Analytics.

עדכון מודול בהתאמה אישית

אפשר לעדכן את רוב המאפיינים של מודולים מותאמים אישית ב-Security Health Analytics.

אי אפשר לשנות את המאפיינים הבאים של מודול בהתאמה אישית:

  • השם המוצג.
  • המזהה של המודול המותאם אישית.
  • השם המלא של המשאב של המודול המותאם אישית.

כשמעדכנים מודול מותאם אישית, הממצאים שהמודול יצר בעבר לא מתעדכנים באותו הזמן. אם השינויים במודול גורמים לשינויים בממצאים שנוצרו, הממצאים ישקפו את השינויים רק אחרי הסריקה הבאה של Security Health Analytics באצווה או בזמן אמת.

כדי לשנות מודול בהתאמה אישית, אפשר להשתמש במסוף Google Cloud או ב-CLI של gcloud. לוחצים על אחת מהכרטיסיות הבאות כדי לקבל הוראות.

מסוף Google Cloud

כדי לעדכן מודול קיים בהתאמה אישית במסוף Google Cloud :

  1. נכנסים לדף Settings של Security Command Center במסוףGoogle Cloud .

    כניסה לדף Settings

  2. בכלי לבחירת הפרויקט, בוחרים את הארגון, התיקייה או הפרויקט שבהם נוצר במקור המודול המותאם אישית. אי אפשר לערוך מודול מותאם אישית בשום מקום אחר.

  3. בכרטיס Security Health Analytics, לוחצים על ניהול הגדרות.

  4. לוחצים על הכרטיסייה מודולים. מוצגים כל מודולי הזיהוי של Security Health Analytics.

  5. משתמשים בשדה הסינון בחלק העליון של רשימת המודולים או גוללים כדי למצוא את המודול המותאם אישית שרוצים לשנות.

  6. משמאל לשורה של המודול המותאם אישית, לוחצים על סמל תפריט הפעולות, .

  7. בתפריט הפעולות, לוחצים על סמל העריכה (). נפתח הדף View module (הצגת המודול) ומוצגת הכרטיסייה Configure module (הגדרת המודול).

  8. עורכים את השדות של המודול המותאם אישית בכל כרטיסייה בדף View module (הצגת המודול) לפי הצורך.

  9. אופציונלי: לפני ששומרים את העדכונים, מומלץ לבדוק אותם.

    כדי לבדוק מודול בהתאמה אישית, פועלים לפי השלבים הבאים:

    1. יוצרים קובץ YAML שמכיל הגדרות של משאבי בדיקה למשאבים שהמודול בהתאמה אישית בודק.

      מידע על יצירת קובץ נתוני בדיקה מופיע במאמר יצירת משאבי בדיקה בקובץ YAML.

    2. בקטע Upload the YAML file (העלאת קובץ ה-YAML), לוחצים על Browse (עיון) כדי להעלות את קובץ ה-YAML שמכיל את ההגדרות של משאבי הבדיקה. הבדיקה מתחילה אוטומטית כשהקובץ מועלה.

    3. בקטע תצוגה מקדימה של תוצאות הבדיקה, בודקים את התוצאות.

      • אם יש שגיאות בתחביר או שגיאות אחרות בקובץ ה-YAML, תוצג הודעת שגיאה צפה בחלק התחתון של דף הדפדפן.

      • אם הבדיקה מצליחה, היא מחזירה את הפרטים הבאים:

        • השם המוצג של המודול המותאם אישית.
        • השם השרירותי שציינתם במאפיין resource בקובץ נתוני הבדיקה.
        • הארגון, התיקייה או הפרויקט שבהם נוצר או ייווצר המודול בהתאמה אישית.

    תוצאות הבדיקה לא נשמרות ולא נכתבות ב-Security Command Center.

    מידע נוסף זמין במאמר בנושא בדיקת מודולים בהתאמה אישית.

  10. בחלק התחתון של הדף, לחץ על שמור. השינויים יחולו על המודול המותאם אישית.

‫CLI של gcloud

כדי לעדכן מודול בהתאמה אישית באמצעות ה-CLI של gcloud, קודם עורכים את הגדרת ה-YAML של המודול בהתאמה אישית ואז משתמשים בפקודות gcloud כדי לעדכן את המודול בהתאמה אישית ב-Security Health Analytics.

  1. עורכים את ההגדרה של המודול המותאם אישית. במאמר כתיבת קוד למודול מותאם אישית עבור Security Health Analytics מוסבר איך לכתוב קוד להגדרת מודול מותאם אישית.

  2. שומרים את קובץ ה-YAML הערוך במיקום שאפשר לגשת אליו באמצעות ה-CLI של gcloud.

  3. כדי לעדכן את המודול המותאם אישית ב-Security Health Analytics, מריצים את הפקודה הבאה:

    gcloud scc custom-modules sha update MODULE_ID \
   PARENT_FLAG=PARENT_ID \
   --enablement-state="ENABLED" \
   --custom-config-from-file=MODULE_FILE_NAME.yaml

    מחליפים את מה שכתוב בשדות הבאים:

    • MODULE_ID: המזהה או שם המשאב המלא של המודול בהתאמה אישית.
    • PARENT_FLAG: הרמה שבה נוצר המודול המותאם אישית, כלומר --organization,‏ --folder או --project.
    • PARENT_ID: המזהה של הארגון, התיקייה או הפרויקט שבהם נוצר המודול המותאם אישית.
    • MODULE_FILE_NAME: הנתיב ושם הקובץ של קובץ ה-YAML שמכיל את ההגדרה של המודול בהתאמה אישית.

הצגת מודול בהתאמה אישית

בוחרים כרטיסייה כדי ללמוד איך להציג הגדרה של מודול בהתאמה אישית.

מסוף Google Cloud

כדי להציג מודולים בהתאמה אישית במסוף Google Cloud :

  1. עוברים לדף Security Health Analytics בהגדרות של Security Command Center.

    כניסה לדף Settings

  2. לוחצים על הכרטיסייה מודולים. החלונית Modules תיפתח.

  3. אם צריך, משתמשים בשדה המסנן בחלק העליון של רשימת המודולים כדי למצוא את המודול המותאם אישית שרוצים לשנות.

  4. כדי לראות את הפרטים של הגדרת המודול המותאם אישית, לוחצים על סמל תפריט הפעולות, , בצד שמאל של השורה של המודול המותאם אישית.

  5. בתפריט פעולות, לוחצים על סמל העריכה, . נפתח הדף View module (הצגת המודול) ומוצגת הכרטיסייה Configure module (הגדרת המודול).

  6. לוחצים על הכרטיסיות בדף הצגת מודול כדי לראות את כל השדות בהגדרת המודול המותאם אישית.

‫CLI של gcloud

כדי לראות את הפרטים של מודול בהתאמה אישית, מזינים את הפקודה הבאה:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • MODULE_ID: המזהה או שם המשאב המלא של המודול בהתאמה אישית.
  • PARENT_FLAG: הרמה שבה נוצר המודול המותאם אישית, כלומר --organization,‏ --folder או --project.
  • PARENT_ID: המזהה של הארגון, התיקייה או הפרויקט שבהם נוצר המודול המותאם אישית.

הצגת מודולים בהתאמה אישית

בוחרים כרטיסייה כדי ללמוד איך להציג רשימה של מודולים בהתאמה אישית.

מסוף Google Cloud

  1. עוברים לדף Security Health Analytics בהגדרות של Security Command Center.

    כניסה לדף Settings

  2. לוחצים על הכרטיסייה מודולים. החלונית Modules תיפתח.

  3. לוחצים על שדה המסנן בחלק העליון של רשימת המודולים כדי להציג את רשימת סוגי המסננים.

  4. בוחרים באפשרות סוג ומזינים Custom. רשימת המודולים מתעדכנת כך שיוצגו בה רק מודולים בהתאמה אישית.

‫CLI של gcloud

כדי להציג רשימה של מודולים בהתאמה אישית, מזינים את הפקודה הבאה:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PARENT_FLAG: הרמה שבה נוצר המודול המותאם אישית, כלומר --organization,‏ --folder או --project.
  • PARENT_ID: המזהה של הארגון, התיקייה או הפרויקט שבהם נוצר המודול המותאם אישית.

מחיקה של מודול בהתאמה אישית

אפשר למחוק מודול בהתאמה אישית מהארגון, מהתיקייה או מהפרויקט שבהם הוא נוצר, או מארגון או מתיקיית אב. אי אפשר למחוק מודול בהתאמה אישית מתיקייה או מפרויקט שכוללים אותו.

כדי ללמוד איך למחוק מודול בהתאמה אישית, בוחרים באחת מהכרטיסיות הבאות.

מסוף Google Cloud

  1. נכנסים לדף Settings של Security Command Center במסוףGoogle Cloud .

    כניסה לדף Settings

  2. אם מתבקשים, בוחרים את הארגון, התיקייה או הפרויקט.

  3. בכרטיס Security Health Analytics, לוחצים על ניהול הגדרות.

  4. לוחצים על הכרטיסייה מודולים. מוצגים כל מודולי הזיהוי של Security Health Analytics.

  5. משתמשים בשדה הסינון בחלק העליון של רשימת המודולים או גוללים כדי למצוא את המודול המותאם אישית שרוצים לשנות.

  6. משמאל לשורה של המודול המותאם אישית, לוחצים על סמל תפריט הפעולות, .

  7. בתפריט פעולות, לוחצים על מחיקה. תיפתח תיבת הדו-שיח מחיקת מודול בהתאמה אישית.

  8. בתיבת הדו-שיח, לוחצים על מחיקה.

‫CLI של gcloud

כדי למחוק מודול בהתאמה אישית, מזינים את הפקודה הבאה:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • MODULE_ID: המזהה או שם המשאב המלא של המודול בהתאמה אישית.
  • PARENT_FLAG: הרמה שבה נוצר המודול המותאם אישית, כלומר --organization,‏ --folder או --project.
  • PARENT_ID: המזהה של הארגון, התיקייה או הפרויקט שבהם נוצר המודול המותאם אישית.

הממצאים של מודולים מותאמים אישית שנמחקו מסומנים כלא פעילים על ידי Security Health Analytics בסריקת האצווה הבאה.

בדיקת הממצאים

אפשר לראות את הממצאים שנוצרו על ידי מודולים מותאמים אישית בGoogle Cloud מסוף או ב-Security Command Center API.

המסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בסעיף המשנה Source display name, בוחרים באפשרות Security Health Analytics Custom. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

‫CLI של gcloud

כדי לראות את הממצאים:

  1. פותחים חלון טרמינל.

  2. כדי לקבל את מזהה המקור של Security Health Analytics, מריצים את הפקודה הבאה:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name='Security Health Analytics Custom'

    הפלט שמוצג אמור להיראות כך: בדוגמה, SOURCE_ID הוא מזהה שהוקצה על ידי השרת למקורות אבטחה.

    description: ...
displayName: Security Health Analytics Custom
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

  3. כדי לראות את כל הממצאים שנוצרו על ידי המודולים המותאמים אישית, מריצים את הפקודה הבאה:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID

  4. כדי להציג את הממצאים של מודול ספציפי בהתאמה אישית, מריצים את הפקודה הבאה:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""

המאמרים הבאים

אפשר לנהל ממצאים שנוצרו על ידי מודולים מותאמים אישית כמו כל הממצאים ב-Security Command Center. הוראות מפורטות מופיעות במאמרים הבאים: