בדיקה של מודולים מותאמים אישית ב-Security Health Analytics

בדף הזה מוסבר איך לבדוק מודולים בהתאמה אישית של Security Health Analytics בGoogle Cloud מסוף על ידי העלאה של קובץ YAML שמכיל נתוני בדיקה.

לפני שמתחילים

כדי לבדוק מודולים בהתאמה אישית, צריך לעמוד בדרישות המוקדמות הבאות:

• כל הדרישות המוקדמות הכלליות שחלות על שימוש במודולים מותאמים אישית של Security Health Analytics. רשימת הדרישות המלאה מופיעה במאמר שימוש במודולים בהתאמה אישית ב-Security Health Analytics.
• לחשבון המשתמש שלכם צריכים להיות מוקצים תפקיד אחד או יותר בניהול זהויות והרשאות גישה (IAM) שמאפשרים לכם לא רק לעבוד עם Security Command Center ומודולים בהתאמה אישית, אלא גם כוללים את ההרשאה securitycenter.securityhealthanalyticscustommodules.test. במאמר הרשאות IAM נדרשות מוסבר על ההרשאות והתפקידים שצריך כדי לעבוד עם מודולים בהתאמה אישית.
• קריאות ל-API לבדיקת מודולים מותאמים אישית כפופות למכסה. מידע נוסף זמין במאמר בנושא מכסות של מודולים בהתאמה אישית.

יצירת משאבי בדיקה בקובץ YAML

כדי לבדוק מודול בהתאמה אישית, מגדירים הגדרות משאבים פיקטיביות, הגדרות מדיניות פיקטיביות או את שניהם בקובץ YAML.

ההגדרות לא תואמות למשאבים אמיתיים או למופעים של מדיניות, אבל ההגדרות צריכות להתאים לסכימות של סוגי המשאבים או המדיניות שצוינו במודולים המותאמים אישית.

בהגדרות הבדיקה, המאפיינים היחידים שצריך לציין הם המאפיינים שהמודולים המותאמים אישית בודקים. אין צורך לכלול מאפייני משאבים שהמודול המותאם אישית לא מתייחס אליהם.

כדי לבדוק את ביטויי ה-CEL במודול המותאם אישית, צריך לציין ערכי מאפיינים בקובץ הבדיקה שגורמים לביטויי ה-CEL להחזיר את הערך true.

הפורמט של נתוני הבדיקה

מתחילים את הקובץ עם testData: בשורה הראשונה, ואחריו הגדרה אחת או יותר של - asset.

testData:
- asset:
    resource: ARBITRARY_ASSET_NAME_1
    assetType: RESOURCE_TYPE_1
    resourceData:
      PROPERTIES_TO_TEST_1: PROPERTY_VALUE_1
        SUB_PROPERTY: SUB_PROPERTY_VALUE
      PROPERTIES_TO_TEST_2: PROPERTY_VALUE_2
- asset:
    resource: ARBITRARY_ASSET_NAME_2
    assetType: RESOURCE_TYPE_2
    iamPolicyData:
      PROPERTIES_TO_TEST_3: PROPERTY_VALUE_3
      PROPERTIES_TO_TEST_4: PROPERTY_VALUE_4

מחליפים את מה שכתוב בשדות הבאים:

• ‫ARBITRARY_ASSET_NAME_N: ערך שרירותי שמוצג בתוצאות הבדיקה כשהבדיקה מצליחה.
• ‫RESOURCE_TYPE_N: סוג הנכס או המשאב שהמודול המותאם אישית בודק, שמוגדר כשם הדומיין של נקודת הקצה של שירות ה-API ושם המשאב – לדוגמה, cloudkms.googleapis.com/CryptoKey.
• ‫PROPERTIES_TO_TEST_N: המאפיינים שמשמשים בלוגיקת הזיהוי של המודול המותאם אישית להפעלת ממצא.
• ‫PROPERTY_VALUE_N: ערך של המאפיין שמפעיל ממצא.
• ‫SUB_PROPERTY: מאפיין משנה או מאפיין של משאב אחר שהמשאב שאליו תינתן גישה מפנה בהגדרת המשאב שלו.

הגדרות בדיקה לדוגמה

בקטע הזה מופיעה דוגמה להגדרת משאב לבדיקה ולהגדרת מדיניות לבדיקה. למרות ששתי הדוגמאות מוצגות כהגדרות בקבצים נפרדים, אפשר לשלב הגדרות של משאבים ומדיניות בקובץ testData אחד.asset

דוגמה להגדרת משאב

בדוגמה הבאה של הגדרת משאב בדיקה, נבדק מודול מותאם אישית שבודק אם הערך של המאפיין rotationPeriod במשאבי CryptoKey גדול מ-2592000 שניות (30 ימים). המאפיינים האחרים בהגדרה לא נמצאים בשימוש במודול המותאם אישית, אבל הם עדיין תואמים לסכימה של המשאב. ההגדרה המלאה של המודול המותאם אישית שנבדק בדוגמה הזו מופיעה במאמר דוגמה להגדרה של מודול מותאם אישית.

testData:
- asset:
    resource: THE CRYPTOKEY TEST WAS SUCCESSFUL!
    assetType: cloudkms.googleapis.com/CryptoKey
    resourceData:
      nextRotationTime:  '2020-02-05T12:00:55.192645Z'
      primary:
        state: 'ENABLED'
      purpose: 'ENCRYPT_DECRYPT'
      rotationPeriod: '2592001s'

הגדרת מדיניות לדוגמה

דוגמה להגדרת בדיקה של מדיניות IAM:

testData:
- asset:
    resource: //cloudresourcemanager.googleapis.com/projects/fake-project
    assetType: cloudresourcemanager.googleapis.com/Project
    iamPolicyData:
      bindings:
      - role: "roles/viewer"
        members:
        - "serviceAccount:fake-service-account@compute-system.iam.gserviceaccount.com"
        - "user:fake-email-account"

בדיקת מודול בהתאמה אישית

אפשר לבדוק מודולים חדשים בהתאמה אישית או מודולים קיימים בהתאמה אישית בGoogle Cloud מסוף.

כדי לבדוק מודול בהתאמה אישית, פועלים לפי השלבים הבאים:

1. עוברים לדף Modules (מודולים) של Security Health Analytics בהגדרות של Security Command Center.

   מעבר אל 'מודולים'

2. פותחים או יוצרים מודול בהתאמה אישית לבדיקה:

   • כדי ליצור מודול חדש בהתאמה אישית, לוחצים על יצירת מודול ופועלים לפי ההוראות במאמר יצירת מודולים בהתאמה אישית.
   • כדי לפתוח מודול מותאם אישית קיים, לוחצים על סמל העריכה (edit) בקטע פעולות בצד שמאל של השורה של המודול שרוצים לבדוק.

3. לוחצים על הכרטיסייה Test module (בדיקת מודול).

4. בקטע Upload the YAML file (העלאת קובץ ה-YAML), לוחצים על Browse (עיון) כדי להעלות קובץ שמכיל נתוני נכסים לדוגמה. הבדיקה מופעלת מיד אחרי העלאת קובץ ה-YAML.

5. בקטע תצוגה מקדימה של תוצאות הבדיקה, בודקים את התוצאות.

   • אם יש שגיאות בתחביר או שגיאות אחרות בקובץ ה-YAML, תוצג הודעת שגיאה צפה בחלק התחתון של דף הדפדפן.

   • אם הבדיקה מצליחה, היא מחזירה את הפרטים הבאים:

     • השם המוצג של המודול המותאם אישית.
     • השם השרירותי שאתם מציינים במאפיין resource בקובץ נתוני הבדיקה.
     • הארגון, התיקייה או הפרויקט שבהם נוצר המודול בהתאמה אישית, או שבהם הוא ייווצר.

   תוצאות הבדיקה לא נשמרות ולא נכתבות ב-Security Command Center.

המאמרים הבאים

• כדי לעבוד עם מודולים מותאמים אישית, אפשר לעיין במאמר בנושא שימוש במודולים מותאמים אישית ב-Security Health Analytics.
• כדי לעבוד עם הממצאים במסוף Google Cloud , אפשר לעיין במאמר עבודה עם ממצאים.