במדריך הזה מוסבר איך להשתמש ב-Security Command Center API כדי לנהל תגי אבטחה. סימני אבטחה, או 'סימנים', הם הערות שאפשר להתאים אישית בנכסים או בממצאים ב-Security Command Center, שמאפשרות לכם להוסיף הקשר עסקי משלכם לאובייקטים האלה.
אפשר להוסיף או לעדכן סימוני אבטחה רק בנכסים שנתמכים על ידי Security Command Center. רשימת הנכסים שנתמכים ב-Security Command Center זמינה במאמר סוגי נכסים נתמכים ב-Security Command Center.
לפני שמתחילים
כדי לעבוד עם תגי אבטחה, צריך להגדיר חשבון שירות ו-SDK.
כדי להוסיף או לשנות סימני אבטחה, צריך להיות לכם תפקיד ב-Identity and Access Management (ניהול זהויות וגישה, IAM) שכולל הרשאות לסוג הסימן שבו אתם רוצים להשתמש:
- סימון נכסים: Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter - איך מוצאים סימנים: איך מוצאים את הכלי לכתיבת סימני אבטחה,
securitycenter.findingSecurityMarksWriter
מידע נוסף על תפקידי IAM ב-Security Command Center זמין במאמר בקרת גישה. מידע נוסף על שימוש יעיל בסימני אבטחה זמין במאמר שימוש בסימני אבטחה ב-Security Command Center.
הוספה או עדכון של סימני אבטחה בנכסים
כשמשתמשים ב-Security Command Center API, הוספה ועדכון של תגי אבטחה הן אותה פעולה. בדוגמה מוצג איך להוסיף סימני אבטחה לצמדי מפתח/ערך (key_a, value_a) ו-(key_b, value_b).
הקוד הבא משתמש במסכות שדות כדי לוודא שרק הערכים האלה יעודכנו. אם לא מספקים מסכות שדות, כל תגי האבטחה מוסרים לפני הוספת המפתחות והערכים שצוינו.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
מחליפים את מה שכתוב בשדות הבאים:
-
ASSET_ID: הנכס לעדכון. -
PARENT: הרמה בהיררכיית המשאבים שבה נמצא הנכס. משתמשים בערכיםorganization,folderאוproject. -
PARENT_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט ברמת ההורה, או המזהה האלפאנומרי של הפרויקט ברמת ההורה. -
LOCATION: המיקום של Security Command Center שבו רוצים לעדכן סימן אבטחה בנכס. אם מופעלת שמירת נתונים באזור מסוים, צריך להשתמש בערכיםeu,saאוus. אחרת, צריך להשתמש בערךglobal. -
SECURITY_MARKS: זוגות של מפתח-ערך שמופרדים בפסיקים ומייצגים סימוני אבטחה ואת הערכים שלהם. לדוגמה:key_a=value_a,key_b=value_b. -
UPDATE_MASK: רשימה מופרדת בפסיקים של שדות סימון אבטחה לעדכון בנכס. לדוגמה,marks.key_a,marks.key_b.
המשך
Python
מידע על סימונים ייעודיים של נכסים לגלאים של Security Health Analytics זמין במאמר ניהול מדיניות.
מחיקת סימוני אבטחה בנכסים
מחיקה של סימני אבטחה ספציפיים מתבצעת באופן דומה להוספה או לעדכון שלהם, כלומר קוראים לפונקציית העדכון עם מסכת שדות אבל בלי ערך תואם. בדוגמה, סימוני אבטחה עם המפתחות key_a ו-key_b נמחקים.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
-
ASSET_ID: הנכס לעדכון. -
PARENT: הרמה בהיררכיית המשאבים שבה נמצא הנכס. משתמשים בערכיםorganization,folderאוproject. -
PARENT_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט ברמת ההורה, או המזהה האלפאנומרי של הפרויקט ברמת ההורה. -
LOCATION: המיקום של Security Command Center שבו רוצים למחוק סימן אבטחה מנכס. אם מופעלת תכונת שמירת הנתונים באזור מסוים, צריך להשתמש בערךeu,saאוus. אחרת, צריך להשתמש בערךglobal. -
UPDATE_MASK: רשימה מופרדת בפסיקים של שדות סימון אבטחה למחיקה מהנכס. לדוגמה,marks.key_a,marks.key_b.
Node.js
Python
הוספה ומחיקה של סימני אבטחה באותה בקשה
אפשר לשלב באותה בקשה את הטכניקה להוספה ולעדכון של סימני אבטחה ואת הטכניקה למחיקה של סימני אבטחה. בדוגמה, key_a מתעדכן ו-key_b נמחק.
gcloud
gcloud scc assets update-marks ASSET_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --update-mask=UPDATE_MASK
-
ASSET_ID: הנכס לעדכון. -
PARENT: הרמה בהיררכיית המשאבים שבה נמצא הנכס. משתמשים בערכיםorganization,folderאוproject. -
PARENT_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט ברמת ההורה, או המזהה האלפאנומרי של הפרויקט ברמת ההורה. -
LOCATION: המיקום של Security Command Center שבו צריך לעדכן ולמחוק את תגי האבטחה של נכס. אם מופעלת שמירת נתונים באזור מסוים, צריך להשתמש בערכיםeu,saאוus. אחרת, צריך להשתמש בערךglobal. -
SECURITY_MARKS: רשימה של זוגות של מפתח וערך שמופרדים בפסיקים, שמייצגים את תגי האבטחה שרוצים לעדכן. למשל:key_a=value_a. לא מציינים תגי אבטחה שרוצים למחוק. -
UPDATE_MASK: רשימה מופרדת בפסיקים של שדות של סימני אבטחה לעדכון או למחיקה. לדוגמה,marks.key_a,marks.key_b.
Node.js
Python
הוספת סימני אבטחה לממצאים
הוספה, עדכון ומחיקה של תגי אבטחה בממצאים מתבצעים באותו תהליך כמו עדכון תגי אבטחה בנכסים. השינוי היחיד הוא השם של המשאב שמשמש בקריאה ל-API. במקום משאב נכס, סיפקת שם של משאב ממצא.
לדוגמה, כדי לעדכן את סימני האבטחה בממצא, משתמשים בקוד הבא:
gcloud
gcloud scc findings update-marks FINDING_NAME \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --security-marks=SECURITY_MARKS \ --update-mask=UPDATE_MASK
מחליפים את מה שכתוב בשדות הבאים:
-
FINDING_NAME: הממצא שרוצים לעדכן. -
PARENT: הרמה בהיררכיית המשאבים שבה נמצא הממצא. אפשר להשתמש בערכיםorganization,folderאוproject. -
PARENT_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט ברמת ההורה, או המזהה האלפאנומרי של הפרויקט ברמת ההורה. -
LOCATION: המיקום של Security Command Center שבו צריך לעדכן את סימן האבטחה בממצא. אם מופעלת שמירת נתונים באזור מסוים, צריך להשתמש בערךeu,saאוus. אחרת, צריך להשתמש בערךglobal. -
SOURCE_ID: מזהה המקור. -
SECURITY_MARKS: זוגות של מפתח-ערך שמופרדים בפסיקים ומייצגים סימוני אבטחה ואת הערכים שלהם. לדוגמה:key_a=value_a,key_b=value_b. -
UPDATE_MASK: רשימה מופרדת בפסיקים של שדות סימון אבטחה לעדכון בנכס. לדוגמה,marks.key_a,marks.key_b.
Java
Node.js
Python
העיבוד של סימני האבטחה מתבצע במהלך סריקות אצווה – שמופעלות פעמיים ביום ב-Security Command Center Premium וב-Enterprise, ופעם ביומיים ב-Security Command Center Standard – ולא בזמן אמת. יכול להיות שיהיה עיכוב של 12 עד 24 שעות עד שסימני האבטחה יעברו עיבוד ומדיניות האכיפה שתפתור או תפתח מחדש את הממצאים תוחל.
נכסים דיגיטליים של כרטיסי מוצר עם מסננים של סימני אבטחה
אחרי שמגדירים סימני אבטחה בנכס, אפשר להשתמש בהם בארגומנט של המסנן בקריאה ל-API ListAssets. לדוגמה, כדי לשלוח שאילתה לגבי כל הנכסים שבהם key_a = value_a, משתמשים בקוד הבא:
gcloud
# ORGANIZATION=12344321 FILTER="security_marks.marks.key_a = \"value_a\"" gcloud scc assets list $ORGANIZATION \ --filter="$FILTER"
המשך
Java
Node.js
Python
הצגת ממצאים עם מסננים של סימון אבטחה
אחרי שמגדירים סימני אבטחה בממצא, אפשר להשתמש בהם בארגומנט של המסנן בקריאה ל-API ListFindings. לדוגמה, כדי לשלוח שאילתה לגבי כל הנכסים שבהם key_a != value_a, משתמשים בקוד הבא:
gcloud
gcloud scc findings list PARENT/PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --filter=FILTER
-
PARENT: הרמה בהיררכיית המשאבים שבה נמצא הממצא. אפשר להשתמש בערכיםorganizations,foldersאוprojects. -
PARENT_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט ברמת ההורה, או המזהה האלפאנומרי של הפרויקט ברמת ההורה. -
LOCATION: המיקום של Security Command Center שבו יוצגו הממצאים. אם מופעלת תכונת שמירת נתונים לפי מיקום, צריך להשתמש בערכיםeu,saאוus. אחרת, צריך להשתמש בערךglobal. -
SOURCE_ID: מזהה המקור. -
FILTER: הפילטר להחלה על הממצאים. לדוגמה, כדי להחריג ממצאים עם סימן האבטחהkey_a=value_a, משתמשים בפילטר"NOT security_marks.marks.key_a=\"value_a\""