Esta página foi traduzida pela API Cloud Translation.

Recursos da ficha através da API Security Command Center

Descontinuado: a partir de 20 de junho de 2023, as seguintes funcionalidades de gestão de recursos do Security Command Center foram descontinuadas:

O objeto Assets e os métodos e campos relacionados na API e nas bibliotecas cliente do Security Command Center
O comando gcloud scc assets

Se a sua organização ativou o Security Command Center após 20 de junho de 2023, as funcionalidades anteriores não estão incluídas na ativação do Security Command Center, pelo que as funcionalidades de recursos documentadas nesta página não se aplicam a si.

Se a sua organização ativou o Security Command Center antes de 20 de junho de 2023, planeie migrar as suas operações de gestão de recursos da API Security Command Center e dos comandos gcloud scc assets para o Cloud Asset Inventory até 20 de junho de 2024. Estas funcionalidades de gestão de recursos do Security Command Center vão ser removidas do Security Command Center para todos os utilizadores a 20 de junho de 2024 ou após essa data.

Para listar recursos através do Cloud Asset Inventory, consulte o artigo Liste recursos.

Os recursos são os Google Cloud recursos de uma organização, como instâncias do Compute Engine ou contentores do Cloud Storage.

Este guia mostra como usar as bibliotecas de cliente do Security Command Center para aceder aos registos descontinuados que o Security Command Center mantém para os recursos num projeto ou numa organização.

O Security Command Center mantém registos apenas para um subconjunto dos recursos no Cloud Asset Inventory. Para ver a lista mais completa de recursos no seu ambiente, use o Cloud Asset Inventory para listar recursos.

Para mais informações, consulte o seguinte:

Níveis de concessão para funções de IAM

As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.

Antes de começar

Antes de configurar uma origem, tem de concluir o seguinte:

Autentique-se com a API Security Command Center

Tamanho da página

Todas as APIs de listas do Security Command Center são paginadas. Cada resposta devolve uma página de resultados e um token para devolver a página seguinte. O tamanho da página é configurável. O pageSize predefinido é 10, podendo ser definido para um mínimo de 1 e um máximo de 1000.

Tipos de recursos

O atributo resourceType no Security Command Center usa uma convenção de nomenclatura diferente da do Cloud Asset Inventory. Para ver uma lista dos formatos de tipos de recursos, consulte o artigo Tipos de recursos suportados no Security Command Center.

Apresente todos os recursos

Estes exemplos mostram como listar todos os recursos:

gcloud

Para apresentar uma lista de todos os recursos num projeto, numa pasta ou numa organização, execute o seguinte comando:

gcloud scc assets list PARENT_ID

Substitua PARENT_ID por um dos seguintes valores:

Um ID da organização no seguinte formato: ORGANIZATION_ID (apenas o ID numérico)
Um ID da pasta no seguinte formato: folders/FOLDER_ID
Um ID do projeto no seguinte formato: projects/PROJECT_ID

Para ver mais exemplos, execute o seguinte comando:

 gcloud scc assets list --help

Para ver exemplos na documentação, consulte gcloud scc assets list.

Python

from google.cloud import securitycenter

client = securitycenter.SecurityCenterClient()
# 'parent' must be in one of the following formats:
#   "organizations/{organization_id}"
#   "projects/{project_id}"
#   "folders/{folder_id}"
parent = f"organizations/{organization_id}"

# Call the API and print results.
asset_iterator = client.list_assets(request={"parent": parent})
for i, asset_result in enumerate(asset_iterator):
    print(i, asset_result)

Java

static ImmutableList<ListAssetsResult> listAssets(OrganizationName organizationName) {
  try (SecurityCenterClient client = SecurityCenterClient.create()) {
    // Start setting up a request to search for all assets in an organization, project, or folder.
    //
    // Parent must be in one of the following formats:
    //    OrganizationName organizationName = OrganizationName.of("organization-id");
    //    ProjectName projectName = ProjectName.of("project-id");
    //    FolderName folderName = FolderName.of("folder-id");
    ListAssetsRequest.Builder request =
        ListAssetsRequest.newBuilder().setParent(organizationName.toString());

    // Call the API.
    ListAssetsPagedResponse response = client.listAssets(request.build());

    // This creates one list for all assets.  If your organization has a large number of assets
    // this can cause out of memory issues.  You can process them incrementally by returning
    // the Iterable returned response.iterateAll() directly.
    ImmutableList<ListAssetsResult> results = ImmutableList.copyOf(response.iterateAll());
    System.out.println("All assets:");
    System.out.println(results);
    return results;
  } catch (IOException e) {
    throw new RuntimeException("Couldn't create client.", e);
  }
}

Ir

import (
	"context"
	"fmt"
	"io"

	securitycenter "cloud.google.com/go/securitycenter/apiv1"
	"cloud.google.com/go/securitycenter/apiv1/securitycenterpb"
	"google.golang.org/api/iterator"
)

// listAllAssets prints every asset to w for orgID. orgID is the numeric
// Organization ID.
func listAllAssets(w io.Writer, orgID string) error {
	// orgID := "12321311"
	// Instantiate a context and a security service client to make API calls.
	ctx := context.Background()
	client, err := securitycenter.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("securitycenter.NewClient: %w", err)
	}
	defer client.Close() // Closing the client safely cleans up background resources.

	req := &securitycenterpb.ListAssetsRequest{
		// Parent must be in one of the following formats:
		//		"organizations/{orgId}"
		//		"projects/{projectId}"
		//		"folders/{folderId}"
		Parent: fmt.Sprintf("organizations/%s", orgID),
	}

	assetsFound := 0
	it := client.ListAssets(ctx, req)
	for {
		result, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return fmt.Errorf("ListAssets: %w", err)
		}
		asset := result.Asset
		properties := asset.SecurityCenterProperties
		fmt.Fprintf(w, "Asset Name: %s,", asset.Name)
		fmt.Fprintf(w, "Resource Name %s,", properties.ResourceName)
		fmt.Fprintf(w, "Resource Type %s\n", properties.ResourceType)
		assetsFound++
	}
	return nil
}

Node.js

// Imports the Google Cloud client library.
const {SecurityCenterClient} = require('@google-cloud/security-center');

// Creates a new client.
const client = new SecurityCenterClient();
//  organizationId is the numeric ID of the organization.
/*
 * TODO(developer): Uncomment the following lines
 */
// parent: must be in one of the following formats:
//    `organizations/${organization_id}`
//    `projects/${project_id}`
//    `folders/${folder_id}`
const parent = `organizations/${organizationId}`;
// Call the API with automatic pagination.
async function listAssets() {
  const [response] = await client.listAssets({parent: parent});
  let count = 0;
  Array.from(response).forEach(result =>
    console.log(
      `${++count} ${result.asset.name} ${
        result.asset.securityCenterProperties.resourceName
      }`
    )
  );
}

listAssets();

O resultado de cada recurso é um objeto JSON semelhante ao seguinte:

asset:
  createTime: '2020-10-05T17:55:14.823Z'
  iamPolicy:
    policyBlob: '{"bindings":[{"role":"roles/owner","members":["serviceAccount:SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com","user:USER_EMAIL@gmail.com"]}]}'
  name: organizations/ORGANIZATION_ID/assets/ASSET_ID
  resourceProperties:
    createTime: '2020-10-05T17:36:17.915Z'
    lifecycleState: ACTIVE
    name: PROJECT_ID
    parent: '{"id":"ORGANIZATION_ID","type":"organization"}'
    projectId: PROJECT_ID
    projectNumber: 'PROJECT_NUMBER'
  securityCenterProperties:
    resourceDisplayName: PROJECT_ID
    resourceName: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER
    resourceOwners:
    - serviceAccount:SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com
    - user:USER_EMAIL@gmail.com
    resourceParent: //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID
    resourceParentDisplayName: ORGANIZATION_NAME
    resourceProject: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER
    resourceProjectDisplayName: PROJECT_ID
    resourceType: google.cloud.resourcemanager.Project
  securityMarks:
    name: organizations/ORGANIZATION_ID/assets/ASSET_ID/securityMarks
  updateTime: '2020-10-05T17:55:14.823Z'

Filtre recursos

Um projeto, uma pasta ou uma organização podem ter muitos recursos. O exemplo anterior não usa filtros, pelo que são devolvidos todos os recursos. O Security Command Center permite-lhe usar filtros de recursos para obter informações sobre recursos específicos. Os filtros são semelhantes às cláusulas "where" nas declarações SQL, exceto que, em vez de colunas, aplicam-se aos objetos devolvidos pela API.

O exemplo de saída no exemplo anterior mostra alguns campos e subcampos, e as respetivas propriedades, que podem ser usados em filtros de recursos. O Security Command Center suporta matrizes e objetos JSON completos como potenciais tipos de propriedades. Pode filtrar por:

Elementos da matriz
Objetos JSON completos com correspondência parcial de strings no objeto
Subcampos de objetos JSON

Os subcampos têm de ser números, strings ou booleanos, e as expressões de filtro têm de usar os seguintes operadores de comparação:

Strings:
- Igualdade total =
- Correspondência parcial de strings :
Números:
- Desigualdades <, >, <=, >=
- Igualdade =
Booleanos:
- Igualdade =

Os exemplos seguintes filtram recursos:

gcloud

Use o seguinte comando para filtrar recursos:

gcloud scc assets list PARENT_ID --filter="FILTER"

Substitua o seguinte:

FILTER com o filtro que precisa de usar. Por exemplo, o filtro seguinte devolve apenas recursos de projetos:
```
--filter="security_center_properties.resource_type=\"google.cloud.resourcemanager.Project\""
```
PARENT_ID com um dos seguintes valores:
- Um ID da organização no seguinte formato: ORGANIZATION_ID (apenas o ID numérico)
- Um ID da pasta no seguinte formato: folders/FOLDER_ID
- Um ID do projeto no seguinte formato: projects/PROJECT_ID

Para ver mais exemplos, execute o seguinte comando:

gcloud scc assets list --help

Para ver exemplos na documentação, consulte gcloud scc assets list.

Python

from google.cloud import securitycenter

client = securitycenter.SecurityCenterClient()

# 'parent' must be in one of the following formats:
#   "organizations/{organization_id}"
#   "projects/{project_id}"
#   "folders/{folder_id}"
parent = f"organizations/{organization_id}"

project_filter = (
    "security_center_properties.resource_type="
    + '"google.cloud.resourcemanager.Project"'
)
# Call the API and print results.
asset_iterator = client.list_assets(
    request={"parent": parent, "filter": project_filter}
)
for i, asset_result in enumerate(asset_iterator):
    print(i, asset_result)

Java

static ImmutableList<ListAssetsResult> listAssetsWithFilter(OrganizationName organizationName) {
  try (SecurityCenterClient client = SecurityCenterClient.create()) {
    // Start setting up a request to search for all assets in an organization, project, or folder.
    //
    // Parent must be in one of the following formats:
    //    OrganizationName organizationName = OrganizationName.of("organization-id");
    //    ProjectName projectName = ProjectName.of("project-id");
    //    FolderName folderName = FolderName.of("folder-id");
    ListAssetsRequest.Builder request =
        ListAssetsRequest.newBuilder()
            .setParent(organizationName.toString())
            .setFilter(
                "security_center_properties.resource_type=\"google.cloud.resourcemanager.Project\"");

    // Call the API.
    ListAssetsPagedResponse response = client.listAssets(request.build());

    // This creates one list for all assets.  If your organization has a large number of assets
    // this can cause out of memory issues.  You can process them incrementally by returning
    // the Iterable returned response.iterateAll() directly.
    ImmutableList<ListAssetsResult> results = ImmutableList.copyOf(response.iterateAll());
    System.out.println("Project assets:");
    System.out.println(results);
    return results;
  } catch (IOException e) {
    throw new RuntimeException("Couldn't create client.", e);
  }
}

Ir

import (
	"context"
	"fmt"
	"io"

	securitycenter "cloud.google.com/go/securitycenter/apiv1"
	"cloud.google.com/go/securitycenter/apiv1/securitycenterpb"
	"google.golang.org/api/iterator"
)

// listAllProjectAssets lists all current GCP project assets in orgID and
// prints out results to w. orgID is the numeric organization ID of interest.
func listAllProjectAssets(w io.Writer, orgID string) error {
	// orgID := "12321311"
	// Instantiate a context and a security service client to make API calls.
	ctx := context.Background()
	client, err := securitycenter.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("securitycenter.NewClient: %w", err)
	}
	defer client.Close() // Closing the client safely cleans up background resources.
	req := &securitycenterpb.ListAssetsRequest{
		// Parent must be in one of the following formats:
		//		"organizations/{orgId}"
		//		"projects/{projectId}"
		//		"folders/{folderId}"
		Parent: fmt.Sprintf("organizations/%s", orgID),
		Filter: `security_center_properties.resource_type="google.cloud.resourcemanager.Project"`,
	}

	assetsFound := 0
	it := client.ListAssets(ctx, req)
	for {
		result, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return fmt.Errorf("ListAssets: %w", err)
		}
		asset := result.Asset
		properties := asset.SecurityCenterProperties
		fmt.Fprintf(w, "Asset Name: %s,", asset.Name)
		fmt.Fprintf(w, "Resource Name %s,", properties.ResourceName)
		fmt.Fprintf(w, "Resource Type %s\n", properties.ResourceType)
		assetsFound++
	}
	return nil
}

Node.js

// Imports the Google Cloud client library.
const {SecurityCenterClient} = require('@google-cloud/security-center');

// Creates a new client.
const client = new SecurityCenterClient();
//  organizationId is the numeric ID of the organization.
/*
 * TODO(developer): Uncomment the following lines
 */
// const organizationId = "1234567777";
const orgName = client.organizationPath(organizationId);

// Call the API with automatic pagination.
// You can also list assets in a project/ folder. To do so, modify the parent
// value and filter condition.
async function listFilteredAssets() {
  const [response] = await client.listAssets({
    parent: orgName,
    filter:
      'security_center_properties.resource_type="google.cloud.resourcemanager.Project"',
  });
  let count = 0;
  Array.from(response).forEach(result =>
    console.log(
      `${++count} ${result.asset.name} ${
        result.asset.securityCenterProperties.resourceName
      } ${result.stateChange}`
    )
  );
}

listFilteredAssets();

Lista num determinado momento

Os exemplos anteriores mostram como listar um conjunto atual de recursos. O Security Command Center também lhe permite ver uma captura instantânea histórica dos recursos. Os exemplos seguintes devolvem o estado de todos os recursos num ponto específico no tempo. O Security Command Center suporta resoluções de tempo de milissegundos.

gcloud

Use o seguinte comando para listar recursos a partir de um ponto específico no tempo:

gcloud scc assets list PARENT_ID --read-time="READ_TIME"

Substitua o seguinte:

READ_TIME com a hora em que os recursos devem ser apresentados. Use o seguinte formato: YYYY-MM-DDThh:mm:ss.ffffffZ. Por exemplo:
```
--read-time="2022-12-21T07:00:06.861Z"
```
PARENT_ID com um dos seguintes valores:
- Um ID da organização no seguinte formato: ORGANIZATION_ID (apenas o ID numérico)
- Um ID do projeto no seguinte formato: projects/PROJECT_ID
- Um ID da pasta no seguinte formato: folders/FOLDER_ID

Para ver mais exemplos, execute o seguinte comando:

gcloud scc assets list --help

Para ver exemplos na documentação, consulte gcloud scc assets list.

Python

from datetime import datetime, timedelta, timezone

from google.cloud import securitycenter

client = securitycenter.SecurityCenterClient()

# 'parent' must be in one of the following formats:
#   "organizations/{organization_id}"
#   "projects/{project_id}"
#   "folders/{folder_id}"
parent = f"organizations/{organization_id}"

project_filter = (
    "security_center_properties.resource_type="
    + '"google.cloud.resourcemanager.Project"'
)

# Lists assets as of yesterday.
read_time = datetime.now(tz=timezone.utc) - timedelta(days=1)

# Call the API and print results.
asset_iterator = client.list_assets(
    request={"parent": parent, "filter": project_filter, "read_time": read_time}
)
for i, asset_result in enumerate(asset_iterator):
    print(i, asset_result)

Java

static ImmutableList<ListAssetsResult> listAssetsAsOfYesterday(
    OrganizationName organizationName, Instant asOf) {
  try (SecurityCenterClient client = SecurityCenterClient.create()) {
    // Start setting up a request to search for all assets in an organization, project, or folder.
    //
    // Parent must be in one of the following formats:
    //    OrganizationName organizationName = OrganizationName.of("organization-id");
    //    ProjectName projectName = ProjectName.of("project-id");
    //    FolderName folderName = FolderName.of("folder-id");
    // Initialize the builder with the parent and filter
    ListAssetsRequest.Builder request =
        ListAssetsRequest.newBuilder()
            .setParent(organizationName.toString())
            .setFilter(
                "security_center_properties.resource_type=\"google.cloud.resourcemanager.Project\"");

    // Set read time to either the instant passed in or one day ago.
    asOf = MoreObjects.firstNonNull(asOf, Instant.now().minus(Duration.ofDays(1)));
    request.getReadTimeBuilder().setSeconds(asOf.getEpochSecond()).setNanos(asOf.getNano());

    // Call the API.
    ListAssetsPagedResponse response = client.listAssets(request.build());

    // This creates one list for all assets.  If your organization has a large number of assets
    // this can cause out of memory issues.  You can process them incrementally by returning
    // the Iterable returned response.iterateAll() directly.
    ImmutableList<ListAssetsResult> results = ImmutableList.copyOf(response.iterateAll());
    System.out.println("Projects:");
    System.out.println(results);
    return results;
  } catch (IOException e) {
    throw new RuntimeException("Couldn't create client.", e);
  }
}

Ir

import (
	"context"
	"fmt"
	"io"
	"time"

	securitycenter "cloud.google.com/go/securitycenter/apiv1"
	"cloud.google.com/go/securitycenter/apiv1/securitycenterpb"
	"github.com/golang/protobuf/ptypes"
	"google.golang.org/api/iterator"
)

// listAllProjectAssets lists all GCP Projects in orgID at asOf time and prints
// out results to w. orgID is the numeric organization ID of interest.
func listAllProjectAssetsAtTime(w io.Writer, orgID string, asOf time.Time) error {
	// orgID := "12321311"
	// Instantiate a context and a security service client to make API calls.
	ctx := context.Background()
	client, err := securitycenter.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("securitycenter.NewClient: %w", err)
	}
	defer client.Close() // Closing the client safely cleans up background resources.

	// Convert the time to a Timestamp protobuf
	readTime, err := ptypes.TimestampProto(asOf)
	if err != nil {
		return fmt.Errorf("TimestampProto(%v): %w", asOf, err)
	}

	// You can also list assets in a project/ folder. To do so, modify the parent and
	// filter condition.
	req := &securitycenterpb.ListAssetsRequest{
		// Parent must be in one of the following formats:
		//		"organizations/{orgId}"
		//		"projects/{projectId}"
		//		"folders/{folderId}"
		Parent:   fmt.Sprintf("organizations/%s", orgID),
		Filter:   `security_center_properties.resource_type="google.cloud.resourcemanager.Project"`,
		ReadTime: readTime,
	}

	assetsFound := 0
	it := client.ListAssets(ctx, req)
	for {
		result, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return fmt.Errorf("ListAssets: %w", err)
		}
		asset := result.Asset
		properties := asset.SecurityCenterProperties
		fmt.Fprintf(w, "Asset Name: %s,", asset.Name)
		fmt.Fprintf(w, "Resource Name %s,", properties.ResourceName)
		fmt.Fprintf(w, "Resource Type %s\n", properties.ResourceType)
		assetsFound++
	}
	return nil
}

Node.js

// Imports the Google Cloud client library.
const {SecurityCenterClient} = require('@google-cloud/security-center');

// Creates a new client.
const client = new SecurityCenterClient();
//  organizationId is the numeric ID of the organization.
/*
 * TODO(developer): Uncomment the following lines
 */
// parent: must be in one of the following formats:
//    `organizations/${organization_id}`
//    `projects/${project_id}`
//    `folders/${folder_id}`
const parent = `organizations/${organizationId}`;

const oneDayAgo = new Date();
oneDayAgo.setDate(oneDayAgo.getDate() - 1);

// Call the API with automatic pagination.
async function listAssetsAtTime() {
  const [response] = await client.listAssets({
    parent: parent,
    filter:
      'security_center_properties.resource_type="google.cloud.resourcemanager.Project"',
    // readTime must be in the form of a google.protobuf.Timestamp object
    // which takes seconds and nanoseconds.
    readTime: {
      seconds: Math.floor(oneDayAgo.getTime() / 1000),
      nanos: (oneDayAgo.getTime() % 1000) * 1e6,
    },
  });
  let count = 0;
  Array.from(response).forEach(result =>
    console.log(
      `${++count} ${result.asset.name} ${
        result.asset.securityCenterProperties.resourceName
      }`
    )
  );
}

listAssetsAtTime();

Apresente recursos com alterações de estado

O Security Command Center permite-lhe comparar um recurso em dois momentos para identificar se foi adicionado, removido ou estava presente durante o período especificado. Os exemplos seguintes comparam projetos que existem em READ_TIME com um ponto anterior no tempo especificado por COMPARE_DURATION. COMPARE_DURATION é fornecido em segundos.

Quando COMPARE_DURATION está definido, o atributo stateChange nos resultados do recurso de lista é atualizado com um dos seguintes valores:

ADDED: o recurso não estava presente no início de compareDuration, mas estava presente em readTime.
REMOVED: o recurso estava presente no início de compareDuration, mas não estava presente em readTime.
ACTIVE: o recurso estava presente no início e no fim do período definido por compareDuration e readTime.

gcloud

Use o seguinte comando para comparar o estado dos recursos em dois pontos no tempo:

gcloud scc assets list PARENT_ID \
    --filter="FILTER" \
    --read-time=READ_TIME \
    --compare-duration=COMPARE_DURATION

Substitua o seguinte:

COMPARE_DURATION com um número de segundos que define um ponto no tempo anterior ao tempo especificado na flag --read-time. Por exemplo:
```
--compare-duration=84600s
```
FILTER com o filtro que precisa de usar. Por exemplo, o filtro seguinte devolve apenas recursos de projetos:
```
--filter="security_center_properties.resource_type=\"google.cloud.resourcemanager.Project\""
```
PARENT_ID com um dos seguintes valores:
- Um ID da organização no seguinte formato: ORGANIZATION_ID (apenas o ID numérico)
- Um ID do projeto no seguinte formato: projects/PROJECT_ID
- Um ID da pasta no seguinte formato: folders/FOLDER_ID
READ_TIME com a hora em que os recursos devem ser apresentados. Use o seguinte formato: YYYY-MM-DDThh:mm:ss.ffffffZ. Por exemplo:
```
--read-time="2022-12-21T07:00:06.861Z"
```
Para ver mais exemplos, execute o seguinte comando:

gcloud scc assets list --help

Para ver exemplos na documentação, consulte gcloud scc assets list.

Python

from datetime import timedelta

from google.cloud import securitycenter

client = securitycenter.SecurityCenterClient()

# 'parent' must be in one of the following formats:
#   "organizations/{organization_id}"
#   "projects/{project_id}"
#   "folders/{folder_id}"
parent = f"organizations/{organization_id}"
project_filter = (
    "security_center_properties.resource_type="
    + '"google.cloud.resourcemanager.Project"'
)

# List assets and their state change the last 30 days
compare_delta = timedelta(days=30)

# Call the API and print results.
asset_iterator = client.list_assets(
    request={
        "parent": parent,
        "filter": project_filter,
        "compare_duration": compare_delta,
    }
)
for i, asset in enumerate(asset_iterator):
    print(i, asset)

Java

static ImmutableList<ListAssetsResult> listAssetAndStatusChanges(
    OrganizationName organizationName, Duration timeSpan, Instant asOf) {
  try (SecurityCenterClient client = SecurityCenterClient.create()) {

    // Start setting up a request to search for all assets in an organization, project, or folder.
    //
    // Parent must be in one of the following formats:
    //    OrganizationName organizationName = OrganizationName.of("organization-id");
    //    ProjectName projectName = ProjectName.of("project-id");
    //    FolderName folderName = FolderName.of("folder-id");
    ListAssetsRequest.Builder request =
        ListAssetsRequest.newBuilder()
            .setParent(organizationName.toString())
            .setFilter(
                "security_center_properties.resource_type=\"google.cloud.resourcemanager.Project\"");
    request
        .getCompareDurationBuilder()
        .setSeconds(timeSpan.getSeconds())
        .setNanos(timeSpan.getNano());

    // Set read time to either the instant passed in or now.
    asOf = MoreObjects.firstNonNull(asOf, Instant.now());
    request.getReadTimeBuilder().setSeconds(asOf.getEpochSecond()).setNanos(asOf.getNano());

    // Call the API.
    ListAssetsPagedResponse response = client.listAssets(request.build());

    // This creates one list for all assets.  If your organization has a large number of assets
    // this can cause out of memory issues.  You can process them incrementally by returning
    // the Iterable returned response.iterateAll() directly.
    ImmutableList<ListAssetsResult> results = ImmutableList.copyOf(response.iterateAll());
    System.out.println("Projects:");
    System.out.println(results);
    return results;
  } catch (IOException e) {
    throw new RuntimeException("Couldn't create client.", e);
  }
}

Ir

import (
	"context"
	"fmt"
	"io"
	"time"

	securitycenter "cloud.google.com/go/securitycenter/apiv1"
	"cloud.google.com/go/securitycenter/apiv1/securitycenterpb"
	"github.com/golang/protobuf/ptypes"
	"google.golang.org/api/iterator"
)

// listAllProjectAssetsAndStateChange lists all current GCP project assets in
// orgID and prints the projects and there change from a day ago out to w.
// orgID is the numeric // organization ID of interest.
func listAllProjectAssetsAndStateChanges(w io.Writer, orgID string) error {
	// orgID := "12321311"
	// Instantiate a context and a security service client to make API calls.
	ctx := context.Background()
	client, err := securitycenter.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("securitycenter.NewClient: %w", err)
	}
	defer client.Close() // Closing the client safely cleans up background resources.

	req := &securitycenterpb.ListAssetsRequest{
		// Parent must be in one of the following formats:
		//		"organizations/{orgId}"
		//		"projects/{projectId}"
		//		"folders/{folderId}"
		Parent:          fmt.Sprintf("organizations/%s", orgID),
		Filter:          `security_center_properties.resource_type="google.cloud.resourcemanager.Project"`,
		CompareDuration: ptypes.DurationProto(24 * time.Hour),
	}

	assetsFound := 0
	it := client.ListAssets(ctx, req)
	for {
		result, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return fmt.Errorf("ListAssets: %w", err)
		}
		asset := result.Asset
		properties := asset.SecurityCenterProperties
		fmt.Fprintf(w, "Asset Name: %s,", asset.Name)
		fmt.Fprintf(w, "Resource Name %s,", properties.ResourceName)
		fmt.Fprintf(w, "Resource Type %s", properties.ResourceType)
		fmt.Fprintf(w, "State Change %s\n", result.StateChange)
		assetsFound++
	}
	return nil
}

Node.js

// Imports the Google Cloud client library.
const {SecurityCenterClient} = require('@google-cloud/security-center');

// Creates a new client.
const client = new SecurityCenterClient();
//  organizationId is the numeric ID of the organization.
/*
 * TODO(developer): Uncomment the following lines
 */
// parent: must be in one of the following formats:
//    `organizations/${organization_id}`
//    `projects/${project_id}`
//    `folders/${folder_id}`
const parent = `organizations/${organizationId}`;
// Call the API with automatic pagination.
async function listAssetsAndChanges() {
  const [response] = await client.listAssets({
    parent: parent,
    compareDuration: {seconds: 30 * /*Second in Day=*/ 86400, nanos: 0},
    filter:
      'security_center_properties.resource_type="google.cloud.resourcemanager.Project"',
  });
  let count = 0;
  Array.from(response).forEach(result =>
    console.log(
      `${++count} ${result.asset.name} ${
        result.asset.securityCenterProperties.resourceName
      } ${result.stateChange}`
    )
  );
}

listAssetsAndChanges();

Exemplos de filtros

Seguem-se alguns outros filtros de recursos úteis. Pode usar AND e OR em filtros para combinar parâmetros e expandir ou refinar os resultados.

Encontre um recurso do projeto com um proprietário específico

"security_center_properties.resource_type = \"google.cloud.resourcemanager.Project\" AND security_center_properties.resource_owners : \"$USER\""

Normalmente, $USER está no formato user:someone@domain.com. A comparação para user usa o operador de substring : e não é necessária uma correspondência exata.

Regras de firewall com portas HTTP abertas

"security_center_properties.resource_type = \"google.compute.Firewall\" AND resource_properties.name =\"default-allow-http\""

Recursos que pertencem a projetos específicos

"security_center_properties.resource_parent = \"$PROJECT_1_NAME\" OR security_center_properties.resource_parent = \"$PROJECT_2_NAME\""

$PROJECT_1_NAME e $PROJECT_2_NAME são identificadores de recursos no formato //cloudresourcemanager.googleapis.com/projects/$PROJECT_ID, em que $PROJECT_ID é o número do projeto. Um exemplo completo seria algo como: //cloudresourcemanager.googleapis.com/projects/100090906

Encontrar imagens do Compute Engine cujos nomes contêm uma string específica

Este filtro devolve imagens do Compute Engine que contêm a substring "Debia":

"security_center_properties.resource_type = \"google.compute.Image\" AND resource_properties.name : \"Debia\""

Recursos cujas propriedades contêm pares de chave-valor

Este filtro devolve contentores do Cloud Storage onde bucketPolicyOnly está desativado. O valor de resourceProperties.iamConfiguration é codificado como uma string. Use o caráter \ para aplicar o caráter de escape a carateres especiais em strings, incluindo o operador : entre o nome da chave e o valor.

"resourceProperties.iamConfiguration:"\"bucketPolicyOnly\"\:{\"enabled\"\:false""

Encontrar recursos de projetos criados a uma hora específica ou antes

Estes filtros de exemplo correspondem a recursos criados a 18 de julho de 2019 ou antes às 20:26:21 GMT. Com o filtro create_time, pode expressar o tempo através dos seguintes formatos e tipos:

Tempo Unix (em milissegundos) como um literal inteiro
```
"create_time <= 1563481581000"
```

RFC 3339 como um literal de string

"create_time <= \"2019-07-18T20:26:21+00:00\""

Excluir recursos dos resultados

Para excluir um recurso dos resultados, use a negação colocando um caráter - antes de um parâmetro. A operação é semelhante à utilização do operador NOT numa declaração SQL.

Este filtro devolve todos os recursos do projeto, exceto Debia:

"security_center_properties.resource_type = \"google.cloud.resourcemanager.Project\" AND -resource_properties.projectId = \"Debia\""

O que se segue?

Saiba como aceder ao Security Command Center através de uma biblioteca de cliente.

Recursos da ficha através da API Security Command Center Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Níveis de concessão para funções de IAM

Antes de começar

Tamanho da página

Tipos de recursos

Apresente todos os recursos

gcloud

Python

Java

Ir

Node.js

Filtre recursos

gcloud

Python

Java

Ir

Node.js

Lista num determinado momento

gcloud

Python

Java

Ir

Node.js

Apresente recursos com alterações de estado

gcloud

Python

Java

Ir

Node.js

Exemplos de filtros

Encontre um recurso do projeto com um proprietário específico

Regras de firewall com portas HTTP abertas

Recursos que pertencem a projetos específicos

Encontrar imagens do Compute Engine cujos nomes contêm uma string específica

Recursos cujas propriedades contêm pares de chave-valor

Encontrar recursos de projetos criados a uma hora específica ou antes

Excluir recursos dos resultados

O que se segue?

Recursos da ficha através da API Security Command Center