ייצוא נתונים מ-Security Command Center

בדף הזה מתוארות שתי שיטות לייצוא נתונים מ-Security Command Center, כולל נכסים, ממצאים וסימוני אבטחה:

• ייצוא חד-פעמי של ממצאים, נכסים וסימני אבטחה קיימים
• ייצוא רציף שמייצא באופן אוטומטי ממצאים חדשים ל-Pub/Sub

אפשר לייצא נתונים מ-Security Command Center באמצעות מסוף Google Cloud , Google Cloud CLI או Security Command Center API.

אפשר גם להזרים ממצאים אל BigQuery. מידע נוסף זמין במאמרים הזרמת ממצאים ל-BigQuery לצורך ניתוח וייצוא ממצאים בכמות גדולה ל-BigQuery.

ייצוא חד-פעמי

ייצוא חד-פעמי מאפשר להעביר ולהוריד באופן ידני ממצאים ונכסים עדכניים והיסטוריים.

לממצאים, אפשר להשתמש במסוף כדי להעביר נתונים בפורמט JSON,‏ JSONL או CSV לקטגוריה של Cloud Storage. Google Cloud אפשר גם להוריד מספר מוגבל של ממצאים לתחנת העבודה בפורמט CSV.

לגבי נכסים, אפשר להוריד את הנתונים מה Google Cloud מסוף לתחנת העבודה המקומית כקובץ CSV.

הרשאות

כדי לבצע ייצוא חד-פעמי, צריך את הדברים הבאים:

• תפקיד ניהול הזהויות והרשאות הגישה (IAM) Security Center Admin Viewer ‏(roles/securitycenter.adminViewer), או כל תפקיד אחר עם ההרשאות הבאות:

  • ‫resourcemanager.organizations.get (חובה רק בהפעלות של Security Command Center ברמת הארגון)
  • resourcemanager.projects.get (נדרש להפעלות ברמת הפרויקט של Security Command Center)
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.get

• תפקיד Storage Admin, שמאפשר לכם לאחסן נתונים בקטגוריות של Cloud Storage.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

מיקום הנתונים וייצוא חד-פעמי

אי אפשר לכלול במסנן של ייצוא חד-פעמי ל-Cloud Storage נתונים שחלים עליהם אמצעי בקרה של מיקום הנתונים.

אם מציינים מסנן ממצאים עם מאפיין שמכיל נתונים מבוקרים, כשמנסים לייצא את הנתונים, Security Command Center מחזיר הודעת שגיאה.

ייצוא נתונים באמצעות Google Cloud המסוף

באמצעות מסוף Google Cloud הניהול, אפשר לבצע את הפעולות הבאות:

• ייצוא ממצאים לקטגוריה של Cloud Storage
• הורדת הממצאים לקובץ CSV
• ייצוא נכסים לקובץ CSV

ייצוא ממצאים לקטגוריה של Cloud Storage

בקטע הזה מוסבר איך לייצא נתונים מ-Security Command Center לקטגוריה של Cloud Storage. כשלוחצים על Export בדף Findings במסוף Google Cloud , ‏ Security Command Center מקבל באופן אוטומטי הרשאות או פרטי כניסה לכתיבה לקטגוריה של Cloud Storage.

הממצאים מיוצאים בפעולות נפרדות. אפשר לייצא קובץ JSON, קובץ JSONL או קובץ CSV לקטגוריה קיימת של Cloud Storage, או ליצור קטגוריה במהלך תהליך הייצוא. אפשר לייצא את כל הממצאים הנוכחיים, או לבחור את המסננים שרוצים להשתמש בהם לפני הייצוא.

אי אפשר לייצא ממצאים לקטגוריה של Cloud Storage שמוגדרת בה מדיניות שמירת נתונים.

1. במסוף Google Cloud , עוברים לדף Findings של Security Command Center.

   כניסה לדף Findings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקט ובוחרים את הפרויקט, התיקייה או הארגון.

3. כדי לייצא את הממצאים שרוצים, צריך להחיל מסננים על שאילתת הממצאים. מידע נוסף על יצירת מסננים זמין במאמר חיפוש של ממצאים ספציפיים והצגתם.

4. כשמסיימים ליצור מסנן, לוחצים על Export (ייצוא) ואז, בקטע One-time (חד-פעמי), לוחצים על Cloud storage (אחסון בענן).

5. בדף Export, מגדירים את הייצוא:

   1. בקטע ייצוא אל, מציינים את השדות הבאים:
      1. בשדה Project name (שם הפרויקט), מציינים את הפרויקט שמכיל את הקטגוריה של Cloud Storage.
      2. בשדה Export path (נתיב הייצוא), שמופיע רק אחרי שמציינים פרויקט, לוחצים על Browse (עיון).
      3. בחלונית Select object, בוחרים קטגוריה קיימת ב-Cloud Storage או יוצרים קטגוריית אחסון.
      4. אחרי שבוחרים או יוצרים קטגוריה, מזינים שם לקובץ הייצוא בקטע שם הקובץ.
      5. לוחצים על בחירה.
   2. בקטע קריטריונים ליצוא, מציינים את השדות הבאים:
      1. לוחצים על Group results by (קיבוץ התוצאות לפי) ובוחרים איך רוצים לקבץ את הנתונים המיוצאים.
      2. לוחצים על השדה Format ובוחרים באפשרות JSON,‏ JSONL או CSV.
      3. לוחצים בשדה Time range (טווח זמן) ובוחרים את התקופה שממנה רוצים לייצא את הממצאים.
   3. בקטע Findings query (שאילתת ממצאים), מוודאים שהשאילתה מופיעה כמו שציפיתם.
   4. מתחת לשאילתה, מוודאים שמספר הממצאים התואמים והסוג שלהם הם מה שציפיתם.
   5. לוחצים על ייצוא.

   אם בחרתם קובץ קיים בדלי, תוצג תיבת הדו-שיח אישור החלפה.

   • כדי להחליף את הקובץ הקיים, לוחצים על אישור.
   • כדי לשנות את הקובץ שאליו אתם כותבים, לוחצים על ביטול, ואז לוחצים על עיון בתיבה נתיב ייצוא ובוחרים או יוצרים קובץ אחר.

הנתונים שהגדרתם נשמרים בקטגוריה של Cloud Storage שציינתם.

הורדת נתונים שיוצאו מקטגוריה של Cloud Storage

כדי להוריד את נתוני ה-JSON,‏ JSONL או CSV שיוצאו:

1. נכנסים לדף Storage browser במסוף Google Cloud .

   כניסה לדף Storage browser

2. בוחרים את הפרויקט ולוחצים על מאגר הנתונים שאליו ייצאתם את הנתונים.

3. מסמנים את התיבה לצד קובץ הייצוא ולוחצים על הורדה.

4. בתיבת הדו-שיח שמירת קובץ, בוחרים את המיקום שבו רוצים לשמור את הקובץ ולוחצים על שמירה.

קובץ ה-JSON,‏ JSONL או CSV יורד למיקום שציינתם.

ייצוא הממצאים לקובץ CSV

כדי להגדיר את הייצוא, אפשר לסנן את הממצאים לפי קטגוריה, חומרה ומאפיינים אחרים. כל הממצאים שתואמים למסנן נכללים בקובץ ה-CSV.

אפשר להוריד עד 1,000 ממצאים ישירות לתחנת העבודה. אם מספר הממצאים עולה על 1,000, תופיע בקשה לחדד את השאילתה כדי לקבל פחות תוצאות. אפשרות אחרת היא לייצא את הנתונים לקטגוריה של Cloud Storage.

רשומות הממצאים מיוצאות עם קבוצת ברירת מחדל של עמודות, שיכול להיות שהיא לא תואמת למה שמופיע במסוף. כלומר, הסתרה או הצגה של עמודות לא משנה את העמודות שמיוצאות. באופן דומה, שינוי מספר השורות שמוצגות בכל דף – שאפשר לבצע בGoogle Cloud מסוף – לא משפיע על התוכן המיוצא.

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בוחרים את הפרויקט או הארגון. Google Cloud
3. אופציונלי: כדי לצמצם את הבחירה של הממצאים שרוצים לייצא, מחילים מסננים.
4. לוחצים על ייצוא > CSV. קובץ ה-CSV יורד לתחנת העבודה המקומית.

ייצוא נכסים לקובץ CSV

אפשר להוריד את נתוני הנכסים לקובץ CSV מהדף Assets במסוףGoogle Cloud .

כדי להוריד נתוני נכסים לקובץ CSV:

1. במסוף Google Cloud , עוברים לדף Assets של Security Command Center.

   עוברים לדף 'נכסים'.

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקט ובוחרים את הפרויקט, התיקייה או הארגון.

3. משתמשים בחלונית Quick filters או בשדה Filter בחלונית התוצאות של הנכס כדי לבחור את הנכסים שרוצים לייצא. מידע נוסף על סינון נכסים זמין במאמר סינון נכסים.

4. מעל הנכסים שמוצגים, לוחצים על ייצוא ואז על הורדת CSV. הנתונים של הנכסים בחלונית התוצאות יורדו לתחנת העבודה שלכם.

ייצוא נתונים באמצעות שיטות API

אתם יכולים לייצא נכסים, ממצאים ותגי אבטחה לקטגוריה של Cloud Storage או לתחנת העבודה המקומית שלכם באמצעות Security Command Center API.

ייצוא נתוני נכסים באמצעות שיטות API

כדי לייצא או לפרט נתוני נכסים, משתמשים ב-Cloud Asset Inventory API. מידע נוסף מופיע במאמר ייצוא היסטוריית הנכסים והמטא-נתונים שלהם.

הוצאנו משימוש את השיטות והשדות של הנכסים ב-Security Command Center API, והם יוסרו ב-20 ביוני 2024 או אחרי התאריך הזה.

עד להסרה, משתמשים שהפעילו את Security Command Center לפני 20 ביוני 2023 יכולים להשתמש במתודות של נכסים ב-Security Command Center API כדי להציג ולייצא נתוני נכסים, אבל המתודות האלה תומכות רק בנכסים ש-Security Command Center תומך בהם.

מידע על שימוש בשיטות API של נכסים שהוצאו משימוש זמין במאמר בנושא נכסי כרטיסי מוצר.

ייצוא נתוני ממצאים באמצעות Security Command Center API

כדי לייצא תוצאות באמצעות Security Command Center API, פועלים לפי ההוראות במדריך בנושא הצגת תוצאות אבטחה, ואז מורידים או מייצאים את תגובות ה-API.

כדי להציג רשימה של ממצאים עם סימני אבטחה מצורפים, אפשר להשתמש בשיטות ה-API הבאות:

• organizations.sources.locations.findings.list
• folders.sources.locations.findings.list
• project.sources.locations.findings.list

השיטות מחזירות ממצאים עם כל המאפיינים, האטריבוטים והסימונים המשויכים שלהם בפורמט JSON. אם האפליקציה שלכם דורשת שהנתונים יהיו בפורמט אחר, תצטרכו לכתוב קוד בהתאמה אישית כדי להמיר את פלט ה-JSON.

אם מציינים ערך בשדה groupBy, אפשר להשתמש בשיטות הבאות כדי להציג רשימה של ממצאים בארגון, בתיקייה או בפרויקט, מקובצים לפי המאפיינים שצוינו:

• organizations.sources.locations.findings.group
• folders.sources.locations.findings.group
• projects.sources.locations.findings.group

ייצוא ממצאים באמצעות ה-CLI של gcloud

כדי להשתמש בפקודות של Google Cloud CLI ב-Cloud Shell כדי לייצא ממצאים לקטגוריה של Cloud Storage, פועלים לפי השלבים הבאים:

1. פותחים את Cloud Shell.

   כניסה ל-Cloud Shell

2. כדי לכתוב את הממצאים לקובץ, מוסיפים מחרוזת פלט לפקודות של ה-CLI של gcloud להצגת ממצאים.

   לדוגמה, הפקודה הבאה שומרת את הממצאים שמופיעים ברשימה בקובץ טקסט בשם FINDINGS.txt.

   gcloud scc findings list PARENT_ID \
       --source=SOURCE_ID \
       --location=LOCATION \
       --filter="FILTER" > FINDINGS.txt

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫FILTER: ביטוי אופציונלי להגבלת רשימת הממצאים שמוצגים לאלה שתואמים לביטוי המסנן.

     • ‫LOCATION: המיקום של Security Command Center שאליו מייצאים את הממצאים. אם מופעלת תכונת שמירת הנתונים במיקום גיאוגרפי מסוים, צריך להשתמש בערכים eu,‏ sa או us. אחרת, צריך להשתמש בערך global.

   • ‫PARENT_ID: המזהה של אחד ממשאבי האב הבאים:

     • ארגון, שצוין כ-organizations/ORGANIZATION_ID או כ-ORGANIZATION_ID
     • תיקייה, שצוינה כ-folders/FOLDER_ID
     • פרויקט, שצוין כ-projects/PROJECT_ID

   • ‫SOURCE_ID: מזהה המקור של ספק הממצאים. במאמר איך מקבלים את מזהה מקור הנתונים מוסבר איך למצוא את מזהה מקור הנתונים.

   • ‫FINDINGS.txt: השם והסיומת של קובץ היעד שבו רוצים לאחסן את רשימת הממצאים.

3. מעתיקים את FINDINGS.txt לקטגוריה של Cloud Storage.

   gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

   מחליפים את BUCKET_NAME בשם הקטגוריה שלכם.

4. כדי לשמור את FINDINGS.txt בתחנת העבודה המקומית במקום בקטגוריה של Cloud Storage, מריצים את הפקודה הבאה:

   cloudshell download FINDINGS.txt

ייצוא רציף

ייצוא רציף מפשט את התהליך של ייצוא אוטומטי של ממצאים מ-Security Command Center אל Pub/Sub. כשמתווספים ממצאים חדשים, הם מיוצאים אוטומטית לנושאי Pub/Sub ייעודיים כמעט בזמן אמת, כך שתוכלו לשלב אותם בתהליך העבודה הקיים שלכם.

מידע נוסף על Pub/Sub זמין במאמר מה זה Pub/Sub.

ייצוא מ-Security Command Center אל BigQuery

כשמאפיין של ממצא מתעדכן ב-Security Command Center, המערכת מצלמת תמונת מצב של הממצא ומנסה לשלוח אותה ל-BigQuery.

• אם המאפיינים של הממצא בתמונת המצב תואמים למסנן הייצוא שהוגדר ב-BigQueryExport, תמונת המצב נשלחת ל-BigQuery, שם היא הופכת לרשומה הנוכחית של הממצא ב-BigQuery.

• אם המאפיינים של הממצא לא תואמים למסנן, התמונה לא נשלחת ל-BigQuery. אם קיים צילום מצב קודם של הממצא ב-BigQuery, צילום המצב הקודם הופך לרשומה הנוכחית של הממצא ב-BigQuery, גם אם צילום המצב לא משקף את העדכון של המאפיין שהתרחש ב-Security Command Center.

לדוגמה, אם המסנן לייצוא ל-BigQuery מכיל את המצב הפעיל, תופק ממצא חדש עם המצב הפעיל, ותמונת מצב של הממצא תיוצא בהצלחה ל-BigQuery.

בהמשך, הסטטוס של הממצא הזה ב-Security Command Center מתעדכן ל'לא פעיל'. העדכון מפעיל ייצוא של תמונת מצב חדשה של הממצא ל-BigQuery, אבל מכיוון שערך המצב כבר לא תואם למסנן, המסנן חוסם את הייצוא של תמונת המצב של הממצא.

כתוצאה מכך, מצב הממצא בתמונת המצב ב-BigQuery הוא עדיין פעיל, אבל מצב אותו ממצא ב-Security Command Center הוא לא פעיל.

בנוסף, יהיה חוסר התאמה בין מספר הממצאים הפעילים ב-Security Command Center לבין מספר הממצאים הפעילים ב-BigQuery. המספר הזה כמעט תמיד גדול יותר ב-BigQuery מאשר ב-Security Command Center.

לדוגמה, אם מסנן הייצוא מציין את המצב הפעיל ונוצרות 100 תוצאות עם המצב הפעיל, כל 100 התוצאות מיוצאות ל-BigQuery. לאחר מכן, ב-Security Command Center,‏ 50 מהממצאים האלה מתעדכנים למצב לא פעיל, והמסנן חוסם את הייצוא שהופעל על ידי העדכונים כי ערך המצב כבר לא תואם למסנן. לכן, ב-BigQuery, כל 100 הממצאים עדיין פעילים, בעוד שב-Security Command Center נשארו רק 50 ממצאים פעילים.

ייצוא רציף לעומת חיפוש התראות

באמצעות Security Command Center API, אפשר להגדיר התראות על ממצאים ב-Pub/Sub. כדי להשתמש ב-API, צריך להשתמש ב-Google Cloud CLI כדי להגדיר נושאי Pub/Sub, ליצור מסנני ממצאים וליצור קובצי NotificationConfigs שמכילים הגדרות תצורה לשליחת התראות. ייצוא רציף מציע את אותה פונקציונליות, אבל יצירת הייצוא פשוטה יותר כי היא מתבצעת באמצעות מסוף Google Cloud .

הרשאות

כדי ליצור ולנהל ייצוא רציף, צריך להיות לכם אחד מהתפקידים הבאים.

• roles/securitycenter.adminEditor
• roles/securitycenter.adminViewer

אפשר גם להשתמש בכל תפקיד שיש לו את ההרשאות הבאות:

• כדי להציג או לפרסם נושאים ב-Pub/Sub:

  • pubsub.topics.publish
  • pubsub.topics.list

• כדי להציג את הדף 'ייצוא רציף':

  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list

• כדי לנהל ייצוא רציף:

  • securitycenter.notificationconfig.create
  • securitycenter.notificationconfig.update
  • securitycenter.notificationconfig.delete

מידע נוסף על התפקידים ב-Security Command Center זמין במאמר בקרת גישה.

מיקום הנתונים וייצוא רציף

אם שמירת נתונים באזור מסוים מופעלת ב-Security Command Center, ההגדרות שמגדירות ייצוא רציף ל-Pub/Sub – משאבים – כפופות לשליטה בשמירת נתונים באזור מסוים ומאוחסנות במיקום של Security Command Center שאתם בוחרים.notificationConfig

כדי לייצא ממצאים במיקום של Security Command Center אל Pub/Sub, צריך להגדיר את הייצוא הרציף באותו מיקום של Security Command Center שבו נמצאים הממצאים.

המסננים שמשמשים לייצוא רציף יכולים להכיל נתונים שחלים עליהם אמצעי בקרה על מיקום הנתונים, ולכן חשוב לציין את המיקום הנכון לפני שיוצרים אותם. ב-Security Command Center לא מוגבל המיקום שבו אפשר ליצור ייצוא.

ייצוא רציף נשמר רק במיקום שבו הוא נוצר, ואי אפשר לראות או לערוך אותו במיקומים אחרים.

אחרי שיוצרים ייצוא מתמשך, אי אפשר לשנות את המיקום שלו. כדי לשנות את המיקום, צריך למחוק את הייצוא הרציף וליצור אותו מחדש במיקום החדש.

הנחיות לשימוש ב-Security Command Center כשמפעילים את התכונה 'שמירת נתונים באזור מסוים' מופיעות במאמר נקודות קצה אזוריות של Security Command Center.

תאימות למדיניות אחסון ההודעות ב-Pub/Sub

ב-Pub/Sub אפשר להגדיר מדיניות לאחסון הודעות. המדיניות הזו מבטיחה ש-Pub/Sub יאחסן ויעבד הודעות רק בסט של Google Cloud אזורים שאתם מציינים, ללא קשר למקום שממנו מגיעות בקשות הפרסום או ההרשמה.

עם זאת, ייצוא רציף לא תואם לאפשרות enforceInTransit של מדיניות אחסון הודעות. כשמגדירים ייצוא רציף, לא בוחרים נושא Pub/Sub שיש לו מדיניות אחסון הודעות עם enforceInTransitמופעלת. יכול להיות שנושא כזה לא יקבל התראות על ממצאים מ-Security Command Center.

מידע נוסף זמין במאמר סקירה כללית על מדיניות אחסון הודעות.

יצירת ייצוא רציף ל-Pub/Sub

ייצוא רציף מאפשר לכם להגדיר ייצוא אוטומטי של כל הממצאים עתידיים ל-Pub/Sub, או ליצור מסננים לייצוא של ממצאים עתידיים שעומדים בקריטריונים ספציפיים. אפשר לסנן את הממצאים לפי קטגוריה, מקור, סוג נכס, סימני אבטחה, חומרה, מצב ומשתנים אחרים.

כשיוצרים ייצוא רציף חדש ל-Pub/Sub, אפשר לנהל אותו באמצעות מסוף Google Cloud , ה-CLI של gcloud, Security Command Center API v2 או ספריות הלקוח של Security Command Center v2.

בארגון שלכם אפשר ליצור עד 500 ייצואים רציפים.

כדי ליצור ייצוא ל-Pub/Sub:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקט ובוחרים את הפרויקט, התיקייה או הארגון.

3. בשדה Findings query results (תוצאות שאילתת הממצאים), בוחרים את הממצאים לייצוא באחת מהשיטות הבאות:

   • לוחצים על הוספת מסנן כדי לבחור את המאפיינים של הממצאים שרוצים לייצא.

     בתפריט הוספת מסנן אפשר לבחור מאפיינים וערכים נתמכים של ממצאים.

     1. בתפריט Select filter, בוחרים מאפיין של ממצא או מקלידים את השם שלו בתיבה Search finding attributes. תוצג רשימה של מאפייני המשנה הזמינים.
     2. בוחרים מאפיין משנה. מוצג שדה בחירה שבו אפשר ליצור את הצהרת השאילתה באמצעות מאפיין המשנה שבחרתם, אופרטור שאילתה וערך אחד או יותר למאפיין המשנה.

     3. בוחרים את האופרטור וערך אחד או יותר של מאפיין המשנה בחלונית. מידע נוסף על אופרטורים של שאילתות ועל הפונקציות שבהן הם משתמשים זמין במאמר בנושא אופרטורים של שאילתות בתפריט הוספת מסננים.

        אם רוצים להתחיל מחדש, לוחצים על איפוס.

     4. לוחצים על אישור.

        התפריט נסגר והשאילתה מתעדכנת.

     5. חוזרים על הפעולות עד ששאילתת הממצאים מכילה את כל המאפיינים הרצויים.

   • קידוד ידני של שאילתת הממצאים בעורך השאילתות. אפשר להשתמש באופרטורים של SQL סטנדרטי AND,‏ OR, equals (שווה ל-=), has (מכיל :) ו-not (לא -) כדי לציין את מאפייני הממצאים ואת הערכים של הממצאים שרוצים לייצא.

     כשמקלידים את השאילתה, מופיע תפריט השלמה אוטומטית שבו אפשר לבחור שמות של מסננים ופונקציות.

     לדוגמה, השאילתה הבאה משתיקה ממצאים ברמת חומרה נמוכה וברמת חומרה בינונית anomalous IAM grant ב-prod-project, ומוציאה מכללל סוגי משאבים שבהם השם מכיל את מחרוזת המשנה compute:

     severity="LOW" OR severity="MEDIUM" AND category="Persistence:
     IAM Anomalous Grant" AND resource.project_display_name="prod-project"
     AND -resource.type:"compute"
     

     דוגמאות נוספות לסינון ממצאים מופיעות במאמר בנושא סינון התראות.

4. בודקים את השאילתה שנוצרה כדי לוודא שהיא מדויקת. כדי לבצע שינויים, מוחקים או מוסיפים מאפיינים וערכי מסננים לפי הצורך.

5. לוחצים על רענון הממצאים של ההתאמות. בטבלה מוצגות תוצאות שתואמות לשאילתה. מידע נוסף על שליחת שאילתות לגבי ממצאים זמין במאמר בנושא עריכת שאילתת ממצאים במסוף Google Cloud .

6. לוחצים על ייצוא, ואז בקטע רציף לוחצים על Pub/Sub.

7. בודקים את המסנן כדי לוודא שהוא נכון, ואם צריך, חוזרים לדף ממצאים כדי לשנות אותו.

8. בקטע שם הייצוא הרציף, מזינים שם לייצוא.

9. בקטע תיאור של ייצוא רציף, כותבים תיאור לייצוא.

10. בקטע ייצוא אל, בוחרים פרויקט לייצוא. אי אפשר ליצור פרויקט בדף הזה. הוראות ליצירת פרויקט חדש זמינות במאמר יצירת פרויקט.

11. בקטע Pub/Sub topic, בוחרים את הנושא שאליו רוצים לייצא את הממצאים. כדי ליצור נושא:

    1. בוחרים באפשרות יצירת נושא.

    2. מזינים מזהה נושא, ואז בוחרים באפשרויות אחרות לפי הצורך:

       1. מידע נוסף על יצירה וניהול של סכימות
       2. מידע על שימוש במפתחות הצפנה בניהול הלקוח (CMEK) עם Pub/Sub

    3. לוחצים על יצירת נושא.

12. לוחצים על Save. יוצג אישור ותועברו חזרה לדף הממצאים.

13. פועלים לפי ההוראות ליצירת מינוי לנושא Pub/Sub.

הגדרת הייצוא ל-Pub/Sub הושלמה. כדי לפרסם התראות, נוצר עבורכם חשבון שירות בצורה של service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. חשבון השירות הזה מקבל באופן אוטומטי את התפקיד roles/securitycenter.notificationServiceAgent ברמת הארגון. התפקיד הזה בחשבון השירות נדרש כדי שההתראות יפעלו.

בדיקה של ייצוא רציף

כדי לוודא שהייצוא פועל, מבצעים את השלבים הבאים כדי להעביר את הממצאים בין מצב פעיל למצב לא פעיל.

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. לוחצים על עריכת השאילתה. עורך השאילתות ייפתח.

3. עורכים את השאילתה כך שיוצגו גם ממצאים פעילים וגם ממצאים לא פעילים. השאילתה הבאה מחריגה את הנכס state כדי להציג את כל הממצאים למעט אלה שהושתקו:

   NOT mute="MUTED"

   1. אם צריך, משתמשים בכלי לעריכת שאילתות כדי להזין מחדש משתני מסנן שתואמים למסנן הייצוא שבודקים.
   2. בוחרים ממצא ולוחצים על שינוי מצב הפעילות > לא פעיל.
   3. בוחרים שוב את הממצא שסימנתם כלא פעיל, לוחצים על שינוי מצב פעיל > פעיל. התראה נשלחת לגבי הממצא הפעיל החדש.
   4. נכנסים לדף Pub/Sub במסוף Google Cloud .

   מעבר אל Pub/Sub

   1. ברשימת הנושאים, לוחצים על שם הנושא.
   2. עוברים לכרטיסייה הודעות ובוחרים את המינוי מהרשימה כדי לראות את ההתראה על הממצא.
   3. אופציונלי: לוחצים על שליפה כדי לרענן את ההודעות.

ניהול של ייצוא רציף

כדי להציג, לערוך או למחוק ייצואים:

1. נכנסים לדף Settings של Security Command Center במסוף Google Cloud .

   כניסה לדף Settings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקט ובוחרים את הפרויקט, התיקייה או הארגון.

3. בוחרים באפשרות ייצוא רציף. מוצגת רשימה של ייצוא רציף של הפרויקט, התיקייה או הארגון.

במסוף Google Cloud , יכול להיות שחלק מהייצוא הרציף יסומן בתווית Legacy (גרסה קודמת), שמציינת שהם נוצרו באמצעות Security Command Center API גרסה 1. אפשר לנהל את הייצוא המתמשך הזה באמצעות מסוף Google Cloud , ה-CLI של gcloud, Security Command Center API v1 או ספריות הלקוח v1 של Security Command Center.

כדי לנהל את הייצוא המתמשך הזה באמצעות ה-CLI של gcloud, אסור לציין מיקום כשמריצים את הפקודה של ה-CLI של gcloud.

בדף ייצוא מתמשך בהגדרות, אפשר ליצור, להציג, לערוך ולמחוק ייצוא מתמשך.

הצגת ממצאים קשורים

כדי לראות ממצאים שתואמים לפילטר ייצוא:

בדף ייצוא רציף, ליד שם הייצוא, לוחצים על אפשרויות נוספות more_vert ואז על הצגת מסננים קשורים.

הדף Findings נטען עם הממצאים שתואמים למסנן הייצוא.

עריכה של ייצוא רציף

1. בדף ייצוא רציף, לוחצים על השם של פעולת הייצוא שרוצים להציג או לשנות, או לוחצים על עוד more_vert.
2. לוחצים על עריכה.
3. מזינים תיאור חדש, משנים את הפרויקט שבו השמירה מתבצעת או מזינים נושא חדש ב-Pub/Sub.
4. כשמסיימים, לוחצים על Save.

מחיקה של ייצוא רציף

1. בדף ייצוא רציף, לוחצים על שם הייצוא שרוצים למחוק.
2. לוחצים על delete מחיקה.
3. בתיבת הדו-שיח, לוחצים על מחיקה. הייצוא נמחק.

המאמרים הבאים

מידע נוסף על איתור התראות