ייצוא נתונים מ-Security Command Center

‫

בדף הזה מתוארות שתי שיטות לייצוא נתונים מ-Security Command Center, כולל נכסים, ממצאים ותגי אבטחה:

• ייצוא חד-פעמי של ממצאים, נכסים וסימני אבטחה קיימים
• ייצוא רציף שמייצא באופן אוטומטי ממצאים חדשים ל-Pub/Sub

אפשר לייצא נתונים מ-Security Command Center באמצעות מסוף Google Cloud , Google Cloud CLI או Security Command Center API.

אפשר גם להזרים ממצאים אל BigQuery. מידע נוסף זמין במאמרים הזרמת ממצאים ל-BigQuery לניתוח וייצוא ממצאים בכמות גדולה ל-BigQuery.

ייצוא חד-פעמי

ייצוא חד-פעמי מאפשר להעביר ולהוריד באופן ידני ממצאים ונכסים עדכניים והיסטוריים.

לגבי ממצאים, אפשר להשתמש במסוף Google Cloud כדי להעביר נתונים בפורמט JSON,‏ JSONL או CSV לקטגוריה של Cloud Storage. אפשר גם להוריד מספר מוגבל של ממצאים לתחנת העבודה בפורמט CSV.

לגבי נכסים, אפשר להוריד את הנתונים מה Google Cloud מסוף לתחנת העבודה המקומית כקובץ CSV.

הרשאות

כדי לבצע ייצוא חד-פעמי, צריך:

• תפקיד ניהול הזהויות והרשאות הגישה (IAM) Security Center Admin Viewer (roles/securitycenter.adminViewer), או כל תפקיד אחר עם ההרשאות הבאות:

  • ‫resourcemanager.organizations.get (חובה רק בהפעלות של Security Command Center ברמת הארגון)
  • resourcemanager.projects.get (נדרש להפעלות ברמת הפרויקט של Security Command Center)
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.get

• תפקיד אדמין אחסון, שמאפשר לכם לאחסן נתונים בקטגוריות של Cloud Storage.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

המיקום של נתונים וייצוא חד-פעמי

אי אפשר לכלול במסנן של ייצוא חד-פעמי ל-Cloud Storage נתונים שחלים עליהם אמצעי בקרה של מיקום הנתונים.

אם מציינים מסנן של ממצאים עם מאפיין שמכיל נתונים מבוקרים, כשמנסים לייצא את הנתונים מ-Security Command Center, מוצגת הודעת שגיאה.

ייצוא נתונים באמצעות Google Cloud המסוף

באמצעות מסוף Google Cloud הניהול, אפשר:

• ייצוא ממצאים לקטגוריה של Cloud Storage
• הורדת הממצאים לקובץ CSV
• ייצוא נכסים לקובץ CSV

ייצוא ממצאים לקטגוריה של Cloud Storage

בקטע הזה מוסבר איך לייצא נתונים מ-Security Command Center לקטגוריה של Cloud Storage. כשלוחצים על Export בדף Findings במסוף Google Cloud , ‏ Security Command Center מקבל באופן אוטומטי הרשאות או פרטי כניסה לכתיבה לקטגוריית Cloud Storage.

הממצאים מיוצאים בפעולות נפרדות. אפשר לייצא קובץ JSON, קובץ JSONL או קובץ CSV לקטגוריה קיימת של Cloud Storage, או ליצור קטגוריה במהלך תהליך הייצוא. אפשר לייצא את כל הממצאים הנוכחיים, או לבחור את המסננים שרוצים להשתמש בהם לפני הייצוא.

אי אפשר לייצא ממצאים לקטגוריה של Cloud Storage שמוגדרת בה מדיניות שמירת נתונים.

1. במסוף Google Cloud , עוברים לדף Security Command Center Findings.

   כניסה לדף Findings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקטים ובוחרים את הפרויקט, התיקייה או הארגון.

3. בוחרים את הממצאים שרוצים לייצא על ידי החלת מסננים על שאילתת הממצאים. מידע נוסף על יצירת מסננים זמין במאמר חיפוש של ממצאים ספציפיים והצגתם.

4. כשמסיימים ליצור מסנן, לוחצים על Export (ייצוא) ואז, בקטע One-time (חד-פעמי), לוחצים על Cloud storage (אחסון בענן).

5. בדף Export, מגדירים את הייצוא:

   1. בקטע ייצוא אל, מציינים את השדות הבאים:
      1. בשדה Project name (שם הפרויקט), מציינים את הפרויקט שמכיל את הקטגוריה של Cloud Storage.
      2. בשדה Export path (נתיב הייצוא), שמופיע רק אחרי שמציינים פרויקט, לוחצים על Browse (עיון).
      3. בחלונית בחירת אובייקט, בוחרים קטגוריה קיימת של Cloud Storage או יוצרים קטגוריית אחסון.
      4. אחרי שבוחרים או יוצרים קטגוריה, בשדה שם הקובץ מזינים שם לקובץ הייצוא.
      5. לוחצים על בחירה.
   2. בקטע קריטריונים לייצוא, מציינים את השדות הבאים:
      1. לוחצים על קיבוץ התוצאות לפי ובוחרים איך רוצים לקבץ את הנתונים המיוצאים.
      2. לוחצים על השדה Format ובוחרים באפשרות JSON,‏ JSONL או CSV.
      3. לוחצים בשדה Time range (טווח זמן) ובוחרים את התקופה שממנה רוצים לייצא את הממצאים.
   3. בקטע Findings query (שאילתת ממצאים), מוודאים שהשאילתה מופיעה כמו שציפיתם.
   4. מתחת לשאילתה, מוודאים שמספר הממצאים התואמים והסוג שלהם הם מה שציפיתם.
   5. לוחצים על ייצוא.

   אם בחרתם קובץ קיים בדלי, תוצג תיבת הדו-שיח אישור החלפה.

   • כדי להחליף את הקובץ הקיים, לוחצים על אישור.
   • כדי לשנות את הקובץ שאליו אתם כותבים, לוחצים על ביטול, ואז לוחצים על עיון בתיבה נתיב הייצוא ובוחרים או יוצרים קובץ אחר.

הנתונים שהגדרתם נשמרים בקטגוריה של Cloud Storage שציינתם.

הורדת נתונים שיוצאו מקטגוריה של Cloud Storage

כדי להוריד את נתוני ה-JSON,‏ JSONL או CSV שיוצאו:

1. נכנסים לדף Storage browser במסוף Google Cloud .

   כניסה לדף Storage browser

2. בוחרים את הפרויקט ואז לוחצים על מאגר הנתונים שאליו ייצאתם את הנתונים.

3. מסמנים את התיבה לצד קובץ הייצוא ולוחצים על הורדה.

4. בתיבת הדו-שיח שמירת הקובץ, בוחרים את המיקום שבו רוצים לשמור את הקובץ ולוחצים על שמירה.

קובץ ה-JSON,‏ JSONL או CSV יורד למיקום שציינתם.

ייצוא הממצאים לקובץ CSV

כדי להגדיר את הייצוא, אפשר לסנן את הממצאים לפי קטגוריה, חומרה ומאפיינים אחרים. כל הממצאים שתואמים למסנן נכללים בקובץ ה-CSV.

אפשר להוריד עד 1,000 ממצאים ישירות לתחנת העבודה. אם מספר הממצאים עולה על 1,000, תתבקשו לחדד את השאילתה כדי לקבל פחות תוצאות. אפשרות אחרת היא לייצא את הנתונים לקטגוריה של Cloud Storage.

רשומות הממצאים מיוצאות עם קבוצת ברירת מחדל של עמודות, שיכול להיות שהיא לא תואמת למה שאתם רואים במסוף. כלומר, הסתרה או הצגה של עמודות לא משנה את העמודות שמיוצאות. באופן דומה, שינוי מספר השורות שמוצגות בכל דף – שאפשר לבצע בGoogle Cloud מסוף – לא משפיע על התוכן המיוצא.

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בוחרים את הפרויקט או הארגון. Google Cloud
3. אופציונלי: כדי לצמצם את הבחירה של הממצאים שרוצים לייצא, מחילים מסננים.
4. לוחצים על ייצוא > CSV. קובץ ה-CSV יורד לתחנת העבודה המקומית.

ייצוא נכסים לקובץ CSV

אפשר להוריד את נתוני הנכסים לקובץ CSV מהדף Assets במסוףGoogle Cloud .

כדי להוריד נתוני נכסים לקובץ CSV:

1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

   כניסה לדף 'נכסים'

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקטים ובוחרים את הפרויקט, התיקייה או הארגון.

3. משתמשים בחלונית Quick filters או בשדה Filter בחלונית התוצאות של הנכס כדי לבחור את הנכסים שרוצים לייצא. מידע נוסף על סינון נכסים זמין במאמר סינון נכסים.

4. מעל הנכסים שמוצגים, לוחצים על ייצוא ואז על הורדת CSV. הנתונים של הנכסים בחלונית התוצאות יורדו לתחנת העבודה שלכם.

ייצוא נתונים באמצעות שיטות API

אתם יכולים לייצא נכסים, ממצאים ותגי אבטחה לקטגוריה של Cloud Storage או לתחנת העבודה המקומית שלכם באמצעות Security Command Center API.

ייצוא נתוני נכסים באמצעות שיטות API

כדי לייצא או לפרט נתוני נכסים, משתמשים ב-API של מאגר משאבי ענן. מידע נוסף מופיע במאמר ייצוא של היסטוריית נכסים ומטא-נתונים.

הוצאנו משימוש את השיטות והשדות של הנכסים ב-Security Command Center API, והם יוסרו ב-20 ביוני 2024 או אחרי התאריך הזה.

עד להסרה, משתמשים שהפעילו את Security Command Center לפני 20 ביוני 2023 יכולים להשתמש במתודות של נכסים ב-Security Command Center API כדי להציג ולייצא נתוני נכסים, אבל המתודות האלה תומכות רק בנכסים ש-Security Command Center תומך בהם.

מידע על שימוש בשיטות API של נכסים שהוצאו משימוש זמין במאמר בנושא נכסי כרטיסי מוצר.

ייצוא נתוני ממצאים באמצעות Security Command Center API

כדי לייצא תוצאות באמצעות Security Command Center API, פועלים לפי המדריך בנושא הצגת תוצאות אבטחה, ואז מורידים או מייצאים את התגובות של ה-API.

כדי להציג רשימה של ממצאים עם סימני אבטחה מצורפים, אפשר להשתמש בשיטות ה-API הבאות:

• organizations.sources.locations.findings.list
• folders.sources.locations.findings.list
• project.sources.locations.findings.list

השיטות מחזירות ממצאים עם כל המאפיינים, האטריבוטים והסימונים המשויכים שלהם בפורמט JSON. אם האפליקציה שלכם דורשת שהנתונים יהיו בפורמט אחר, תצטרכו לכתוב קוד בהתאמה אישית כדי להמיר את פלט ה-JSON.

אם מציינים ערך בשדה groupBy, אפשר להשתמש בשיטות הבאות כדי להציג את הממצאים בארגון, בתיקייה או בפרויקט, מקובצים לפי המאפיינים שצוינו:

• organizations.sources.locations.findings.group
• folders.sources.locations.findings.group
• projects.sources.locations.findings.group

ייצוא ממצאים באמצעות ה-CLI של gcloud

כדי להשתמש בפקודות Google Cloud CLI ב-Cloud Shell כדי לייצא ממצאים לקטגוריה של Cloud Storage, פועלים לפי השלבים הבאים:

1. פותחים את Cloud Shell.

   כניסה ל-Cloud Shell

2. כדי לכתוב את הממצאים לקובץ, מוסיפים מחרוזת פלט לפקודות של ה-CLI של gcloud לרישום ממצאים.

   לדוגמה, הפקודה הבאה שומרת את הממצאים שמופיעים ברשימה בקובץ טקסט בשם FINDINGS.txt.

   gcloud scc findings list PARENT_ID \
       --source=SOURCE_ID \
       --location=LOCATION \
       --filter="FILTER" > FINDINGS.txt

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫FILTER: ביטוי אופציונלי להגבלת רשימת הממצאים שמוצגים לאלה שתואמים לביטוי המסנן.

     • ‫LOCATION: המיקום של Security Command Center שאליו מייצאים את הממצאים. אם מופעלת תכונת שמירת הנתונים במיקום גיאוגרפי, צריך להשתמש בערכים eu,‏ sa או us. אחרת, צריך להשתמש בערך global.

   • ‫PARENT_ID: המזהה של אחד ממשאבי האב הבאים:

     • ארגון, שצוין כ-organizations/ORGANIZATION_ID או כ-ORGANIZATION_ID
     • תיקייה, שצוינה כ-folders/FOLDER_ID
     • פרויקט, מוגדר כ-projects/PROJECT_ID

   • ‫SOURCE_ID: מזהה המקור של ספק הממצאים. במאמר איך מקבלים את מזהה מקור הנתונים מוסבר איך למצוא את מזהה מקור הנתונים.

   • ‫FINDINGS.txt: השם והסיומת של קובץ היעד שבו רוצים לאחסן את רשימת הממצאים.

3. מעתיקים את FINDINGS.txt לקטגוריה של Cloud Storage.

   gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

   מחליפים את BUCKET_NAME בשם הקטגוריה שלכם.

4. כדי לשמור את FINDINGS.txt בתחנת העבודה המקומית במקום בקטגוריה של Cloud Storage, מריצים את הפקודה הבאה:

   cloudshell download FINDINGS.txt

ייצוא רציף

ייצוא רציף מפשט את התהליך של ייצוא אוטומטי של ממצאים מ-Security Command Center אל Pub/Sub. כשנכתבים ממצאים חדשים, הם מיוצאים אוטומטית לנושאי Pub/Sub ייעודיים כמעט בזמן אמת, כך שתוכלו לשלב אותם בתהליך העבודה הקיים שלכם.

מידע נוסף על Pub/Sub זמין במאמר מה זה Pub/Sub.

ייצוא מ-Security Command Center אל BigQuery

כשמאפיין של ממצא מתעדכן ב-Security Command Center, המערכת מצלמת תמונה של הממצא ומנסה לשלוח אותה ל-BigQuery.

• אם המאפיינים של הממצא בתמונת המצב תואמים למסנן הייצוא שהוגדר ב-BigQueryExport, תמונת המצב נשלחת ל-BigQuery, שם היא הופכת לרשומה הנוכחית של הממצא ב-BigQuery.

• אם המאפיינים של הממצא לא תואמים למסנן, התמונה לא נשלחת ל-BigQuery. אם קיים ב-BigQuery צילום מצב קודם של הממצא, צילום המצב הקודם הופך לרשומה הנוכחית של הממצא ב-BigQuery, גם אם צילום המצב לא משקף את העדכון של המאפיין שהתרחש ב-Security Command Center.

לדוגמה, אם המסנן לייצוא ל-BigQuery מכיל את המצב הפעיל, ממצא חדש נוצר עם המצב הפעיל, ותמונת מצב של הממצא מיוצאת בהצלחה ל-BigQuery.

בהמשך, הסטטוס של הממצא הזה ב-Security Command Center מתעדכן ל'לא פעיל'. העדכון מפעיל ייצוא של תמונת מצב חדשה של הממצא ל-BigQuery, אבל מכיוון שערך המצב כבר לא תואם למסנן, המסנן חוסם את הייצוא של תמונת המצב של הממצא.

לכן, תמונת המצב של הממצא ב-BigQuery עדיין במצב פעיל, אבל אותו ממצא ב-Security Command Center נמצא במצב לא פעיל.

בנוסף, יהיה חוסר התאמה בין מספר הממצאים הפעילים ב-Security Command Center לבין מספר הממצאים הפעילים ב-BigQuery. המספר ב-BigQuery כמעט תמיד גדול יותר מהמספר ב-Security Command Center.

לדוגמה, אם מסנן הייצוא מציין את הסטטוס 'פעיל' ונוצרות 100 תוצאות עם הסטטוס הזה, כל 100 התוצאות מיוצאות ל-BigQuery. לאחר מכן, ב-Security Command Center,‏ 50 מהממצאים האלה מתעדכנים לסטטוס לא פעיל, והמסנן חוסם את הייצוא שהופעל על ידי העדכונים כי ערך הסטטוס כבר לא תואם למסנן. לכן, ב-BigQuery, כל 100 הממצאים עדיין פעילים, אבל ב-Security Command Center נשארו רק 50 ממצאים פעילים.

ייצוא רציף לעומת חיפוש התראות

באמצעות Security Command Center API, אפשר להגדיר התראות על ממצאים ב-Pub/Sub. כדי להשתמש ב-API, צריך להשתמש ב-Google Cloud CLI כדי להגדיר נושאי Pub/Sub, ליצור מסנני ממצאים וליצור קובצי NotificationConfigs שמכילים הגדרות תצורה לשליחת התראות. ייצוא רציף מציע את אותה פונקציונליות, אבל אפשר ליצור ייצואים בקלות רבה יותר באמצעות מסוף Google Cloud .

הרשאות

כדי ליצור ולנהל ייצוא רציף, צריך להיות לכם אחד מהתפקידים הבאים.

• roles/securitycenter.adminEditor
• roles/securitycenter.adminViewer

אפשר גם להשתמש בכל תפקיד שיש לו את ההרשאות הבאות:

• כדי להציג או לפרסם נושאי Pub/Sub:

  • pubsub.topics.publish
  • pubsub.topics.list

• כדי להציג את הדף 'ייצוא רציף':

  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list

• כדי לנהל ייצוא רציף:

  • securitycenter.notificationconfig.create
  • securitycenter.notificationconfig.update
  • securitycenter.notificationconfig.delete

מידע נוסף על התפקידים ב-Security Command Center זמין במאמר בקרת גישה.

המיקום של נתונים וייצוא רציף

אם הגבלת מיקום הנתונים מופעלת ב-Security Command Center, ההגדרות שמגדירות ייצוא רציף ל-Pub/Sub – משאבים – כפופות לבקרה של הגבלת מיקום הנתונים ומאוחסנות במיקום של Security Command Center שאתם בוחרים.notificationConfig

כדי לייצא ממצאים במיקום של Security Command Center אל Pub/Sub, צריך להגדיר את הייצוא הרציף באותו מיקום של Security Command Center שבו נמצאים הממצאים.

המסננים שמשמשים לייצוא רציף יכולים להכיל נתונים שחלים עליהם אמצעי בקרה על מיקום הנתונים, ולכן חשוב לציין את המיקום הנכון לפני שיוצרים אותם. ב-Security Command Center אין הגבלה על המיקום שבו אפשר ליצור ייצוא.

ייצוא רציף נשמר רק במיקום שבו הוא נוצר, ואי אפשר לראות או לערוך אותו במיקומים אחרים.

אחרי שיוצרים ייצוא רציף, אי אפשר לשנות את המיקום שלו. כדי לשנות את המיקום, צריך למחוק את הייצוא הרציף וליצור אותו מחדש במיקום החדש.

הנחיות לשימוש ב-Security Command Center כשמפעילים את התכונה 'שמירת נתונים באזור מסוים' מופיעות במאמר נקודות קצה אזוריות של Security Command Center.

תאימות למדיניות אחסון הודעות ב-Pub/Sub

ב-Pub/Sub אפשר להגדיר מדיניות לאחסון הודעות. המדיניות הזו מבטיחה ש-Pub/Sub יאחסן ויעבד הודעות רק בסט של Google Cloud אזורים שאתם מציינים, ללא קשר למקום שממנו מגיעות בקשות הפרסום או ההרשמה.

עם זאת, ייצוא רציף לא תואם לאפשרות enforceInTransit של מדיניות אחסון הודעות. כשמגדירים ייצוא רציף, לא בוחרים נושא Pub/Sub שיש לו מדיניות אחסון הודעות עם enforceInTransit מופעלת. יכול להיות שנושא כזה לא יקבל התראות על ממצאים מ-Security Command Center.

מידע נוסף זמין במאמר סקירה כללית על מדיניות אחסון הודעות.

יצירת ייצוא רציף ל-Pub/Sub

ייצוא רציף מאפשר לכם להגדיר ייצוא אוטומטי של כל הממצאים העתידיים ל-Pub/Sub, או ליצור מסננים לייצוא של ממצאים עתידיים שעומדים בקריטריונים ספציפיים. אפשר לסנן את הממצאים לפי קטגוריה, מקור, סוג נכס, סימני אבטחה, חומרה, מצב ומשתנים אחרים.

כשיוצרים ייצוא רציף חדש ל-Pub/Sub, אפשר לנהל אותו באמצעות מסוף Google Cloud , ה-CLI של gcloud, Security Command Center API v2 או ספריות הלקוח של Security Command Center v2.

בארגון שלכם אפשר ליצור עד 500 ייצואים רציפים.

כדי ליצור ייצוא ל-Pub/Sub:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקטים ובוחרים את הפרויקט, התיקייה או הארגון.

3. בשדה Findings query results (תוצאות שאילתת הממצאים), בוחרים את הממצאים לייצוא באחת מהשיטות הבאות:

   • לוחצים על הוספת מסנן כדי לבחור את המאפיינים של הממצאים שרוצים לייצא.

     בתיבת הדו-שיח בחירת מסנן אפשר לבחור מאפיינים וערכים נתמכים של ממצאים.

     1. בוחרים מאפיין של ממצא או מקלידים את השם שלו בתיבה Search finding attributes. תוצג רשימה של מאפייני המשנה הזמינים.
     2. בוחרים מאפיין משנה. מוצג שדה בחירה שבו אפשר ליצור את הצהרת השאילתה באמצעות מאפיין המשנה שבחרתם, אופרטור שאילתה וערך אחד או יותר למאפיין המשנה.
     3. בוחרים את האופרטור וערך אחד או יותר של מאפיין המשנה בחלונית. מידע נוסף על אופרטורים של שאילתות ועל הפונקציות שבהן הם משתמשים זמין במאמר בנושא אופרטורים של שאילתות בתפריט 'הוספת מסננים'.
     4. לוחצים על אישור.

        תיבת הדו-שיח תיסגר והשאילתה תתעדכן.

     5. חוזרים על הפעולות עד ששאילתת הממצאים מכילה את כל המאפיינים הרצויים.

   • על ידי קידוד ידני של שאילתת הממצאים בעורך השאילתות. אפשר להשתמש באופרטורים של SQL סטנדרטי AND,‏ OR, שווה ל- (=), מכיל (:) ולא (-) כדי לציין את מאפייני הממצאים ואת הערכים של הממצאים שרוצים לייצא.

     כשמקלידים את השאילתה, מופיע תפריט השלמה אוטומטית שבו אפשר לבחור שמות של מסננים ופונקציות.

     לדוגמה, השאילתה הבאה משתיקה ממצאים ברמת חומרה נמוכה וברמת חומרה בינונית anomalous IAM grant ב-prod-project, ומוציאה מכלל החישוב סוגי משאבים שהשם שלהם מכיל את מחרוזת המשנה compute:

     severity="LOW" OR severity="MEDIUM" AND category="Persistence:
     IAM Anomalous Grant" AND resource.project_display_name="prod-project"
     AND -resource.type:"compute"
     

     דוגמאות נוספות לסינון ממצאים זמינות במאמר בנושא סינון התראות.

4. בודקים את השאילתה שנוצרה כדי לוודא שהיא מדויקת. כדי לבצע שינויים, מוחקים או מוסיפים מאפיינים וערכי מסננים לפי הצורך.

5. לוחצים על רענון תוצאות ההתאמה. בטבלה מוצגים ממצאים שתואמים לשאילתה. מידע נוסף על שליחת שאילתות לגבי ממצאים זמין במאמר בנושא עריכת שאילתות לגבי ממצאים במסוף Google Cloud .

6. לוחצים על ייצוא, ואז בקטע רציף לוחצים על Pub/Sub.

7. בודקים את המסנן כדי לוודא שהוא נכון, ואם צריך, חוזרים לדף ממצאים כדי לשנות אותו.

8. בקטע שם הייצוא הרציף, מזינים שם לייצוא.

9. בקטע תיאור של ייצוא רציף, מזינים תיאור לייצוא.

10. בקטע ייצוא אל, בוחרים פרויקט לייצוא. אי אפשר ליצור פרויקט בדף הזה. כדי ליצור פרויקט חדש, אפשר לעיין במאמר בנושא יצירת פרויקט.

11. בקטע Pub/Sub topic, בוחרים את הנושא שאליו רוצים לייצא את הממצאים. כדי ליצור נושא:

    1. בוחרים באפשרות יצירת נושא.

    2. מזינים מזהה נושא, ואז בוחרים באפשרויות אחרות לפי הצורך:

       1. מידע נוסף על יצירה וניהול של סכימות
       2. מידע על שימוש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Pub/Sub

    3. לוחצים על יצירת נושא.

12. לוחצים על Save. יוצג אישור ותועברו חזרה לדף הממצאים.

13. פועלים לפי ההוראות ליצירת מינוי לנושא Pub/Sub.

הגדרת הייצוא ל-Pub/Sub הושלמה. כדי לפרסם התראות, נוצר עבורכם חשבון שירות בתבנית service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. חשבון השירות הזה מקבל באופן אוטומטי את התפקיד roles/securitycenter.notificationServiceAgent ברמת הארגון. התפקיד הזה בחשבון השירות נדרש כדי שההתראות יפעלו.

בדיקה של ייצוא רציף

כדי לוודא שהייצוא פועל, מבצעים את השלבים הבאים כדי להעביר את הממצאים בין מצב פעיל למצב לא פעיל.

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. לוחצים על עריכת השאילתה. עורך השאילתות ייפתח.

3. עורכים את השאילתה כך שיוצגו גם ממצאים פעילים וגם ממצאים לא פעילים. השאילתה הבאה משמיטה את הנכס state כדי להציג את כל הממצאים למעט אלה שהושתקו:

   NOT mute="MUTED"

   1. אם צריך, משתמשים בכלי לעריכת שאילתות כדי להזין מחדש משתני מסנן שתואמים למסנן הייצוא שבודקים.
   2. בוחרים ממצא ולוחצים על שינוי מצב הפעילות > לא פעיל.
   3. בוחרים שוב את הממצא שסימנתם כלא פעיל, לוחצים על שינוי מצב פעיל > פעיל. התראה נשלחת לגבי הממצא הפעיל החדש.
   4. נכנסים לדף Pub/Sub במסוף Google Cloud .

   מעבר אל Pub/Sub

   1. ברשימת הנושאים, לוחצים על שם הנושא.
   2. עוברים לכרטיסייה הודעות ובוחרים את המינוי מהרשימה כדי לראות את ההתראה על הממצא.
   3. אופציונלי: לוחצים על שליפת הודעות כדי לרענן את ההודעות.

ניהול של ייצוא רציף

כדי להציג, לערוך או למחוק ייצואים:

1. נכנסים לדף Settings של Security Command Center במסוף Google Cloud .

   כניסה לדף Settings

2. בסרגל הכלים, לוחצים על arrow_drop_downהכלי לבחירת פרויקטים ובוחרים את הפרויקט, התיקייה או הארגון.

3. בוחרים באפשרות ייצוא רציף. מוצגת רשימה של ייצוא רציף של הפרויקט, התיקייה או הארגון.

במסוף Google Cloud , יכול להיות שחלק מהייצוא הרציף יסומן בתווית Legacy (גרסה קודמת), שמציינת שהם נוצרו באמצעות Security Command Center API בגרסה 1. אפשר לנהל את הייצוא המתמשך הזה באמצעות מסוף Google Cloud , ה-CLI של gcloud, Security Command Center API v1 או ספריות הלקוח v1 של Security Command Center.

כדי לנהל את הייצוא המתמשך הזה באמצעות ה-CLI של gcloud, אסור לציין מיקום כשמריצים את הפקודה של ה-CLI של gcloud.

בדף ייצוא רציף בהגדרות, אפשר ליצור, להציג, לערוך ולמחוק ייצוא רציף.

הצגת ממצאים קשורים

כדי לראות ממצאים שתואמים לפילטר ייצוא:

בדף ייצוא רציף, ליד שם הייצוא, לוחצים על אפשרויות נוספות more_vert ואז על הצגת מסננים קשורים.

הדף Findings נטען עם הממצאים שתואמים למסנן הייצוא.

עריכה של ייצוא רציף

1. בדף ייצוא רציף, לוחצים על השם של הייצוא שרוצים להציג או לשנות, או לוחצים על עוד more_vert.
2. לוחצים על עריכה.
3. מזינים תיאור חדש, משנים את הפרויקט שבו השמירה מתבצעת או מזינים נושא חדש ב-Pub/Sub.
4. כשמסיימים, לוחצים על Save.

מחיקה של ייצוא רציף

1. בדף ייצוא רציף, לוחצים על שם הייצוא שרוצים למחוק.
2. לוחצים על delete מחיקה.
3. בתיבת הדו-שיח, לוחצים על מחיקה. הייצוא נמחק.

המאמרים הבאים

מידע נוסף על איתור התראות