הוספת הערות לממצאים ולנכסים באמצעות סימני אבטחה

אתם יכולים להשתמש בסימוני אבטחה, או ב'סימונים', ב-Security Command Center כדי להוסיף הערות לנכסים או לממצאים ב-Security Command Center, ואז לחפש, לבחור או לסנן באמצעות הסימון. אתם יכולים לספק הערות לגבי רשימות ACL בנכסים ובממצאים באמצעות סימוני אבטחה. לאחר מכן תוכלו לסנן את הנכסים והממצאים לפי ההערות האלה לצורך ניהול, החלת מדיניות או שילוב עם תהליך העבודה שלכם. אפשר גם להשתמש בסימנים כדי להוסיף סיווגים של עדיפות, רמת גישה או רגישות.

אפשר להוסיף או לעדכן סימוני אבטחה רק בנכסים שנתמכים על ידי Security Command Center. רשימת הנכסים שנתמכים ב-Security Command Center זמינה במאמר סוגי נכסים נתמכים ב-Security Command Center.

לפני שמתחילים

כדי להוסיף או לשנות סימני אבטחה, צריך להיות לכם תפקיד בניהול הזהויות והרשאות הגישה (IAM) שכולל הרשאות לסוג הסימן שבו אתם רוצים להשתמש:

  • תגי נכס: Asset Security Marks Writer, securitycenter.assetSecurityMarksWriter
  • איך מוצאים סימון: איך מוצאים את הכלי לסימון אבטחה, securitycenter.findingSecurityMarksWriter

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

סימני אבטחה

סימני אבטחה הם תכונה ייחודית של Security Command Center. ההרשאות ב-IAM חלות על תגי אבטחה, והן מוגבלות רק למשתמשים שיש להם את התפקידים המתאימים ב-Security Command Center. כדי לקרוא ולערוך סימונים, צריך את התפקידים Security Center Asset Security Marks Writer ו-Security Center Finding Security Marks Writer. התפקידים האלה לא כוללים הרשאות גישה למשאב הבסיסי.

סימוני אבטחה מאפשרים לכם להוסיף הקשר עסקי לנכסים ולממצאים. תפקידי IAM חלים על תגי אבטחה, ולכן אפשר להשתמש בהם כדי לסנן ולאכוף מדיניות על נכסים וממצאים.

העיבוד של סימני האבטחה מתבצע במהלך סריקות אצווה – שמופעלות פעמיים ביום ב-Security Command Center Premium וב-Enterprise, ופעם ביומיים ב-Security Command Center Standard – ולא בזמן אמת. יכול להיות שיעברו 12 עד 24 שעות עד שסימני האבטחה יעברו עיבוד ומדיניות האכיפה שתפתור או תפתח מחדש את הממצאים תופעל.

תוויות ותגים

תוויות ותגים הם סוגים דומים של מטא-נתונים שאפשר להשתמש בהם ב-Security Command Center, אבל יש להם שימוש שונה במקצת ומודל הרשאות שונה מסימני אבטחה.

תוויות הן הערות ברמת המשתמש שמוחלות על משאבים ספציפיים ונתמכות בכמה מוצרים של Google Cloud Google. התוויות משמשות בעיקר לחישובים ולשיוך של עלויות החיוב.

יש שני סוגים של תגים ב- Google Cloud:

  • תגי רשת הם הערות ברמת המשתמש, שספציפיות למשאבי Compute Engine. תגי רשת משמשים בעיקר להגדרת קבוצות אבטחה, פילוח רשתות וכללי חומת אש.

  • תגי משאבים, או תגים, הם צמדי מפתח/ערך שאפשר לצרף לארגון, לתיקייה או לפרויקט. אתם יכולים להשתמש בתגים כדי להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב.

ההרשאות במשאב הבסיסי קובעות אם אפשר לקרוא או לעדכן תוויות ותגים. התוויות והתגים נקלטים כחלק ממאפייני המשאבים בתצוגת הנכסים של Security Command Center. במהלך עיבוד התוצאות של List API, אפשר לחפש תווית ספציפית, תג ספציפי, מפתחות ספציפיים וערכים ספציפיים.

הוספת סימני אבטחה לנכסים ולממצאים

אפשר להוסיף תגי אבטחה לכל המשאבים שנתמכים על ידי Security Command Center, כולל כל סוגי הנכסים והממצאים.

הסימונים מוצגים ב-API של Security Command Center. ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise, הסימונים מוצגים גם ב Google Cloud מסוף. אתם יכולים להשתמש בסימונים כדי לסנן נכסים וממצאים, להגדיר קבוצות מדיניות או להוסיף הקשר עסקי לנכסים ולממצאים. סימון נכסים שונה מסימון ממצאים. סימון נכסים לא מתווסף באופן אוטומטי לממצאים לגבי נכסים.

סימני אבטחה בתצוגת הנכסים

כדי להוסיף תגי אבטחה לנכסים במסוף Google Cloud :

  1. במסוף Google Cloud , עוברים לדף Assets של Security Command Center.

    עוברים לדף 'נכסים'.

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט, התיקייה או הארגון שמכילים את הנכסים שרוצים לסמן.

  3. בתצוגת הנכסים שמופיעה, מסמנים את התיבה לצד כל נכס שרוצים לסמן.

  4. בוחרים באפשרות הגדרת סיווגי אבטחה.

  5. בתיבת הדו-שיח סימון אבטחה שמופיעה, לוחצים על הוספת סימון.

  6. מציינים סימן אבטחה אחד או יותר על ידי הוספת פריטים של מפתח וערך.

    לדוגמה, אם רוצים לסמן פרויקטים שנמצאים בשלב הייצור, מוסיפים מפתח בשם stage (שלב) וערך בשם prod (ייצור). לכל פרויקט שנבחר יש עכשיו את mark.stage: prod החדש, שאפשר להשתמש בו כדי לסנן את הפרויקטים.

  7. כדי לערוך סימון קיים, מעדכנים את הטקסט בשדה ערך. אפשר למחוק סימנים על ידי לחיצה על סמל האשפה לצד הסימן, .

  8. כשמסיימים להוסיף סימנים, לוחצים על שמירה.

הנכסים שבחרתם משויכים עכשיו לסימן. כברירת מחדל, הסימנים מוצגים כעמודה בתצוגת הנכסים.

מידע על סימונים ייעודיים של נכסים לגלאים של Security Health Analytics מופיע בקטע ניהול מדיניות בהמשך הדף.

הוספת סימני אבטחה לממצאים

בשלבים הבאים מוסבר איך מוסיפים תגי אבטחה לממצאים באמצעות מסוףGoogle Cloud . אחרי שמוסיפים סימני אבטחה, אפשר להשתמש בהם כדי לסנן את הממצאים בחלונית Findings query results.

כדי להוסיף סימני אבטחה לממצאים:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון שרוצים לבדוק.

  3. בחלונית Findings query results, מסמנים את תיבות הסימון של הממצאים שרוצים להוסיף להם סימן אבטחה.

  4. בוחרים באפשרות הגדרת סיווגי אבטחה.

  5. בתיבת הדו-שיח סימון אבטחה שמופיעה, לוחצים על הוספת סימון.

  6. מציינים את סימן האבטחה כפריטים Key ו-Value.

    לדוגמה, אם רוצים לסמן ממצאים שקשורים לאותו אירוע, מוסיפים מפתח בשם incident-number וערך בשם 1234. לכל ממצא יש עכשיו את mark.incident-number: 1234 החדש.

  7. כדי לערוך סימון קיים, מעדכנים את הטקסט בשדה ערך.

  8. כדי למחוק סימנים, לוחצים על סמל פח האשפה לצד הסימן.

  9. כשמסיימים להוסיף סימנים, לוחצים על שמירה.

ניהול המדיניות

כדי להסתיר ממצאים, אפשר להשתיק ידנית או באופן אוטומטי ממצאים ספציפיים, או ליצור כללי השתקה שמסתירים באופן אוטומטי ממצאים נוכחיים ועתידיים על סמך מסננים שמגדירים. מידע נוסף זמין במאמר השתקת ממצאים ב-Security Command Center.

השתקת הממצאים היא השיטה המומלצת אם לא רוצים לבדוק ממצאים בפרויקטים מבודדים או בפרויקטים שנמצאים בפרמטרים עסקיים מקובלים.

אפשר גם להגדיר סימנים בנכסים כדי לכלול או להחריג באופן מפורש את המשאבים האלה ממדיניות ספציפית. לכל גלאי ב-Security Health Analytics יש סוג ייעודי של סימון שאפשר להשתמש בו כדי להחריג משאבים מסומנים ממדיניות הזיהוי, על ידי הוספת סימון אבטחה allow_finding-type. לדוגמה, כדי להחריג את סוג הממצא SSL_NOT_ENFORCED, משתמשים בסימן האבטחה allow_ssl_not_enforced:true. סוג הסימון הזה מאפשר שליטה ברמת הפירוט של כל משאב וגלאי. מידע נוסף על השימוש בסימני אבטחה ב-Security Health Analytics זמין במאמר בנושא סימון נכסים וממצאים בסימני אבטחה.

המאמרים הבאים