אתם יכולים להשתמש בסימוני אבטחה, או ב'סימונים', ב-Security Command Center כדי להוסיף הערות לנכסים או לממצאים ב-Security Command Center, ואז לחפש, לבחור או לסנן באמצעות הסימון. אתם יכולים לספק הערות ACL על נכסים וממצאים באמצעות סימוני אבטחה. לאחר מכן תוכלו לסנן את הנכסים והממצאים לפי ההערות האלה לצורך ניהול, החלת מדיניות או שילוב בתהליך העבודה. אפשר גם להשתמש בסימנים כדי להוסיף סיווגים של עדיפות, רמת גישה או רגישות.
אפשר להוסיף או לעדכן סימוני אבטחה רק בנכסים שנתמכים על ידי Security Command Center. רשימת הנכסים שנתמכים ב-Security Command Center זמינה במאמר סוגי נכסים נתמכים ב-Security Command Center.
לפני שמתחילים
כדי להוסיף או לשנות תגי סיווג אבטחה, צריך להיות לכם תפקיד בניהול הזהויות והרשאות הגישה (IAM) שכולל הרשאות לסוג התג שבו אתם רוצים להשתמש:
- סימון נכסים: Asset Security Marks Writer,
securitycenter.assetSecurityMarksWriter - איך מוצאים סימנים: איך מוצאים את הכלי לכתיבת סימני אבטחה,
securitycenter.findingSecurityMarksWriter
אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.
סימני אבטחה
סימני אבטחה הם תכונה ייחודית של Security Command Center. ההרשאות ב-IAM חלות על סימוני אבטחה, והן מוגבלות רק למשתמשים שיש להם את התפקידים המתאימים ב-Security Command Center. כדי לקרוא ולערוך סימונים, צריך את התפקידים Security Center Asset Security Marks Writer ו-Security Center Finding Security Marks Writer. התפקידים האלה לא כוללים הרשאות גישה למשאב הבסיסי.
סימני אבטחה מאפשרים לכם להוסיף הקשר עסקי לנכסים ולממצאים. תפקידי IAM חלים על תגי אבטחה, ולכן אפשר להשתמש בהם כדי לסנן ולאכוף מדיניות על נכסים וממצאים.
העיבוד של סימני האבטחה מתבצע במהלך סריקות אצווה – שמופעלות פעמיים ביום ב-Security Command Center Premium וב-Enterprise, ופעם ביומיים ב-Security Command Center Standard – ולא בזמן אמת. יכול להיות שיהיה עיכוב של 12 עד 24 שעות עד שסימני האבטחה יעברו עיבוד ומדיניות האכיפה שתפתור או תפתח מחדש את הממצאים תוחל.
תוויות ותגים
תוויות ותגים הם סוגים דומים של מטא-נתונים שאפשר להשתמש בהם ב-Security Command Center, אבל יש להם שימוש שונה במקצת ומודל הרשאות שונה מסימני אבטחה.
תוויות הן הערות ברמת המשתמש שמוחלות על משאבים ספציפיים ונתמכות במספר Google Cloud מוצרים. התוויות משמשות בעיקר לחישובים ולשיוך של עלויות החיוב.
יש שני סוגים של תגים ב- Google Cloud:
תגי רשת הם הערות ברמת המשתמש, שספציפיות למשאבי Compute Engine. תגי רשת משמשים בעיקר להגדרת קבוצות אבטחה, פילוח רשתות וכללי חומת אש.
תגי משאבים, או תגים, הם צמדי מפתח/ערך שאפשר לצרף לארגון, לתיקייה או לפרויקט. אתם יכולים להשתמש בתגים כדי להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב.
ההרשאות במשאב הבסיסי קובעות אם אפשר לקרוא או לעדכן תוויות ותגים. התוויות והתגים נקלטים כחלק ממאפייני המשאבים בתצוגת הנכסים של Security Command Center. אפשר לחפש תווית ספציפית, תג ספציפי, מפתחות ספציפיים וערכים ספציפיים במהלך עיבוד התוצאות של List API.
הוספת סימני אבטחה לנכסים ולממצאים
אפשר להוסיף תגי אבטחה לכל המשאבים שנתמכים על ידי Security Command Center, כולל כל סוגי הנכסים והממצאים.
הסימונים מוצגים ב-API של Security Command Center. ברמות השירות Standard-legacy, Standard, Premium ו-Enterprise, הסימונים מוצגים גם במסוף Google Cloud . אתם יכולים להשתמש בסימונים כדי לסנן נכסים וממצאים, להגדיר קבוצות מדיניות או להוסיף הקשר עסקי לנכסים ולממצאים. סימון נכסים שונה מסימון ממצאים. סימון נכסים לא מתווסף באופן אוטומטי לממצאים לגבי נכסים.
סימני אבטחה בתצוגת הנכסים
כדי להוסיף תגי אבטחה לנכסים במסוף Google Cloud :
במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.
בכלי לבחירת פרויקטים, בוחרים את הפרויקט, התיקייה או הארגון שמכילים את הנכסים שרוצים לסמן.
בתצוגת הנכסים שמופיעה, מסמנים את התיבה לצד כל נכס שרוצים לסמן.
בוחרים באפשרות הגדרת סיווגי אבטחה.
בתיבת הדו-שיח סימון אבטחה שמופיעה, לוחצים על הוספת סימון.
מציינים סימן אבטחה אחד או יותר על ידי הוספת פריטים של מפתח וערך.
לדוגמה, אם רוצים לסמן פרויקטים שנמצאים בשלב הייצור, מוסיפים מפתח בשם stage (שלב) וערך בשם prod (ייצור). לכל פרויקט שנבחר יש עכשיו את
mark.stage: prodהחדש, שבו אפשר להשתמש כדי לסנן אותם.כדי לערוך סימון קיים, מעדכנים את הטקסט בשדה ערך. אפשר למחוק סימנים בלחיצה על סמל האשפה לצד הסימן, delete.
כשמסיימים להוסיף סימנים, לוחצים על שמירה.
הנכסים שבחרתם משויכים עכשיו לסימן. כברירת מחדל, הסימנים מוצגים כעמודה בתצוגת הנכסים.
מידע על סימונים ייעודיים של נכסים לגלאים של Security Health Analytics מופיע בקטע ניהול מדיניות בהמשך הדף.
הוספת סימני אבטחה לממצאים
בשלבים הבאים מוסבר איך מוסיפים סימני אבטחה לממצאים באמצעות מסוףGoogle Cloud . אחרי שמוסיפים סימני אבטחה, אפשר להשתמש בהם כדי לסנן את הממצאים בחלונית Findings query results.
כדי להוסיף סימני אבטחה לממצאים:
נכנסים לדף Findings במסוף Google Cloud של Security Command Center.
בוחרים את הפרויקט או הארגון שרוצים לבדוק.
בחלונית Findings query results, מסמנים את תיבות הסימון של ממצא אחד או יותר כדי להוסיף לו סימן אבטחה.
בוחרים באפשרות הגדרת סיווגי אבטחה.
בתיבת הדו-שיח סימון אבטחה שמופיעה, לוחצים על הוספת סימון.
מציינים את סימן האבטחה כפריטים Key ו-Value.
לדוגמה, אם רוצים לסמן ממצאים שקשורים לאותו אירוע, מוסיפים מפתח בשם incident-number וערך בשם 1234. לכל ממצא יש את
mark.incident-number: 1234החדש.כדי לערוך סימון קיים, מעדכנים את הטקסט בשדה ערך.
כדי למחוק סימנים, לוחצים על סמל פח האשפה לצד הסימן. delete
כשמסיימים להוסיף סימנים, לוחצים על שמירה.
ניהול המדיניות
כדי להסתיר ממצאים, אפשר להשתיק ממצאים ספציפיים באופן ידני או באמצעות תוכנה, או ליצור כללי השתקה שמסתירים באופן אוטומטי ממצאים נוכחיים ועתידיים על סמך מסננים שאתם מגדירים. מידע נוסף זמין במאמר השתקת ממצאים ב-Security Command Center.
השתקת הממצאים היא השיטה המומלצת אם אתם לא רוצים לבדוק ממצאים בפרויקטים מבודדים או בפרויקטים שנמצאים בטווח הפרמטרים העסקיים המקובלים.
אפשר גם להגדיר סימנים בנכסים כדי לכלול או להחריג באופן מפורש את המשאבים האלה ממדיניות ספציפית. לכל גלאי ב-Security Health Analytics יש סוג ייעודי של סימון שאפשר להשתמש בו כדי להחריג משאבים מסומנים ממדיניות הזיהוי, על ידי הוספת סימון אבטחה allow_finding-type. לדוגמה, כדי להחריג את סוג הממצא SSL_NOT_ENFORCED, משתמשים בסימן האבטחה allow_ssl_not_enforced:true.
סוג הסימון הזה מאפשר שליטה ברמת הפירוט בכל משאב ובכל גלאי.
מידע נוסף על השימוש בסימני אבטחה ב-Security Health Analytics זמין במאמר בנושא סימון נכסים וממצאים בסימני אבטחה.