Questa pagina spiega come creare, visualizzare, aggiornare ed eliminare i moduli personalizzati per Security Health Analytics utilizzando la console Google Cloud o Google Cloud CLI.
Per ulteriori informazioni introduttive, consulta Panoramica dei moduli personalizzati per Security Health Analytics.
Prima di iniziare
Prima di poter utilizzare i moduli personalizzati, sono necessari i seguenti prerequisiti:
- Devi avere il livello Premium di Security Command Center. Per ulteriori informazioni sui livelli di Security Command Center, Panoramica dell'attivazione di Security Command Center.
- Security Health Analytics deve essere abilitato. Per informazioni sull'attivazione Security Health Analytics, vedi Abilitare o disabilitare un servizio integrato.
- Al tuo account utente deve essere concesso uno o più IAM (Identity and Access Management) ruoli che contengono le autorizzazioni richieste. Per ulteriori informazioni, vedi Autorizzazioni IAM richieste.
- Se intendi scrivere moduli personalizzati e caricarli sul
Security Command Center utilizzando i comandi
gcloud, ti serve Google Cloud CLI. Per informazioni sull'installazione gcloud CLI, consulta Installare gcloud CLI. - Se l'API Security Command Center non è già abilitata, devi abilitarla prima di poter usare i moduli personalizzati per Security Health Analytics. Puoi abilita l'API Security Command Center nella pagina Libreria API nella console Google Cloud.
- Per comprendere i limiti di utilizzo di Security Health Analytics, consulta Quote per moduli personalizzati.
Autorizzazioni IAM richieste
Per utilizzare i moduli personalizzati, è necessario quanto segue Identity and Access Management (IAM) autorizzazioni:
| Autorizzazione | Ruolo |
|---|---|
| securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
| securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
| securitycenter.securityhealthanalyticscustommodules.test | roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin |
Per ulteriori informazioni su autorizzazioni e ruoli IAM e come concederle, consulta Concedi un ruolo IAM utilizzando la console Google Cloud.
Crea un modulo personalizzato
Questa sezione spiega come creare moduli personalizzati utilizzando console Google Cloud o gcloud CLI.
Per testare il modulo personalizzato come passaggio del processo di creazione, devi e preparare le definizioni delle risorse di test in un file YAML. Per istruzioni, vedi Crea risorse di test in un file YAML.
Per creare un modulo personalizzato, seleziona il metodo da utilizzare le seguenti schede:
Console Google Cloud
Per creare un modulo personalizzato nella console Google Cloud, completa il seguenti passaggi:
Vai alla pagina Impostazioni di Security Command Center nel nella console Google Cloud.
Se richiesto, seleziona l'organizzazione, la cartella o il progetto in cui creare il modulo personalizzato.
Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.
Fai clic sulla scheda Moduli.
Fai clic su Crea modulo. Si apre la pagina Crea modulo per Security Health Analytics.
Nel riquadro Configura modulo, definisci il nome visualizzato, le risorse da analizzare e la logica di rilevamento:
Nel campo Nome modulo, specifica un nome per il modulo. Il nome deve essere compreso tra 1 e 128 caratteri, iniziare con una lettera minuscola e contenere caratteri alfanumerici o trattini bassi . Questo nome diventa la categoria dei risultati che prodotto dal rilevatore. Non puoi modificare il nome dopo il modulo viene creato.
In Aggiungi tipo di risorsa, specifica da uno a cinque tipi di risorsa. per eseguire la scansione. Non puoi specificare un tipo di risorsa più di una volta.
Per un elenco dei tipi di risorse supportati, consulta Tipi di risorse supportati.
Nell'editor di espressioni, scrivi le espressioni CEL eseguire controlli booleani su una o più proprietà della risorsa specificato nell'ultimo passaggio. Per attivare un risultato, deve risolversi in
TRUE. Ad esempio, la seguente espressione attiva un risultato se per una risorsaCryptoKeyè stato definito un periodo di rotazione e di rotazione superiore a 2.592.000 secondi (30 giorni):has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))Per ulteriori informazioni, consulta le seguenti risorse:
Fai clic su Avanti. Si apre il riquadro Definisci dettagli risultato.
Nel riquadro Definisci i dettagli del risultato, descrivi il problema che il modulo personalizzato rileva, inclusa la gravità, qual è il problema, come risolvere il problema e i dati che vuoi includere nel risultati come proprietà sorgente personalizzate:
Nel campo Gravità, specifica la gravità del problema. Puoi specificare
Low,Medium,HighoCritical.Mediumè l'impostazione predefinita.Per informazioni sui livelli di gravità, vedi Classificazioni della gravità per i risultati.
Nel campo Descrizione dei risultati, spiega il problema riscontrato rileva moduli personalizzati. Questa spiegazione viene visualizzata in ogni risultato per aiutare i team di sicurezza a comprendere e affrontare è stato rilevato un problema.
Nel campo Trovare i passaggi successivi, spiega i passaggi che che il team di sicurezza può adottare per risolvere o comunque risolvere il problema rilevato.
I passaggi vengono visualizzati con ogni istanza dei risultati. Includi specifiche passaggi che il team di sicurezza può adottare per risolvere il problema il più rapidamente possibile.
(Facoltativo) Nel campo Proprietà dei risultati personalizzati, specifica fino a 10 coppie nome-valore per definire le proprietà sorgente personalizzate con ogni istanza di risultato. Le informazioni vengono restituite come proprietà sorgente nel file JSON dei risultati e viene visualizzato nella scheda Proprietà sorgente nei dettagli del risultato in nella console Google Cloud. Specifica i valori del testo o delle proprietà come coppie chiave-valore:
- Nel campo Nome proprietà, specifica un nome per il
proprietà sorgente. Il nome deve essere conforme alle seguenti regole:
- Il nome deve iniziare con una lettera minuscola.
- Il nome deve contenere solo caratteri alfanumerici o trattini bassi.
- Il nome deve avere una lunghezza compresa tra 1 e 128 caratteri.
- Ciascun nome deve essere univoco tra le altre proprietà sorgente.
- Nel campo Valore proprietà, specifica una delle seguenti opzioni:
con un massimo di 1024 caratteri:
- Una stringa di testo racchiusa tra virgolette. Le virgolette
sono incluse nel limite di 1024 caratteri. Ad esempio:
"This string provides additional useful information." - Qualsiasi proprietà della risorsa sottoposta a scansione.
Ad esempio, se controlli la risorsa
CryptoKey, potresti specificareresource.rotationPeriod. Il valore di viene restituita la proprietàrotationPeriod.
- Una stringa di testo racchiusa tra virgolette. Le virgolette
sono incluse nel limite di 1024 caratteri. Ad esempio:
- Nel campo Nome proprietà, specifica un nome per il
proprietà sorgente. Il nome deve essere conforme alle seguenti regole:
Fai clic su Avanti. Si apre il riquadro Attiva modulo.
(Facoltativo) Utilizza il menu a discesa del riquadro Attiva modulo per specificare se il modulo personalizzato è abilitato o disabilitato al momento della creazione. Per impostazione predefinita, i moduli personalizzati sono abilitati al momento della creazione. Se specifichi Disabilita, puoi attivare il modulo in un secondo momento nella scheda Moduli di la pagina delle impostazioni di Security Health Analytics.
Fai clic su Avanti. Si apre il riquadro Modulo di test.
(Facoltativo) Prima di creare il modulo personalizzato, ti consigliamo di: testarlo.
Per testare un modulo personalizzato, segui questi passaggi:
Crea un file YAML che contiene le definizioni delle risorse di test per le risorse controllate dal modulo personalizzato.
Per informazioni su come creare un file di dati di test, consulta Crea risorse di test in un file YAML.
In Carica il file YAML, fai clic su Sfoglia per caricare il file YAML. contenente le definizioni delle risorse di test. Il test inizia automaticamente al momento del caricamento del file.
In Anteprima dei risultati del test, controlla i risultati.
- Se il file YAML contiene errori di sintassi o altri errori, un file nella parte inferiore della pagina del browser.
Se ha esito positivo, il test restituisce le seguenti informazioni:
- Il nome visualizzato del modulo personalizzato.
- Il nome arbitrario che hai specificato nella proprietà
resourcenel file di dati di test. - L'organizzazione, la cartella o il progetto in cui il modulo personalizzato è stato o sarà creato.
I risultati dei test non vengono archiviati o scritti in Security Command Center.
Per ulteriori informazioni, consulta la sezione Test dei moduli personalizzati.
Fai clic su Crea. Sei restituito alla pagina Moduli e dovresti vedere il modulo che hai creato con lo stato Attivato.
I nuovi moduli personalizzati non sono immediatamente disponibili per l'uso da parte di Security Health Analytics nelle scansioni. Per ulteriori informazioni, vedi Latenza di rilevamento.
Interfaccia a riga di comando gcloud
Per creare un modulo personalizzato utilizzando i comandi gcloud, devi prima
codice la definizione del modulo personalizzato in un file YAML che include
Espressioni CEL per la logica di rilevamento e le proprietà di output.
Una volta completata la definizione, caricala in Security Command Center mediante i comandi della gcloud CLI.
- Codifica una definizione di modulo personalizzato in un file YAML in base al istruzioni in Codifica un modulo personalizzato per Security Health Analytics.
- Salva il file YAML in una posizione accessibile alla tua istanza di gcloud CLI.
Carica la definizione personalizzata in Security Command Center:
gcloud scc custom-modules sha create \ PARENT_FLAG=PARENT_ID \ --display-name="MODULE_DISPLAY_NAME" \ --enablement-state="ENABLEMENT_STATE" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Sostituisci quanto segue:
PARENT_FLAG: il livello a cui ti trovi creando il modulo personalizzato--organization,--foldero--project.PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui stai creando il modulo personalizzato.ENABLEMENT_STATE:enabledodisabled.MODULE_DISPLAY_NAME: la categoria dei risultati del nome da visualizzare quando il modulo personalizzato restituisce un risultato. Il nome deve essere compreso tra 1 e 128 caratteri, iniziare con una lettera minuscola e contenere solo caratteri alfanumerici o trattini bassi.MODULE_FILE_NAME: il percorso e il nome del file di il file YAML che contiene la definizione del modulo personalizzato.
Latenza di rilevamento
Dopo aver creato o aggiornato la definizione di modulo personalizzato, è possibile potrebbe richiedere diverse ore prima che il modulo personalizzato nuovo o aggiornato disponibile per l'uso nelle scansioni.
La creazione o la modifica di un modulo personalizzato non attiva una scansione. Quando un modulo personalizzato è disponibile per l'uso, Security Health Analytics non iniziare a utilizzare i moduli personalizzati fino alla prima analisi batch una modifica alla configurazione della risorsa di destinazione attiva un scansione in tempo reale.
Per ulteriori informazioni sui tipi di analisi di Security Health Analytics, consulta Tipi di analisi di Security Health Analytics.
Aggiorna un modulo personalizzato
Puoi aggiornare la maggior parte delle proprietà di Security Health Analytics personalizzato moduli.
Le seguenti proprietà di un modulo personalizzato non possono essere modificate:
- Il nome visualizzato.
- L'ID del modulo personalizzato.
- Il nome completo della risorsa del modulo personalizzato.
Quando aggiorni un modulo personalizzato, tutti i risultati restituiti da quel modulo in precedenza non vengono aggiornati contemporaneamente. Se le modifiche al modulo modifiche ai risultati emessi, i risultati rifletteranno modifiche solo dopo la successiva scansione batch o in tempo reale di Security Health Analytics.
Per modificare un modulo personalizzato, puoi utilizzare la console Google Cloud o gcloud CLI. Fai clic su una delle seguenti schede istruzioni.
Console Google Cloud
Per aggiornare un modulo personalizzato esistente nella console Google Cloud, segui questi passaggi:
Vai alla pagina Impostazioni di Security Command Center nel nella console Google Cloud.
Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto in cui è stato creato inizialmente il modulo personalizzato. Non puoi modificare un modulo personalizzato altrove.
Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.
Seleziona la scheda Moduli. Tutti i tipi di rilevamento di Security Health Analytics vengono visualizzati i moduli.
Utilizza il campo del filtro nella parte superiore dell'elenco dei moduli o scorri per trovare il modulo personalizzato che devi modificare.
Sul lato destro della riga del modulo personalizzato, fai clic sul pulsante Azione dell'icona del menu, .
Dal menu Azione, fai clic sull'icona Modifica. (edit). La La pagina Visualizza modulo si apre in cui viene visualizzata la scheda Configura modulo.
Modifica i campi del modulo personalizzati di ogni scheda nella sezione Visualizza modulo pagina in base alle esigenze.
(Facoltativo) Prima di salvare gli aggiornamenti, ti consigliamo di testarli.
Per testare un modulo personalizzato, segui questi passaggi:
Crea un file YAML che contiene le definizioni delle risorse di test per le risorse controllate dal modulo personalizzato.
Per informazioni su come creare un file di dati di test, consulta Crea risorse di test in un file YAML.
In Carica il file YAML, fai clic su Sfoglia per caricare il file YAML. contenente le definizioni delle risorse di test. Il test inizia automaticamente al momento del caricamento del file.
In Anteprima dei risultati del test, controlla i risultati.
- Se il file YAML contiene errori di sintassi o altri errori, un file nella parte inferiore della pagina del browser.
Se ha esito positivo, il test restituisce le seguenti informazioni:
- Il nome visualizzato del modulo personalizzato.
- Il nome arbitrario che hai specificato nella proprietà
resourcenel file di dati di test. - L'organizzazione, la cartella o il progetto in cui il modulo personalizzato è stato o sarà creato.
I risultati dei test non vengono archiviati o scritti in Security Command Center.
Per ulteriori informazioni, consulta la sezione Test dei moduli personalizzati.
Fai clic su Salva in fondo alla pagina. Le modifiche vengono applicate a il modulo personalizzato.
Interfaccia a riga di comando gcloud
Per aggiornare un modulo personalizzato utilizzando gcloud CLI,
devi prima modificare la definizione YAML del modulo personalizzato e quindi
gcloud per aggiornare il modulo personalizzato in Security Health Analytics.
Modifica la definizione del modulo personalizzato. Per informazioni su come programmare una definizione di modulo personalizzata, consulta Codificare un modulo personalizzato per Security Health Analytics.
Salva il file YAML modificato in una posizione accessibile all'utente con gcloud CLI.
Aggiorna il modulo personalizzato in Security Health Analytics rilasciando quanto segue :
gcloud scc custom-modules sha update MODULE_ID \ PARENT_FLAG=PARENT_ID \ --enablement-state="ENABLED" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Sostituisci quanto segue:
MODULE_ID: l'ID o il nome completo della risorsa di il modulo personalizzato.PARENT_FLAG: il livello a cui l'elemento è stato creato il modulo--organization,--foldero--project.PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.MODULE_FILE_NAME: il percorso e il nome del file di il file YAML che contiene la definizione del modulo personalizzato.
Visualizza un modulo personalizzato
Seleziona una scheda per scoprire come visualizzare la definizione di un modulo personalizzato.
Console Google Cloud
Per visualizzare i moduli personalizzati nella console Google Cloud, segui questi passaggi:
Vai alla pagina Security Health Analytics in Security Command Center. impostazioni.
Fai clic sulla scheda Moduli. Si apre il riquadro Moduli.
Se necessario, utilizza il campo del filtro nella parte superiore dell'elenco dei moduli per trovare il modulo personalizzato che devi modificare.
Per visualizzare i dettagli della definizione di modulo personalizzato, fai clic sul pulsante Azione dell'icona del menu, , a destra a lato della riga del modulo personalizzato.
Dal menu Azione, fai clic sull'icona Modifica. edit. Il modulo Visualizza si apre la pagina Configura modulo.
Fai clic a turno sulle schede della pagina Visualizza modulo per vedere tutti i della definizione del modulo personalizzato.
Interfaccia a riga di comando gcloud
Per visualizzare i dettagli di un modulo personalizzato, inserisci il seguente comando:
gcloud scc custom-modules sha get MODULE_ID \ PARENT_FLAG=PARENT_ID
Sostituisci quanto segue:
MODULE_ID: l'ID o il nome completo della risorsa di il modulo personalizzato.PARENT_FLAG: il livello a cui l'elemento è stato creato il modulo--organization,--foldero--project.PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.
Elenca moduli personalizzati
Seleziona una scheda per scoprire come visualizzare un elenco di moduli personalizzati.
Console Google Cloud
Vai alla pagina Security Health Analytics in Security Command Center. impostazioni.
Fai clic sulla scheda Moduli. Si apre il riquadro Moduli.
Fai clic nel campo del filtro nella parte superiore dell'elenco dei moduli da visualizzare l'elenco dei tipi di filtro.
Seleziona Type (Tipo) e inserisci
Custom. Gli elenchi di moduli vengono aggiornati in mostrare solo i moduli personalizzati.
Interfaccia a riga di comando gcloud
Per visualizzare un elenco di moduli personalizzati, inserisci seguente comando:
gcloud scc custom-modules sha list \ PARENT_FLAG=PARENT_ID
Sostituisci quanto segue:
PARENT_FLAG: il livello a cui l'elemento è stato creato il modulo--organization,--foldero--project.PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.
Elimina un modulo personalizzato
Puoi eliminare un modulo personalizzato dall'organizzazione, dalla cartella o dal progetto in in cui è stato creato oppure un'organizzazione o una cartella padre. Non puoi eliminare un modulo personalizzato da una cartella o un progetto che lo eredita.
Per scoprire come eliminare un modulo personalizzato, seleziona una delle seguenti schede.
Console Google Cloud
Vai alla pagina Impostazioni di Security Command Center nel nella console Google Cloud.
Se richiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella scheda Security Health Analytics, fai clic su Gestisci impostazioni.
Seleziona la scheda Moduli. Tutti i tipi di rilevamento di Security Health Analytics vengono visualizzati i moduli.
Utilizza il campo del filtro nella parte superiore dell'elenco dei moduli o scorri per trovare il modulo personalizzato che devi modificare.
Sul lato destro della riga del modulo personalizzato, fai clic sul pulsante Azione dell'icona del menu, .
Dal menu Azione, fai clic su Elimina. Il riquadro Elimina modulo personalizzato si apre la finestra di dialogo.
Nella finestra di dialogo, fai clic su Elimina.
Interfaccia a riga di comando gcloud
Per eliminare un modulo personalizzato, inserisci il comando seguente:
gcloud scc custom-modules sha delete MODULE_ID \ PARENT_FLAG=PARENT_ID
Sostituisci quanto segue:
MODULE_ID: l'ID o il nome completo della risorsa di il modulo personalizzato.PARENT_FLAG: il livello a cui l'elemento è stato creato il modulo--organization,--foldero--project.PARENT_ID: l'ID dell'organizzazione, della cartella o il progetto in cui è stato creato il modulo personalizzato.
I risultati dei moduli personalizzati eliminati sono contrassegnati come non attivi da Security Health Analytics nella prossima scansione batch.
Esame dei risultati
I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o l'API Security Command Center.
Console Google Cloud
Puoi visualizzare i risultati generati dai moduli personalizzati con gli altri risultati di Security Command Center nella console Google Cloud.
Per visualizzare i risultati:
Vai alla pagina Risultati nella console Google Cloud.
Se richiesto, seleziona la tua organizzazione.
Nel riquadro Filtri rapidi, scorri verso il basso fino al Nome visualizzato dell'origine. e fai clic su Security Health Analytics Custom (Sicurezza Health Analytics personalizzata). La Aggiornamenti del riquadro Risultati della query dei risultati per mostrare solo i risultati di Moduli personalizzati di Security Health Analytics.
Se non vedi Security Health Analytics personalizzato, nessun valore personalizzato hanno restituito risultati.
Per visualizzare i dettagli di un risultato specifico, nella colonna Categoria Nel riquadro Risultati query dei risultati, fai clic sul nome della categoria il risultato. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.
Se sono state definite proprietà sorgente personalizzate per l'account del modulo, puoi visualizzarli facendo clic sulla scheda Proprietà sorgente.
Per visualizzare la definizione JSON completa del risultato, fai clic sull'icona JSON.
Interfaccia a riga di comando gcloud
Per visualizzare i risultati:
- Apri una finestra del terminale.
Per ottenere l'ID origine per Security Health Analytics, eseguendo seguente comando:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='Security Health Analytics Custom'
L'output visualizzato dovrebbe essere simile al seguente. In questo esempio,
SOURCE_IDè un ID assegnato dal server per motivi di sicurezza fonti.description: ... displayName: Security Health Analytics Custom name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Per elencare tutti i risultati generati dai moduli personalizzati, esegui questo comando :
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
Per elencare i risultati per un modulo personalizzato specifico, esegui questo comando:
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
Passaggi successivi
Puoi gestire i risultati generati dai moduli personalizzati come tutti i risultati in Security Command Center. Per le istruzioni, consulta le seguenti informazioni:
- Utilizzare i risultati nella console Google Cloud
- Utilizzare i contrassegni di sicurezza
- Configurare le notifiche sui risultati
- Esportazione dei dati di Security Command Center