Appliquer les recommandations Advisory Notifications

Advisory Notifications fournit des recommandations de règles IAM pour s'assurer que les membres appropriés de votre organisation ont accès aux notifications critiques de sécurité et de confidentialité dans la Google Cloud console. Ces recommandations sont générées automatiquement en analysant votre configuration des contacts essentiels et votre règle IAM. Utilisez ces recommandations pour vous assurer que vos administrateurs de la sécurité peuvent recevoir et traiter rapidement les notifications de sécurité.

Fonctionnement des recommandations Advisory Notifications

Les recommandations Advisory Notifications surveillent vos configurations de contacts essentiels et de règles IAM, et émettent des recommandations basées sur les données de la veille.

Les recommandations incluent les éléments suivants :

  • Si aucun utilisateur n'est autorisé à afficher les notifications, Advisory Notifications recommande d'accorder l'accès aux membres appropriés de votre organisation.

  • Si un compte principal est répertorié comme contact essentiel de sécurité, mais n'est pas autorisé à afficher Advisory Notifications dans la Google Cloud console, Advisory Notifications recommande d'accorder l'accès au compte principal. Les recommandations Advisory Notifications ne tiennent pas compte des rôles personnalisés. Si vous accordez à un compte principal l'autorisation d'accéder à Advisory Notifications via un rôle personnalisé, ignorez ou fermez la recommandation.

Afficher les recommandations Advisory Notifications

Advisory Notifications met des insights et des recommandations à disposition via le Recommender à l'aide de la Google Cloud CLI, de l'API ou de la fonctionnalité d'exportation BigQuery.

Avant de commencer

Avant de pouvoir afficher les insights et les recommandations, vous devez effectuer les opérations suivantes :

  • Vous devez activer l'API Recommender. Vous n'avez besoin d'activer l'API que sur un seul projet de facturation. Vous pouvez ensuite utiliser ce même projet de facturation pour examiner des recommandations et des insights pour d'autres projets, pour l'ensemble de l'organisation ou pour le compte de facturation, en spécifiant le projet de facturation dans vos commandes gcloud et vos requêtes API.
  • Assurez-vous de disposer des autorisations requises.

Afficher les recommandations

gcloud

Pour afficher vos recommandations, utilisez la gcloud recommender recommendations list commande suivante :

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT : format de sortie souhaité (par exemple, yaml, text et json). Pour connaître toutes les valeurs possibles, consultez la section Projections. Les valeurs csv, diff, get, table, et value nécessitent des projections non vides .
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender recommendations list inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights : liste des insights associés

Vous pouvez également afficher les insights associés à ces recommandations. Pour afficher vos insights, utilisez la gcloud recommender insights list commande ci-dessous.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • FORMAT : format de sortie souhaité (par exemple, yaml, text et json). Pour connaître toutes les valeurs possibles, consultez la section Projections. Les valeurs csv, diff, get, table, et value nécessitent des projections non vides .
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

Le résultat de la commande gcloud recommender insights list inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de l'insight, dans un format lisible
  • associatedRecommendations : liste des recommandations associées

Pour en savoir plus, consultez la documentation sur le service de recommandation.

API

Pour afficher vos recommandations, utilisez l' API Recommender avec l'ID de l'outil de recommandation google.cloud.security.GeneralRecommender.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une curl requête. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez la page Fournir les identifiants par défaut des identifiants d'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedInsights : liste des insights associés

Pour afficher vos insights, utilisez l' API Recommender avec le type d'insight google.cloud.security.GeneralInsight.

L'exemple suivant de script bash utilise un jeton d'accès renvoyé par les identifiants par défaut de l'application, pour une curl requête. Pour en savoir plus sur la configuration des identifiants par défaut de l'application, consultez la page Fournir les identifiants par défaut des identifiants d'application.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • QUOTA_PROJECT : ID du projet à utiliser pour les quotas et la facturation.

La réponse inclut les champs suivants :

  • name : nom de la recommandation
  • description : explication de la recommandation, dans un format lisible
  • associatedRecommendations : liste des recommandations associées

Pour en savoir plus, consultez la section Utiliser l'API Recommender.

BigQuery Export

Vous pouvez également exporter les recommandations et les insights de manière groupée vers une table BigQuery. Pour en savoir plus, consultez la documentation sur l'exportation BigQuery.

Mettre en œuvre les recommandations Advisory Notifications

Les sections suivantes fournissent des conseils ciblés sur la mise en œuvre de recommandations Advisory Notifications spécifiques. Chaque section correspond à un sous-type de l'outil de recommandation Advisory Notifications . La liste suivante mentionne les sections correspondant à votre sous-type de l'outil de recommandation.

Accorder l'accès à Advisory Notifications

Cette section vous aide à mettre en œuvre les recommandations avec le sous-type de l'outil de recommandation SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Vous avez reçu cette recommandation, car certains de vos contacts essentiels dans les catégories "Sécurité" et "Toutes" n'ont pas accès à Advisory Notifications. Cela signifie que ces contacts reçoivent des notifications par e-mail, mais ne peuvent pas les afficher dans la Google Cloud console.

Nous vous recommandons d'accorder l'accès à Advisory Notifications à chaque contact essentiel plutôt que d'accorder l'accès via des groupes ou des domaines parents. En accordant l'accès à chaque contact essentiel, vous réduisez le risque de révocation accidentelle de l'accès à l'avenir. De plus, vous pouvez utiliser le rôle de lecteur Advisory Notifications auto-documenté pour clarifier la raison de l'existence de la liaison.

Procédez comme suit pour appliquer cette recommandation :

  1. Recherchez tous les contacts essentiels de sécurité au niveau de l'organisation dans votre configuration des contacts essentiels. Il s'agit des contacts des catégories "Sécurité" et "Toutes".

    Accéder aux contacts essentiels.

  2. Accordez à chaque contact l'autorisation d'afficher Advisory Notifications sur la page d'administration du Identity and Access Management en lui attribuant le rôle de lecteur Advisory Notifications (roles/advisorynotifications.viewer). Consultez la section Afficher Advisory Notifications si vous souhaitez connaître les autorisations spécifiques requises pour afficher Advisory Notifications.

    Accéder à IAM

Configurer vos lecteurs Advisory Notifications

Cette section vous aide à mettre en œuvre les recommandations avec le sous-type de l'outil de recommandation NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Vous avez reçu cette recommandation, car nous n'avons pas pu identifier de comptes principaux dans votre organisation ayant accès à Advisory Notifications.

Nous vous recommandons de configurer les contacts essentiels et Advisory Notifications afin d'être prêt à recevoir les notifications critiques de sécurité et de confidentialité.

Procédez comme suit pour appliquer cette recommandation :

  1. Configurez vos contacts essentiels de sécurité au niveau de l'organisation sur la page "Contacts essentiels".

    Accéder aux contacts essentiels.

  2. Accordez à chaque contact l'autorisation d'afficher Advisory Notifications en lui attribuant le rôle de lecteur Advisory Notifications (roles/advisorynotifications.viewer) sur la page d'administration du Identity and Access Management. Consultez la section Afficher Advisory Notifications si vous souhaitez connaître les autorisations spécifiques requises pour afficher Advisory Notifications.

    Accéder à IAM

Si vous préférez ne pas utiliser les contacts essentiels, nous vous recommandons tout de même d'accorder des autorisations d'affichage pour Advisory Notifications aux membres appropriés de votre organisation, tels qu'un administrateur de la sécurité. L'octroi d'autorisations d'affichage pour Advisory Notifications sans configurer les contacts essentiels ne garantit pas que les membres reçoivent des notifications par e-mail de la part d'Advisory Notifications.

Tarifs

Pour en savoir plus sur la tarification, consultez la section Tarifs des outils de recommandation.

Étape suivante