Applicare i consigli di Advisory Notifications

Notifiche di consulenza fornisce consigli sui criteri IAM per garantire che le parti giuste all'interno della tua organizzazione abbiano accesso alla visualizzazione delle notifiche critiche relative a sicurezza e privacy nelconsole. Google Cloud Questi consigli vengono generati automaticamente analizzando la configurazione dei contatti fondamentali e i criteri IAM. Utilizza questi consigli per assicurarti che gli amministratori della sicurezza possano ricevere e risolvere rapidamente le notifiche di sicurezza.

Come funzionano i consigli di Advisory Notifications

I consigli di Notifiche di consulenza monitorano le configurazioni dei contatti fondamentali e dei criteri IAM e forniscono consigli in base ai dati del giorno precedente.

I consigli includono quanto segue:

  • Se nessun utente ha l'autorizzazione per visualizzare le notifiche, Notifiche di consulenza consiglia di concedere l'accesso alle parti appropriate all'interno dell'organizzazione.

  • Se un'entità è elencata come contatto fondamentale per la sicurezza, ma non ha l'autorizzazione per visualizzare Notifiche di consulenza nella Google Cloud console, Notifiche di consulenza consiglia di concedere l'accesso all'entità. I consigli di Notifiche di consulenza non tengono conto dei ruoli personalizzati. Se concedi a un'entità l'autorizzazione per Notifiche di consulenza tramite un ruolo personalizzato, ignora o chiudi il suggerimento.

Visualizzare i consigli di Advisory Notifications

Notifiche di consulenza rende disponibili insight e consigli tramite il motore per suggerimenti utilizzando Google Cloud CLI, l'API o la funzionalità di esportazione in BigQuery.

Prima di iniziare

Prima di poter visualizzare gli insight e i consigli, devi:

  • Devi abilitare l'API Recommender. Devi abilitare l'API solo in un singolo progetto di fatturazione. Puoi quindi utilizzare lo stesso progetto di fatturazione per esaminare i consigli e gli insight per altri progetti, l'intera organizzazione o l'account di fatturazione, specificando il progetto di fatturazione nei comandi gcloud e nelle richieste API.
  • Assicurati di disporre delle autorizzazioni necessarie.

Visualizza i suggerimenti

gcloud

Per visualizzare i consigli, utilizza il seguente gcloud recommender recommendations list comando:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • FORMAT: il formato di output che preferisci. Ad esempio, yaml, text e json. Per tutti i valori possibili, consulta Proiezioni. I valori csv, diff, get, table, e value richiedono proiezioni non vuote .
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

L'output del comando gcloud recommender recommendations list include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedInsights: un elenco di insight associati.

Puoi anche visualizzare gli insight associati a questi consigli. Per visualizzare gli insight, utilizza il gcloud recommender insights list comando riportato di seguito.

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • FORMAT: il formato di output che preferisci. Ad esempio, yaml, text e json. Per tutti i valori possibili, consulta Proiezioni. I valori csv, diff, get, table, e value richiedono proiezioni non vuote .
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

L'output del comando gcloud recommender insights list include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione dell'insight leggibile da una persona
  • associatedRecommendations: un elenco di consigli associati.

Per saperne di più, consulta la documentazione del motore per suggerimenti.

API

Per visualizzare i consigli, utilizza l' API Recommender con l'ID del motore per suggerimenti google.cloud.security.GeneralRecommender.

Il seguente script bash di esempio utilizza un token di accesso restituito da Credenziali predefinite dell'applicazione, per una curl richiesta. Per informazioni su come configurare Credenziali predefinite dell'applicazione, consulta Fornire credenziali per Credenziali predefinite dell'applicazione.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

La risposta include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedInsights: un elenco di insight associati.

Per visualizzare i tuoi approfondimenti, utilizza l' API Recommender con il tipo di approfondimento google.cloud.security.GeneralInsight.

Il seguente script bash di esempio utilizza un token di accesso restituito da Credenziali predefinite dell'applicazione, per una curl richiesta. Per informazioni su come configurare Credenziali predefinite dell'applicazione, consulta Fornire credenziali per Credenziali predefinite dell'applicazione.

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • QUOTA_PROJECT: l'ID del progetto da utilizzare per la quota e la fatturazione.

La risposta include i seguenti campi:

  • name: il nome del suggerimento
  • description: una spiegazione del suggerimento leggibile da una persona
  • associatedRecommendations: un elenco di consigli associati.

Per saperne di più, consulta Utilizzare l'API Recommender.

Esportazione in BigQuery

I consigli e gli insight possono anche essere esportati in blocco in una tabella BigQuery. Per maggiori dettagli, consulta la documentazione sull'esportazione in BigQuery.

Agire in base ai consigli di Notifiche di consulenza

Le sezioni seguenti forniscono consigli mirati su come agire in base a consigli specifici di Notifiche di consulenza. Ogni sezione corrisponde a un sottotipo di motore per Notifiche di consulenza Recommender. L'elenco seguente indica le sezioni per il sottotipo di motore per suggerimenti.

Concedi l'accesso ad Notifiche di consulenza

Questa sezione ti aiuta ad agire in base ai consigli con il sottotipo di motore per suggerimenti SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.

Hai ricevuto questo suggerimento perché alcuni dei tuoi contatti fondamentali nelle categorie Sicurezza e Tutti non hanno accesso ad Notifiche di consulenza. Ciò significa che questi contatti ricevono notifiche via email, ma non sono in grado di visualizzare la notifica nel Google Cloud console.

Ti consigliamo di concedere l'accesso ad Notifiche di consulenza a ogni contatto fondamentale anziché concedere l'accesso tramite gruppi o domini principali. Se concedi l'accesso a ogni contatto fondamentale, è meno probabile che l'accesso venga revocato accidentalmente in futuro. Inoltre, puoi utilizzare il ruolo Visualizzatore Advisory Notifications con documentazione automatica per chiarire il motivo dell'esistenza dell'associazione.

Per applicare questo suggerimento, procedi nel seguente modo:

  1. Trova tutti i contatti fondamentali per la sicurezza a livello di organizzazione nella configurazione dei contatti fondamentali. Questi sono i contatti nelle categorie Sicurezza e Tutti.

    Vai a Contatti fondamentali

  2. Concedi a ogni contatto l'autorizzazione per visualizzare Notifiche di consulenza nella pagina Amministrazione di Identity and Access Management assegnando il ruolo Visualizzatore Advisory Notifications (roles/advisorynotifications.viewer). Consulta Visualizzare Advisory Notifications se vuoi conoscere le autorizzazioni specifiche richieste per visualizzare Notifiche di consulenza.

    Vai a IAM

Configura i visualizzatori di Advisory Notifications

Questa sezione ti aiuta ad agire in base ai consigli con il sottotipo di motore per suggerimenti NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.

Hai ricevuto questo suggerimento perché non siamo riusciti a identificare alcuna entità nella tua organizzazione con accesso ad Notifiche di consulenza.

Ti consigliamo di configurare i contatti fondamentali e Notifiche di consulenza in modo da essere pronto a ricevere notifiche critiche relative a sicurezza e privacy.

Per applicare questo suggerimento, procedi nel seguente modo:

  1. Configura i contatti fondamentali per la sicurezza a livello di organizzazione nella pagina Contatti fondamentali.

    Vai a Contatti fondamentali

  2. Concedi a ogni contatto l'autorizzazione per visualizzare Notifiche di consulenza assegnando il ruolo Visualizzatore Advisory Notifications (roles/advisorynotifications.viewer) nella pagina Amministrazione di Identity and Access Management. Consulta Visualizzare Advisory Notifications se vuoi conoscere le autorizzazioni specifiche richieste per visualizzare Notifiche di consulenza.

    Vai a IAM

Se preferisci non utilizzare i contatti fondamentali, ti consigliamo comunque di concedere le autorizzazioni di visualizzazione per Notifiche di consulenza alle parti appropriate all'interno della tua organizzazione, ad esempio un amministratore della sicurezza. La concessione delle autorizzazioni di visualizzazione per Notifiche di consulenza senza configurare i contatti fondamentali non garantisce che le parti ricevano notifiche via email da Notifiche di consulenza.

Prezzi

Per informazioni sui prezzi, consulta la pagina Prezzi di Recommender.

Passaggi successivi