本页介绍了如何使用过滤条件来 和漏洞发现结果
您可以在 Google Cloud 控制台中查看和过滤漏洞发现结果 (位于 Security Command Center 的漏洞和发现结果页面上)。
显示对您而言重要的漏洞发现结果后, 如需查看特定发现结果的详细信息,请选择 Security Command Center 中的漏洞。这些信息包括 漏洞和风险的说明,以及相关建议 进行修复。
在本页中,漏洞是指 Vulnerability
和
Misconfiguration
类发现结果。
将“漏洞”页面与“发现结果”页面进行比较
您可以在 Google Cloud 控制台中查看和过滤漏洞发现结果 (在漏洞页面和发现结果页面上)。
与漏洞页面上的过滤选项相比, 发现结果页面上提供的过滤条件和查询选项。
漏洞页面会显示
Vulnerability
和 Misconfiguration
类发现结果,以及
每个类别中当前活跃的发现结果数量,以及
每个发现结果类别所对应到的合规性标准。如果有
在特定类别中没有活跃漏洞,0
会显示在
有效的发现结果列。
相比之下,发现结果页面可以显示任意 Google 产品/服务的 查找类,但仅在以下情况显示发现结果类别: 在您指定时间范围内,系统在您的环境中检测到该类别的安全问题。
如需了解详情,请参阅以下页面:
应用查询预设
在漏洞页面上,您可以选择预定义查询、查询 预设,返回与特定安全目标相关的发现结果。
例如,如果您负责的是云基础设施授权 管理 (CIEM),可以选择身份和访问权限错误配置 查询预设,以查看与产品相关的 配置有误或已授予的主账号账号 过多或敏感的权限。
或者,如果您的目标是明确限定主账号仅拥有这些权限 可以选择 IAM Recommender 查询预设, 为具有更多角色的主账号显示 IAM Recommender 的发现结果 超过他们需要的权限
如需选择查询预设,请按以下步骤操作:
前往漏洞页面:
在查询预设部分中,点击其中一个查询选择器。
屏幕会更新,以仅显示指定的漏洞类别 。
按项目查看漏洞发现结果
在漏洞页面上按项目查看漏洞发现结果 页面,请执行以下操作:
前往 Google Cloud 控制台中的漏洞页面。
在页面顶部的项目选择器中,为 您需要用它来查看漏洞发现结果。
漏洞页面仅会显示所选项目的发现结果。
或者,如果您的控制台视图设置为“您的组织”,则可以 使用 快速过滤器: “发现结果”页面。
按发现结果类别查看漏洞发现结果
如需按类别查看漏洞发现结果,请执行以下操作:
前往 Google Cloud 控制台中的漏洞页面。
在项目选择器中,选择您的组织、文件夹或项目。
在类别列中,选择要显示其发现结果的发现结果类型。
发现结果页面会加载并显示与您选择的类型匹配的发现结果列表。
如需详细了解发现结果类别,请参阅 漏洞发现结果。
按资源类型查看发现结果
如需查看特定资产类型的漏洞发现结果,请执行以下操作:
转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。
在项目选择器中,选择您的组织、文件夹或项目。
在快速过滤条件面板中,选择以下选项:
- 在发现结果类部分中,同时选择漏洞 和配置错误。
- 可选:在项目 ID 部分中,选择要在其中查看资产的项目的 ID。
- 在 Resource type 部分中,选择所需的资源类型 看到的内容。
发现结果的查询结果面板中的发现结果列表会更新,仅显示与您的选择匹配的发现结果。
按攻击风险得分查看漏洞发现结果
被指定为高价值的漏洞发现结果 (受攻击路径模拟支持) 系统会为其分配攻击风险得分。 您可以按此得分过滤发现结果。
如需按攻击风险得分查看漏洞发现结果,请执行以下操作:
在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。
在项目选择器中,选择您的组织、文件夹或项目。
在查询预览面板右侧,点击修改查询。
在查询编辑器面板的顶部,点击添加过滤条件。
在选择过滤条件对话框中,选择攻击风险。
在攻击风险高于字段中,输入得分值。
点击应用。
过滤条件语句会添加到您的查询中,并且发现结果的查询结果面板中的发现结果会更新,仅显示攻击风险得分大于新过滤条件语句中指定值的发现结果。
按 CVE ID 查看漏洞发现结果
您可以按相应 CVE ID 查看发现结果, 概览页面或发现结果页面。
在概览页面的主要 CVE 发现结果部分, 将发现的漏洞分组 按相应资源的可利用性和影响的交互式图表, CVE(由 Mandiant 评估)。 点击图表中的某个方块可按 CVE ID 查看漏洞列表, 在您的环境中检测到。
在发现结果页面上,您可以按发现结果的 CVE ID 查询发现结果。
如需按 CVE ID 查询漏洞发现结果,请执行以下操作:
在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。
在项目选择器中,选择您的组织、文件夹或项目。
在查询预览字段的右侧,点击修改查询。
在查询编辑器中,修改查询以包含您要管理的 CVE ID 目标。例如:
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
发现结果查询结果已更新,以显示所有活跃 包含 CVE ID 的发现结果。
按严重级别查看漏洞发现结果
如需按严重级别查看漏洞发现结果,请执行以下操作:
在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。
在项目选择器中,选择您的组织、文件夹或项目。
在快速过滤条件面板中,转到查找课程部分 同时选中漏洞和错误配置。
显示的 发现结果会更新,仅显示
Vulnerability
和Misconfiguration
类别发现结果。同样在快速过滤条件面板中,前往严重程度部分 并选择您需要查看的发现结果的严重程度。
显示的 发现结果会更新,以仅显示在选定的 严重级别。
按有效发现结果数量查看发现结果类别
若要按发现结果类别包含的有效发现结果数量查看相应类别,请执行以下操作: 可以使用 Google Cloud 控制台或 Google Cloud CLI 命令
控制台
按有效发现结果数量查看发现结果类别 漏洞页面上包含的每个漏洞, 按有效的发现结果列划分类别,或者 按每个类别包含的有效发现结果数量过滤类别。
按活跃发现结果数量过滤漏洞发现结果类别 请按下列步骤操作:
在 Google Cloud 控制台中打开漏洞页面:
在项目选择器中,选择您的组织、文件夹或项目。
将光标置于过滤条件字段中,以显示过滤条件列表。
从过滤条件列表中,选择有效发现结果。逻辑列表 运算符。
选择要在过滤条件中使用的逻辑运算符,例如
>=
。输入数字,然后按 Enter 键。
屏幕会更新,以仅显示包含 大量与您的过滤条件匹配的有效发现结果。
gcloud
如需使用 gcloud CLI 获取所有有效发现结果的数量,请先查询 Security Command Center 获取漏洞服务的来源 ID,然后使用来源 ID 来查询有效发现结果数量。
第 1 步:获取来源 ID
如需完成此步骤,请获取您的组织 ID,然后获取其中一个漏洞检测服务(也称为发现结果来源)的来源 ID。如果您尚未启用 Security Command Center API,系统会提示您启用它。
- 通过运行
gcloud organizations list
获取组织 ID,然后记下组织名称旁边的编号。 运行以下命令获取 Security Health Analytics 来源 ID:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
替换以下内容:
ORGANIZATION_ID
:您的组织的 ID。 无论 Security Command Center 的激活级别如何,都必须提供组织 ID。SOURCE_DISPLAY_NAME
:您需要显示其发现结果的漏洞检测服务的显示名称。例如Security Health Analytics
。
如果出现提示,请启用 Security Command Center API,然后运行上述命令再次获取来源 ID。
用于获取来源 ID 的命令应该显示如下输出:
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
请记下要在下一步中使用的 SOURCE_ID
。
第 2 步:获取有效的发现结果数量
使用您在上一步中记下的 SOURCE_ID
来过滤发现结果。以下 gcloud CLI 命令会按类别返回发现结果数量:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
您可以将页面大小设置为不超过 1000 的任意值。该命令应显示如下所示的输出,其中包含来自特定组织或项目的结果:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50