En esta página, se describe cómo crear y editar los resultados de Security Command Center consultas con el panel Editor de consultas en la página Hallazgos en la la consola de Google Cloud y la consola de operaciones de seguridad.
Usa consultas para recuperar resultados específicos y filtrar aquellos que se muestran en los resultados de la búsqueda.
Trabaja con los resultados en las consolas de Security Command Center Enterprise
Si eres cliente de Security Command Center Enterprise, puedes trabajar con los hallazgos en dos consolas:
- Consola de Google Cloud: disponible en todos los niveles de servicio
- Consola de operaciones de seguridad: disponible solo en el nivel Enterprise
La página Hallazgos en la La consola de operaciones de seguridad está en versión preliminar.
En esta página, se describen los pasos para trabajar con las dos consolas. una al lado de la otra en pestañas separadas.
Para obtener más información, consulta Security Command Center Enterprise consolas.
Editar consultas de resultados
En el panel Editor de consultas, puedes agregar filtros a tus consultas. para seleccionar los resultados según sus valores de propiedad o atributos. Puedes filtrar por cosas como la presencia de valores, la ausencia de valores o la coincidencia de una cadena parcial.
Para obtener información sobre cómo editar una consulta de resultados, haz clic en la pestaña de la consola que estás usando.
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud. La página Hallazgos se carga con la consulta predeterminada que se muestra en el Vista previa de la consulta.
- A la derecha de la sección Vista previa de la consulta, haz clic en edit. Edita la consulta (Edit Query) para abrir el panel Editor de consultas.
- Selecciona Agregar filtro para navegar, buscar y agregar filtros predefinidos filtros de atributos a la consulta.
- Selecciona un atributo de hallazgo o escribe su nombre en la Cuadro Buscar atributos de hallazgos. Una lista de los productos disponibles se muestran los atributos secundarios.
- Selecciona un atributo secundario. Un campo de selección para tus opciones de evaluación se muestra sobre una lista del atributo secundario valores encontrados en los resultados de la Búsqueda de resultados panel.
- Selecciona una opción de evaluación para los valores del el atributo secundario seleccionado. Para obtener más información sobre las opciones de evaluación y los operadores y las funciones que usan, consulta Operadores de consulta en el menú Agregar filtros.
- Selecciona Apply (Apply).
Se cerrará el cuadro de diálogo y se actualizará tu consulta.
- Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.
El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.
Como alternativa, puedes formar manualmente una consulta de resultados de la misma manera que forma un filtro de hallazgos con la API de Security Command Center A medida que escribes tu consulta, aparece un menú de autocompletar, en el que puedes seleccionar para filtrar nombres y funciones.
Cuando trabajes en el compilador de consultas en la página Hallazgos, La sección Filtros rápidos está desactivada para evitar conflictos. entre ambos.
Cuando editas una consulta, el editor destaca cualquier error que haya en ella para que puedes corregirlos antes de enviar la consulta.
Consola de operaciones de seguridad
-
En la consola de operaciones de seguridad, ve a la página Hallazgos.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En el panel Editor de consultas, haz clic en Agregar filtro. Los Filtros . Este diálogo te permite elegir atributos de hallazgo admitidos y de salida.
- En Filtro, selecciona un atributo de hallazgo predefinido para filtrar.
- Establece la opción de evaluación del filtro y el valor del atributo:
- Para filtrar los resultados que tengan un valor de atributo específico, selecciona Mostrar únicamente. En la lista Valor, selecciona el valor del atributo.
- Para filtrar los resultados que no tienen un valor de atributo específico, haz lo siguiente: Selecciona Filtrar. En la lista Valor, selecciona el atributo. valor.
- Para agregar otro filtro, sigue estos pasos:
- Haga clic en Agregar filtro.
- Establece el nombre del atributo, la evaluación la opción y el valor del atributo.
- Establece la relación lógica entre los filtros. Para Logical
, selecciona
AND
oOR
.
- Haz clic en Aplicar. Se actualiza el editor de consultas y se actualizan los resultados de la búsqueda se filtran según corresponda.
Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.
Operadores de consultas
Las instrucciones de consulta para los resultados de Security Command Center admiten la operadores que admite la mayoría de las APIs de Google Cloud.
En la siguiente lista, se muestra el uso de varios operadores:
state="ACTIVE" AND NOT mute="MUTED"
create_time>"2023-08-15T19:05:32.428Z"
resource.parent_name:"prod"
severity="CRITICAL" OR severity="HIGH"
La siguiente lista muestra todos los operadores y funciones que son se admiten en las instrucciones de la consulta para los resultados:
- Para cadenas:
=
para igualdad total:
para la coincidencia parcial de cadenas
- Para números:
<
,>
,<=
,>=
para las desigualdades=
,!=
para igualdad
- Para valores booleanos:
=
para igualdad
- Para relaciones lógicas:
AND
OR
NOT
o-
- Para agrupar expresiones:
(
,)
(paréntesis)
- Para los arrays:
contains()
, una función para buscar resultados con un campo de array que contenga al menos un elemento que coincida con el filtro especificadocontainsOnly()
, un para consultar los resultados con un campo de array que solo contenga elementos que coinciden con el filtro especificado
- Para direcciones IP:
inIpRange()
, una función para consultar direcciones IP dentro de un rango de CIDR especificado
Operadores de consultas en el menú Agregar filtros
Para obtener información sobre los operadores de consulta que se usan en el menú Agregar filtros, haz lo siguiente: haz clic en la pestaña de la consola que estás usando.
Consola de Google Cloud
En el menú Agregar filtros del Editor de consultas en la la consola de Google Cloud, los operadores de consultas se representan con palabras o frases como las siguientes:
- Es igual a: Coincide los hallazgos con este valor de atributo exacto.
- No es igual a: Coincide con los resultados que no tienen esta condición exacta. valor del atributo.
- Después: Se hacen coincidir los resultados con una fecha de creación o actualización posterior durante un tiempo específico.
- Antes: Se hacen coincidir los resultados con una hora de creación o actualización anterior. durante un tiempo específico.
- Tiene: coincide los resultados con valores de atributo que contienen el texto que Ingresa en el campo Palabra clave.
- No contiene: Coincide los hallazgos con valores de atributos que no tengan contener el texto que ingrese en el campo Palabra clave.
- Para encontrar atributos que contengan arrays, sigue estos pasos:
- Contiene cualquiera: Coincide con los resultados que tienen un valor de array. que contenga el texto que ingreses en el Palabra clave.
- Contiene todo: coincide con los resultados que tienen un valor de array. que contenga todo el texto que ingreses en el campo Keyword .
- No contiene: Coincide con los resultados que no tienen un array. valor que contenga el texto que ingreses en el Palabra clave.
- Solo contiene: Coincide con los resultados que tienen un array. que contenga solo el valor que ingreses en el Keyword y ningún otro valor.
- Para direcciones IP:
- Cualquiera dentro del rango de IP: coincide con los resultados que tienen una dirección IP en un rango de CIDR especificado.
- No tiene ninguno dentro del rango de IP: Coincide con los resultados que tienen una dirección IP que no está en un rango CIDR especificado.
Consola de operaciones de seguridad
En el menú los operadores de consultas y funciones se representan de la siguiente manera:
Agregar filtros del Editor de consultas en la consola de operaciones de seguridad,- Mostrar solo: Coincide los hallazgos con este valor de atributo exacto.
- Filtrar: Coincide con los resultados que no tienen este atributo exacto. valor.
Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.
Funciones de consulta
La función de consulta proporciona evaluaciones más complejas de los valores de los atributos que los operadores de consulta comunes.
Función contains
Usa la función contains
para evaluar los atributos o subcampos de atributos
que pueden aparecer varias veces en el mismo resultado.
De forma interna, estos atributos o subcampos de atributos se almacenan en el elementos de una estructura de datos ARRAY, por lo que son se denominan atributos de tipo de array.
Por ejemplo, algunos hallazgos pueden hacer referencia a varias
por lo que el atributo connections
es un atributo de tipo array.
De manera similar, ciertos hallazgos de amenazas pueden hacer referencia a múltiples
direcciones IP como indicadores de un compromiso, por lo que ip_addresses
el subcampo del atributo indicator
es un atributo de tipo array.
La función contains
usa la siguiente sintaxis:
contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)
Reemplaza lo siguiente:
ARRAY_ATTRIBUTE_NAME
: Es el nombre del tipo de array. que se almacena en un array. Si el atributo tipo de array es un subcampo de otro atributo, especifica el nombre del atributo y el subcampo separado por un punto.En el siguiente ejemplo, el atributo de tipo de array,
ip_addresses
, se un subcampo deindicator
, de modo que ambos se especifican en el Posición deARRAY_ATTRIBUTE_NAME
:contains(indicator.ip_addresses, elem="192.0.2.80")
SUBFILTER
: una expresión que define cómo evaluar cada instancia del atributo de tipo de array. Standard Security Command Center operadores de consulta y declaraciones de evaluación compatibles.Si el valor que se debe verificar está en un subcampo de un atributo de tipo de array especifica el nombre del subcampo a la izquierda de la expresión. Lo siguiente La función
contains
evalúa cada elemento de un array deconnections
, que es un atributo de tipo de array que contiene subcampos. Los valores que se consultan están en el subcampodestination_ip
, que no es un campo de tipo array. Los valores a buscar se especifican el nombre del subcampo,destination_ip
, en lugar del parámetroelem
.contains(connections, destination_ip="192.0.2.80")
Si el subcampo es el atributo de tipo de array, especifica el atributo de tipo de array a la izquierda de la expresión con su elemento superior y usa el parámetro
elem
en a la derecha de la expresión para especificar el valor que se debe buscar. Por ejemplo: la siguiente funcióncontains
evalúa cada elemento de un array deip_addresses
, que es un subcampo del atributoindicator
. El El atributoindicator
no es un campo de tipo de array.contains(indicator.ip_addresses, elem="192.0.2.80")
La función contains
en el menú Agregar filtro
En el menú Agregar filtro, según el atributo de hallazgo que
que estás evaluando, la función contains
aparece explícitamente
o se incluye automáticamente cuando seleccionas otra opción de filtro
que lo requiera.
Por ejemplo, en el caso del subcampo Direcciones IP del atributo Indicador, haz lo siguiente: puedes seleccionar las siguientes opciones de filtro:
- Contiene
- Contiene todo
- No contiene
Por el contrario, si filtras por el subcampo Destination IP de
el atributo Conexiones y selecciona Cualquiera dentro del rango de IP, el
Las funciones contains
se agregan automáticamente a la instrucción de consulta.
como se muestra en el siguiente ejemplo:
contains(connections, inIpRange(destination_ip, "2001:db8::/32"))
Para obtener más información sobre la función contains
, consulta
Filtra en campos de tipo array.
Función containsOnly
La función containsOnly
te permite buscar resultados para atributos de tipo array o
subcampos que contienen solo los valores especificados en el subfiltro
ninguna otra.
La función containsOnly
usa la siguiente sintaxis:
containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)
Reemplaza lo siguiente:
ARRAY_ATTRIBUTE_NAME
: Es el nombre del tipo de array. . Si el atributo de tipo de array es un subcampo de otro atributo, especifica el nombre del atributo y el nombre del subcampo separados por un punto. Cuando están ejecutando consultas con la consola de Google Cloud, esta función solo admite los arraysiam_bindings.member
yiam_bindings.role
. atributos.SUBFILTER
: Una expresión que define cómo evaluar cada elemento del atributo de tipo de array. Consulta de Security Command Center estándar y las instrucciones de evaluación.
En el menú Agregar filtro (Add filter), las siguientes opciones de filtro usan el elemento containsOnly
.
función:
Vinculación de IAM > Miembro: Selecciona solo los resultados que incluyen el valor especificado. usuarios, cuentas de servicio o grupos.
Vinculación de IAM > Rol: selecciona solo los resultados que incluyen el valor especificado. roles de seguridad.
En el siguiente ejemplo, se muestra una consulta de resultados en la consola de Google Cloud
que devuelve los resultados activos y con sonido activado para los usuarios del grupo example-group
:
state="ACTIVE" AND NOT mute="MUTED" AND containsOnly(iam_bindings,member="group:example-group@example.com")
Función inIpRange
La función inIpRange
verifica si la dirección IP en una
el atributo de resultados de búsqueda se encuentra dentro de un rango de direcciones IP que
que especifiques con la notación CIDR (un rango CIDR). Los siguientes programas
la sintaxis de la función inIpRange
:
inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")
En el menú Agregar filtro, aparecerán los siguientes filtros:
usa la función inIpRange
:
- Cualquiera dentro del rango de IP: selecciona solo los resultados que contienen direcciones IP. dentro del rango especificado.
- No tiene ningún resultado dentro del rango de IP: selecciona solo los resultados que no. contienen direcciones IP dentro del rango especificado.
En el siguiente ejemplo, se muestra una consulta de resultados en la consola de Google Cloud
que devuelve resultados activos y con sonido activado en los que el subcampo caller_ip
del objeto access
contiene una dirección IPv6 en el rango CIDR de 2001:db8::/32
:
state="ACTIVE" AND NOT mute="MUTED" AND inIpRange(access.caller_ip, "2001:db8::/32")
En el siguiente ejemplo, se muestra una consulta de resultados que muestra un estado activo,
resultados con sonido activado en los que el subcampo caller_ip
del access
El objeto no contiene una dirección IP en el rango de CIDR IPv4 de 192.0.2.0/24
:
state="ACTIVE" AND NOT mute="MUTED" AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")
Si la dirección IP está en un atributo que puede aparecer
varias veces en un resultado, usa la función contains
con
La función inIpRange
para verificar cada instancia del atributo
para la dirección IP. Por ejemplo:
contains(connections, inIpRange(source_ip, "192.0.2.0/24"))
Para obtener más información sobre la función contains()
, consulta La función contains
.
Encuentra atributos para las consultas
Security Command Center selecciona los resultados para mostrarlos evaluando. los atributos de cada hallazgo almacenado los filtros de atributos que especifiques en la consulta.
Puedes consultar la mayoría de los atributos de resultados. Algunos atributos son comunes a todos los resultados. Otros atributos pueden ser específicos de una seguridad categoría de hallazgo o servicio de detección.
En el menú Agregar filtro del panel Editor de consultas, los que se pueden aplicar a un filtro de atributo varían según según el tipo de atributo que selecciones y si tiene subcampos o un array de valores.
En el menú Agregar filtro, haz clic en cualquiera de las siguientes opciones de nivel superior. atributos para mostrar los atributos y valores secundarios que puedes usar en una consulta de resultados:
- Buscando
- Recurso
- Access (
access
) - Puntuación de exposición al ataque
- Recuperación ante desastres de la copia de seguridad
- Cumplimientos (
compliances[]
) - Conexiones (
connections[]
) - Contactos
- Contenedores
- Base de datos
- Robo de datos (
exfiltration
) - Archivos
- Vinculación de IAM (
iamBindings[]
) - Indicador
- Rootkit de Kernel
- Kubernetes
- MITRE ATT&CK (
mitreAttack
) - Procesos (
processes[]
) - Postura de seguridad
- Protección de datos sensibles
- Vulnerabilidad