Cette page explique comment créer et modifier des résultats Security Command Center requêtes à l'aide du panneau de l'éditeur de requête sur la page Résultats la console Google Cloud et la console Opérations de sécurité.
Utilisez des requêtes pour récupérer des résultats spécifiques et filtrer ceux qui apparaissent dans les résultats de la requête de résultats.
Utiliser les résultats des consoles Security Command Center Enterprise
Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser les résultats dans deux consoles:
- Console Google Cloud: disponible pour tous les niveaux de service
- Console Opérations de sécurité: disponible uniquement au niveau Enterprise
La page Résultats du La console Opérations de sécurité est en version preview.
Cette page décrit la procédure à suivre pour utiliser les deux consoles. côte à côte dans des onglets distincts.
Pour en savoir plus, consultez la page Security Command Center Enterprise consoles.
Modifier les requêtes de résultats
Dans le panneau de l'éditeur de requête, vous pouvez ajouter des filtres à vos requêtes. pour sélectionner les résultats en fonction de leurs propriétés ou valeurs d'attribut. Vous pouvez filtrer des éléments tels que la présence ou l'absence de valeurs, la correspondance d'une chaîne partielle.
Pour plus d'informations sur la modification d'une requête de résultat, cliquez sur l'onglet pour la console que vous utilisez.
console Google Cloud
-
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
<ph type="x-smartling-placeholder"></ph> Accéder aux résultats
- Sélectionnez votre projet ou votre organisation Google Cloud. La page Résultats se charge avec la requête par défaut affichée dans le Champ Aperçu de la requête.
- À droite de la section Aperçu de la requête, cliquez sur edit. Cliquez sur Modifier la requête pour ouvrir le panneau de l'éditeur de requête.
- Sélectionnez Ajouter un filtre pour parcourir, rechercher et ajouter des filtres prédéfinis d'attributs à la requête.
- Sélectionnez un attribut de résultat ou saisissez son nom dans le Rechercher des attributs de résultat. Une liste des options disponibles sous-attributs s'affiche.
- Sélectionnez un sous-attribut. Un champ de sélection pour vos options d'évaluation s'affiche au-dessus d'une liste de sous-attributs trouvées dans les résultats des résultats de la requête de résultats panneau.
- Sélectionnez une option d'évaluation pour les valeurs sélectionné. Pour en savoir plus sur les options d'évaluation ainsi que les opérateurs et les fonctions qu'ils utilisent, consultez la section Opérateurs de requête dans le menu "Ajouter des filtres".
- Sélectionnez Appliquer.
La boîte de dialogue se ferme et votre requête est mise à jour.
- Répétez l'opération jusqu'à ce que la requête de résultats contienne tous les attributs souhaités.
La boîte de dialogue Sélectionner un filtre vous permet de choisir les attributs et les valeurs de résultats compatibles.
Vous pouvez également créer manuellement une requête de résultats de la même manière que créer un filtre de résultats à l'aide de l'API Security Command Center. À mesure que vous saisissez votre requête, un menu de saisie semi-automatique s'affiche. Vous pouvez y sélectionner les noms et les fonctions des filtres.
Lorsque vous utilisez le générateur de requêtes de la page Résultats, La section Filtres rapides est désactivée pour éviter les conflits. entre les deux.
Lorsque vous modifiez une requête, l'éditeur met en surbrillance les éventuelles erreurs qu'elle contient, vous pouvez corriger les erreurs avant d'envoyer la requête.
Console Opérations de sécurité
-
Dans la console Opérations de sécurité, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant spécifique au client. - Dans le panneau de l'éditeur de requête, cliquez sur Ajouter un filtre. L'onglet Filtres s'affiche. Cette boîte de dialogue vous permet de choisir des attributs de résultat compatibles et valeurs.
- Pour Filtrer, sélectionnez un attribut de résultat prédéfini à utiliser pour le filtrage.
- Définissez l'option d'évaluation du filtre et la valeur de l'attribut:
<ph type="x-smartling-placeholder">
- </ph>
- Pour filtrer les résultats qui présentent une valeur d'attribut spécifique, sélectionnez Afficher uniquement. Dans la liste Valeur, sélectionnez la valeur de l'attribut.
- Pour filtrer les résultats qui ne comportent pas de valeur d'attribut spécifique, sélectionnez Filtrer. Dans la liste Valeur, sélectionnez l'attribut. .
- Pour ajouter un autre filtre, procédez comme suit:
<ph type="x-smartling-placeholder">
- </ph>
- Cliquez sur Ajouter un filtre.
- Définissez le nom de l'attribut, l'évaluation l'option et la valeur de l'attribut.
- Définissez la relation logique entre les filtres. Pour logique
opérateur, sélectionnez
AND
ouOR
.
- Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats de la requête sont filtrées en conséquence.
Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.
Opérateurs de requêtes
Les instructions de requête pour les résultats de Security Command Center sont compatibles avec la plupart des API Google Cloud.
La liste suivante montre l'utilisation de différents opérateurs:
state="ACTIVE" AND NOT mute="MUTED"
create_time>"2023-08-15T19:05:32.428Z"
resource.parent_name:"prod"
severity="CRITICAL" OR severity="HIGH"
La liste suivante répertorie tous les opérateurs et fonctions qui sont pris en charge dans les instructions de requête pour les résultats:
- Pour les chaînes:
<ph type="x-smartling-placeholder">
- </ph>
=
pour une égalité totale:
pour une correspondance de chaîne partielle
- Pour les numéros:
<ph type="x-smartling-placeholder">
- </ph>
<
,>
,<=
,>=
pour les inégalités=
,!=
pour l'égalité
- Pour les valeurs booléennes:
<ph type="x-smartling-placeholder">
- </ph>
=
pour l'égalité
- Pour les relations logiques:
<ph type="x-smartling-placeholder">
- </ph>
AND
OR
NOT
ou-
- Pour les expressions de regroupement:
<ph type="x-smartling-placeholder">
- </ph>
(
,)
(parenthèses)
- Pour les tableaux:
<ph type="x-smartling-placeholder">
- </ph>
contains()
, une fonction pour Interroger les résultats avec un champ de tableau contenant au moins un élément qui correspond au filtre spécifiécontainsOnly()
, un fonction permettant d'interroger les résultats avec un champ de tableau contenant uniquement éléments correspondant au filtre spécifié
- Pour les adresses IP:
<ph type="x-smartling-placeholder">
- </ph>
inIpRange()
, une fonction permettant d'interroger des adresses IP dans une plage CIDR spécifiée
Opérateurs de requête dans le menu "Ajouter des filtres"
Pour en savoir plus sur les opérateurs de requête utilisés dans le menu Ajouter des filtres, cliquez sur l'onglet de la console que vous utilisez.
console Google Cloud
Dans le menu Ajouter des filtres de l'éditeur de requête, dans la la console Google Cloud, les opérateurs de requête fonctions sont représentées par des mots ou des expressions. Par exemple:
- Est égal(e) à: établit une correspondance avec les résultats possédant cette valeur d'attribut exacte.
- N'est pas égal(e) à: établit une correspondance avec les résultats qui ne contiennent pas exactement cette valeur .
- Après: met en correspondance les résultats avec une date de création ou de mise à jour postérieure à à une heure spécifiée.
- Avant: met en correspondance les résultats avec une date de création ou de mise à jour antérieure. à une heure spécifiée.
- Contient: établit une correspondance avec les résultats dont les valeurs d'attribut contiennent le texte que vous saisissez dans le champ Mot clé.
- Ne contient pas: correspond aux résultats dont les valeurs d'attribut n'ont pas contenant le texte saisi dans le champ Mot clé.
- Pour rechercher des attributs contenant des tableaux:
<ph type="x-smartling-placeholder">
- </ph>
- Contient l'un: correspond aux résultats comportant une valeur de tableau contenant tout le texte que vous avez saisi dans Mot clé.
- Contient tout: établit une correspondance avec les résultats comportant une valeur de tableau contenant l'intégralité du texte que vous avez saisi dans le champ Mot clé .
- Ne contient aucun: correspond aux résultats qui ne comportent pas de tableau contenant le texte que vous avez saisi dans Mot clé.
- Ne contient que: correspond aux résultats comportant un tableau contenant uniquement la valeur que vous avez saisie dans Mot clé et aucune autre valeur.
- Pour les adresses IP:
<ph type="x-smartling-placeholder">
- </ph>
- N'importe quelle plage d'adresses IP: correspond aux résultats qui dont l'adresse IP se trouve dans une plage CIDR spécifiée.
- Ne comporte aucune plage d'adresses IP: correspond aux résultats qui dont l'adresse IP ne se trouve pas dans une plage CIDR spécifiée.
Console Opérations de sécurité
Dans le menu Ajouter des filtres les opérateurs de requête et sont représentées comme suit:
de la Éditeur de requête dans le la console Opérations de sécurité,- Afficher uniquement: renvoie les résultats avec cette valeur d'attribut exacte.
- Filtrer: établit une correspondance avec les résultats ne présentant pas cet attribut exact .
Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.
Fonctions de requête
Une fonction de requête fournit des évaluations plus complexes des valeurs d'attribut. que les opérateurs de requête courants.
Fonction contains
Utilisez la fonction contains
pour évaluer des attributs ou des sous-champs d'attribut.
qui peuvent apparaître plusieurs fois
dans le même résultat.
En interne, ces attributs ou sous-champs d'attribut sont stockés dans d'une structure de données de tableau. appelés attributs de type tableau.
Par exemple, certains résultats peuvent faire référence à plusieurs
connexions. L'attribut connections
est donc un attribut de type tableau.
De même, certaines menaces peuvent faire référence à plusieurs
les adresses IP comme indicateurs de compromission. Le ip_addresses
sous-champ de l'attribut indicator
est un attribut de type tableau.
La fonction contains
utilise la syntaxe suivante:
contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)
Remplacez les éléments suivants :
ARRAY_ATTRIBUTE_NAME
: nom du type de tableau stocké dans un tableau. Si l'attribut "array-type" est un sous-champ d'un autre attribut, spécifiez le nom de l'attribut et le sous-champ séparés par un point.Dans l'exemple suivant, l'attribut de type tableau,
ip_addresses
, est un sous-champ deindicator
. Les deux sont donc spécifiés dans le PositionARRAY_ATTRIBUTE_NAME
:contains(indicator.ip_addresses, elem="192.0.2.80")
SUBFILTER
: expression qui définit comment évaluer chaque instance de l'attribut "array-type". Security Command Center standard opérateurs de requête et instructions d'évaluation sont pris en charge.Si la valeur à vérifier se trouve dans un sous-champ d'un attribut de type tableau, spécifier le nom du sous-champ à gauche de l'expression. Les éléments suivants : La fonction
contains
évalue chaque élément d'un tableau deconnections
, qui est un attribut de type tableau contenant des sous-champs. Les valeurs interrogées se trouvent dans le sous-champdestination_ip
, qui n'est pas un champ de type tableau. Les valeurs à interroger sont spécifiées avec le nom du sous-champ,destination_ip
, au lieu du paramètreelem
.contains(connections, destination_ip="192.0.2.80")
Si le sous-champ est l'attribut "array-type", spécifiez l'attribut "array-type" à gauche de l'expression avec son parent et utilisez le paramètre
elem
sur à droite de l'expression pour spécifier la valeur à rechercher. Par exemple : La fonctioncontains
suivante évalue chaque élément d'un tableau deip_addresses
, qui est un sous-champ de l'attributindicator
. La L'attributindicator
n'est pas un champ de type tableau.contains(indicator.ip_addresses, elem="192.0.2.80")
La fonction contains
dans le menu "Ajouter un filtre"
Dans le menu Ajouter un filtre, en fonction de l'attribut de résultat qui
que vous évaluez, la fonction contains
est explicitement répertoriée
ou il est inclus automatiquement lorsque vous sélectionnez une autre option de filtre
qui l'exige.
Par exemple, dans le sous-champ IP addresses (Adresses IP) de l'attribut Indicator (Indicateur), vous pouvez sélectionner les options de filtre suivantes:
- Contient l'un des
- Contient tout
- Ne contient aucun
En revanche, si vous filtrez le sous-champ Adresse IP de destination
Attribut Connexions et sélectionnez Toutes dans la plage d'adresses IP,
Les fonctions contains
sont automatiquement ajoutées à l'instruction de requête.
comme illustré dans l'exemple suivant:
contains(connections, inIpRange(destination_ip, "2001:db8::/32"))
Pour en savoir plus sur la fonction contains
, consultez
Filtrer les données sur des champs de type tableau.
Fonction containsOnly
La fonction containsOnly
vous permet d'interroger les résultats pour des attributs de type tableau ou
sous-champs qui ne contiennent que les valeurs spécifiées dans le sous-filtre ; et
pas d'autres.
La fonction containsOnly
utilise la syntaxe suivante:
containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)
Remplacez les éléments suivants :
ARRAY_ATTRIBUTE_NAME
: nom du type de tableau . Si l'attribut de type tableau est un sous-champ d'un autre attribut, Spécifiez le nom de l'attribut et le nom du sous-champ en les séparant par un point. Lorsque vous exécutent des requêtes à l'aide de la console Google Cloud, cette fonction est compatible avec les tableauxiam_bindings.member
etiam_bindings.role
. .SUBFILTER
: expression qui définit comment évaluer chaque élément de l'attribut "array-type". Requête Security Command Center standard et les énoncés d'évaluation sont pris en charge.
Dans le menu Ajouter un filtre, les options de filtrage suivantes utilisent la containsOnly
:
Liaison IAM > Membre: sélectionne uniquement les résultats qui incluent les des utilisateurs, des comptes de service ou des groupes.
Liaison IAM > Rôle: sélectionne uniquement les résultats qui incluent les de rôles.
L'exemple suivant illustre une requête de résultat dans la console Google Cloud
qui renvoie des résultats actifs et réactivés pour les utilisateurs du groupe example-group
:
state="ACTIVE" AND NOT mute="MUTED" AND containsOnly(iam_bindings,member="group:example-group@example.com")
Fonction inIpRange
La fonction inIpRange
vérifie si l'adresse IP d'une adresse IP
de recherche se trouve dans une plage d'adresses IP qui
que vous spécifiez en utilisant
la notation CIDR (une plage CIDR). Les émissions suivantes
la syntaxe de la fonction inIpRange
:
inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")
Dans le menu Ajouter un filtre, le filtre suivant
utilisent la fonction inIpRange
:
- Tout dans la plage d'adresses IP: sélectionne uniquement les résultats contenant des adresses IP dans la plage spécifiée.
- Ne contient aucune plage d'adresses IP: sélectionne uniquement les résultats qui n'ont contiennent des adresses IP comprises dans la plage spécifiée.
L'exemple suivant illustre une requête de résultat dans la console Google Cloud
qui renvoie des résultats actifs et réactivés dans lesquels le sous-champ caller_ip
de l'objet access
contient une adresse IPv6 de la plage CIDR 2001:db8::/32
:
state="ACTIVE" AND NOT mute="MUTED" AND inIpRange(access.caller_ip, "2001:db8::/32")
L'exemple suivant montre une requête de résultats qui renvoie
résultats réactivés dans lesquels le sous-champ caller_ip
de access
ne contient pas d'adresse IP de la plage CIDR IPv4 de 192.0.2.0/24
:
state="ACTIVE" AND NOT mute="MUTED" AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")
Si une adresse IP figure dans un attribut susceptible
plusieurs fois dans un résultat, utilisez la fonction contains
avec
La fonction inIpRange
pour vérifier chaque instance de l'attribut
pour l'adresse IP. Exemple :
contains(connections, inIpRange(source_ip, "192.0.2.0/24"))
Pour en savoir plus sur la fonction contains()
, consultez la section Fonction contains
.
Attributs de résultat pour les requêtes
Security Command Center sélectionne les résultats à afficher en évaluant les attributs de chaque résultat stocké par rapport les filtres d'attributs que vous spécifiez dans la requête.
Vous pouvez interroger la plupart des attributs de résultat. Certains attributs sont communs aux tous les résultats. D'autres attributs peuvent être spécifiques à un titre un problème, une catégorie de résultats ou un service de détection.
Dans le menu Ajouter un filtre du panneau de l'éditeur de requête, le paramètre que vous pouvez appliquer à un filtre d'attribut diffèrent en fonction selon le type d'attribut sélectionné et si celui-ci comporte sous-champs ou un tableau de valeurs.
Dans le menu Ajouter un filtre, cliquez sur l'un des éléments de niveau supérieur suivants pour afficher les sous-attributs et les valeurs que vous pouvez utiliser dans une requête de résultats:
- Résultat
- Ressource
- Accès (
access
) - Niveau d'exposition aux attaques
- Sauvegarde et reprise après sinistre
- Conformités (
compliances[]
) - Connexions (
connections[]
) - Contacts
- Conteneurs
- Base de données
- Exfiltration (
exfiltration
) - Fichiers
- Liaison IAM (
iamBindings[]
) - Indicateur
- Rootkit de noyau
- Kubernetes
- MITRE ATT&CK (
mitreAttack
) - Processus (
processes[]
) - Stratégie de sécurité
- Protection des données sensibles
- Faille