Questa pagina descrive come creare e modificare i risultati di Security Command Center utilizzando il riquadro Editor di query nella pagina Risultati della console Google Cloud e Security Operations Console.
Utilizza le query per recuperare risultati specifici e filtrare quelli che vengono visualizzate nei risultati della query sui risultati.
Utilizzo dei risultati nelle console di Security Command Center Enterprise
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:
- Console Google Cloud: disponibile in tutti i livelli di servizio
- Security Operations Console: disponibile solo nel livello Enterprise
La pagina Risultati dell' La console operativa di sicurezza è in anteprima.
In questa pagina sono descritti i passaggi per lavorare con le due console affiancate in schede separate.
Per maggiori informazioni, vedi Security Command Center Enterprise Google Cloud.
Modifica query sui risultati
Nel riquadro Editor di query puoi aggiungere filtri alle query. per selezionare i risultati in base ai valori delle proprietà o degli attributi. Puoi filtrare per elementi come la presenza di valori, l'assenza di valori o la corrispondenza di una stringa parziale.
Per informazioni su come modificare una query dei risultati, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud. Viene caricata la pagina Risultati con la query predefinita visualizzata nel Campo Anteprima query.
- A destra della sezione Anteprima della query, fai clic su edit. Modifica query per aprire il riquadro Editor di query.
- Seleziona Aggiungi filtro per esplorare, cercare e aggiungere valori predefiniti filtri di attributo alla query.
- Seleziona un attributo di risultato o digitane il nome nel Casella Cerca attributi dei risultati. Un elenco delle vengono visualizzati tutti gli attributi secondari.
- Seleziona un attributo secondario. Un campo di selezione per le opzioni di valutazione viene visualizzato sopra un elenco degli attributi secondari valori trovati nei risultati della query Risultati della query dei risultati dal riquadro.
- Seleziona un'opzione di valutazione per i valori dell'attributo l'attributo secondario selezionato. Per ulteriori informazioni sulle opzioni di valutazione e gli operatori e le funzioni che utilizzano, vedi Operatori di query nel menu Aggiungi filtri.
- Seleziona Applica.
La finestra di dialogo si chiude e la query viene aggiornata.
- Ripeti finché la query sui risultati non contiene tutti gli attributi che desiderato.
La finestra di dialogo Seleziona filtro ti consente di scegliere i risultati supportati attributi e valori.
In alternativa, puoi creare manualmente una query sui risultati, nello stesso modo in cui Creare un filtro dei risultati utilizzando l'API Security Command Center Durante la digitazione della query, viene visualizzato un menu di completamento automatico in cui puoi selezionare filtri nomi e funzioni.
Quando lavori con Query Builder nella pagina Risultati, La sezione Filtri rapidi sia disattivata per evitare conflitti. tra i due.
Quando modifichi una query, l'editor evidenzia eventuali errori al suo interno in modo da puoi correggere gli errori prima di inviare la query.
Console operativa di sicurezza
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente. - Nel riquadro Editor di query, fai clic su Aggiungi filtro. I filtri . Questa finestra di dialogo ti consente di scegliere gli attributi dei risultati supportati e e i relativi valori.
- Per Filtro, seleziona un attributo dei risultati predefiniti in base al quale filtrare.
- Imposta l'opzione di valutazione del filtro e il valore dell'attributo:
- Per filtrare in base ai risultati che hanno un valore dell'attributo specifico, seleziona Mostra . Nell'elenco Valore, seleziona il valore dell'attributo.
- Per filtrare i risultati che non hanno un valore specifico per l'attributo, Seleziona Filtra. Nell'elenco Valore, seleziona l'attributo valore.
- Per aggiungere un altro filtro:
- Fai clic su Aggiungi filtro.
- Imposta il nome e la valutazione dell'attributo e il valore dell'attributo.
- Imposta la relazione logica tra i filtri. Per Logical
operatore, seleziona
AND
oOR
.
- Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query sui risultati vengano filtrati di conseguenza.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Operatori di query
Le istruzioni di query per i risultati di Security Command Center supportano supportati dalla maggior parte delle API Google Cloud.
Nell'elenco seguente viene illustrato l'utilizzo di vari operatori:
state="ACTIVE" AND NOT mute="MUTED"
create_time>"2023-08-15T19:05:32.428Z"
resource.parent_name:"prod"
severity="CRITICAL" OR severity="HIGH"
L'elenco seguente mostra tutti gli operatori e le funzioni supportate nelle istruzioni di query per i risultati:
- Per le stringhe:
=
per la piena uguaglianza:
per la corrispondenza parziale delle stringhe
- Per i numeri:
<
,>
,<=
,>=
per le disuguaglianze=
,!=
per l'uguaglianza
- Per i valori booleani:
=
per l'uguaglianza
- Per le relazioni logiche:
AND
OR
NOT
o-
- Per raggruppare le espressioni:
(
,)
(parentesi tonde)
- Per gli array:
contains()
, una funzione per eseguire query sui risultati con un campo array che contiene almeno un elemento che corrisponde al filtro specificatocontainsOnly()
, un per eseguire query sui risultati con un campo array che contiene solo elementi che corrispondono al filtro specificato
- Per gli indirizzi IP:
inIpRange()
, una funzione per eseguire query sugli indirizzi IP all'interno di un intervallo CIDR specificato
Operatori di query nel menu Aggiungi filtri
Per informazioni sugli operatori di query utilizzati nel menu Aggiungi filtri, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Nel menu Aggiungi filtri dell'Editor di query nella console Google Cloud, operatori di query di Google Cloud sono rappresentate da parole o frasi come le seguenti:
- Uguale a: associa i risultati con questo esatto valore dell'attributo.
- È diverso da: crea corrispondenze con i risultati che non hanno lo stesso valore dell'attributo.
- Dopo: associa i risultati a un'ora di creazione o aggiornamento dopo il giorno a un determinato orario.
- Prima: associa i risultati a un'ora di creazione o aggiornamento prima del giorno a un determinato orario.
- Contiene: associa i risultati con i valori degli attributi che contengono il testo nel campo Parola chiave.
- Non contiene: associa i risultati con valori degli attributi che non contengono il testo inserito nel campo Parola chiave.
- Per trovare attributi che contengono array:
- Contiene qualsiasi: corrisponde ai risultati che hanno un valore array che contenga qualsiasi testo inserito nella Parola chiave.
- Contiene tutto: corrisponde ai risultati che hanno un valore array che contenga tutto il testo inserito nel campo Parola chiave .
- Non contiene nessuno: corrisponde ai risultati che non hanno un array che contiene il testo inserito nel Parola chiave.
- Contiene solo: corrisponde ai risultati che hanno un array che contenga solo il valore inserito nell'attributo Parola chiave e nessun altro valore.
- Per gli indirizzi IP:
- Qualsiasi all'interno dell'intervallo IP: corrisponde ai risultati che abbiano un indirizzo IP in un intervallo CIDR specificato.
- Non presenta alcun valore all'interno dell'intervallo IP: corrisponde ai risultati che avere un indirizzo IP non compreso in un intervallo CIDR specificato.
Console operativa di sicurezza
Nel menu Aggiungi filtri operatori di query di Google Cloud sono rappresentate da quanto segue:
della Editor di query nella Security Operations Console,- Mostra solo: associa i risultati con questo esatto valore dell'attributo.
- Filtra: corrisponde ai risultati che non hanno questo attributo esatto valore.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Funzioni di query
Una funzione di query fornisce valutazioni più complesse dei valori degli attributi rispetto ai comuni operatori di query.
La funzione contains
Utilizza la funzione contains
per valutare gli attributi o i sottocampi degli attributi
che possono apparire più volte nello stesso risultato.
Internamente, questi attributi o campi secondari degli attributi sono archiviati di dati di una struttura di dati di tipo array, quindi chiamati attributi di tipo array.
Ad esempio, alcuni risultati possono fare riferimento a più reti
connessioni, quindi l'attributo connections
è di tipo array.
Analogamente, alcuni risultati delle minacce possono riferirsi a più
gli indirizzi IP come indicatori di compromissione, quindi ip_addresses
dell'attributo indicator
è un attributo di tipo array.
La funzione contains
utilizza la seguente sintassi:
contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)
Sostituisci quanto segue:
ARRAY_ATTRIBUTE_NAME
: il nome del tipo di array archiviato in un array. Se l'attributo di tipo array è un di un altro attributo, specifica il nome dell'attributo e il campo secondario separato da un punto.Nell'esempio seguente, l'attributo di tipo array
ip_addresses
è un sottocampoindicator
, quindi entrambi sono specificati PosizioneARRAY_ATTRIBUTE_NAME
:contains(indicator.ip_addresses, elem="192.0.2.80")
SUBFILTER
: un'espressione che definisce come valutare ciascuna istanza dell'attributo di tipo array. Security Command Center standard operatori di query e istruzioni di valutazione sono supportati.Se il valore da verificare si trova in un sottocampo di un attributo di tipo array, specifica il nome del sottocampo a sinistra dell'espressione. Le seguenti La funzione
contains
valuta ogni elemento di un array diconnections
, che è un attributo di tipo array che contiene campi secondari. I valori su cui viene eseguita la query si trovano nel sottocampodestination_ip
, che non è un campo di tipo array. I valori su cui eseguire la query sono specificati con il nome del sottocampo,destination_ip
, anziché il parametroelem
.contains(connections, destination_ip="192.0.2.80")
Se il sottocampo è l'attributo di tipo array, specifica l'attributo tipo array a sinistra dell'espressione con il relativo elemento padre e utilizza il parametro
elem
a destra dell'espressione per specificare il valore da cercare. Ad esempio: la seguente funzionecontains
valuta ogni elemento di un array diip_addresses
, che è un campo secondario dell'attributoindicator
. La L'attributoindicator
non è un campo di tipo array.contains(indicator.ip_addresses, elem="192.0.2.80")
La funzione contains
nel menu Aggiungi filtro
Nel menu Aggiungi filtro, a seconda dell'attributo del risultato che
che stai valutando, la funzione contains
è elencata in modo esplicito
oppure viene inclusa automaticamente quando selezioni un'altra opzione di filtro
che lo richiede.
Ad esempio, per il sottocampo Indirizzi IP dell'attributo Indicator, puoi selezionare le seguenti opzioni di filtro:
- Contiene un valore qualsiasi
- Contiene tutte
- Non ne contiene
Al contrario, se applichi un filtro in base al sottocampo IP di destinazione
l'attributo Connections (Connessioni) e seleziona Qualsiasi all'interno dell'intervallo IP,
Le funzioni contains
vengono aggiunte automaticamente all'istruzione di query,
come mostrato nell'esempio seguente:
contains(connections, inIpRange(destination_ip, "2001:db8::/32"))
Per ulteriori informazioni sulla funzione contains
, consulta
Applicazione di filtri in base ai campi di tipo array.
La funzione containsOnly
La funzione containsOnly
consente di eseguire query sui risultati per attributi di tipo array o
campi secondari che contengono solo i valori specificati nel filtro secondario e
nessun altro.
La funzione containsOnly
utilizza la seguente sintassi:
containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)
Sostituisci quanto segue:
ARRAY_ATTRIBUTE_NAME
: il nome del tipo di array . Se l'attributo di tipo array è un campo secondario di un altro attributo, specifica il nome dell'attributo e il nome del sottocampo separati da un punto. Quando eseguono query utilizzando la console Google Cloud, questa funzione supporta gli arrayiam_bindings.member
eiam_bindings.role
attributi.SUBFILTER
: un'espressione che definisce come valutare ogni elemento dell'attributo array-type. Query Standard Security Command Center e le istruzioni di valutazione sono supportati.
Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano il parametro containsOnly
:
Associazione IAM > Membro: seleziona solo i risultati che includono i valori specificati utenti, account di servizio o gruppi.
Associazione IAM > Ruolo: seleziona solo i risultati che includono il valore specificato ruoli.
L'esempio seguente mostra una query sui risultati nella console Google Cloud
che restituisce risultati attivi e riattivati per gli utenti del gruppo example-group
:
state="ACTIVE" AND NOT mute="MUTED" AND containsOnly(iam_bindings,member="group:example-group@example.com")
La funzione inIpRange
La funzione inIpRange
controlla se l'indirizzo IP in una
si trova all'interno di un intervallo di indirizzi IP che
specificata mediante la notazione CIDR (un intervallo CIDR). Quanto segue mostra
la sintassi della funzione inIpRange
:
inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")
Nel menu Aggiungi filtro, il seguente filtro
utilizzano la funzione inIpRange
:
- Qualsiasi all'interno dell'intervallo IP: seleziona solo i risultati che contengono indirizzi IP all'interno dell'intervallo specificato.
- Non presenta alcun valore all'interno dell'intervallo IP: seleziona solo i risultati che non contenere indirizzi IP all'interno dell'intervallo specificato.
L'esempio seguente mostra una query sui risultati nella console Google Cloud
che restituisce risultati attivi e riattivati in cui il sottocampo caller_ip
dell'oggetto access
contiene un indirizzo IPv6 nell'intervallo CIDR di 2001:db8::/32
:
state="ACTIVE" AND NOT mute="MUTED" AND inIpRange(access.caller_ip, "2001:db8::/32")
L'esempio seguente mostra una query dei risultati che restituisce
risultati riattivati in cui il sottocampo caller_ip
di access
non contiene un indirizzo IP nell'intervallo CIDR IPv4 di 192.0.2.0/24
:
state="ACTIVE" AND NOT mute="MUTED" AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")
Se un indirizzo IP si trova in un attributo che può essere visualizzato
più volte in un risultato, utilizza la funzione contains
con
la funzione inIpRange
per controllare ogni istanza dell'attributo
per l'indirizzo IP. Ad esempio:
contains(connections, inIpRange(source_ip, "192.0.2.0/24"))
Per ulteriori informazioni sulla funzione contains()
, consulta l'articolo La funzione contains
.
Trovare gli attributi per le query
Security Command Center seleziona i risultati da visualizzare valutando gli attributi di ogni risultato archiviato ai filtri degli attributi specificati nella query.
Puoi eseguire query sulla maggior parte degli attributi dei risultati. Alcuni attributi sono comuni tutti i risultati. Altri attributi potrebbero essere specifici di un determinato titolo problema, categoria di ricerca o servizio di rilevamento.
Nel menu Aggiungi filtro del riquadro Editor di query, la proprietà le opzioni che puoi applicare a un filtro degli attributi sono diverse a seconda sul tipo di attributo selezionato e se quest'ultimo ha campi secondari o un array di valori.
Nel menu Aggiungi filtro, fai clic su una delle seguenti opzioni di primo livello per visualizzare gli attributi secondari e i valori che puoi utilizzare una query sui risultati:
- Risultato
- Risorsa
- Accesso (
access
) - Punteggio di esposizione all'attacco
- Ripristino di emergenza backup
- Conformità (
compliances[]
) - Connessioni (
connections[]
) - Contatti
- Container
- Database
- Esfiltrazione (
exfiltration
) - File
- Associazione IAM (
iamBindings[]
) - Indicatore
- Rootkit kernel
- Kubernetes
- MITRE ATT&CK (
mitreAttack
) - Processi (
processes[]
) - Security posture
- Protezione dei dati sensibili
- Vulnerabilità