Questa pagina spiega come utilizzare i risultati di Security Command Center nel console Google Cloud e Security Operations Console.
Un risultato è un record di un problema di sicurezza che Security Command Center gestisce creano quando rilevano un problema di sicurezza. I risultati sono elencati nella Pagina Risultati. Puoi fare clic su un risultato per visualizzarne i dettagli e il file JSON completo formato.
Alcune delle azioni che puoi eseguire nella pagina Risultati includono seguenti:
- Risultati della query
- Ispeziona risultati
- Disattiva risultati
- Aggiungi contrassegni di sicurezza ai risultati
Per informazioni sull'utilizzo dei risultati utilizzando Security Command Center API, vedi Accesso a Security Command Center in modo programmatico.
Utilizzo dei risultati nelle console di Security Command Center Enterprise
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:
- Console Google Cloud: disponibile in tutti i livelli di servizio
- Security Operations Console: disponibile solo nel livello Enterprise
La pagina Risultati dell' La console operativa di sicurezza è in anteprima.
In questa pagina sono descritti i passaggi per lavorare con le due console affiancate in schede separate.
Per maggiori informazioni, vedi Security Command Center Enterprise Google Cloud.
Ottieni le autorizzazioni richieste
Questa sezione elenca i ruoli IAM con cui devi lavorare i risultati nella console.
Ruoli IAM della console Google Cloud
Per utilizzare i risultati nella console Google Cloud, devi disporre dei seguenti ruoli IAM.
Make sure that you have the following role or roles on the organization:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer
) - Security Center Findings Editor (
roles/securitycenter.findingsEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Vai a IAM - Seleziona l'organizzazione.
- Fai clic su Concedi l'accesso.
-
Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
- Fai clic su Salva.
- Amministratore Chronicle SOAR (
roles/chronicle.soarAdmin
) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager
) - Gestore delle vulnerabilità SOAR di Chronicle
(
roles/chronicle.soarVulnerabilityManager
) - Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nel riquadro Filtri rapidi, seleziona uno o più attributi predefiniti filtri per aggiungerli a una query. Utilizza il riquadro Filtri rapidi per opzioni di filtro di alto livello più comunemente utilizzate.
- Nella sezione Aggiungi filtro del riquadro Editor di query, seleziona una o più opzioni predefinite filtri degli attributi per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su risultati di livello inferiore attributi. Per ulteriori informazioni, consulta Modificare una query dei risultati nel Google Cloud.
- Modifica la query dei risultati direttamente nella sezione Query dell'editor.
- Nella visualizzazione dettagliata di un risultato, dal menu a discesa menu per un determinato attributo, seleziona un filtro predefinito per quell'attributo per aggiungerlo a una query.
- Nel riquadro Aggregazioni, seleziona uno o più attributi predefiniti filtri per aggiungerli a una query. Utilizza il riquadro Aggregazioni per opzioni di filtro di alto livello più comunemente utilizzate.
- Nella sezione Modificare una query dei risultati nel Google Cloud. Aggiungi filtro del riquadro Editor query, seleziona una o più opzioni predefinite filtri degli attributi per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su risultati di livello inferiore attributi. Per ulteriori informazioni, consulta
- Modifica la query dei risultati direttamente nel riquadro Editor di query.
- La scheda Riepilogo, ossia la visualizzazione predefinita, evidenzia le informazioni chiave e attributi del risultato.
- La scheda Proprietà sorgente, in cui puoi visualizzare gli attributi
l'oggetto
sourceProperties
del file JSON dei risultati. - La scheda JSON, dove puoi visualizzare il formato JSON completo del risultato.
- Che cosa è stato rilevato (o Panoramica)
Dettagli sul risultato rilevato, ad esempio:
- Gravità del risultato
- Lo stato del risultato,
ACTIVE
oINACTIVE
- Tutti i campi chiave correlati al risultato specifico
- Vulnerabilità
Le informazioni contenute nel record CVE che corrispondono alla eventuali vulnerabilità. Sezione Vulnerabilità include le informazioni del record CVE, come:
- ID CVE
- Punteggio CVE
- Impatto
- Attività di exploit
- Esposizione all'attacco
Il punteggio di esposizione agli attacchi e l'ora in cui è stato calcolato il punteggio per l'ultima volta. Se fai clic sul punteggio, si apre una rappresentazione visiva dell'oggetto di alto valore interessato e il percorso di attacco associato.
- Risorsa interessata
Dettagli sulla risorsa associata al risultato, tra cui le seguenti informazioni:
- Il nome completo della risorsa interessata
- Il provider di servizi cloud della risorsa
- I contatti tecnici e di sicurezza
- Informazioni sulla richiesta
Dettagli sul caso associato al risultato, tra cui le seguenti informazioni.
- Il nome completo della risorsa del sistema esterno associato al risultato
- Il gruppo assegnato alla richiesta
- L'case ID, che si collega alla richiesta nella Security Operations Console
- Lo stato della richiesta
- L'ora di aggiornamento nel sistema di gestione delle richieste esterno
- La scadenza impegnata per la chiusura della richiesta
- Contrassegni di sicurezza
I contrassegni di sicurezza associati a questo risultato, se presente.
- Passaggi successivi
Indicazioni su cosa fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, indica i passaggi successivi.
- Link correlati
Link alle principali fonti di informazioni sulla sicurezza al di fuori Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono link correlati.
- Servizio di rilevamento
Dettagli sul servizio, o fonte, che ha rilevato il risultato.
findings
: attributi del risultato. Questi attributi sono standardizzati in tutti i servizi integrati e integrati (noti anche come origini di sicurezza). Per ulteriori informazioni, vediFinding
resource
: gli attributi della risorsa interessata. Per ulteriori informazioni, vediResource
sourceProperties
: le proprietà del risultato specifiche per il servizio.- Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
- Nella visualizzazione dettagliata del risultato, trova l'attributo che vuoi attivare il filtro.
- Accanto all'attributo, apri il menu a discesa.
- Seleziona un filtro predefinito per l'attributo. La viene aggiunto alla query dei risultati nella pagina Risultati.
- Nella pagina Risultati, fai clic sul risultato per visualizzarne i risultati. i dettagli.
- Nella visualizzazione dettagliata del risultato, trova l'attributo che vuoi attivare il filtro.
- Accanto all'attributo, apri il menu a discesa.
- Seleziona un filtro predefinito per l'attributo. La alla query dei risultati nella sezione Risultati .
- Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
- Nella visualizzazione dei dettagli del risultato, puoi trovare e copiare il nome dell'API corrispondente a ogni attributo dei risultati visualizzato.
- Nella pagina Risultati, fai clic sul risultato per visualizzarne i risultati. i dettagli.
- Nella visualizzazione dettagliata del risultato, trova l'attributo il cui equivalente dell'API che desideri copiare.
- Accanto all'attributo, apri il menu a discesa.
- Fai clic su Copia equivalente API.
- Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
- Fai clic su Intervieni > Copia link.
- Nella pagina Risultati, fai clic sul risultato per visualizzarne i risultati. i dettagli.
- Fai clic su Copia .
- Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
- Fai clic su Intervieni > Invia feedback.
- Inserisci una descrizione del feedback.
- Per includere uno screenshot, fai clic su Acquisisci screenshot.
- Fai clic su Invia.
- Risultati della query sui risultati nella pagina Risultati
- Visualizzazione dettagliata di un risultato
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nel riquadro Risultati query dei risultati, seleziona il risultato
- Nella barra delle azioni del riquadro Risultati della query dei risultati, fai clic su Modifica lo stato di attività. Viene visualizzato un menu popup.
- Nel menu popup Modifica stato attivo, seleziona Attivo. o Non attivo.
- Categoria: il nome del tipo di risultato.
- Gravità: la gravità del risultato. Per ulteriori informazioni dei livelli di gravità dei risultati, consulta Classificazioni della gravità per i risultati.
- Punteggio di combinazione tossica: un punteggio di esposizione agli attacchi
su un risultato del corso
Toxic combination
. - Punteggio di esposizione agli attacchi: il punteggio di esposizione agli attacchi del risultato.
- Ora evento: quando il risultato è stato rilevato per la prima volta. o l'ultimo aggiornamento.
- Data/ora creazione: data di creazione del risultato in Security Command Center.
- Classe del risultato: la classe del risultato, ad esempio
THREAT
,VULNERABILITY
eMISCONFIGURATION
. - Nome visualizzato della risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
- Nome completo della risorsa: il nome completo della risorsa in cui si è verificato il problema è stato rilevato.
- Provider cloud di risorse: il provider di servizi cloud su cui la risorsa in hosting.
- Percorso della risorsa: il percorso della risorsa in cui si è verificato il problema è stato rilevato.
- Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
- Contrassegni di sicurezza: tutti i contrassegni di sicurezza aggiunti al risultato.
- A destra della barra delle azioni Risultati della query dei risultati, fai clic su view_column Colonne.
- Seleziona le colonne da visualizzare.
- Annulla le selezioni per le colonne che vuoi nascondere.
- Fai clic su Applica per applicare le modifiche alle Riquadro Risultati query dei risultati.
- Nella barra delle azioni Risultati, fai clic su view_column Gestisci colonne.
- Seleziona le colonne da visualizzare.
- Annulla le selezioni per le colonne che vuoi nascondere.
- Riquadro Filtri rapidi
- Riquadro dell'editor di query
- Scopri di più sui servizi di rilevamento.
- Scopri come utilizzare i contrassegni di sicurezza.
- Scopri come configurare i servizi Security Command Center.
- Scopri come creare un filtro dei risultati utilizzando l'API Security Command Center.
Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, vedi IAM per attivazioni a livello di organizzazione.
Ruoli IAM di Security Operations Console
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati nella Security Operations Console. È necessaria una delle seguenti opzioni IAM ruoli:
Per informazioni sulla concessione del ruolo a un utente, consulta Mappa e autorizza gli utenti utilizzando IAM.
Visualizza risultati
Per informazioni sulla localizzazione della pagina Risultati, fai clic sulla scheda relativa al console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente.
Per ulteriori informazioni su questa console, vedi Console Security Operations.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Modifica l'intervallo di tempo per visualizzare altri risultati
Puoi regolare l'ora
utilizzato per le query. L'intervallo di tempo predefinito è Last 7 days
.
L'intervallo di tempo si basa sul valore dell'attributo eventTime
dell'
risultati, che riflettono il momento in cui sono stati registrati i risultati per l'ultima volta
aggiornato.
Per informazioni su come regolare l'intervallo di tempo, fai clic sulla scheda relativa all'icona console che stai utilizzando.
Console Google Cloud
Nella pagina Risultati Nella console Google Cloud, imposta l'intervallo di tempo campo.
Console operativa di sicurezza
In cima all'elenco dei risultati nella sezione Risultati nella Security Operations Console, imposta il campo Visualizzazione.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Ricerca della disponibilità in corso...
In genere, un risultato diventa disponibile su cui eseguire query Security Command Center meno di un minuto dopo il servizio il risultato viene archiviato nei risultati di Security Command Center. per configurare un database. I risultati dei livelli Premium ed Enterprise rimangono disponibili per per almeno 13 mesi. I risultati del livello Standard rimangono disponibili per per almeno 35 giorni.
Security Command Center archivia uno o più snapshot di ogni risultato. R
lo snapshot di un risultato di livello Premium o Enterprise viene eliminato 13 mesi
dopo il timestamp
nel campo eventTime
. Se tutti gli snapshot di un risultato vengono eliminati,
non è più possibile eseguire query o recuperare il risultato.
Per saperne di più sulla conservazione dei dati di Security Command Center, consulta Conservazione dei dati.
Trovare e visualizzare risultati specifici
Per impostazione predefinita, la pagina Risultati mostra tutti i risultati attivi che non sono disattivati e che sono nuovi o aggiornati negli ultimi sette giorni.
Per visualizzare risultati specifici, modifica la query dei risultati per specificare I valori o gli attributi che i risultati da visualizzare devono o non deve contenere.
L'esempio seguente è la query predefinita sui risultati:
state="ACTIVE" AND NOT mute="MUTED"
Puoi visualizzare la query dei risultati corrente nel riquadro Editor di query. Puoi modifica direttamente la query o seleziona filtri predefiniti per crearla. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Nella pagina Risultati della console Google Cloud, puoi eseguire seguenti:
Console operativa di sicurezza
Nella pagina Risultati della Security Operations Console, puoi procedere nel seguente modo:
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Visualizzare i dettagli di un risultato
Per scoprire di più su un risultato, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria nella sezione i risultati della query.
Nella visualizzazione dei dettagli puoi trovare le informazioni più importanti comprendere un risultato, indagare una minaccia o risolvere vulnerabilità.
La visualizzazione dettagliata dei risultati include le seguenti schede che puoi seleziona per saperne di più su un risultato e intervenire:
Puoi eseguire determinate azioni sul risultato nella visualizzazione dei dettagli, ad esempio nonché link che rimandano a ulteriori informazioni relative al ricerca.
Scopri di più sul risultato nella visualizzazione dei dettagli
La visualizzazione dettagliata di un risultato evidenzia informazioni importanti scoprire che puoi usare per comprendere e risolvere i problemi di sicurezza sottostanti problema.
Informazioni sulla scheda Riepilogo
La scheda Riepilogo fornisce informazioni sul risultato: sezioni:
Informazioni sulla scheda Proprietà sorgente
Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà sorgente
che evidenzia determinate proprietà dell'oggetto sourceProperties
del
alla ricerca di JSON.
Le proprietà sorgente sono diverse per ogni risultato e per ogni servizio che su Security Command Center. Non vi è alcuna garanzia che le proprietà sorgente siano standardizzate in tutte i servizi di machine learning. Per questo motivo, sconsigliamo vivamente di utilizzare in modo programmatico. Se vuoi che una proprietà sorgente sia standardizzata per tutti i servizi, a conoscerli inviando il tuo feedback.
Informazioni sulla scheda JSON
La scheda JSON contiene la struttura JSON completa del di ricerca, che può essere utile quando si analizza un alla ricerca o alla ricerca di attributi da utilizzare nelle query dei risultati.
Per copiare l'oggetto JSON negli appunti, fai clic su
Copia.La struttura JSON di un risultato contiene i seguenti oggetti:
Puoi anche utilizzare l'API ListFindings
per elencare i risultati e ottenere le relative definizioni JSON.
Eseguire azioni su un risultato dalla visualizzazione dei dettagli
Puoi eseguire una serie di azioni su un risultato nella visualizzazione dei dettagli del risultato, ad esempio disattivare il risultato. Se stai visualizzando la visualizzazione dei dettagli del risultato in la console Google Cloud, puoi anche aggiungere gli attributi del risultato all'attuale query dei risultati.
Disattivare un risultato nella visualizzazione dei dettagli
Dalla visualizzazione dei dettagli di un risultato, puoi disattivare o riattivare l'audio del risultato. Puoi e creare una regola che disattivi tutti i risultati futuri come quello attuale.
Per le istruzioni complete sulla disattivazione di un risultato o sulla creazione di una regola di disattivazione, consulta Disattivazione dei risultati in Security Command Center.
Aggiungere filtri degli attributi a una query dalla visualizzazione dei dettagli
Nella visualizzazione dei dettagli di un risultato, nella console Google Cloud, puoi aggiungere filtri per gli attributi visualizzati alla query sui risultati corrente.
Per informazioni su come aggiungere filtri degli attributi a una query dal dettaglio fai clic sulla scheda relativa alla console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Visualizza o copia i nomi delle API degli attributi nella visualizzazione dettagliata di un risultato
La maggior parte degli attributi dei risultati vengono visualizzati nella console Google Cloud abbiano un nome corrispondente utilizzato nell'API Security Command Center.
Per informazioni su come visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dei dettagli di un risultato, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Condividere la visualizzazione dettagliata di un risultato
Per condividere la visualizzazione dei dettagli di un risultato, puoi copiare l'URL del dettaglio visualizza pagina per la condivisione con altri.
Per informazioni su come copiare l'URL della visualizzazione dettagliata di un risultato, fai clic su la scheda della console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Invia feedback sul risultato a Google Cloud
Per informazioni su come inviare feedback su un risultato, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità non è disponibile in Security Operations Console.
Visualizza i dettagli di altri risultati nei risultati della query sui risultati
Per vedere i dettagli dei risultati che precedono o seguono il risultato che che stai visualizzando, utilizza
successivo o pulsante precedente per andare al risultato successivo o precedente, senza dover tornare pagina Risultati.Aggiungi contrassegni di sicurezza ai risultati
Un marchio di sicurezza è un'etichetta personalizzata di una coppia chiave-valore che puoi utilizzare per annotare un risultato, associarlo ad altri risultati che condividono lo stesso contrassegno di sicurezza e i risultati delle query.
Per istruzioni complete sull'impostazione dei contrassegni di sicurezza sui risultati o asset, consulta Utilizzare i contrassegni di sicurezza.
Disattivazione dei risultati nella console
Puoi disattivare e riattivare i risultati nelle seguenti visualizzazioni:
Puoi disattivare singoli risultati o creare regole di disattivazione che disattivano gli attuali risultati e sui risultati futuri in base ai filtri che definisci.
I risultati disattivati vengono nascosti e silenziati, ma puoi comunque visualizzarli aggiungendo
il filtro mute="MUTED"
alla query sui risultati. Continua i risultati disattivati
i log a fini di controllo e conformità.
Per istruzioni dettagliate su come disattivare e riattivare i risultati, consulta Disattivazione dei risultati in Security Command Center.
Modificare lo stato di un risultato
Un risultato può avere uno dei due stati seguenti: Active
o Inactive
.
Lo stato Active
indica che il problema di sicurezza identificato
il risultato persiste nel tuo ambiente come potenziale minaccia
vulnerabilità.
Lo stato Inactive
indica che il problema di sicurezza è stato risolto.
Lo stato di un risultato può essere modificato per diversi motivi,
ad esempio modificare lo stato di un risultato in Inactive
non appena viene
così non è necessario attendere la successiva scansione per cambiare lo stato
per te.
Per informazioni su come modificare lo stato di un risultato, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità non è disponibile in Security Operations Console.
Personalizzare la pagina Risultati
Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati i risultati della query sui risultati.
Modifica le colonne dei risultati della query
Puoi aggiungere o rimuovere colonne dai risultati della query sui risultati.
Puoi rimuovere qualsiasi colonna tranne Categoria.
Di seguito sono riportati alcuni esempi di colonne disponibili:
Per informazioni su come modificare le colonne dei risultati della query sui risultati, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Nascondi o visualizza i riquadri della pagina dei risultati
Per informazioni su come modificare i riquadri della pagina Risultati, fai clic sulla scheda per la console che stai utilizzando.
Console Google Cloud
Per offrire più spazio sullo schermo per modificare le query o visualizzare i risultati, può nascondere o visualizzare i seguenti riquadri:
Per nascondere un riquadro, fai clic sull'icona Attiva/disattiva riquadro first_page o first_page.
Per visualizzare il riquadro, fai nuovamente clic sull'icona.
Console operativa di sicurezza
Questa funzionalità non è disponibile in Security Operations Console.