Ressourcen im Zusammenhang mit Ergebnissen prüfen

Auf dieser Seite wird die Arbeit mit Cloud-Ressourcen zum Zweck der Verbesserung Ihres Sicherheitsstatus, Behebung von Sicherheitsproblemen und Reaktion auf Bedrohungen.

In Security Command Center können Sie u. a. folgende Aktionen für Ressourcen ausführen: Folgendes:

  • Ressourcen ansehen
  • Ressourcen abfragen
  • Ressourcendetails prüfen
  • Ergebnisse zu einer Ressource überprüfen

Erforderliche Berechtigungen einholen

In diesem Abschnitt sind die IAM-Rollen aufgeführt, mit denen Sie arbeiten müssen in der Konsole.

IAM-Rollen der Google Cloud Console

Wenn Sie in der Google Cloud Console mit Ressourcen arbeiten möchten, benötigen Sie die folgenden IAM-Rollen.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene

    IAM-Rollen der Security Operations-Konsole

    Als Security Command Center Enterprise-Kunde können Sie mit Ressourcen arbeiten in der Security Operations-Konsole. Sie benötigen eine der folgenden IAM-Rollen:

    • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren

    Ressourcenseite

    Ressourcen werden in den Abfrageergebnissen auf der Seite Assets in der Google Cloud Console und – für Security Command Center Enterprise Seite Ressourcen im Security Operations Console.

    Wenn Security Command Center in der Organisation Ebene auswählen, können Sie sich die Ressourcen für Ihre gesamte Organisation ansehen oder nach bestimmten Projekten, Ressourcentypen und Standorten aufgeschlüsselt.

    Wenn Security Command Center im Projekt können Sie Ressourcen nach Ressourcentyp und Standort in der Google Cloud Console

    Die Liste der Ressourcen wird von Cloud Asset Inventory bereitgestellt. In den meisten Fällen Cloud Asset Inventory aktualisiert die Liste innerhalb weniger Minuten nach der Ressourcenerstellung. die in Ihrer Google Cloud-Umgebung geändert oder entfernt wurden.

    Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.

    Mit Ressourcen in den Security Command Center Enterprise-Konsolen arbeiten

    Als Security Command Center Enterprise-Kunde können Sie mit Ressourcen arbeiten in zwei Konsolen:

    • Seite Assets der Google Cloud Console: in allen Dienststufen verfügbar
    • Seite Ressourcen der Security Operations-Konsole: verfügbar in der Nur Enterprise-Stufe

    Die Seite Ressourcen im Die Security Operations-Konsole befindet sich in der Vorschau.

    Die Schritte auf dieser Seite für die Arbeit mit Ressourcen in den beiden Konsolen sind: Seite an Seite auf separaten Tabs beschrieben.

    Weitere Informationen finden Sie unter Security Command Center Enterprise. Konsolen.

    Ressourcen ansehen

    Wenn Sie Informationen zum Anzeigen Ihrer Ressourcen benötigen, klicken Sie auf den Tab für die Sie verwenden.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

    Security Operations-Konsole

    Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

    Weitere Informationen zu dieser Konsole finden Sie unter Security Operations-Konsole.

    Ressourcen sortieren

    Klicken Sie zum Sortieren von Ressourcen auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten nach. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

    Ressourcen filtern

    In diesem Abschnitt wird beschrieben, wie Sie häufige Abfragen ausführen, um Ihre Ressourcen zu überprüfen in Security Command Center.

    Standardmäßig werden alle Ressourcen im ausgewählten Projekt, Ordner oder in der ausgewählten Organisation in den Abfrageergebnissen angezeigt wird. Sie können die Ergebnisse nach bestimmten mithilfe von Schnellfiltern oder durch die Angabe benutzerdefinierter Filter. Weitere Informationen erhalten Sie, wenn Sie auf den Tab der Konsole klicken, die Sie verwenden.

    Google Cloud Console

    Um die Ergebnisse nach Ressourcentyp, Projekt-ID oder Standort zu filtern, verwenden Sie die Schnellinfo Bereich „Filter“.

    Um die umsatzstarken Ressourcen, die Risk Engine im letzten Angriffspfad enthalten hat Simulationen ausführen, klicken Sie auf den Tab Satz hochwertiger Ressourcen. Sie können auch die Angriffsrisikobewertungen, die Risk Engine für jede einzelne .

    Um vordefinierte Filter zum Überprüfen von Ressourcendaten anzuwenden, klicken Sie auf das Asset- Abfrage.

    Security Operations-Konsole

    Öffnen Sie den Tab Google Cloud-Ressourcen im Menü Filter: Hier können Sie die Ergebnisse nach Ressource filtern. Projekt-ID oder Speicherort haben.

    Auf dem Tab Satz hochwertiger Ressourcen sehen Sie die hochwertigen Ressourcen Ressourcen, die Risk Engine im letzten Angriffspfad enthalten hat Simulationen sowie die Angriffsrisikobewertungen, die Risk Engine für jede Ressource berechnet hat.

    Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

    Ressourcen filtern

    In Schnellfiltern können Sie nach Projekt-ID, Ressourcentyp und Standort filtern.

    Informationen zur Verwendung von Schnellfiltern erhalten Sie, wenn Sie auf den Tab für die Sie verwenden.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Wählen Sie im Bereich Schnellfilter einen oder um sie einer Abfrage hinzuzufügen.

    Security Operations-Konsole

    1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Um nach Ressourcen mit bestimmten Attributwerten zu filtern, führen Sie folgende Schritte aus:
      1. Klicken Sie im Bereich Filter auf eine und klicken Sie auf Nur anzeigen. Die Abfrage wurde aktualisiert entsprechend anpassen.
      2. Um der Abfrage einen weiteren Attributwert hinzuzufügen, klicken Sie auf das und klicken Sie auf Nur anzeigen.
      3. Um einen Attributwert aus der Abfrage zu entfernen, klicken Sie auf den Attributwert und klicken Sie auf Do not show only (Nur anzeigen).
    3. Um einen Attributwert zu kopieren, klicken Sie auf den Attributwert und dann auf Kopieren:

    Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

    Ressourcenabfragen bearbeiten

    Um Informationen zum Bearbeiten von Ressourcenabfragen zu erhalten, klicken Sie auf den Tab für die Sie verwenden.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Klicken Sie auf den Tab Asset-Abfrage.
    3. Bearbeiten Sie die Abfrage auf eine der folgenden Arten:
      • Wählen Sie auf dem Unter-Tab Abfragebibliothek eine vordefinierte Abfrage aus. Klicken Sie auf Übernehmen. Die Abfrage im Bereich Abfrage bearbeiten entsprechend aktualisiert.
      • Klicken Sie im Bereich Tabelle auswählen auf den gewünschten Ressourcentyp für die Abfrage verwendet werden soll. Suchen Sie auf dem Unter-Tab Schema nach dem Attribut, die Sie der Abfrage hinzufügen möchten. Das Attribut wird dem Feld Abfrage bearbeiten .
      • Bearbeiten Sie die Abfrage direkt im Bereich Abfrage bearbeiten.
    4. Klicken Sie auf Ausführen. Die Abfrageergebnisse werden entsprechend aktualisiert.

    Security Operations-Konsole

    1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Klicken Sie auf Filter hinzufügen. Über die Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ressourcenattribute und Werte.
    3. Wählen Sie unter Filter ein Attribut aus, nach dem gefiltert werden soll. aktiviert.
    4. Legen Sie die Filterbewertungsoption und den Attributwert fest. Die verfügbaren Bewertungsoptionen unterscheiden sich je nach ausgewähltem Attribut.
      • Um nach Ressourcen mit einem bestimmten Attributwert zu filtern, wählen Sie Nur anzeigen: Wählen Sie in der Liste Wert den Attributwert aus.
      • Um nach Ressourcen zu filtern, deren Attributwert ein String suchen, wählen Sie Enthält aus. Geben Sie in das Feld Value (Wert) die Zeichenfolge.
      • Um Ressourcen anhand eines Zeitstempels zu filtern, wählen Sie Vor oder Nachher: Geben Sie im Feld Wert den Zeitstempel ein.
    5. So fügen Sie einen weiteren Filter hinzu:
      1. Klicken Sie auf Filter hinzufügen.
      2. Attribut, Auswertungsoption und Attribut festlegen Wert.
      3. Legen Sie die logische Beziehung zwischen den Filtern fest. Für Logical Operator, wählen Sie AND oder OR aus.
    6. Klicken Sie auf Anwenden. Der Abfrageeditor wird aktualisiert und die Abfrageergebnisse werden entsprechend gefiltert.

    Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

    Änderungen an einer Ressource ansehen

    Sie können Snapshots der Metadaten einer Ressource vergleichen, um was sich geändert hat.

    Um zu erfahren, wie Sie die Änderungen an einer Ressource im Zeitverlauf sehen, klicken Sie auf für die Console, die Sie verwenden.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Suchen Sie die Ressource, die Sie überprüfen möchten, indem Sie scrollen oder indem Sie die entsprechenden Filter auf die aufgeführten Ressourcen anwenden.
    3. Klicken Sie in der Liste der Ressourcen im Ergebnisbereich auf den Namen des . Der Detailbereich für die Ressource wird geöffnet.
    4. Klicken Sie im Detailbereich der Ressource auf den Änderungsverlauf. .
    5. Wählen Sie auf dem Tab Änderungsverlauf sowohl einen Beginn als auch einen Ende:
    6. Wählen Sie links aus der Liste Wählen Sie einen Eintrag zum Vergleichen aus aus. Snapshot.
    7. Wählen Sie rechts aus der Liste Wählen Sie einen Eintrag zum Vergleichen aus aus. um ihn mit dem ersten ausgewählten Snapshot zu vergleichen. Die Änderungen zwischen den beiden Snapshots.

    Security Operations-Konsole

    1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Suchen Sie die Ressource, die Sie überprüfen möchten, indem Sie scrollen oder indem Sie die entsprechenden Filter auf die aufgeführten Ressourcen anwenden.
    3. Klicken Sie in der Liste der Ressourcen im Ergebnisbereich auf den Namen des . Der Detailbereich für die Ressource wird geöffnet.
    4. Klicken Sie im Detailbereich der Ressource auf den Änderungsverlauf. .
    5. Wählen Sie links in der Liste Vergleichen Snapshot.
    6. Wählen Sie rechts in der Liste Vergleichen um ihn mit dem ersten ausgewählten Snapshot zu vergleichen. Die Änderungen zwischen den beiden Snapshots.

    Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

    Ressourcen nach dem Zeitstempel „Erstellt“ oder „Zuletzt aktualisiert“ filtern

    Informationen zum Filtern von Ressourcen nach Zeitstempel finden Sie auf dem Tab für die Sie verwenden.

    Google Cloud Console

    Sie können die Ressourcen im Ergebnisbereich der Assets nach dem Zeitstempel Erstellt und Zuletzt aktualisiert

    Bei einem Filter, der auf dem Zeitstempel Erstellt basiert: Zuletzt aktualisiert oder beides, gehen Sie so vor:

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Platzieren Sie auf der Seite Assets oben im Ergebnisbereich Ihr den Cursor im Feld Filter. Ein Menü mit Filtern wird geöffnet.
    3. Scrollen Sie zum Abschnitt Zeitpunkt erstellen oder Uhrzeit aktualisieren und wählen Sie eine Option aus. der zeitbasierten Filteroptionen. Beispiel: Update time after Dem Feld Filter wird ein Filter hinzugefügt.
    4. Geben Sie im Filterfeld ein Datum im Format MM/DD/YYYY ein und drücken Sie die Eingabetaste auf der Tastatur.

    Die Ressourcen im Ergebnisbereich werden aktualisiert und sehen jetzt nur noch die Ressourcen die Ihrem Filter entsprechen.

    Security Operations-Konsole

    Diese Funktion ist in der Security Operations-Konsole nicht verfügbar.

    Seite „Assets“ in der Google Cloud Console anpassen

    Um den Platz auf dem Bildschirm anzupassen, können Sie einige der angezeigten Elemente auf der Seite Assets.

    Spalten ein- oder ausblenden

    Sie können jede Spalte mit Ausnahme von Anzeigename ausblenden. Um die Spalte auszublenden, führen Sie folgende Schritte aus:

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      „Assets“ aufrufen

    2. Klicken Sie rechts oben im Ergebnisbereich auf das Symbol für Spaltenanzeigeoptionen,

    3. Im angezeigten Menü können Sie eine Spalte ein- oder ausblenden, indem Sie oder das Häkchen neben dem Spaltennamen entfernen.

    Schnellfilterbereich ausblenden oder seine Größe anpassen

    Um den Platz auf der Seite Assets anzupassen, können Sie die folgende Optionen:

    • Blenden Sie die Seitenleiste Schnellfilter aus, indem Sie links Pfeil .
    • Passen Sie die Größe der angezeigten Spalten an, indem Sie die Trennlinie nach links oder links ziehen. genau.

    Nächste Schritte