Questa pagina descrive come utilizzare le risorse cloud per i seguenti scopi: migliorando la security posture, risolvendo i problemi di sicurezza e rispondendo in modo proattivo.
In Security Command Center, alcune delle azioni che puoi eseguire sulle risorse includono: le seguenti:
- Visualizza risorse
- Query sulle risorse
- Ispeziona i dettagli delle risorse
- Esaminare i risultati relativi a una risorsa
Ottieni le autorizzazioni richieste
Questa sezione elenca i ruoli IAM con cui devi lavorare risorse nella console.
Ruoli IAM della console Google Cloud
Per utilizzare le risorse nella console Google Cloud, devi disporre dei seguenti ruoli IAM.
Make sure that you have the following role or roles on the organization:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Vai a IAM - Seleziona l'organizzazione.
- Fai clic su Concedi l'accesso.
-
Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
- Fai clic su Salva.
- Amministratore Chronicle SOAR (
roles/chronicle.soarAdmin
) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager
) - Gestore delle vulnerabilità SOAR di Chronicle
(
roles/chronicle.soarVulnerabilityManager
) - Pagina Asset della console Google Cloud: disponibile in tutti i livelli di servizio
- Pagina Risorse di Security Operations Console: disponibile nella Solo livello Enterprise
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Nel riquadro Filtri rapidi, seleziona uno o altri filtri degli attributi per aggiungerli a una query.
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente. - Per filtrare in base alle risorse che hanno valori degli attributi specifici,
segui questi passaggi:
- Nel riquadro Filtri, fai clic su una il valore dell'attributo e fai clic su Mostra solo. La query viene aggiornata di conseguenza.
- Per aggiungere un altro valore di attributo alla query, fai clic sul valore dell'attributo e fai clic su e mostra solo.
- Per rimuovere un valore dell'attributo dalla query, fai clic sul valore dell'attributo e fai clic su Non mostrare solo.
- Per copiare il valore di un attributo, fai clic sul valore dell'attributo e poi su Copia.
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Fai clic sulla scheda Query sugli asset.
- Modifica la query in uno dei seguenti modi:
- Nella scheda secondaria Libreria query, seleziona una query predefinita. Clic Applica. La query nel riquadro Modifica query è aggiornati di conseguenza.
- Nel riquadro Seleziona tabella, fai clic sul tipo di risorsa che ti interessa su cui eseguire query. Nella scheda secondaria Schema, trova l'attributo che da aggiungere alla query. L'attributo viene aggiunto a Modifica query. dal riquadro.
- Modifica la query direttamente nel riquadro Modifica query.
- Fai clic su Esegui. I risultati della query vengono aggiornati di conseguenza.
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente. - Fai clic su Aggiungi filtro. I filtri . Questa finestra di dialogo ti consente di scegliere gli attributi delle risorse supportati e i relativi valori.
- Per Filtro, seleziona un attributo da filtrare attiva.
- Imposta l'opzione di valutazione del filtro e il valore dell'attributo. Le opzioni disponibili
le opzioni di valutazione variano a seconda dell'attributo selezionato.
- Per filtrare in base alle risorse che hanno un valore dell'attributo specifico, seleziona Mostra solo. Nell'elenco Valore, seleziona il valore dell'attributo.
- Per filtrare le risorse che hanno un valore dell'attributo contenente un stringa specifica, seleziona Contiene. Nel campo Valore, inserisci la stringa.
- Per filtrare le risorse in base a un timestamp, seleziona Prima o Dopo: Nel campo Valore, inserisci il timestamp.
- Per aggiungere un altro filtro:
- Fai clic su Aggiungi filtro.
- Impostare l'attributo, l'opzione di valutazione e l'attributo valore.
- Imposta la relazione logica tra i filtri. Per Logical
operatore, seleziona
AND
oOR
.
- Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query vengano filtrati di conseguenza.
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Individua la risorsa che devi esaminare scorrendo o applicando i filtri appropriati alle risorse in elenco.
- Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome del risorsa. Si apre il riquadro dei dettagli della risorsa.
- Nel riquadro dei dettagli della risorsa, fai clic su Cronologia delle modifiche. .
- Nella scheda Cronologia delle modifiche, seleziona sia un'ora di inizio che un'opzione Ora di fine.
- Nell'elenco Seleziona un record da confrontare a sinistra, seleziona una senza dover creare uno snapshot.
- Nell'elenco Seleziona un record da confrontare a destra, seleziona una snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra le due istantanee sono evidenziate.
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente. - Individua la risorsa che devi esaminare scorrendo o applicando i filtri appropriati alle risorse in elenco.
- Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome del risorsa. Si apre il riquadro dei dettagli della risorsa.
- Nel riquadro dei dettagli della risorsa, fai clic su Cronologia delle modifiche. .
- Nell'elenco Confronta a sinistra, seleziona una senza dover creare uno snapshot.
- Nell'elenco Confronta a destra, seleziona una snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra le due istantanee sono evidenziate.
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Nella parte superiore del riquadro dei risultati sulla pagina Asset, inserisci nel campo Filtro. Si apre un menu di filtri.
- Scorri fino alla sezione Crea ora o Aggiorna ora e seleziona una delle due opzioni.
delle opzioni di filtro
basate sul tempo. Ad esempio:
Update time after
. Viene aggiunto un filtro al campo Filtro. - Nel campo del filtro, digita una data nel formato
MM/DD/YYYY
. e premi Invio sulla tastiera. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
Nella parte superiore del riquadro dei risultati sul lato destro, fai clic sull'icona Opzioni di visualizzazione delle colonne, view_column.
Nel menu visualizzato, puoi visualizzare o nascondere una colonna selezionando o deselezionando la casella di controllo accanto al nome della colonna.
- Nascondi il riquadro laterale Filtri rapidi facendo clic sul pulsante a sinistra freccia .
- Ridimensiona le colonne di visualizzazione trascinando la linea di divisione verso sinistra o a destra.
- Annota risorse e risultati con la sicurezza .
Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, vedi IAM per attivazioni a livello di organizzazione.
Ruoli IAM di Security Operations Console
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare le risorse nella Security Operations Console. È necessaria una delle seguenti ruoli IAM:
Per informazioni sulla concessione del ruolo a un utente, consulta Mappa e autorizza gli utenti utilizzando IAM.
La pagina delle risorse
Le risorse sono elencate nei risultati della query della pagina Asset nella Console Google Cloud e: per Security Command Center Enterprise clienti: la pagina Risorse nella sezione Security Operations Console.
Se Security Command Center è attivato nell'organizzazione livello, puoi visualizzare le risorse per l'intera organizzazione o filtrare e le risorse in base a progetti, tipi di risorse e località specifici.
Se Security Command Center è attivato nel progetto livello, puoi filtrare le risorse per tipo e località nel nella console Google Cloud.
L'elenco delle risorse è fornito da Cloud Asset Inventory. Nella maggior parte dei casi, Cloud Asset Inventory aggiorna l'elenco pochi minuti dopo la creazione delle risorse, modificato o rimosso nel tuo ambiente Google Cloud.
Per ulteriori informazioni su Cloud Asset Inventory, consulta Introduzione a Cloud Asset Inventory.
Utilizzo delle risorse nelle console di Security Command Center Enterprise
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare le risorse in due console:
La pagina Risorse dell'interfaccia La console operativa di sicurezza è in anteprima.
In questa pagina, i passaggi per lavorare con le risorse nelle due console sono descritti affiancati in schede separate.
Per maggiori informazioni, vedi Security Command Center Enterprise Google Cloud.
Visualizza risorse
Per informazioni su come visualizzare le risorse, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico per il cliente.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Per ulteriori informazioni su questa console, vedi Console Security Operations.
Ordina le risorse
Per ordinare le risorse, fai clic sull'intestazione della colonna relativa al valore da ordinare. tramite. Le colonne sono ordinate in ordine numerico e poi alfabetico.
Filtro risorse
Questa sezione descrive come eseguire query comuni per esaminare le risorse in Security Command Center.
Per impostazione predefinita, tutte le risorse nel progetto, nella cartella o nell'organizzazione selezionati visualizzato nei risultati della query. Puoi filtrare i risultati per visualizzare risorse usando filtri rapidi o specificando filtri più personalizzati. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Per filtrare i risultati per tipo di risorsa, ID progetto o località, utilizza il filtri.
Per visualizzare i valori di alto valore che Risk Engine ha incluso nell'ultimo percorso di attacco. fai clic sulla scheda Set di risorse di alto valore. Puoi anche visualizzare i punteggi di esposizione agli attacchi calcolati da Risk Engine risorsa.
Per applicare filtri predefiniti per esaminare i dati delle risorse, fai clic sul pulsante Asset della query.
Console operativa di sicurezza
Nella scheda Risorse Google Cloud, Filtri, puoi filtrare i risultati in base alla risorsa tipo, ID progetto o località.
La scheda Set di risorse di alto valore ti consente di visualizzare le risorse di valore elevato risorse incluse da Risk Engine nell'ultimo percorso di attacco simulazioni e i punteggi di esposizione agli attacchi calcolati da Risk Engine per ciascuna risorsa.
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Filtro risorse
Nei filtri rapidi, puoi filtrare per ID progetto, tipo di risorsa e località.
Per informazioni su come utilizzare i filtri rapidi, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Modifica query sulle risorse
Per informazioni su come modificare le query sulle risorse, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Visualizza le modifiche apportate a una risorsa
Puoi confrontare gli snapshot dei metadati di una risorsa per cosa è cambiato.
Per informazioni su come visualizzare le modifiche apportate a una risorsa nel tempo, fai clic sull'icona per la console che stai utilizzando.
Console Google Cloud
Console operativa di sicurezza
Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.
Filtra le risorse in base al timestamp di creazione o ultimo aggiornamento
Per informazioni su come filtrare le risorse per timestamp, fai clic sulla scheda la console che stai utilizzando.
Console Google Cloud
Puoi filtrare o ordinare le risorse nel riquadro dei risultati della Pagina Asset, in base ai timestamp Creato e Ultimo aggiornamento.
A un filtro basato sul timestamp Created (Creato), Ultimo aggiornamento timestamp, o entrambi, segui questi passaggi:
Le risorse nel riquadro dei risultati vengono aggiornate in modo da mostrare solo le risorse che corrispondono al filtro.
Console operativa di sicurezza
Questa funzionalità non è disponibile in Security Operations Console.
Personalizza la pagina Asset nella console Google Cloud
Per controllare lo spazio dello schermo, puoi personalizzare alcuni degli elementi visualizzati sulla pagina Risorse.
Nascondi o visualizza colonne
Puoi nascondere qualsiasi colonna tranne Nome visualizzato. Per nascondere la colonna: segui questi passaggi:
Nascondi o ridimensiona il riquadro Filtri rapidi
Per controllare lo spazio sullo schermo per la pagina Asset, puoi modificare l'impostazione le seguenti opzioni: