Visualizzazione dei risultati relativi alle vulnerabilità in Security Command Center

Questa pagina mostra come utilizzare i filtri per visualizzare risultati specifici relativi alle vulnerabilità.

Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud nelle pagine Vulnerabilità e Risultati di Security Command Center.

Dopo aver visualizzato i risultati relativi alle vulnerabilità che ti interessano, puoi visualizzare informazioni dettagliate su un determinato risultato selezionando la vulnerabilità in Security Command Center. Queste informazioni includono una descrizione della vulnerabilità e del rischio, nonché consigli per la correzione.

In questa pagina, il termine vulnerabilità si riferisce sia ai risultati della classe Vulnerability sia ai risultati della classe Misconfiguration.

Confronto tra la pagina Vulnerabilità e la pagina Risultati

Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud sia nella pagina Vulnerabilità sia nella pagina Risultati.

Le opzioni di filtro nella pagina Vulnerabilità sono limitate rispetto alle opzioni di filtro e query disponibili nella pagina Risultati.

La pagina Vulnerabilità mostra tutte le categorie di risultati nelle classi di risultati Vulnerability e Misconfiguration, oltre al numero corrente di risultati attivi in ogni categoria e agli standard di conformità a cui è mappata ogni categoria di risultati. Se non sono presenti vulnerabilità attive in una determinata categoria, nella colonna Risultati attivi viene visualizzato 0.

Al contrario, la pagina Risultati può mostrare le categorie di risultati di qualsiasi classe di risultati, ma mostra una categoria di risultati solo se nel tuo ambiente è stato rilevato un problema di sicurezza in quella categoria nell'intervallo di tempo specificato.

Per ulteriori informazioni, consulta le seguenti pagine:

Applicare preimpostazioni query

Nella pagina Vulnerabilità, puoi selezionare query predefinite, predefinizioni di query, che restituiscono risultati correlati a obiettivi di sicurezza specifici.

Ad esempio, se la tua responsabilità è la gestione dei diritti di accesso all'infrastruttura cloud (CIEM) per Google Cloud, puoi selezionare la query preimpostata Inserimenti errati di identità e accesso per visualizzare tutti i risultati relativi agli account principali configurati in modo errato o a cui sono state concesse autorizzazioni eccessive o sensibili.

In alternativa, se il tuo obiettivo è limitare specificamente le entità solo alle autorizzazioni di cui hanno effettivamente bisogno, puoi selezionare la query preimpostata del motore per suggerimenti IAM per mostrare i risultati del motore per suggerimenti IAM per le entità che dispongono di più autorizzazioni di quante ne servano.

Per selezionare una preimpostazione di query:

  1. Vai alla pagina Vulnerabilità:

    Vai a Vulnerabilità

  2. Nella sezione Preimpostazioni query, fai clic su uno dei selettori di query.

    La visualizzazione viene aggiornata in modo da mostrare solo le categorie di vulnerabilità specificate nella query.

Visualizzazione dei risultati relativi alle vulnerabilità per progetto

Per visualizzare i risultati relativi alle vulnerabilità per progetto nella pagina Vulnerabilità della console Google Cloud, segui questi passaggi:

  1. Vai alla pagina Vulnerabilità nella console Google Cloud.

    Vai a Vulnerabilità

  2. Nel selettore dei progetti nella parte superiore della pagina, seleziona il progetto per cui devi visualizzare i risultati relativi alle vulnerabilità.

La pagina Vulnerabilità mostra i risultati solo per il progetto selezionato.

In alternativa, se la vista della console è impostata sulla tua organizzazione, puoi filtrare i risultati relativi alle vulnerabilità in base a uno o più ID progetto utilizzando i filtri rapidi nella pagina Risultati.

Visualizzazione dei risultati relativi alle vulnerabilità per categoria di risultati

Per visualizzare i risultati relativi alle vulnerabilità per categoria:

  1. Vai alla pagina Vulnerabilità nella console Google Cloud.

    Vai a Vulnerabilità

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella colonna Categoria, seleziona il tipo di risultati per i quali vuoi visualizzare i risultati.

Viene caricata la pagina Risultati, che mostra un elenco di risultati corrispondenti al tipo selezionato.

Per ulteriori informazioni sulle categorie di risultati, consulta Risultati delle vulnerabilità.

Visualizzazione dei risultati per tipo di asset

Per visualizzare i risultati relativi alle vulnerabilità per un tipo di asset specifico:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nel riquadro Filtri rapidi, seleziona quanto segue:

    • Nella sezione Classe di risultati, seleziona sia Vulnerabilità sia Configurazione errata.
    • (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare le risorse.
    • Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che devi vedere.

L'elenco dei risultati nel riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati corrispondenti alle tue selezioni.

Visualizzazione dei risultati relativi alle vulnerabilità in base al punteggio di esposizione agli attacchi

I risultati relativi alle vulnerabilità identificate come di alto valore e che sono supportati dalle simulazioni dei percorsi di attacco vengono assegnati a un punteggio di esposizione agli attacchi. Puoi filtrare i risultati in base a questo punteggio.

Per visualizzare i risultati relativi alle vulnerabilità in base al punteggio di esposizione agli attacchi:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. A destra del riquadro Anteprima query, fai clic su Modifica query.

  4. Nella parte superiore del riquadro Editor delle query, fai clic su Aggiungi filtro.

  5. Nella finestra di dialogo Seleziona filtro, seleziona Esposizione agli attacchi.

  6. Nel campo Esposizione agli attacchi maggiore di, inserisci un valore del punteggio.

  7. Fai clic su Applica.

    L'istruzione di filtro viene aggiunta alla query e i risultati nel riquadro Risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati con un punteggio di esposizione agli attacchi superiore al valore specificato nella nuova istruzione di filtro.

Visualizzazione dei risultati relativi alle vulnerabilità per ID CVE

Puoi visualizzare i risultati in base al relativo ID CVE nella pagina Panoramica o nella pagina Risultati.

Nella pagina Panoramica, nella sezione Principali risultati con CVE, i risultati relativi alle vulnerabilità sono raggruppati in un grafico interattivo in base alla sfruttabilità e all'impatto della corrispondente CVE, come valutato da Mandiant. Fai clic su un blocco del grafico per visualizzare un elenco di vulnerabilità per ID CVE che sono state rilevate nel tuo ambiente.

Nella pagina Risultati, puoi eseguire query sui risultati in base al relativo ID CVE.

Per eseguire query sui risultati relativi alle vulnerabilità in base all'ID CVE:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. A destra, nel campo Anteprima query, fai clic su Modifica query.

  4. Nell'Editor di query, modifica la query in modo da includere l'ID CVE che stai cercando. Ad esempio:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    I risultati della query sui risultati vengono aggiornati per mostrare tutti i risultati attivi non disattivati e contenenti l'ID CVE.

Visualizzazione dei risultati relativi alle vulnerabilità in base alla gravità

Per visualizzare i risultati relativi alle vulnerabilità in base alla gravità:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

    Vai a Risultati

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nel riquadro Filtri rapidi, vai alla sezione Classe di risultati e seleziona sia Vulnerabilità sia Configurazione errata.

    I risultati visualizzati vengono aggiornati in modo da mostrare solo i risultati dei gruppi Vulnerability e Misconfiguration.

  4. Sempre nel riquadro Filtri rapidi, vai alla sezione Gravità e seleziona le gravità dei risultati che vuoi visualizzare.

    I risultati visualizzati vengono aggiornati in modo da mostrare solo i risultati relativi alle vulnerabilità delle severità selezionate.

Visualizzare le categorie di risultati in base al numero di risultati attivi

Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono, puoi utilizzare la console Google Cloud o i comandi Google Cloud CLI.

Console

Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono nella pagina Vulnerabilità, puoi ordinare le categorie in base alla colonna Risultati attivi o filtrarle in base al numero di risultati attivi che contengono.

Per filtrare le categorie di risultati relativi alle vulnerabilità in base al numero di risultati attivi che contengono:

  1. Apri la pagina Vulnerabilità nella console Google Cloud:

    Vai a Vulnerabilità

  2. Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Posiziona il cursore nel campo del filtro per visualizzare un elenco di filtri.

  4. Dall'elenco dei filtri, seleziona Risultati attivi. Viene visualizzato un elenco di operatori logici.

  5. Seleziona un operatore logico da utilizzare nel filtro, ad esempio >=.

  6. Digita un numero e premi Invio.

La visualizzazione viene aggiornata per mostrare solo le categorie di vulnerabilità che contengono un numero di risultati attivi che corrispondono al filtro.

gcloud

Per utilizzare gcloud CLI per ottenere un conteggio di tutti gli elementi attivi, innanzitutto esegui una query su Security Command Center per ottenere l'ID origine di un servizio di vulnerabilità e poi utilizza l'ID origine per eseguire una query sul conteggio degli elementi attivi.

Passaggio 1: ottieni l'ID origine

Per completare questo passaggio, ottieni l'ID della tua organizzazione e poi l'ID fonte di uno dei servizi di rilevamento delle vulnerabilità, noti anche come origini di ricerca. Se non l'hai ancora fatto, ti verrà chiesto di abilitare l'API Security Command Center.

  1. Ottieni l'ID organizzazione eseguendo gcloud organizations list, quindi annota il numero accanto al nome dell'organizzazione.

  2. Per ottenere l'ID origine Security Health Analytics, esegui:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione. L'ID organizzazione è obbligatorio, indipendentemente dal livello di attivazione di Security Command Center.
    • SOURCE_DISPLAY_NAME: il nome visualizzato del servizio di rilevamento delle vulnerabilità per cui devi visualizzare i risultati. Ad esempio, Security Health Analytics.

  3. Se richiesto, abilita l'API Security Command Center ed esegui nuovamente il comando precedente per recuperare l'ID origine.

Il comando per ottenere l'ID origine dovrebbe visualizzare un output simile al seguente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota del valore SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: ottieni il conteggio dei risultati attivi

Utilizza il SOURCE_ID annotato nel passaggio precedente per filtrare i risultati. Il seguente comando gcloud CLI restituisce un conteggio dei risultati per categoria:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puoi impostare la dimensione pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare un output simile al seguente, con i risultati della tua organizzazione o del tuo progetto specifico:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50