Visualiza los resultados de vulnerabilidades en Security Command Center

En esta página, se muestra cómo usar filtros para mostrar resultados específicos de vulnerabilidades.

Puedes ver y filtrar los resultados de vulnerabilidades en la consola de Google Cloud en las páginas Vulnerabilidades y Resultados de Security Command Center.

Después de mostrar los hallazgos de vulnerabilidades que son importantes para ti, puedes ver información detallada sobre un hallazgo en particular si seleccionas la vulnerabilidad en Security Command Center. Esto incluye una descripción de la vulnerabilidad y el riesgo y las recomendaciones de solución.

En esta página, vulnerabilidad hace referencia a los resultados de las clases Vulnerability y Misconfiguration.

Comparación de la página Vulnerabilidades con la página Resultados

Puedes ver y filtrar los resultados de vulnerabilidades en la consola de Google Cloud en las páginas Vulnerabilidades y Resultados.

Las opciones de filtro de la página Vulnerabilidades son limitadas en comparación con las opciones de filtro y consulta que están disponibles en la página Resultados.

En la página Vulnerabilidades, se muestran todas las categorías de resultados en las clases de resultados Vulnerability y Misconfiguration, junto con la cantidad actual de resultados activos en cada categoría y los estándares de cumplimiento a los que se asigna cada categoría de resultados. Si no hay vulnerabilidades activas en una categoría en particular, se mostrará 0 en la columna Resultados activos.

Por el contrario, la página Resultados puede mostrar categorías de resultados de cualquier clase de resultado, pero solo muestra una categoría de resultado si se detectó un problema de seguridad en esa categoría en tu entorno dentro del período especificado.

Si deseas obtener más información, consulta las siguientes páginas:

Cómo aplicar ajustes predeterminados de la consulta

En la página Vulnerabilidades, puedes seleccionar consultas predefinidas, configuraciones predeterminadas de búsqueda, que muestran resultados relacionados con objetivos de seguridad específicos.

Por ejemplo, si tu responsabilidad es la administración de derechos de infraestructura de nube (CIEM) para Google Cloud, puedes seleccionar el parámetro de configuración de consulta Configuraciones incorrectas de identidad y acceso para ver todos los hallazgos relacionados con cuentas principales que tienen una configuración incorrecta o a las que se les otorgaron permisos excesivos o sensibles.

O bien, si tu objetivo es limitar específicamente a las principales solo a los permisos que realmente necesitan, puedes seleccionar el parámetro de consulta preestablecido IAM Recommender para mostrar los resultados del recomendador de IAM para las principales que tienen más permisos de los que necesitan.

Para seleccionar un parámetro de consulta predeterminado, sigue estos pasos:

  1. Ve a la página Vulnerabilidades:

    Ir a vulnerabilidades

  2. En la sección Configuraciones predeterminadas de la consulta, haz clic en uno de los selectores de consulta.

    La pantalla se actualiza para mostrar solo las categorías de vulnerabilidad especificadas en la consulta.

Cómo ver los resultados de las vulnerabilidades por proyecto

Para ver los resultados de las vulnerabilidades por proyecto en la página Vulnerabilidades de la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página Vulnerabilidades en la consola de Google Cloud.

    Ir a vulnerabilidades

  2. En el selector de proyectos en la parte superior de la página, selecciona el proyecto para el que necesitas ver los resultados de vulnerabilidades.

En la página Vulnerabilidades, se muestran los resultados solo del proyecto que seleccionaste.

Como alternativa, si tu vista de la consola está configurada para tu organización, puedes filtrar los resultados de vulnerabilidades por uno o más IDs de proyecto con los Filtros rápidos en la página Resultados.

Visualiza los resultados de vulnerabilidades por categoría

Para ver los resultados de vulnerabilidades por categoría, haz lo siguiente:

  1. Ve a la página Vulnerabilidades en la consola de Google Cloud.

    Ir a vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En la columna Categoría, selecciona el tipo de resultado que deseas mostrar.

La página Resultados carga y muestra una lista de resultados que coincide con el tipo que seleccionaste.

Para obtener más información sobre las categorías de resultados, consulta Hallazgos de vulnerabilidades.

Visualiza resultados por tipo de elemento

Para ver los resultados de vulnerabilidades de un tipo de recurso específico, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, selecciona lo siguiente:

    • En la sección Clase de hallazgo, selecciona Vulnerabilidad y Configuración incorrecta.
    • Opcional: En la sección ID del proyecto, selecciona el ID del proyecto en el que deseas ver los recursos.
    • En la sección Tipo de recurso, selecciona el tipo de recurso que necesitas ver.

La lista de hallazgos del panel Resultados de la búsqueda se actualiza para mostrar solo aquellos hallazgos que coincidan con tus selecciones.

Cómo ver los hallazgos de vulnerabilidades por puntuación de exposición a ataques

Los hallazgos de vulnerabilidades que se designan como de alto valor y que están respaldados por simulaciones de rutas de ataque se les asigna una puntuación de exposición a ataques. Puedes filtrar los resultados por esta puntuación.

Para ver los resultados de vulnerabilidades por puntuación de exposición a ataques, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha del panel Vista previa de la consulta, haz clic en Editar consulta.

  4. En la parte superior del panel Editor de consultas, haz clic en Agregar filtro.

  5. En el diálogo Seleccionar filtro, selecciona Exposición a ataques.

  6. En el campo Exposición al ataque mayor que, ingresa un valor de puntuación.

  7. Haz clic en Aplicar.

    La sentencia de filtro se agrega a tu consulta, y los hallazgos del panel Resultados de la búsqueda se actualizan para mostrar solo los hallazgos con una puntuación de exposición a ataques mayor que el valor especificado en la nueva sentencia de filtro.

Cómo ver los resultados de vulnerabilidades por ID de CVE

Puedes ver los resultados por su ID de CVE correspondiente en la página Resumen o en la página Resultados.

En la página Descripción general, en la sección Principales hallazgos de CVE, los hallazgos de vulnerabilidades se agrupan en un gráfico interactivo según la capacidad de explotación y el impacto del CVE correspondiente, según la evaluación de Mandiant. Haz clic en un bloque del gráfico para ver una lista de vulnerabilidades por ID de CVE que se detectaron en tu entorno.

En la página Resultados, puedes consultar los resultados por su ID de CVE.

Para consultar los resultados de vulnerabilidades por ID de CVE, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha, en el campo Vista previa de la consulta, haz clic en Editar consulta.

  4. En el Editor de consultas, edita la consulta para incluir el ID de CVE que estás buscando. Por ejemplo:

    state="ACTIVE"
     AND NOT mute="MUTED"
     AND vulnerability.cve.id="CVE-2016-5195"
    

    Los resultados de la búsqueda de hallazgos se actualizan para mostrar todos los hallazgos activos que no están silenciados y que contienen el ID de CVE.

Visualiza los resultados de las vulnerabilidades por gravedad

Para ver los resultados de las vulnerabilidades por gravedad, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, ve a la sección Clase de hallazgo y selecciona Vulnerabilidad y Configuración incorrecta.

    Los resultados que se muestran se actualizan para mostrar solo los resultados de las clases Vulnerability y Misconfiguration.

  4. También en el panel Filtros rápidos, ve a la sección Gravedad y selecciona los niveles de gravedad de los resultados que necesitas ver.

    Los resultados que se muestran se actualizan para mostrar solo los resultados de vulnerabilidades de las gravedades seleccionadas.

Visualiza las categorías de resultados por cantidad de resultados activos

Para ver las categorías de resultados según la cantidad de resultados activos que contienen, puedes usar la consola de Google Cloud o los comandos de Google Cloud CLI.

Console

Para ver las categorías de resultados según la cantidad de resultados activos que contienen en la página Vulnerabilidades, puedes ordenar las categorías por la columna Resultados activos o filtrar las categorías por la cantidad de resultados activos que contiene cada una.

Para filtrar las categorías de resultados de vulnerabilidades por la cantidad de resultados activos que contienen, sigue estos pasos:

  1. Abre la página Vulnerabilidades en la consola de Google Cloud:

    Ir a vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. Coloca el cursor en el campo de filtro para mostrar una lista de filtros.

  4. En la lista de filtros, selecciona Resultados activos. Se muestra una lista de operadores lógicos.

  5. Selecciona un operador lógico para usarlo en tu filtro, como >=.

  6. Escribe un número y presiona Intro.

La pantalla se actualizará para mostrar solo las categorías de vulnerabilidad que contengan una cantidad de resultados activos que coincidan con tu filtro.

gcloud

Si deseas usar gcloud CLI para obtener un recuento de todos los resultados activos, primero debes consultar Security Command Center para obtener el ID de la fuente de un servicio de vulnerabilidad y, luego, usar el ID de la fuente para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, obtén el ID de tu organización y, luego, obtén el ID de la fuente de uno de los servicios de detección de vulnerabilidades, que también se denominan fuentes de búsqueda. Si aún no habilitaste la API de Security Command Center, se te solicitará que la habilites.

  1. Obtén el ID de la organización mediante la ejecución de gcloud organizations list y, luego, toma nota del número junto al nombre de la organización.
  2. Obtén el ID de la fuente de estadísticas del estado de seguridad mediante la ejecución del siguiente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
      --source-display-name='SOURCE_DISPLAY_NAME'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: el ID de tu organización. Se requiere un ID de organización, independientemente del nivel de activación de Security Command Center.
    • SOURCE_DISPLAY_NAME: Es el nombre visible del servicio de detección de vulnerabilidades para el que deseas mostrar los resultados. Por ejemplo, Security Health Analytics
  3. Si se te solicita, habilita la API de Security Command Center y, luego, ejecuta el comando anterior para volver a obtener el ID de la fuente.

El comando para obtener el ID de la fuente debe mostrar un resultado como el siguiente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Toma nota de SOURCE_ID para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el SOURCE_ID que anotaste en el paso anterior para filtrar los resultados. El siguiente comando de gcloud CLI muestra un recuento de resultados por categoría:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con los resultados de tu organización o proyecto en particular:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50