Questa pagina mostra come utilizzare i filtri per visualizzare le vulnerabilità individuate.
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud nelle pagine Vulnerabilità e Risultati di Security Command Center.
Dopo aver mostrato i risultati di vulnerabilità per te importanti, puoi visualizzare informazioni dettagliate su un determinato risultato selezionando la vulnerabilità in Security Command Center. Queste informazioni includono una descrizione della vulnerabilità e del rischio, nonché consigli per la correzione.
In questa pagina, il termine vulnerabilità si riferisce sia ai risultati della classe Vulnerability
sia ai risultati della classe Misconfiguration
.
Confronto tra la pagina Vulnerabilità e la pagina Risultati
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud sia nella pagina Vulnerabilità sia nella pagina Risultati.
Le opzioni di filtro nella pagina Vulnerabilità sono limitate rispetto alle opzioni di filtro e query disponibili nella pagina Risultati.
La pagina Vulnerabilità mostra tutte le categorie di risultati in
Classi di risultati Vulnerability
e Misconfiguration
, insieme a
il numero attuale di risultati attivi in ogni categoria e
agli standard di conformità a cui è associata
ogni categoria di esiti. Se ci sono
vulnerabilità attive in una determinata categoria, 0
viene mostrato nel
Colonna Risultati attivi.
Al contrario, la pagina Risultati può mostrare le categorie dei risultati di qualsiasi classe dei risultati, ma mostra una categoria dei risultati solo se nel tuo ambiente è stato rilevato un problema di sicurezza in quella categoria nell'intervallo di tempo specificato.
Per ulteriori informazioni, consulta le seguenti pagine:
Applica valori preimpostati di query
Nella pagina Vulnerabilità, puoi selezionare query predefinite, predefinizioni di query, che restituiscono risultati correlati a obiettivi di sicurezza specifici.
Ad esempio, se la tua responsabilità è il diritto dell'infrastruttura cloud CIEM (gestione CIEM), puoi selezionare Errori di configurazione dell'identità e dell'accesso predefinito per vedere tutti i risultati correlati account entità configurati in modo errato o concessi autorizzazioni eccessive o sensibili.
In alternativa, se il tuo obiettivo è limitare specificamente le entità solo alle autorizzazioni di cui hanno effettivamente bisogno, puoi selezionare la query preimpostata del motore per suggerimenti IAM per mostrare i risultati del motore per suggerimenti IAM per le entità che dispongono di più autorizzazioni di quante ne servano.
Per selezionare una preimpostazione di query, segui questi passaggi:
Vai alla pagina Vulnerabilità:
Nella sezione Preimpostazioni query, fai clic su uno dei selettori di query.
La visualizzazione viene aggiornata in modo da mostrare solo le categorie di vulnerabilità specificate nella query.
Visualizzazione dei risultati relativi alle vulnerabilità per progetto
Per visualizzare i risultati relativi alle vulnerabilità per progetto sulla Vulnerabilità nella console Google Cloud, segui questi passaggi:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore progetti nella parte superiore della pagina, seleziona il progetto per di cui hai bisogno per vedere i risultati di vulnerabilità.
La pagina Vulnerabilità mostra i risultati solo per il progetto selezionato.
In alternativa, se la vista della console è impostata sulla tua organizzazione, puoi filtrare i risultati relativi alle vulnerabilità in base a uno o più ID progetto utilizzando i filtri rapidi nella pagina Risultati.
Visualizzazione dei risultati relativi alle vulnerabilità per categoria di risultati
Per visualizzare i risultati relativi alle vulnerabilità per categoria:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nella colonna Categoria, seleziona il tipo di risultato che vuoi mostra i risultati per.
Viene caricata la pagina Risultati, che mostra un elenco di risultati corrispondenti al tipo selezionato.
Per ulteriori informazioni sulla ricerca di categorie, consulta Risultati delle vulnerabilità.
Visualizzazione dei risultati per tipo di asset
Per visualizzare i risultati relativi alle vulnerabilità per un tipo di asset specifico:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.
Nel riquadro Filtri rapidi, seleziona quanto segue:
- Nella sezione Ricerca del corso, seleziona entrambe Vulnerabilità e Configurazione errata.
- (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare gli asset.
- Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che ti serve. per scoprirlo.
L'elenco dei risultati nel riquadro Risultati query dei risultati viene aggiornato a per visualizzare solo i risultati che corrispondono alle tue selezioni.
Visualizzazione dei risultati relativi alle vulnerabilità in base al punteggio di esposizione agli attacchi
Risultati di vulnerabilità designati come di alto valore e che sono supportate da simulazioni del percorso di attacco viene assegnato punteggio di esposizione agli attacchi. Puoi filtrare i risultati in base a questo punteggio.
Per visualizzare i risultati delle vulnerabilità in base al punteggio di esposizione agli attacchi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
A destra del riquadro Anteprima query, fai clic su Modifica query.
Nella parte superiore del riquadro Editor di query, fai clic su Aggiungi filtro.
Nella finestra di dialogo Seleziona filtro, seleziona Esposizione agli attacchi.
Nel campo Esposizione agli attacchi maggiore di, inserisci un valore del punteggio.
Fai clic su Applica.
L'istruzione di filtro viene aggiunta alla query e i risultati nel riquadro Risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati con un punteggio di esposizione agli attacchi superiore al valore specificato nella nuova istruzione di filtro.
Visualizzazione dei risultati relativi alle vulnerabilità per ID CVE
Puoi visualizzare i risultati in base all'ID CVE corrispondente nella Panoramica o Risultati.
Nella pagina Panoramica, nella sezione Principali risultati con CVE, i risultati relativi alle vulnerabilità sono raggruppati in un grafico interattivo in base alla sfruttabilità e all'impatto della corrispondente CVE, come valutato da Mandiant. Fai clic su un blocco nel grafico per visualizzare un elenco di vulnerabilità per ID CVE che rilevate nel tuo ambiente.
Nella pagina Risultati, puoi eseguire query sui risultati in base all'ID CVE.
Per eseguire query sui risultati relativi alle vulnerabilità in base all'ID CVE:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore di progetti, seleziona la tua organizzazione, la tua cartella o il tuo progetto.
A destra, nel campo Anteprima query, fai clic su Modifica query.
Nell'Editor di query, modifica la query in modo da includere l'ID CVE che stai cercando. Ad esempio:
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
I risultati della query sui risultati vengono aggiornati per mostrare tutti i risultati attivi non disattivati e contenenti l'ID CVE.
Visualizzazione dei risultati relativi alle vulnerabilità per gravità
Per visualizzare i risultati relativi alle vulnerabilità per gravità, segui questi passaggi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nel riquadro Filtri rapidi, vai alla sezione Ricerca del corso. e seleziona Vulnerabilità e Configurazione errata.
Il valore visualizzato i risultati vengono aggiornati in modo da mostrare solo
Vulnerability
eMisconfiguration
risultati della classe.Sempre nel riquadro Filtri rapidi, vai alla sezione Gravità e seleziona le gravità dei risultati che vuoi visualizzare.
Il valore visualizzato i risultati vengono aggiornati in modo da mostrare solo i risultati di vulnerabilità dei e le gravità di quest'ultimo.
Visualizzare le categorie di risultati in base al numero di risultati attivi
Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono, puoi utilizzare i comandi della console Google Cloud o di Google Cloud CLI.
Console
Per visualizzare le categorie di risultati in base al numero di risultati attivi che contenuti nella pagina Vulnerabilità, puoi ordinare categorie nella colonna Risultati attivi oppure puoi filtrando le categorie in base al numero di risultati attivi contenuti da ciascuna.
Per filtrare le categorie di risultati relativi alle vulnerabilità in base al numero di risultati attivi che contengono:
Apri la pagina Vulnerabilità nella console Google Cloud:
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Posiziona il cursore nel campo del filtro per visualizzare un elenco di filtri.
Nell'elenco dei filtri, seleziona Risultati attivi. Viene visualizzato un elenco di operatori logici.
Seleziona un operatore logico da utilizzare nel filtro, ad esempio
>=
.Digita un numero e premi Invio.
La visualizzazione si aggiorna mostrando solo le categorie di vulnerabilità che contengono un numero di risultati attivi che corrispondono al filtro.
gcloud
Per utilizzare la CLI gcloud per ottenere un conteggio di tutti gli elementi attivi, innanzitutto esegui una query su Security Command Center per ottenere l'ID origine di un servizio di vulnerabilità e poi utilizza l'ID origine per eseguire una query sul conteggio degli elementi attivi.
Passaggio 1: ottieni l'ID origine
Per completare questo passaggio, recupera l'ID della tua organizzazione e poi l'ID fonte di uno dei servizi di rilevamento delle vulnerabilità, noti anche come origini di ricerca. Se non l'hai ancora fatto, ti verrà chiesto di abilitare l'API Security Command Center.
- Ottieni l'ID organizzazione eseguendo
gcloud organizations list
, quindi annota il numero accanto al nome dell'organizzazione. Per ottenere l'ID origine di Security Health Analytics, esegui:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazione. L'ID organizzazione è obbligatorio, indipendentemente dal livello di attivazione di Security Command Center.SOURCE_DISPLAY_NAME
: il nome visualizzato del servizio di rilevamento delle vulnerabilità per cui devi visualizzare i risultati. Ad esempio,Security Health Analytics
.
Se richiesto, abilita l'API Security Command Center ed esegui nuovamente il comando precedente per recuperare l'ID origine.
Il comando per ottenere l'ID origine dovrebbe visualizzare un output simile al seguente:
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Prendi nota di SOURCE_ID
da utilizzare nel passaggio successivo.
Passaggio 2: recupera il numero dei risultati attivi
Usa la SOURCE_ID
che hai annotato nell'articolo precedente
per filtrare i risultati. Il seguente comando della CLI gcloud restituisce un conteggio dei risultati per categoria:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Puoi impostare la dimensione pagina su qualsiasi valore fino a 1000. Il comando dovrebbe visualizzare un output simile al seguente, con i risultati della tua organizzazione o del tuo progetto specifico:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50