在 Security Command Center 中查看漏洞发现结果

本页介绍了如何使用过滤条件来 和漏洞发现结果

您可以在 Google Cloud 控制台中查看和过滤漏洞发现结果 (位于 Security Command Center 的漏洞发现结果页面上)。

显示对您而言重要的漏洞发现结果后, 如需查看特定发现结果的详细信息,请选择 Security Command Center 中的漏洞。这些信息包括 漏洞和风险的说明,以及相关建议 进行修复。

在本页中,漏洞是指 VulnerabilityMisconfiguration 类发现结果。

将“漏洞”页面与“发现结果”页面进行比较

您可以在 Google Cloud 控制台中查看和过滤漏洞发现结果 (在漏洞页面和发现结果页面上)。

漏洞页面上的过滤选项相比, 发现结果页面上提供的过滤条件和查询选项。

漏洞页面会显示 VulnerabilityMisconfiguration 类发现结果,以及 每个类别中当前活跃的发现结果数量,以及 每个发现结果类别所对应到的合规性标准。如果有 在特定类别中没有活跃漏洞,0 会显示在 有效的发现结果列。

相比之下,发现结果页面可以显示任意 Google 产品/服务的 查找类,但仅当出现以下情况时才显示发现结果类别: 在您指定时间范围内,系统在您的环境中检测到该类别的安全问题。

如需了解详情,请参阅以下页面:

应用查询预设

漏洞页面上,您可以选择预定义查询、查询 预设,返回与特定安全目标相关的发现结果。

例如,如果您负责的是云基础设施授权 管理 (CIEM),可以选择身份和访问权限错误配置 查询预设,以查看与产品相关的 配置有误或已授予的主账号账号 过多或敏感的权限。

或者,如果您的目标是明确限定主账号仅拥有这些权限 您可以选择 IAM Recommender 查询预设, 为具有更多角色的主账号显示 IAM Recommender 的发现结果 超过他们需要的权限

如需选择查询预设,请按以下步骤操作:

  1. 前往漏洞页面:

    转至“漏洞”

  2. 查询预设部分中,点击其中一个查询选择器。

    屏幕会更新,以仅显示指定的漏洞类别 。

按项目查看漏洞发现结果

漏洞页面上按项目查看漏洞发现结果 页面,请执行以下操作:

  1. 前往 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在页面顶部的项目选择器中,为 您需要用它来查看漏洞发现结果。

漏洞页面仅会显示所选项目的发现结果。

或者,如果您的控制台视图设置为“您的组织”,则可以 使用 快速过滤器“发现结果”页面

按发现结果类别查看漏洞发现结果

如需按类别查看漏洞发现结果,请执行以下操作:

  1. 前往 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 类别列中,选择要显示其发现结果的发现结果类型。

发现结果页面会加载并显示与您选择的类型匹配的发现结果列表。

如需详细了解发现结果类别,请参阅 漏洞发现结果

按资源类型查看发现结果

如需查看特定资产类型的漏洞发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快速过滤条件面板中,选择以下选项:

    • 发现结果类部分中,同时选择漏洞配置错误
    • 可选:在项目 ID 部分中,选择要在其中查看资产的项目的 ID。
    • Resource type 部分中,选择所需的资源类型 看到的内容。

发现结果的查询结果面板中的发现结果列表会更新,仅显示与您的选择匹配的发现结果。

按攻击风险得分查看漏洞发现结果

被指定为高价值的漏洞发现结果 (受攻击路径模拟支持) 系统会为其分配攻击风险得分。 您可以按此得分过滤发现结果。

如需按攻击风险得分查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览面板右侧,点击修改查询

  4. 查询编辑器面板的顶部,点击添加过滤条件

  5. 选择过滤条件对话框中,选择攻击风险

  6. 攻击风险高于字段中,输入得分值。

  7. 点击应用

    过滤条件语句会添加到您的查询中,并且发现结果的查询结果面板中的发现结果会更新,仅显示攻击风险得分大于新过滤条件语句中指定值的发现结果。

按 CVE ID 查看漏洞发现结果

您可以按相应 CVE ID 查看发现结果, 概览页面或发现结果页面。

概览页面的主要 CVE 发现结果部分, 将发现的漏洞分组 按相应资源的可利用性和影响的交互式图表, CVE(由 Mandiant 评估)。 点击图表中的方块可按 CVE ID 查看漏洞列表, 在您的环境中检测到。

发现结果页面上,您可以按发现结果的 CVE ID 查询发现结果。

如需按 CVE ID 查询漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览字段的右侧,点击修改查询

  4. 查询编辑器中,修改查询以包含 目标。例如:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    发现结果查询结果已更新,以显示所有活跃 包含 CVE ID 的发现结果。

按严重级别查看漏洞发现结果

如需按严重级别查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快速过滤条件面板中,转到查找课程部分 同时选中漏洞错误配置

    显示的 发现结果会更新,仅显示 VulnerabilityMisconfiguration 类别发现结果。

  4. 同样在快速过滤条件面板中,前往严重程度部分 并选择您需要查看的发现结果的严重程度。

    显示的 发现结果会更新,以仅显示在选定的 严重级别。

按有效发现结果数量查看发现结果类别

若要按发现结果类别包含的有效发现结果数量查看相应类别,请执行以下操作: 可以使用 Google Cloud 控制台或 Google Cloud CLI 命令

控制台

按有效发现结果数量查看发现结果类别 漏洞页面上包含的每个漏洞, 按有效的发现结果列划分类别,或者 按每个类别包含的有效发现结果数量过滤类别。

按活跃发现结果数量过滤漏洞发现结果类别 请按下列步骤操作:

  1. 在 Google Cloud 控制台中打开漏洞页面:

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 将光标置于过滤条件字段中,以显示过滤条件列表。

  4. 从过滤条件列表中,选择有效发现结果。逻辑列表 运算符。

  5. 选择要在过滤条件中使用的逻辑运算符,例如 >=

  6. 输入数字,然后按 Enter 键。

屏幕会更新,以仅显示包含 大量与您的过滤条件匹配的有效发现结果。

gcloud

如需使用 gcloud CLI 获取所有有效发现结果的数量,请先查询 Security Command Center 获取漏洞服务的来源 ID,然后使用来源 ID 来查询有效发现结果数量。

第 1 步:获取来源 ID

如需完成此步骤,请获取您的组织 ID,然后获取其中一个漏洞检测服务(也称为发现结果来源)的来源 ID。如果您尚未启用 Security Command Center API,系统会提示您启用它。

  1. 通过运行 gcloud organizations list 获取组织 ID,然后记下组织名称旁边的编号。

  2. 运行以下命令获取 Security Health Analytics 来源 ID:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    替换以下内容:

    • ORGANIZATION_ID:您的组织的 ID。 无论 Security Command Center 的激活级别如何,都必须提供组织 ID。
    • SOURCE_DISPLAY_NAME:您需要显示其发现结果的漏洞检测服务的显示名称。例如 Security Health Analytics

  3. 如果出现提示,请启用 Security Command Center API,然后运行上述命令再次获取来源 ID。

用于获取来源 ID 的命令应该显示如下输出:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

请记下要在下一步中使用的 SOURCE_ID

第 2 步:获取有效的发现结果数量

使用您在上一步中记下的 SOURCE_ID 来过滤发现结果。以下 gcloud CLI 命令会按类别返回发现结果数量:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

您可以将页面大小设置为不超过 1000 的任意值。该命令应显示如下所示的输出,其中包含来自特定组织或项目的结果:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50