Questa pagina mostra come utilizzare i filtri per visualizzare risultati specifici di vulnerabilità.
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud nelle pagine Vulnerabilità e Risultati di Security Command Center.
Dopo aver visualizzato i risultati di vulnerabilità importanti per te, puoi visualizzare informazioni dettagliate su un determinato risultato selezionando la vulnerabilità in Security Command Center. Queste informazioni includono una descrizione della vulnerabilità e del rischio, oltre a suggerimenti per rimediare.
In questa pagina, per vulnerabilità si intende sia i risultati dei corsi Vulnerabliity sia
Misconfiguration.
Confronto tra la pagina Vulnerabilità e la pagina Risultati
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud sia nella pagina Vulnerabilità sia nella pagina Risultati.
Le opzioni di filtro nella pagina Vulnerabilità sono limitate rispetto alle opzioni di filtro e query disponibili nella pagina Risultati.
La pagina Vulnerabilità mostra tutte le categorie di risultati nelle classi Vulnerability e Misconfiguration dei risultati, insieme al numero attuale di risultati attivi in ogni categoria e gli standard di conformità a cui è mappata ciascuna categoria di risultati. Se in una determinata categoria non sono presenti vulnerabilità attive, viene visualizzato 0 nella colonna Risultati attivi.
Al contrario, la pagina Risultati può mostrare le categorie di risultati di qualsiasi classe di risultato, ma ne viene mostrata una soltanto se è stato rilevato un problema di sicurezza in quella categoria nel tuo ambiente entro l'intervallo di tempo specificato.
Per ulteriori informazioni, consulta le seguenti pagine:
Applica preimpostazioni query
Nella pagina Vulnerabilità puoi selezionare query predefinite, preset delle query, che restituiscono risultati correlati a obiettivi di sicurezza specifici.
Ad esempio, se la tua responsabilità è la gestione dei diritti di infrastruttura cloud (CIEM), puoi selezionare la preimpostazione della query Errori di configurazione di identità e accesso per visualizzare tutti i risultati relativi agli account principali configurati in modo errato o a cui sono state concesse autorizzazioni eccessive o sensibili.
In alternativa, se il tuo obiettivo è limitare in modo specifico le entità solo alle autorizzazioni di cui hanno effettivamente bisogno, puoi selezionare la preimpostazione di query del motore per suggerimenti IAM per visualizzare i risultati del motore per suggerimenti IAM per le entità che hanno più autorizzazioni di quelle necessarie.
Per selezionare una preimpostazione di query, segui questi passaggi:
Vai alla pagina Vulnerabilità:
Nella sezione Preimpostazioni query, fai clic su uno dei selettori di query.
La visualizzazione si aggiorna per mostrare solo le categorie di vulnerabilità specificate nella query.
Visualizzazione dei risultati di vulnerabilità per progetto
Per visualizzare i risultati relativi alle vulnerabilità per progetto nella pagina Vulnerabilità della console Google Cloud, segui questi passaggi:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore di progetti nella parte superiore della pagina, seleziona il progetto per cui devi visualizzare i risultati relativi alla vulnerabilità.
La pagina Vulnerabilità mostra i risultati solo per il progetto selezionato.
In alternativa, se la visualizzazione della console è impostata sulla tua organizzazione, puoi filtrare i risultati di vulnerabilità in base a uno o più ID progetto utilizzando i filtri rapidi nella pagina Risultati.
Visualizzazione dei risultati di vulnerabilità per categoria di risultati
Per visualizzare i risultati relativi alle vulnerabilità per categoria:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nella colonna Categoria, seleziona il tipo di risultato per cui vuoi visualizzare i risultati.
La pagina Risultati viene caricata e mostra un elenco dei risultati che corrispondono al tipo selezionato.
Per maggiori informazioni sulla ricerca delle categorie, consulta Risultati delle vulnerabilità.
Visualizzazione dei risultati per tipo di asset
Per visualizzare i risultati relativi alle vulnerabilità per un tipo di asset specifico:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nel riquadro Filtri rapidi, seleziona quanto segue:
- Nella sezione Ricerca della classe, seleziona sia Vulnerabilità sia Configurazione errata.
- (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare gli asset.
- Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che devi visualizzare.
L'elenco dei risultati nel riquadro Risultati delle query dei risultati viene aggiornato per mostrare solo i risultati che corrispondono alle tue selezioni.
Visualizzazione dei risultati di vulnerabilità per punteggio di esposizione agli attacchi
Ai risultati di vulnerabilità designati come di alto valore e supportati dalle simulazioni del percorso di attacco viene assegnato un punteggio di esposizione agli attacchi. Puoi filtrare i risultati in base a questo punteggio.
Per visualizzare i risultati relativi alle vulnerabilità in base al punteggio di esposizione agli attacchi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
A destra del riquadro Anteprima query, fai clic su Modifica query.
Nella parte superiore del riquadro Editor query, fai clic su Aggiungi filtro.
Nella finestra di dialogo Seleziona filtro, scegli Esposizione all'attacco.
Nel campo Esposizione all'attacco maggiore di, inserisci un valore per il punteggio.
Fai clic su Applica.
L'istruzione di filtro viene aggiunta alla query e i risultati nel riquadro Risultati query dei risultati vengono aggiornati per mostrare solo i risultati con un punteggio di esposizione agli attacchi maggiore del valore specificato nella nuova istruzione di filtro.
Visualizzazione dei risultati di vulnerabilità per ID CVE
Puoi visualizzare i risultati in base all'ID CVE corrispondente nella pagina Panoramica o nella pagina Risultati.
Nella pagina Panoramica, nella sezione Principali risultati CVE, i risultati relativi alle vulnerabilità sono raggruppati in un grafico interattivo in base alla sfruttabilità e all'impatto della CVE corrispondente, in base alla valutazione di Mandiant. Fai clic su un blocco nel grafico per visualizzare un elenco di vulnerabilità per ID CVE rilevate nel tuo ambiente.
Nella pagina Risultati puoi eseguire query sui risultati in base all'ID CVE.
Per eseguire query sui risultati relativi alle vulnerabilità per ID CVE:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
A destra, nel campo Anteprima query, fai clic su Modifica query.
Nell'Editor query, modifica la query in modo da includere l'ID CVE che stai cercando. Ad esempio:
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
I risultati delle query dei risultati vengono aggiornati per mostrare tutti i risultati attivi che non sono disattivati e che contengono l'ID CVE.
Visualizzazione dei risultati di vulnerabilità per gravità
Per visualizzare i risultati relativi alle vulnerabilità in base alla gravità:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nel riquadro Filtri rapidi, vai alla sezione Ricerca della classe e seleziona sia Vulnerabilità sia Configurazione errata.
I risultati visualizzati vengono aggiornati per mostrare solo i risultati delle classi
VulnerabilityeMisconfiguration.Sempre nel riquadro Filtri rapidi, vai alla sezione Gravità e seleziona la gravità dei risultati che devi visualizzare.
I risultati visualizzati vengono aggiornati per mostrare solo i risultati relativi alle vulnerabilità delle gravità selezionate.
Visualizzazione delle categorie di risultati in base al numero di risultati attivi
Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono, puoi utilizzare i comandi della console Google Cloud o di Google Cloud CLI.
Console
Per visualizzare le categorie di risultati in base al numero di risultati attivi contenuti nella pagina Vulnerabilità, puoi ordinare le categorie in base alla colonna Risultati attivi oppure filtrare le categorie per il numero di risultati attivi contenuti in ciascuna.
Per filtrare le categorie di risultati di vulnerabilità in base al numero di risultati attivi che contengono, segui questi passaggi:
Apri la pagina Vulnerabilità nella console Google Cloud:
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Posiziona il cursore nel campo del filtro per visualizzare un elenco di filtri.
Dall'elenco dei filtri, seleziona Risultati attivi. Viene visualizzato un elenco di operatori logici.
Seleziona un operatore logico da utilizzare nel filtro, ad esempio
>=.Digita un numero e premi Invio.
La visualizzazione si aggiorna per mostrare solo le categorie di vulnerabilità che contengono un numero di risultati attivi che corrispondono al tuo filtro.
gcloud
Per utilizzare gcloud CLI per ottenere un conteggio di tutti i risultati attivi, devi prima eseguire una query su Security Command Center per ottenere l'ID origine di un servizio di vulnerabilità, quindi utilizzare l'ID origine per eseguire query sul conteggio dei risultati attivi.
Passaggio 1: recupera l'ID origine
Per completare questo passaggio, recupera l'ID organizzazione e poi l'ID origine di uno dei servizi di rilevamento delle vulnerabilità, chiamati anche sorgenti di ricerca. Se non hai già abilitato l'API Security Command Center, ti verrà chiesto di farlo.
- Recupera l'ID organizzazione eseguendo
gcloud organizations list, poi annota il numero accanto al nome dell'organizzazione. Per ottenere l'ID origine di Security Health Analytics, esegui:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione. L'ID organizzazione è obbligatorio, indipendentemente dal livello di attivazione di Security Command Center.SOURCE_DISPLAY_NAME: il nome visualizzato del servizio di rilevamento delle vulnerabilità per cui devi visualizzare i risultati. Ad esempio,Security Health Analytics.
Se richiesto, abilita l'API Security Command Center ed esegui il comando precedente per recuperare nuovamente l'ID origine.
Il comando per ottenere l'ID origine dovrebbe visualizzare un output come il seguente:
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Prendi nota del SOURCE_ID da utilizzare nel passaggio successivo.
Passaggio 2: recupera il numero dei risultati attivi
Utilizza il SOURCE_ID che hai annotato nel passaggio precedente
per filtrare i risultati. Il seguente comando gcloud CLI restituisce un conteggio dei risultati per categoria:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Puoi impostare qualsiasi valore fino a 1000 per le dimensioni della pagina. Il comando dovrebbe visualizzare un output come il seguente, con i risultati della tua organizzazione o del tuo progetto specifico:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50