Ver resultados de vulnerabilidades en Security Command Center

En esta página se explica cómo usar filtros para mostrar resultados de vulnerabilidades específicos.

Puede ver y filtrar las vulnerabilidades detectadas en las siguientes páginas de la consola:Google Cloud

  • Página Vulnerabilidades en los niveles Standard y Premium.
  • Página Resultados en todos los niveles.

Después de mostrar los resultados de vulnerabilidades que te interesan, puedes ver información detallada sobre un resultado concreto seleccionando la vulnerabilidad en Security Command Center. Esta información incluye una descripción de la vulnerabilidad y el riesgo, así como recomendaciones para corregirla.

En esta página, el término vulnerabilidad hace referencia a los hallazgos de las clases Vulnerability y Misconfiguration.

Comparar la página Vulnerabilidades con la página Resultados

Las opciones de filtro de la página Vulnerabilidades son limitadas en comparación con las opciones de filtro y consulta disponibles en la página Resultados.

La página Vulnerabilidades muestra todas las categorías de resultados de las clases Vulnerability y Misconfiguration, junto con el número actual de resultados activos de cada categoría y los estándares de cumplimiento a los que se asigna cada categoría de resultados. Si no hay vulnerabilidades activas en una categoría concreta, se muestra 0 en la columna Resultados activos.

Por el contrario, la página Resultados puede mostrar categorías de resultados de cualquier clase de resultado, pero solo muestra una categoría de resultados si se ha detectado un problema de seguridad en esa categoría en tu entorno durante el periodo especificado.

Para obtener más información, consulta las siguientes páginas:

Aplicar preajustes de consulta

En la página Vulnerabilidades, puede seleccionar consultas predefinidas, predeterminadas, que devuelven resultados relacionados con objetivos de seguridad específicos.

Por ejemplo, si te encargas de la gestión de derechos de infraestructura en la nube (CIEM) de Google Cloud, puedes seleccionar la consulta predefinida Configuraciones incorrectas de identidad y acceso para ver todos los resultados relacionados con cuentas principales que estén mal configuradas o que tengan permisos excesivos o sensibles.

Si tu objetivo es limitar los principales solo a los permisos que realmente necesitan, puedes seleccionar el preajuste de consulta Recomendador de gestión de identidades y accesos para mostrar los resultados del recomendador de gestión de identidades y accesos de los principales que tienen más permisos de los que necesitan.

Para seleccionar una consulta predefinida, sigue estos pasos:

  1. Ve a la página Vulnerabilidades:

    Ir a Vulnerabilidades

  2. En la sección Preajustes de consulta, haga clic en uno de los selectores de consulta.

    La pantalla se actualiza para mostrar solo las categorías de vulnerabilidades especificadas en la consulta.

Ver las vulnerabilidades detectadas por proyecto

Para ver las vulnerabilidades detectadas por proyecto en la página Vulnerabilidades de la consola de Google Cloud , haz lo siguiente:

  1. Ve a la página Vulnerabilidades de la consola de Google Cloud .

    Ir a Vulnerabilidades

  2. En el selector de proyectos de la parte superior de la página, selecciona el proyecto del que quieras ver las vulnerabilidades.

En la página Vulnerabilidades solo se muestran las detecciones del proyecto que hayas seleccionado.

Si la vista de la consola está configurada en tu organización, puedes filtrar los resultados de vulnerabilidades por uno o varios IDs de proyecto mediante los filtros rápidos de la página Resultados.

Ver las vulnerabilidades detectadas por categoría

Para ver las vulnerabilidades detectadas por categoría, siga estos pasos:

  1. Ve a la página Vulnerabilidades de la consola de Google Cloud .

    Ir a Vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En la columna Categoría, seleccione el tipo de resultado que quiera mostrar.

Se carga la página Resultados y se muestra una lista de resultados que coinciden con el tipo que ha seleccionado.

Para obtener más información sobre cómo encontrar categorías, consulta Resultados de vulnerabilidades.

Ver resultados por tipo de recurso

Para ver las vulnerabilidades detectadas en un tipo de recurso específico, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a Resultados

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, selecciona lo siguiente:

    • En la sección Clase de hallazgo, selecciona Vulnerabilidad y Error de configuración.
    • Opcional: En la sección ID de proyecto, seleccione el ID del proyecto en el que quiera ver los recursos.
    • En la sección Tipo de recurso, selecciona el tipo de recurso que quieras ver.

La lista de detecciones del panel Resultados de la consulta de detecciones se actualiza para mostrar solo las detecciones que coinciden con tus selecciones.

Ver las vulnerabilidades detectadas por puntuación de exposición a ataques

A las vulnerabilidades que se designan como de alto valor y que se admiten en simulaciones de rutas de ataque se les asigna una puntuación de exposición a ataques. Puede filtrar los resultados por esta puntuación.

Para ver las vulnerabilidades por puntuación de exposición a ataques, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a Resultados

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha del panel Vista previa de la consulta, haz clic en Editar consulta.

  4. En la parte superior del panel Editor de consultas, haz clic en Añadir filtro.

  5. En el cuadro de diálogo Seleccionar filtro, haz lo siguiente:

    • En los niveles de servicio Premium y Estándar, selecciona Exposición a ataques y, a continuación, introduce un valor de puntuación en el campo Exposición a ataques superior a.

    • En el nivel Enterprise:

      • Selecciona Exposición a ataques como Categoría de atributo.
      • Seleccione Puntuación como nombre del atributo.
      • Introduce un valor de puntuación en el campo Exposición a ataques superior a.

  6. Haz clic en Aplicar.

    La instrucción de filtro se añade a la consulta y los resultados del panel Resultados de la consulta de vulnerabilidades se actualizan para mostrar solo las vulnerabilidades con una puntuación de exposición a ataques superior al valor especificado en la nueva instrucción de filtro.

Ver hallazgos de vulnerabilidades por ID de CVE

Puedes ver los hallazgos por su ID de CVE correspondiente en la página Resumen o en la página Hallazgos.

  • En el nivel Estándar, vaya a la sección Principales resultados de CVE de la página Vista general.

  • En los niveles Premium y Enterprise, vaya a la sección Vulnerabilidades y exploits comunes del panel de control Vulnerabilidades de la página Resumen.

Las vulnerabilidades se agrupan en un gráfico interactivo según la posibilidad de exploit y el impacto de la CVE correspondiente, tal como los evalúa Mandiant. Haz clic en un bloque del gráfico para ver una lista de vulnerabilidades por ID de CVE que se han detectado en tu entorno.

En la página Hallazgos, puede consultar los hallazgos por su ID de CVE.

Para consultar los hallazgos de vulnerabilidades por ID de CVE, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a Resultados

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha del campo Vista previa de la consulta, haz clic en Editar consulta.

  4. En el editor de consultas, edita la consulta para incluir el ID de CVE que buscas. Por ejemplo:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Los resultados de la consulta de detecciones se actualizan para mostrar todas las detecciones activas que no están silenciadas y que contienen el ID de CVE.

Ver las vulnerabilidades detectadas por gravedad

Para ver las vulnerabilidades detectadas por gravedad, sigue estos pasos:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a Resultados

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, ve a la sección Clase de hallazgo y selecciona Vulnerabilidad y Configuración incorrecta.

    Los resultados que se muestran se actualizan para mostrar solo los de las clases Vulnerability y Misconfiguration.

  4. También en el panel Filtros rápidos, ve a la sección Gravedad y selecciona la gravedad de los resultados que quieras ver.

    Los resultados que se muestran se actualizan para mostrar solo las vulnerabilidades de las gravedades seleccionadas.

Ver las categorías de resultados por el número de resultados activos

Para ver las categorías de detecciones por el número de detecciones activas que contienen, puedes usar la consola o los comandos de la CLI de Google Cloud. Google Cloud

Consola

Para ver las categorías de vulnerabilidades por el número de vulnerabilidades activas que contienen en la página Vulnerabilidades, puede ordenar las categorías por la columna Vulnerabilidades activas o filtrar las categorías por el número de vulnerabilidades activas que contiene cada una.

Para filtrar las categorías de detecciones de vulnerabilidades por el número de detecciones activas que contienen, siga estos pasos:

  1. Abre la página Vulnerabilidades en la consola de Google Cloud :

    Ir a Vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. Coloca el cursor en el campo de filtro para ver una lista de filtros.

  4. En la lista de filtros, seleccione Resultados activos. Se muestra una lista de operadores lógicos.

  5. Selecciona un operador lógico para usarlo en el filtro, como >=.

  6. Escribe un número y pulsa Intro.

La pantalla se actualiza para mostrar solo las categorías de vulnerabilidades que contengan un número de resultados activos que coincida con tu filtro.

gcloud

Para usar la CLI de gcloud y obtener el número de todos los resultados activos, primero consulta Security Command Center para obtener el ID de origen de un servicio de vulnerabilidades y, a continuación, usa ese ID para consultar el número de resultados activos.

Paso 1: Obtén el ID de origen

Para completar este paso, obtén el ID de tu organización y, a continuación, el ID de origen de uno de los servicios de detección de vulnerabilidades, también denominados orígenes de resultados. Si aún no has habilitado la API Security Command Center, se te pedirá que lo hagas.

  1. Para obtener el ID de tu organización, ejecuta gcloud organizations list y anota el número que aparece junto al nombre de la organización.

  2. Para obtener el ID de origen de Security Health Analytics, ejecuta el siguiente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID de tu organización. Se requiere un ID de organización, independientemente del nivel de activación de Security Command Center.
    • SOURCE_DISPLAY_NAME: el nombre visible del servicio de detección de vulnerabilidades del que quieres mostrar los resultados. Por ejemplo, Security Health Analytics.

  3. Si se te pide, habilita la API de Security Command Center y vuelve a ejecutar el comando anterior para obtener el ID de origen.

El comando para obtener el ID de la fuente debería mostrar un resultado como el siguiente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Anota el SOURCE_ID para usarlo en el siguiente paso.

Paso 2: Obtener el número de resultados activos

Usa el SOURCE_ID que has anotado en el paso anterior para filtrar los resultados. El siguiente comando de la CLI de gcloud devuelve un recuento de las detecciones por categoría:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puedes definir el tamaño de página con cualquier valor hasta 1000. El comando debería mostrar un resultado como el siguiente, con los resultados de tu organización o proyecto:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50