在 Security Command Center 中查看漏洞发现结果

本页面介绍了如何使用过滤条件来显示特定的漏洞发现结果。

您可以在 Google Cloud 控制台的 Security Command Center 的漏洞发现结果页面上查看和过滤漏洞发现结果。

显示对您而言重要的漏洞发现结果后,您可以在 Security Command Center 中选择特定漏洞的详细信息,以查看有关特定发现结果的详细信息。这些信息包括漏洞和风险的说明以及修复建议。

在本页面上,漏洞指的是 VulnerabliityMisconfiguration 类发现结果。

比较“漏洞”页面与“发现结果”页面

您可以在 Google Cloud 控制台的漏洞页面和发现结果页面上查看和过滤漏洞发现结果。

发现结果页面上的过滤和查询选项相比,漏洞页面上的过滤选项会受到限制。

漏洞页面会显示 VulnerabilityMisconfiguration 类发现结果中的所有发现结果类别,以及每个类别中的有效发现结果数量,以及每个发现结果类别对应的合规性标准。如果在特定类别中没有活跃漏洞,活跃发现结果列中会显示 0

相比之下,发现结果页面可以显示任何发现结果类别中的发现结果类别,但仅在指定时间范围内在您的环境中检测到该类别存在安全问题时才显示发现结果类别。

如需了解详情,请参阅以下页面:

应用查询预设

漏洞页面上,您可以选择返回与特定安全目标相关的发现结果的预定义查询(即查询预设)。

例如,如果您负责云基础架构权限管理 (CIEM),则可以选择身份和访问权限错误配置查询预设,以查看与配置错误或被授予过多或敏感权限的主账号相关的所有发现结果。

或者,如果您的目标是仅将主帐号限制为仅具有其实际需要的权限,则可以选择 IAM Recommender 查询预设,为权限超过所需权限的主帐号显示 IAM Recommender 提供的发现结果。

要选择查询预设,请按以下步骤操作:

  1. 前往漏洞页面:

    转至“漏洞”

  2. 查询预设部分中,点击其中一个查询选择器。

    显示内容会更新,以仅显示查询中指定的漏洞类别。

按项目查看漏洞发现结果

如需在 Google Cloud 控制台的漏洞页面上按项目查看漏洞发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在页面顶部的项目选择器中,选择需要查看漏洞发现结果的项目。

漏洞页面仅会显示所选项目的发现结果。

或者,如果您的控制台视图设置为您的组织,您可以使用“发现结果”页面上的快速过滤器,按一个或多个项目 ID 过滤漏洞发现结果。

按发现结果类别查看漏洞发现结果

如需按类别查看漏洞发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 类别列中,选择要显示其发现结果的发现结果类型。

发现结果页面会加载并显示与您选择的类型匹配的发现结果列表。

如需详细了解发现结果类别,请参阅漏洞发现结果

按资源类型查看发现结果

如需查看特定资产类型的漏洞发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快速过滤器面板中,选择以下选项:

    • 发现结果类部分中,同时选择漏洞错误配置
    • 可选:在项目 ID 部分中,选择要在其中查看资产的项目的 ID。
    • Resource type 部分中,选择您需要查看的资源类型。

发现结果的查询结果面板中的发现结果列表会更新,仅显示与您的选择匹配的发现结果。

按攻击风险得分查看漏洞发现结果

系统会为被指定为高价值且受攻击路径模拟支持的漏洞发现结果分配攻击风险得分。您可以按此分数过滤发现结果。

如需按攻击风险得分查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览面板右侧,点击修改查询

  4. 查询编辑器面板的顶部,点击添加过滤条件

  5. 选择过滤条件对话框中,选择攻击风险

  6. 攻击风险高于字段中,输入得分值。

  7. 点击应用

    过滤条件语句会添加到您的查询中,并且发现结果的查询结果面板中的发现结果会更新,仅显示攻击风险得分大于新过滤条件语句中指定值的发现结果。

按 CVE ID 查看漏洞发现结果

您可以在概览页面或发现结果页面上按发现结果对应的 CVE ID 查看发现结果。

概览页面的重要 CVE 发现结果部分中,漏洞发现结果会以交互式图表的形式按相应 CVE 的可利用性和影响(由 Mandiant 评估)分组。点击图表中的某个块,可查看在您的环境中检测到的漏洞列表(按 CVE ID)。

发现结果页面上,您可以按发现结果的 CVE ID 来查询它们。

如需按 CVE ID 查询漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览字段中,点击右侧的修改查询

  4. 查询编辑器中,修改查询以包含您要查找的 CVE ID。例如:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    发现结果查询结果会更新,以显示所有未静音且包含 CVE ID 的有效发现结果。

按严重级别查看漏洞发现结果

如需按严重级别查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快捷过滤条件面板中,前往发现结果类部分,然后同时选择漏洞错误配置

    显示的发现结果会更新为仅显示 VulnerabilityMisconfiguration 类发现结果。

  4. 同样在快速过滤条件面板中,转到严重程度部分,然后选择您需要查看的发现结果的严重程度。

    所显示的发现结果会更新,仅显示所选严重程度的漏洞发现结果。

按有效发现结果数量查看发现结果类别

如需按发现结果类别包含的有效发现结果数量查看发现结果类别,您可以使用 Google Cloud 控制台或 Google Cloud CLI 命令。

控制台

如需按漏洞页面上包含的有效发现结果数量查看发现结果类别,您可以按“活跃发现结果”列对类别进行排序,也可以按每个发现结果包含的有效发现结果数量过滤类别。

如需按漏洞发现结果包含的有效发现结果数量过滤漏洞发现结果类别,请按以下步骤操作:

  1. 打开 Google Cloud 控制台中的漏洞页面:

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 将光标置于过滤器字段中,以显示过滤器列表。

  4. 从过滤条件列表中,选择有效的发现结果。系统会显示逻辑运算符列表。

  5. 选择要在过滤条件中使用的逻辑运算符,例如 >=

  6. 输入数字,然后按 Enter 键。

显示内容会更新,以仅显示包含大量与您的过滤条件匹配的有效发现结果的漏洞类别。

gcloud

如需使用 gcloud CLI 获取所有有效发现结果的数量,请先查询 Security Command Center 获取漏洞服务的来源 ID,然后使用来源 ID 来查询有效发现结果数量。

第 1 步:获取来源 ID

如需完成此步骤,请获取您的组织 ID,然后获取其中一个漏洞检测服务(也称为发现结果来源)的来源 ID。如果您尚未启用 Security Command Center API,系统会提示您启用它。

  1. 通过运行 gcloud organizations list 获取组织 ID,然后记下组织名称旁边的编号。

  2. 运行以下命令获取 Security Health Analytics 来源 ID:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    替换以下内容:

    • ORGANIZATION_ID:您的组织的 ID。 无论 Security Command Center 的激活级别如何,都必须提供组织 ID。
    • SOURCE_DISPLAY_NAME:您需要显示其发现结果的漏洞检测服务的显示名称。例如 Security Health Analytics

  3. 如果出现提示,请启用 Security Command Center API,然后运行上述命令再次获取来源 ID。

用于获取来源 ID 的命令应该显示如下输出:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

请记下要在下一步中使用的 SOURCE_ID

第 2 步:获取有效的发现结果数量

使用您在上一步中记下的 SOURCE_ID 来过滤发现结果。以下 gcloud CLI 命令会按类别返回发现结果数量:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

您可以将页面大小设置为不超过 1000 的任意值。该命令应显示如下所示的输出,其中包含来自特定组织或项目的结果:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50