Questa pagina mostra come utilizzare i filtri per visualizzare le vulnerabilità individuate.
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud nelle pagine Vulnerabilità e Risultati di Security Command Center.
Dopo aver mostrato i risultati di vulnerabilità per te importanti, puoi visualizzare informazioni dettagliate su un determinato risultato selezionando la vulnerabilità in Security Command Center. Queste informazioni includono un descrizione della vulnerabilità, rischio e consigli per risolvere il problema.
In questa pagina, il termine vulnerabilità si riferisce a Vulnerability e
Risultati della classe Misconfiguration.
Confronto tra la pagina Vulnerabilità e la pagina Risultati
Puoi visualizzare e filtrare i risultati relativi alle vulnerabilità nella console Google Cloud sia nella pagina Vulnerabilità sia nella pagina Risultati.
Le opzioni di filtro nella pagina Vulnerabilità sono limitate rispetto alle opzioni di filtro e query disponibili nella pagina Risultati.
La pagina Vulnerabilità mostra tutte le categorie di risultati in
Classi di risultati Vulnerability e Misconfiguration, insieme a
il numero attuale di risultati attivi in ogni categoria e
agli standard di conformità a cui è associata
ogni categoria di esiti. Se ci sono
vulnerabilità attive in una determinata categoria, 0 viene mostrato nel
Colonna Risultati attivi.
Al contrario, la pagina Risultati può mostrare categorie di risultati di qualsiasi di risultati, ma mostra una categoria di risultati solo se è stato rilevato un problema di sicurezza per quella categoria nel tuo ambiente nell'intervallo di tempo specificato.
Per ulteriori informazioni, consulta le seguenti pagine:
Applica valori preimpostati di query
Nella pagina Vulnerabilità, puoi selezionare query predefinite, predefiniti, che restituiscono risultati correlati a obiettivi di sicurezza specifici.
Ad esempio, se la tua responsabilità è il diritto dell'infrastruttura cloud CIEM (gestione CIEM), puoi selezionare Errori di configurazione dell'identità e dell'accesso predefinito per vedere tutti i risultati correlati account entità configurati in modo errato o concessi autorizzazioni eccessive o sensibili.
In alternativa, se l'obiettivo specifico è limitare le entità solo a quelle autorizzazioni di cui hanno effettivamente bisogno, puoi selezionare la query preimpostata del motore per suggerimenti IAM, per mostrare i risultati del motore per suggerimenti IAM per le entità con più delle autorizzazioni necessarie.
Per selezionare una preimpostazione di query, segui questi passaggi:
Vai alla pagina Vulnerabilità:
Nella sezione Preimpostazioni query, fai clic su uno dei selettori di query.
La visualizzazione si aggiorna mostrando solo le categorie di vulnerabilità specificate nella query.
Visualizzazione dei risultati relativi alle vulnerabilità per progetto
Per visualizzare i risultati relativi alle vulnerabilità per progetto sulla Vulnerabilità nella console Google Cloud, segui questi passaggi:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore progetti nella parte superiore della pagina, seleziona il progetto per di cui hai bisogno per vedere i risultati di vulnerabilità.
La pagina Vulnerabilità mostra i risultati solo per il progetto selezionato.
In alternativa, se la vista della console è impostata sulla tua organizzazione, puoi filtra i risultati relativi alle vulnerabilità in base a uno o più ID progetto utilizzando Filtri rapidi nella Pagina dei risultati.
Visualizzazione dei risultati relativi alle vulnerabilità per categoria di risultati
Per visualizzare i risultati relativi alle vulnerabilità per categoria:
Vai alla pagina Vulnerabilità nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nella colonna Categoria, seleziona il tipo di risultato che vuoi mostra i risultati per.
Viene caricata la pagina Risultati, che mostra un elenco di risultati corrispondenti al tipo che hai selezionato.
Per ulteriori informazioni sulla ricerca di categorie, consulta Risultati delle vulnerabilità.
Visualizzazione dei risultati per tipo di asset
Per visualizzare i risultati relativi alle vulnerabilità per un tipo di asset specifico:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nel riquadro Filtri rapidi, seleziona quanto segue:
- Nella sezione Ricerca del corso, seleziona entrambe Vulnerabilità e Configurazione errata.
- (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare gli asset.
- Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che ti serve. per scoprirlo.
L'elenco dei risultati nel riquadro Risultati query dei risultati viene aggiornato a per visualizzare solo i risultati che corrispondono alle tue selezioni.
Visualizzazione dei risultati relativi alle vulnerabilità in base al punteggio di esposizione agli attacchi
Risultati di vulnerabilità designati come di alto valore e che sono supportate da simulazioni del percorso di attacco viene assegnato un punteggio di esposizione agli attacchi. Puoi filtrare i risultati in base a questo punteggio.
Per visualizzare i risultati delle vulnerabilità in base al punteggio di esposizione agli attacchi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
A destra del riquadro Anteprima della query, fai clic su Modifica query.
Nella parte superiore del riquadro Editor di query, fai clic su Aggiungi filtro.
Nella finestra di dialogo Seleziona filtro, scegli Esposizione all'attacco.
Nel campo Esposizione all'attacco maggiore di, inserisci un valore per il punteggio.
Fai clic su Applica.
L'istruzione di filtro viene aggiunta alla query e i risultati nel Il riquadro dei risultati della query dei risultati viene aggiornato in modo da mostrare solo i risultati con un punteggio di esposizione agli attacchi superiore al valore specificato in la nuova istruzione di filtro.
Visualizzazione dei risultati relativi alle vulnerabilità per ID CVE
Puoi visualizzare i risultati in base all'ID CVE corrispondente nella Panoramica o Risultati.
Nella pagina Panoramica, nella sezione Primi risultati CVE, i risultati di vulnerabilità sono raggruppati in un grafico interattivo in base alla sfruttabilità e all'impatto CVE, in base alla valutazione di Mandiant. Fai clic su un blocco nel grafico per visualizzare un elenco di vulnerabilità per ID CVE che rilevate nel tuo ambiente.
Nella pagina Risultati, puoi eseguire query sui risultati in base all'ID CVE.
Per eseguire query sui risultati di vulnerabilità per ID CVE:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
A destra, nel campo Anteprima della query, fai clic su Modifica query.
Nell'Editor di query, modifica la query in modo da includere l'ID CVE che stai che stai cercando. Ad esempio:
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
I risultati della query dei risultati vengono aggiornati per mostrare tutte le query attive risultati non disattivati e contenenti l'ID CVE.
Visualizzazione dei risultati relativi alle vulnerabilità per gravità
Per visualizzare i risultati relativi alle vulnerabilità in base alla gravità, segui questi passaggi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Nel riquadro Filtri rapidi, vai alla sezione Ricerca del corso. e seleziona Vulnerabilità e Configurazione errata.
Il valore visualizzato i risultati vengono aggiornati per mostrare solo
VulnerabilityeMisconfigurationrisultati della classe.Sempre nel riquadro Filtri rapidi, vai alla sezione Gravità e seleziona la gravità dei risultati che devi vedere.
Il valore visualizzato i risultati vengono aggiornati per mostrare solo i risultati di vulnerabilità dell'elemento selezionato e le gravità di quest'ultimo.
Visualizzazione delle categorie di risultati in base al numero di risultati attivi
Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono, puoi utilizzare i comandi della console Google Cloud o di Google Cloud CLI.
Console
Per visualizzare le categorie di risultati in base al numero di risultati attivi che contenuti nella pagina Vulnerabilità, puoi ordinare categorie nella colonna Risultati attivi oppure puoi filtrando le categorie in base al numero di risultati attivi contenuti da ciascuna.
Per filtrare le categorie di risultati delle vulnerabilità in base al numero di risultati attivi al loro interno, procedi nel seguente modo:
Apri la pagina Vulnerabilità nella console Google Cloud:
Nel selettore dei progetti, seleziona l'organizzazione, la cartella o il progetto.
Posiziona il cursore nel campo del filtro per visualizzare un elenco di filtri.
Nell'elenco dei filtri, seleziona Risultati attivi. Un elenco di regole .
Seleziona un operatore logico da utilizzare nel filtro, ad esempio
>=.Digita un numero e premi Invio.
La visualizzazione si aggiorna mostrando solo le categorie di vulnerabilità che contengono un numero di risultati attivi che corrispondono al filtro.
gcloud
Per utilizzare gcloud CLI al fine di ottenere un conteggio di tutti i risultati attivi, esegui prima una query su Security Command Center per ottenere l'ID origine di una vulnerabilità e poi utilizzare l'ID origine per eseguire query sul conteggio dei risultati attivi.
Passaggio 1: recupera l'ID origine
Per completare questo passaggio, recupera l'ID organizzazione e poi recupera l'origine ID di uno dei servizi di rilevamento delle vulnerabilità, indicato anche come fonti di ricerca. Se non hai già attivato la funzionalità API Security Command Center, ti viene chiesto di abilitarla.
- Per ottenere l'ID organizzazione, esegui
gcloud organizations list. quindi prendi nota del numero accanto al nome dell'organizzazione. Per ottenere l'ID origine di Security Health Analytics, esegui:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione. L'ID organizzazione è obbligatorio, indipendentemente dal livello di attivazione di Security Command Center.SOURCE_DISPLAY_NAME: il nome visualizzato dell' servizio di rilevamento delle vulnerabilità necessario per visualizzare i risultati . Ad esempio,Security Health Analytics.
Se richiesto, abilita l'API Security Command Center ed esegui la precedente per ottenere nuovamente l'ID origine.
Il comando per ottenere l'ID origine dovrebbe visualizzare un output come seguenti:
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Prendi nota di SOURCE_ID da utilizzare nel passaggio successivo.
Passaggio 2: recupera il numero dei risultati attivi
Usa la SOURCE_ID che hai annotato nell'articolo precedente
per filtrare i risultati. La seguente gcloud CLI
restituisce un conteggio dei risultati per categoria:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando deve visualizza un output come il seguente, con i risultati del tuo organizzazione o progetto:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50