Ergebnisse zu Sicherheitslücken in Security Command Center ansehen

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Filtern bestimmte Ergebnisse zu Sicherheitslücken anzeigen lassen.

Sie können die Ergebnisse zu Sicherheitslücken in der Google Cloud Console auf den Seiten Sicherheitslücken und Ergebnisse von Security Command Center ansehen und filtern.

Nachdem Sie die Ergebnisse zu Sicherheitslücken angezeigt haben, die für Sie wichtig sind, können Sie detaillierte Informationen zu einem bestimmten Ergebnis aufrufen. Wählen Sie dazu die Sicherheitslücke in Security Command Center aus. Diese Informationen enthalten eine Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Behebung.

Auf dieser Seite bezieht sich Sicherheitslücke auf die Ergebnisse der Klasse Vulnerabliity und Misconfiguration.

Vergleich der Seite „Sicherheitslücken“ mit der Seite „Ergebnisse“

Sie können die Ergebnisse zu Sicherheitslücken in der Google Cloud Console sowohl auf der Seite Sicherheitslücken als auch auf der Seite Ergebnisse ansehen und filtern.

Die Filteroptionen auf der Seite Sicherheitslücken sind im Vergleich zu den Filter- und Abfrageoptionen auf der Seite Ergebnisse eingeschränkt.

Auf der Seite Sicherheitslücken werden alle Ergebniskategorien in den Ergebnisklassen Vulnerability und Misconfiguration zusammen mit der aktuellen Anzahl der aktiven Ergebnisse in jeder Kategorie und den Compliancestandards angezeigt, denen jede Ergebniskategorie zugeordnet ist. Wenn in einer bestimmten Kategorie keine aktiven Sicherheitslücken vorhanden sind, wird 0 in der Spalte Aktive Ergebnisse angezeigt.

Im Gegensatz dazu können auf der Seite Ergebnisse Ergebniskategorien aus jeder Ergebnisklasse angezeigt werden. Eine Ergebniskategorie wird jedoch nur dann angezeigt, wenn innerhalb des angegebenen Zeitraums in dieser Kategorie in Ihrer Umgebung ein Sicherheitsproblem erkannt wurde.

Weitere Informationen finden Sie auf den folgenden Seiten:

Abfragevoreinstellungen anwenden

Auf der Seite Sicherheitslücken können Sie vordefinierte Abfragen und Abfragevoreinstellungen auswählen, die Ergebnisse im Zusammenhang mit bestimmten Sicherheitszielen zurückgeben.

Wenn Sie beispielsweise für die Verwaltung von Cloud-Infrastrukturberechtigungen (Cloud Infrastructure Entitlements – CIEM) zuständig sind, können Sie die Abfragevoreinstellung Identitäts- und Zugriffsfehler auswählen, um alle Ergebnisse zu sehen, die sich auf falsch konfigurierte Hauptkonten beziehen oder denen übermäßige oder vertrauliche Berechtigungen gewährt wurden.

Wenn Sie Hauptkonten auf die Berechtigungen beschränken möchten, die sie tatsächlich benötigen, können Sie die Abfragevoreinstellung IAM Recommender auswählen. Damit werden Ergebnisse aus dem IAM-Recommender für Hauptkonten angezeigt, die mehr Berechtigungen als erforderlich haben.

So wählen Sie eine Abfragevoreinstellung aus:

  1. Rufen Sie die Seite Sicherheitslücken auf:

    Zur Seite „Sicherheitslücken“

  2. Klicken Sie im Abschnitt Abfragevoreinstellungen auf einen der Abfrageselektoren.

    Die Anzeige wird aktualisiert und zeigt nur die in der Abfrage angegebenen Sicherheitslückenkategorien an.

Ergebnisse zu Sicherheitslücken nach Projekt ansehen

So rufen Sie in der Google Cloud Console auf der Seite Sicherheitslücken die Ergebnisse zu Sicherheitslücken nach Projekt auf:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zur Seite „Sicherheitslücken“

  2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, für das Sie die Ergebnisse zu Sicherheitslücken ansehen möchten.

Auf der Seite Vulnerabilities (Sicherheitslücken) werden nur Ergebnisse für das ausgewählte Projekt angezeigt.

Wenn Ihre Konsolenansicht auf Ihre Organisation festgelegt ist, können Sie die Ergebnisse zu Sicherheitslücken auch nach einer oder mehreren Projekt-IDs filtern. Verwenden Sie dazu Schnellfilter auf der Seite „Ergebnisse“.

Ergebnisse zu Sicherheitslücken nach Ergebniskategorie anzeigen

So rufen Sie die Ergebnisse zu Sicherheitslücken nach Kategorie auf:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zur Seite „Sicherheitslücken“

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie in der Spalte Kategorie den Ergebnistyp aus, für den Sie Ergebnisse aufrufen möchten.

Die Seite Ergebnisse zeigt eine Liste mit Ergebnissen an, die der ausgewählten Kategorie entsprechen.

Weitere Informationen zum Ergebnis von Kategorien finden Sie unter Ergebnisse zu Sicherheitslücken.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Ergebnisse zu Sicherheitslücken eines bestimmten Asset-Typs auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie im Bereich Schnellfilter Folgendes aus:

    • Wählen Sie im Bereich Ergebnisklasse sowohl Sicherheitslücke als auch Fehlkonfiguration aus.
    • Optional: Wählen Sie im Bereich Projekt-ID die ID des Projekts aus, in dem Assets angezeigt werden sollen.
    • Wählen Sie im Abschnitt Ressourcentyp den Ressourcentyp aus, den Sie sehen möchten.

Die Ergebnisliste im Bereich Ergebnisse der Abfrageergebnisse wird aktualisiert, sodass nur die Ergebnisse angezeigt werden, die Ihrer Auswahl entsprechen.

Ergebnisse zu Sicherheitslücken nach Angriffsbewertung anzeigen

gefundenen Sicherheitslücken, die als hoch eingestuft werden und von Angriffspfadsimulationen unterstützt werden, wird eine Angriffsbewertung zugewiesen. Sie können Ergebnisse nach diesem Wert filtern.

So rufen Sie die Ergebnisse zu Sicherheitslücken nach Angriffsbewertung auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten.

  4. Klicken Sie oben im Bereich Abfrageeditor auf Filter hinzufügen.

  5. Wählen Sie im Dialogfeld Filter auswählen die Option Angriffsrisiko aus.

  6. Geben Sie in das Feld Angriffsrisiko größer als einen Wert ein.

  7. Klicken Sie auf Anwenden.

    Die Filteranweisung wird Ihrer Abfrage hinzugefügt und die Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur Ergebnisse mit einer Angriffsbewertung angezeigt werden, die größer als der in der neuen Filteranweisung angegebene Wert ist.

Ergebnisse zu Sicherheitslücken nach CVE-ID ansehen

Die Ergebnisse werden anhand der entsprechenden CVE-ID entweder auf der Seite Übersicht oder auf der Seite Ergebnisse angezeigt.

Auf der Seite Übersicht werden die Ergebnisse der Sicherheitslücken im Abschnitt Häufigste CVE-Ergebnisse in einem interaktiven Diagramm nach der Ausnutzbarkeit und Auswirkung des entsprechenden CVEs gruppiert. Klicken Sie auf einen Block im Diagramm, um eine Liste der in Ihrer Umgebung erkannten Sicherheitslücken sortiert nach CVE-ID anzeigen zu lassen.

Auf der Seite Ergebnisse können Sie Ergebnisse anhand ihrer CVE-ID abfragen.

So fragen Sie die Ergebnisse zu Sicherheitslücken anhand der CVE-ID ab:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts im Feld Abfragevorschau auf Abfrage bearbeiten.

  4. Bearbeiten Sie im Abfrageeditor die Abfrage, sodass sie die gesuchte CVE-ID enthält. Beispiel:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Die Ergebnisse der Ergebnisabfrage werden aktualisiert und zeigen alle aktiven Ergebnisse an, die nicht ausgeblendet sind und die CVE-ID enthalten.

Ergebnisse zu Sicherheitslücken nach Schweregrad ansehen

So rufen Sie die Ergebnisse zu Sicherheitslücken nach Schweregrad auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Gehen Sie im Bereich Schnellfilter zum Abschnitt Ergebnisklasse und wählen Sie sowohl Sicherheitslücke als auch Fehlkonfiguration aus.

    Die angezeigten Ergebnisse werden aktualisiert und zeigen nur die Klassenergebnisse Vulnerability und Misconfiguration an.

  4. Gehen Sie auch im Bereich Schnellfilter zum Abschnitt Schweregrad und wählen Sie den Schweregrad der Ergebnisse aus, die angezeigt werden sollen.

    Die angezeigten Ergebnisse werden aktualisiert und zeigen nur die Ergebnisse für Sicherheitslücken der ausgewählten Schweregrade an.

Ergebniskategorien nach Anzahl der aktiven Ergebnisse anzeigen

Wenn Sie Ergebniskategorien nach der Anzahl der darin enthaltenen aktiven Ergebnisse ansehen möchten, können Sie entweder die Google Cloud Console oder die Google Cloud CLI-Befehle verwenden.

Console

Wenn Sie Ergebniskategorien nach der Anzahl der darin enthaltenen aktiven Ergebnisse auf der Seite Sicherheitslücken ansehen möchten, können Sie die Kategorien nach der Spalte Aktive Ergebnisse sortieren oder die Kategorien nach der Anzahl der aktiven Ergebnisse filtern, die jede enthält.

So filtern Sie die Kategorien der Sicherheitslückenergebnisse nach der Anzahl der darin enthaltenen aktiven Ergebnisse:

  1. Öffnen Sie in der Google Cloud Console die Seite Sicherheitslücken:

    Zur Seite „Sicherheitslücken“

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Bewegen Sie den Cursor in das Filterfeld, um eine Liste mit Filtern aufzurufen.

  4. Wählen Sie in der Liste der Filter Aktive Ergebnisse aus. Eine Liste logischer Operatoren wird angezeigt.

  5. Wählen Sie einen logischen Operator aus, der in Ihrem Filter verwendet werden soll, z. B. >=.

  6. Geben Sie eine Zahl ein und drücken Sie die Eingabetaste.

Die Anzeige wird aktualisiert und es werden nur die Kategorien von Sicherheitslücken angezeigt, die eine Reihe aktiver Ergebnisse enthalten, die Ihrem Filter entsprechen.

gcloud

Wenn Sie die Anzahl aller aktiven Ergebnisse über die gcloud CLI abrufen möchten, fragen Sie zuerst Security Command Center ab, um die Quell-ID eines Dienstes für Sicherheitslücken zu ermitteln. Anschließend fragen Sie mit der Quell-ID die Anzahl der aktiven Ergebnisse ab.

Schritt 1: Quell-ID abrufen

Rufen Sie für diesen Schritt Ihre Organisations-ID und dann die Quell-ID eines der Dienste zur Erkennung von Sicherheitslücken ab. Diese werden auch als Quellen finden bezeichnet. Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie dazu aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.

  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation. Eine Organisations-ID ist unabhängig von der Aktivierungsstufe von Security Command Center erforderlich.
    • SOURCE_DISPLAY_NAME: der Anzeigename des Dienstes zur Erkennung von Sicherheitslücken, für den Sie Ergebnisse anzeigen möchten. Beispiel: Security Health Analytics.

  3. Wenn Sie dazu aufgefordert werden, aktivieren Sie die Security Command Center API und führen Sie dann den vorherigen Befehl aus, um die Quell-ID noch einmal abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notieren Sie sich die SOURCE_ID, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie den im vorherigen Schritt notierten SOURCE_ID, um Ergebnisse zu filtern. Der folgende gcloud CLI-Befehl gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte eine Ausgabe wie die folgende mit Ergebnissen aus Ihrer Organisation oder Ihrem Projekt anzeigen:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50