Ergebnisse zu Sicherheitslücken im Security Command Center ansehen

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Filtern bestimmte Sicherheitslücken aufrufen.

Sie können Sicherheitslücken in der Google Cloud Console auf den Seiten Sicherheitslücken und Ergebnisse des Security Command Center aufrufen und filtern.

Nachdem Sie die für Sie wichtigen Ergebnisse zu Sicherheitslücken angezeigt haben, können Sie detaillierte Informationen zu einem bestimmten Ergebnis aufrufen. Wählen Sie dazu die Sicherheitslücke in Security Command Center aus. Diese Information enthält beispielsweise eine Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Behebung.

Auf dieser Seite bezieht sich Sicherheitslücke sowohl auf Ergebnisse der Klasse Vulnerability als auch auf Ergebnisse der Klasse Misconfiguration.

Seite „Sicherheitslücken“ mit der Seite „Ergebnisse“ vergleichen

Sie können Sicherheitslücken in der Google Cloud Console sowohl auf der Seite Sicherheitslücken als auch auf der Seite Ergebnisse ansehen und filtern.

Die Filteroptionen auf der Seite Sicherheitslücken sind im Vergleich zu den Filter- und Abfrageoptionen auf der Seite Ergebnisse eingeschränkt.

Auf der Seite Sicherheitslücken werden alle Ergebniskategorien in den Ergebnisklassen Vulnerability und Misconfiguration angezeigt. Außerdem sehen Sie die aktuelle Anzahl der aktiven Ergebnisse in jeder Kategorie und die Compliance-Standards, denen die einzelnen Ergebniskategorien zugeordnet sind. Wenn in einer bestimmten Kategorie keine aktiven Sicherheitslücken vorhanden sind, wird in der Spalte Aktive Ergebnisse 0 angezeigt.

Auf der Seite Ergebnisse können dagegen Ergebniskategorien aus jeder Ergebnisklasse angezeigt werden. Eine Ergebniskategorie wird jedoch nur angezeigt, wenn in Ihrer Umgebung innerhalb des angegebenen Zeitraums ein Sicherheitsproblem in dieser Kategorie erkannt wurde.

Weitere Informationen finden Sie auf den folgenden Seiten:

Abfragevoreinstellungen anwenden

Auf der Seite Sicherheitslücken können Sie vordefinierte Abfragen, sogenannte Abfragevorlagen, auswählen, die Ergebnisse zu bestimmten Sicherheitszielen zurückgeben.

Wenn Sie beispielsweise für die Cloud Infrastructure Entitlement Management (CIEM) für Google Cloud verantwortlich sind, können Sie die Abfragevorlage Fehlkonfigurationen von Identitäten und Zugriffen auswählen, um alle Ergebnisse zu sehen, die sich auf Hauptkonten beziehen, die falsch konfiguriert sind oder denen zu viele oder sensible Berechtigungen gewährt wurden.

Wenn Sie Hauptkonten nur auf die Berechtigungen beschränken möchten, die sie tatsächlich benötigen, können Sie die Abfragevorlage IAM-Empfehlung auswählen. So werden Ergebnisse der IAM-Empfehlung für Hauptkonten angezeigt, die mehr Berechtigungen haben, als sie benötigen.

So wählen Sie eine Abfragevorlage aus:

  1. Rufen Sie die Seite Sicherheitslücken auf:

    Zu Sicherheitslücken

  2. Klicken Sie im Bereich Abfragevorlagen auf eine der Abfrageauswahlen.

    Die Anzeige wird aktualisiert und zeigt nur die in der Abfrage angegebenen Sicherheitslückenkategorien an.

Ergebnisse zu Sicherheitslücken nach Projekt ansehen

So rufen Sie in der Google Cloud Console auf der Seite Sicherheitslücken die Sicherheitslücken nach Projekt auf:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, für das Sie die Ergebnisse zur Sicherheitslücke sehen möchten.

Die Seite Sicherheitslücken enthält nur Ergebnisse für das ausgewählte Projekt.

Wenn Ihre Console-Ansicht auf Ihre Organisation festgelegt ist, können Sie Sicherheitslücken alternativ mithilfe der Schnellfilter auf der Seite „Ergebnisse“ nach einer oder mehreren Projekt-IDs filtern.

Ergebnisse zu Sicherheitslücken nach Ergebniskategorie ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Kategorie ab:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie in der Spalte Kategorie den Ergebnistyp aus, für den Sie Ergebnisse aufrufen möchten.

Die Seite Ergebnisse zeigt eine Liste mit Ergebnissen an, die der ausgewählten Kategorie entsprechen.

Weitere Informationen zu Ergebniskategorien finden Sie unter Erfasste Sicherheitslücken.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Ergebnisse zur Sicherheitslücke für einen bestimmten Asset-Typ auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie im Bereich Schnellfilter Folgendes aus:

    • Wählen Sie im Bereich Art der Abweichung sowohl Sicherheitslücke als auch Fehlkonfiguration aus.
    • Optional: Wählen Sie im Bereich Projekt-ID die ID des Projekts aus, in dem Sie Assets ansehen möchten.
    • Wählen Sie im Bereich Ressourcentyp den gewünschten Ressourcentyp aus.

Die Liste der Ergebnisse im Bereich Ergebnisse der Suchanfrage wird aktualisiert, sodass nur die Ergebnisse angezeigt werden, die Ihren Auswahlen entsprechen.

Ergebnisse zu Sicherheitslücken nach Angriffsbewertung aufrufen

Sicherheitslücken, die als „hochwertig“ eingestuft und durch Simulationen von Angriffspfaden unterstützt werden, erhalten eine Angriffsrisikobewertung. Sie können die Ergebnisse nach diesem Wert filtern.

So rufen Sie Ergebnisse zu Sicherheitslücken nach Angriffsbewertung auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten.

  4. Klicken Sie oben im Bereich Abfrageeditor auf Filter hinzufügen.

  5. Wählen Sie im Dialogfeld Filter auswählen die Option Angriffsrisiken aus.

  6. Geben Sie im Feld Angriffsrisiko größer als einen Wert ein.

  7. Klicken Sie auf Anwenden.

    Die Filteranweisung wird Ihrer Abfrage hinzugefügt und die Ergebnisse im Bereich Ergebnisse der Suchanfrage werden aktualisiert. Es werden nur Ergebnisse mit einem Wert für die Angriffsexposition angezeigt, der über dem in der neuen Filteranweisung angegebenen Wert liegt.

Ergebnisse zu Sicherheitslücken nach CVE-ID aufrufen

Sie können die Ergebnisse entweder auf der Seite Übersicht oder auf der Seite Ergebnisse nach der entsprechenden CVE-ID filtern.

Auf der Seite Übersicht im Abschnitt Top-CVE-Ergebnisse werden die Ergebnisse zu Sicherheitslücken in einem interaktiven Diagramm nach der Ausnutzbarkeit und Auswirkung der entsprechenden CVE gruppiert, wie von Mandiant bewertet. Klicken Sie auf einen Block im Diagramm, um eine Liste der Sicherheitslücken nach CVE-ID aufzurufen, die in Ihrer Umgebung erkannt wurden.

Auf der Seite Ergebnisse können Sie Ergebnisse anhand ihrer CVE-ID abfragen.

So rufen Sie Ergebnisse zu Sicherheitslücken nach CVE-ID ab:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts im Feld Abfragevorschau auf Abfrage bearbeiten.

  4. Bearbeiten Sie die Abfrage im Abfrageeditor so, dass sie die gewünschte CVE-ID enthält. Beispiel:

    state="ACTIVE"
     AND NOT mute="MUTED"
     AND vulnerability.cve.id="CVE-2016-5195"
    

    Die Ergebnisse der Suchanfrage werden aktualisiert, sodass alle aktiven Ergebnisse angezeigt werden, die nicht ausgeblendet sind und die CVE-ID enthalten.

Ergebnisse zu Sicherheitslücken nach Schweregrad ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Schweregrad auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Gehen Sie im Bereich Schnellfilter zum Abschnitt Ergebnisklasse und wählen Sie sowohl Sicherheitslücke als auch Fehlkonfiguration aus.

    Die angezeigten Ergebnisse werden aktualisiert, sodass nur Ergebnisse der Klassen Vulnerability und Misconfiguration angezeigt werden.

  4. Gehen Sie im Bereich Schnellfilter zum Bereich Schweregrad und wählen Sie die Schweregrade der Ergebnisse aus, die Sie sehen möchten.

    Die angezeigten Ergebnisse werden aktualisiert, sodass nur Sicherheitslücken der ausgewählten Schwere angezeigt werden.

Ergebniskategorien nach der Anzahl aktiver Ergebnisse ansehen

Sie können die Ergebniskategorien entweder über die Google Cloud Console oder über die Befehle der Google Cloud CLI nach der Anzahl der aktiven Ergebnisse sortieren.

Console

Wenn Sie sich die Ergebniskategorien auf der Seite Sicherheitslücken nach der Anzahl der aktiven Ergebnisse anzeigen lassen möchten, können Sie die Kategorien nach der Spalte Aktive Ergebnisse sortieren oder nach der Anzahl der aktiven Ergebnisse filtern.

So filtern Sie Kategorien von Sicherheitslücken nach der Anzahl der enthaltenen aktiven Ergebnisse:

  1. Öffnen Sie in der Google Cloud Console die Seite Sicherheitslücken:

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Bewegen Sie den Cursor in das Filterfeld, um eine Liste der Filter aufzurufen.

  4. Wählen Sie in der Filterliste Aktive Ergebnisse aus. Es wird eine Liste der logischen Operatoren angezeigt.

  5. Wählen Sie einen logischen Operator für den Filter aus, z. B. >=.

  6. Geben Sie eine Zahl ein und drücken Sie die Eingabetaste.

Die Anzeige wird aktualisiert und es werden nur die Sicherheitslückenkategorien angezeigt, die eine Anzahl aktiver Ergebnisse enthalten, die Ihrem Filter entspricht.

gcloud

Wenn Sie mit der gcloud CLI die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie zuerst Security Command Center ab, um die Quell-ID eines Sicherheitsrisikos zu erhalten, und verwenden Sie dann die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Rufen Sie zum Abschluss dieses Schritts Ihre Organisations-ID und dann die Quell-ID eines der Dienste zur Erkennung von Sicherheitslücken ab. Diese werden auch als Ergebnisquellen bezeichnet. Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.
  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
      --source-display-name='SOURCE_DISPLAY_NAME'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation. Eine Organisations-ID ist unabhängig von der Aktivierungsstufe von Security Command Center erforderlich.
    • SOURCE_DISPLAY_NAME: Der Anzeigename des Diensts zur Erkennung von Sicherheitslücken, für den Sie Ergebnisse anzeigen möchten. Beispiel: Security Health Analytics.
  3. Aktivieren Sie nach entsprechender Aufforderung die Security Command Center API und führen Sie dann den vorherigen Befehl aus, um die Quell-ID noch einmal abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notieren Sie sich die SOURCE_ID, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte SOURCE_ID, um Ergebnisse zu filtern. Der folgende Befehl der gcloud CLI gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation oder Ihres Projekts zurückgeben:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50