Ergebnisse zu Sicherheitslücken in Security Command Center ansehen

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Filtern bestimmte Sicherheitslücken aufrufen.

Sie können Ergebnisse zu Sicherheitslücken in der Google Cloud Console ansehen und filtern auf den Seiten Sicherheitslücken und Ergebnisse von Security Command Center.

Nachdem Sie die wichtigsten Ergebnisse zu Sicherheitslücken angezeigt haben, können Sie detaillierte Informationen zu einem bestimmten Ergebnis anzeigen, indem Sie in Security Command Center. Zu diesen Informationen gehören ein Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Schadensbehebung.

Auf dieser Seite bezieht sich Sicherheitslücke sowohl auf Ergebnisse der Klasse Vulnerability als auch auf Ergebnisse der Klasse Misconfiguration.

Seite „Sicherheitslücken“ mit der Seite „Ergebnisse“ vergleichen

Sie können Ergebnisse zu Sicherheitslücken in der Google Cloud Console ansehen und filtern sowohl auf der Seite Sicherheitslücken als auch auf der Seite Ergebnisse.

Die Filteroptionen auf der Seite Sicherheitslücken sind im Vergleich zu den Filter- und Abfrageoptionen auf der Seite Ergebnisse hinzu.

Auf der Seite Vulnerabilities (Sicherheitslücken) werden alle Ergebniskategorien in der Vulnerability- und Misconfiguration-Klassen von Ergebnissen, zusammen mit die aktuelle Anzahl aktiver Ergebnisse in jeder Kategorie und die Compliancestandards, denen jede Ergebniskategorie zugeordnet ist. Wenn in einer bestimmten Kategorie keine aktiven Sicherheitslücken vorhanden sind, wird in der Spalte Aktive Ergebnisse 0 angezeigt.

Auf der Seite Ergebnisse können dagegen Ergebniskategorien aus jeder Ergebnisklasse angezeigt werden. Eine Ergebniskategorie wird jedoch nur angezeigt, wenn in Ihrer Umgebung innerhalb des angegebenen Zeitraums ein Sicherheitsproblem in dieser Kategorie erkannt wurde.

Weitere Informationen finden Sie auf den folgenden Seiten:

Abfragevoreinstellungen anwenden

Auf der Seite Sicherheitslücken können Sie vordefinierte Abfragen, Abfragevorlagen, auswählen, die Ergebnisse zu bestimmten Sicherheitszielen zurückgeben.

Wenn Ihre Verantwortung beispielsweise in Bezug auf die Berechtigung zur Cloud-Infrastruktur liegt, Management (CIEM) haben, können Sie die Option Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung Abfragevoreinstellung, um alle Ergebnisse anzuzeigen, die sich auf Falsch konfigurierte oder gewährte Hauptkontokonten übermäßiger oder sensibler Berechtigungen

Wenn Sie Hauptkonten speziell auf diese Berechtigungen beschränken möchten die sie tatsächlich benötigen, wählen Sie die Abfragevoreinstellung IAM Recommender aus, um Ergebnisse aus dem IAM-Recommender für Hauptkonten anzuzeigen, die mehr als nötig.

So wählen Sie eine Abfragevoreinstellung aus:

  1. Rufen Sie die Seite Sicherheitslücken auf:

    Zu Sicherheitslücken

  2. Klicken Sie im Bereich Abfragevorlagen auf eine der Abfrageauswahlen.

    Die Anzeige wird aktualisiert, sodass nur die angegebenen Sicherheitslückenkategorien angezeigt werden. in die Abfrage ein.

Ergebnisse zu Sicherheitslücken nach Projekt ansehen

So rufen Sie in der Google Cloud Console auf der Seite Sicherheitslücken die Sicherheitslücken nach Projekt auf:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt für die Sie benötigen, um die Ergebnisse zu Sicherheitslücken zu sehen.

Auf der Seite Vulnerabilities (Sicherheitslücken) werden nur Ergebnisse für das Projekt angezeigt, das Sie ausgewählt.

Wenn die Konsolenansicht auf Ihre Organisation festgelegt ist, können Sie Filtern Sie die Ergebnisse zu Sicherheitslücken nach einer oder mehreren Projekt-IDs mithilfe von Schnellfilter auf der Seite Seite „Ergebnisse“:

Ergebnisse zu Sicherheitslücken nach Ergebniskategorie ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Kategorie ab:

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitslücken auf.

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie in der Spalte Kategorie den Ergebnistyp aus, für den Sie Ergebnisse aufrufen möchten.

Die Seite Ergebnisse zeigt eine Liste mit Ergebnissen an, die der ausgewählten Kategorie entsprechen.

Weitere Informationen zu Suchkategorien finden Sie unter Ergebnisse zu Sicherheitslücken.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Ergebnisse zu Sicherheitslücken für einen bestimmten Asset-Typ auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie im Bereich Schnellfilter Folgendes aus:

    • Wählen Sie im Abschnitt Finding class (Klasse finden) sowohl Vulnerability (Sicherheitslücke) aus. und Fehlerhafte Konfiguration.
    • Optional: Wählen Sie im Bereich Projekt-ID die ID des Projekts aus, in dem Sie Assets ansehen möchten.
    • Wählen Sie im Bereich Ressourcentyp den gewünschten Ressourcentyp aus.

Die Liste der Ergebnisse im Bereich Ergebnisse der Suchanfrage wird aktualisiert, sodass nur die Ergebnisse angezeigt werden, die Ihren Auswahlen entsprechen.

Ergebnisse zu Sicherheitslücken nach Angriffsbewertung aufrufen

Sicherheitslücken, die als „hochwertig“ eingestuft und durch Simulationen von Angriffspfaden unterstützt werden, erhalten eine Angriffsrisikobewertung. Sie können Ergebnisse nach diesem Wert filtern.

So rufen Sie Ergebnisse zu Sicherheitslücken nach Angriffsbewertung auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten.

  4. Klicken Sie oben im Bereich Abfrageeditor auf Filter hinzufügen.

  5. Wählen Sie im Dialogfeld Filter auswählen die Option Angriffsrisiko aus.

  6. Geben Sie in das Feld Angriffsrisiko größer als einen Wert ein.

  7. Klicken Sie auf Anwenden.

    Die Filteranweisung wird Ihrer Abfrage hinzugefügt und die Ergebnisse im Bereich Ergebnisse der Suchanfrage werden aktualisiert. Es werden nur Ergebnisse mit einem Wert für die Angriffsexposition angezeigt, der über dem in der neuen Filteranweisung angegebenen Wert liegt.

Ergebnisse zu Sicherheitslücken nach CVE-ID ansehen

Sie können Ergebnisse nach ihrer entsprechenden CVE-ID auf der Übersicht oder Ergebnisse.

Auf der Seite Übersicht im Abschnitt Top-CVE-Ergebnisse werden die Ergebnisse zu Sicherheitslücken in einem interaktiven Diagramm nach der Ausnutzbarkeit und Auswirkung der entsprechenden CVE gruppiert, wie von Mandiant bewertet. Klicken Sie auf einen Block im Diagramm, um eine Liste der Sicherheitslücken nach CVE-ID aufzurufen, die in Ihrer Umgebung erkannt wurden.

Auf der Seite Ergebnisse können Sie Ergebnisse anhand ihrer CVE-ID abfragen.

So rufen Sie Ergebnisse zu Sicherheitslücken nach CVE-ID ab:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts im Feld Abfragevorschau auf Abfrage bearbeiten.

  4. Bearbeiten Sie die Abfrage im Abfrageeditor so, dass sie die gewünschte CVE-ID enthält. Beispiel:

    state="ACTIVE"
     AND NOT mute="MUTED"
     AND vulnerability.cve.id="CVE-2016-5195"
    

    Die Ergebnisse der Ergebnisabfrage werden aktualisiert, um alle aktiven Ergebnisse, die nicht ausgeblendet sind und die CVE-ID enthalten.

Ergebnisse zu Sicherheitslücken nach Schweregrad ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Schweregrad auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Gehen Sie im Bereich Schnellfilter zum Abschnitt Kurse finden. und wählen Sie sowohl Sicherheitslücke als auch Fehlkonfiguration aus.

    Das angezeigte Ergebnisse werden aktualisiert, sodass nur Vulnerability und Misconfiguration angezeigt werden Ergebnisse der Klasse.

  4. Gehen Sie im Bereich Schnellfilter zum Bereich Schweregrad und wählen Sie die Schweregrade der Ergebnisse aus, die Sie sehen möchten.

    Das angezeigte Die Ergebnisse werden aktualisiert und zeigen nur Ergebnisse zu Sicherheitslücken der ausgewählten Schweregraden.

Ergebniskategorien nach der Anzahl aktiver Ergebnisse ansehen

Um Ergebniskategorien nach der Anzahl der darin enthaltenen aktiven Ergebnisse anzeigen zu lassen, können Sie entweder die Google Cloud Console oder die Google Cloud CLI verwenden.

Console

Wenn Sie sich die Ergebniskategorien auf der Seite Sicherheitslücken nach der Anzahl der aktiven Ergebnisse sortieren lassen möchten, können Sie die Kategorien nach der Spalte Aktive Ergebnisse sortieren oder die Kategorien nach der Anzahl der aktiven Ergebnisse filtern.

So filtern Sie Kategorien von Sicherheitslücken nach der Anzahl der enthaltenen aktiven Ergebnisse:

  1. Öffnen Sie in der Google Cloud Console die Seite Sicherheitslücken:

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Bewegen Sie den Mauszeiger in das Filterfeld, um eine Liste der Filter aufzurufen.

  4. Wählen Sie in der Liste der Filter Aktive Ergebnisse aus. Es wird eine Liste der logischen Operatoren angezeigt.

  5. Wählen Sie einen logischen Operator für den Filter aus, z. B. >=.

  6. Geben Sie eine Zahl ein und drücken Sie die Eingabetaste.

Die Anzeige wird aktualisiert und es werden nur die Sicherheitslückenkategorien angezeigt, die eine Anzahl aktiver Ergebnisse enthalten, die Ihrem Filter entspricht.

gcloud

Wenn Sie mit der gcloud CLI die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie zuerst Security Command Center ab, um die Quell-ID eines Sicherheitsrisikos zu erhalten, und verwenden Sie dann die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Rufen Sie zum Abschluss dieses Schritts Ihre Organisations-ID und dann die Quell-ID eines der Dienste zur Erkennung von Sicherheitslücken ab. Diese werden auch als Ergebnisquellen bezeichnet. Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.
  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
      --source-display-name='SOURCE_DISPLAY_NAME'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation. Eine Organisations-ID ist unabhängig von der Aktivierungsstufe von Security Command Center erforderlich.
    • SOURCE_DISPLAY_NAME: Der Anzeigename des Diensts zur Erkennung von Sicherheitslücken, für den Sie Ergebnisse anzeigen möchten. Beispiel: Security Health Analytics.
  3. Wenn Sie dazu aufgefordert werden, aktivieren Sie die Security Command Center API und führen Sie dann den vorherigen um die Quell-ID erneut abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notieren Sie sich die SOURCE_ID, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die SOURCE_ID, die Sie zuvor notiert haben. um Ergebnisse zu filtern. Der folgende Befehl der gcloud-Befehlszeile gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte eine Ausgabe wie die folgende anzeigen, mit Ergebnissen aus Ihrem Organisation oder Projekt:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50