Afficher les résultats de failles dans Security Command Center

Cette page vous explique comment utiliser les filtres pour afficher les failles détectées.

Vous pouvez afficher et filtrer les résultats de failles dans la console Google Cloud disponibles sur les pages Failles et Résultats de Security Command Center.

Après avoir affiché les résultats de vulnérabilités qui sont importants pour vous, vous pouvez afficher des informations détaillées sur un résultat particulier en sélectionnant la faille dans Security Command Center. Ces informations incluent une une description de la faille et du risque, ainsi que des recommandations pour remédier au problème.

Sur cette page, la faille fait référence à la fois à Vulnerability et Résultats de la classe Misconfiguration.

Comparer la page "Failles" à la page "Résultats"

Vous pouvez afficher et filtrer les résultats de failles dans la console Google Cloud sur les pages Failles et Résultats.

Les options de filtrage sur la page Failles sont limitées par rapport à aux options de filtre et de requête disponibles sur la page Résultats.

La page Failles affiche toutes les catégories de résultats les classes de résultats Vulnerability et Misconfiguration, ainsi que le nombre actuel de résultats actifs dans chaque catégorie et aux normes de conformité auxquelles chaque catégorie de résultats est associée. S'il y a n'a aucune faille active dans une catégorie particulière, 0 est affiché dans le Colonne Résultats actifs.

En revanche, la page Résultats peut afficher des catégories de résultats issues de mais n'affiche une catégorie de résultats que si un problème de sécurité a été détecté dans cette catégorie dans votre environnement au cours de la période spécifiée.

Pour en savoir plus, consultez les pages suivantes :

Appliquer des préréglages de requête

Sur la page Failles, vous pouvez sélectionner des requêtes prédéfinies, interroger prédéfinis, qui renvoient des résultats liés à des objectifs de sécurité spécifiques.

Par exemple, si votre responsabilité concerne les droits d'accès à l'infrastructure cloud de gestion de l'authentification et des accès (CIEM), vous pouvez sélectionner les erreurs de configuration de l'identité et des accès une requête prédéfinie pour afficher tous les résultats liés à de comptes principaux mal configurés ou des autorisations excessives ou sensibles.

Ou, si votre objectif est spécifiquement de limiter les comptes principaux à ces seules autorisations dont ils ont réellement besoin, vous pouvez sélectionner le préréglage de requête de l'outil de recommandation IAM, pour afficher les résultats de l'outil de recommandation IAM pour les comptes principaux ayant des autorisations que nécessaire.

Pour sélectionner un préréglage de requête, procédez comme suit:

  1. Accédez à la page Failles:

    Accéder

  2. Dans la section Préréglages de requête, cliquez sur l'un des sélecteurs de requête.

    L'affichage s'actualise pour n'afficher que les catégories de failles spécifiées. dans la requête.

Afficher les résultats de failles par projet

Pour afficher les résultats de failles par projet dans la section Failles de la console Google Cloud, procédez comme suit:

  1. Accédez à la page Failles de la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet en haut de la page, sélectionnez le projet pour dont vous avez besoin pour afficher les résultats des failles.

La page Failles n'affiche les résultats que pour le projet que vous sélectionnée.

Si la vue de votre console est définie sur votre organisation, vous pouvez également filtrer les résultats de failles selon un ou plusieurs ID de projet en utilisant Filtres rapides sur la Page de résultats.

Afficher les résultats de failles par catégorie de résultats

Pour afficher les résultats de failles par catégorie, procédez comme suit:

  1. Accédez à la page Failles de la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.

La pâge Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.

Pour en savoir plus sur les catégories de résultats, consultez Résultats des failles.

Afficher les résultats par type d'élément

Pour afficher les résultats de failles pour un type d'élément spécifique, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. Dans le panneau Filtres rapides, sélectionnez les éléments suivants:

    • Dans la section Classe de résultat, sélectionnez Vulnérabilité. et Erreur de configuration.
    • (Facultatif) Dans la section ID du projet, sélectionnez l'ID du projet. pour afficher les éléments.
    • Dans la section Type de ressource, sélectionnez le type de ressource dont vous avez besoin. pour en savoir plus.

La liste des résultats du panneau Résultats de la requête de résultat est remplacée par afficher uniquement les résultats qui correspondent à vos sélections.

Afficher les résultats des failles par score d'exposition au piratage

Résultats de failles considérées comme à forte valeur ajoutée et qui sont compatibles avec les simulations de chemin d'attaque reçoivent un score d'exposition aux attaques. Vous pouvez filtrer les résultats en fonction de ce score.

Pour afficher les résultats des failles par score d'exposition au piratage, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. À droite du panneau Aperçu de la requête, cliquez sur Modifier la requête.

  4. En haut du panneau de l'éditeur de requête, cliquez sur Ajouter un filtre.

  5. Dans la boîte de dialogue Sélectionner un filtre, sélectionnez Exposition au piratage.

  6. Dans le champ Exposition au piratage supérieure à, saisissez une valeur de score.

  7. Cliquez sur Appliquer.

    L'instruction de filtre est ajoutée à votre requête, et les résultats Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que les résultats comportant un score d'exposition au piratage supérieur à la valeur spécifiée dans la nouvelle instruction de filtre.

Afficher les résultats de failles par ID de CVE

Vous pouvez afficher les résultats par ID de CVE correspondant sur la page Vue d'ensemble ou Résultats.

Dans la section Principaux résultats CVE de la page Présentation : les résultats de failles sont regroupés interactif par l'exploitabilité et l'impact CVE, évaluée par Mandiant. Cliquez sur un bloc du graphique pour afficher la liste des failles par ID de CVE qui ont été détectées dans votre environnement.

Sur la page Résultats, vous pouvez interroger les résultats en fonction de leur ID de CVE.

Pour interroger les résultats de failles par ID de CVE, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. Sur la droite, dans le champ Aperçu de la requête, cliquez sur Modifier la requête.

  4. Dans l'éditeur de requête, modifiez la requête pour inclure l'ID de CVE que vous que vous recherchez. Exemple :

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Les résultats de la requête Findings sont mis à jour pour afficher tous les des résultats qui ne sont pas ignorés et qui contiennent l'ID de la CVE.

Afficher les failles identifiées par niveau de gravité

Pour afficher les failles identifiées par niveau de gravité, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. Dans le panneau Filtres rapides, accédez à la section Trouver un cours. Sélectionnez Faille et Erreur de configuration.

    La classe affichée les résultats sont mis à jour pour n'afficher que Vulnerability et Misconfiguration les résultats de classe.

  4. Toujours dans le panneau Filtres rapides, accédez à la section Gravité. et sélectionnez le niveau de gravité des résultats que vous souhaitez afficher.

    La classe affichée les résultats sont mis à jour pour n'afficher que les failles identifiées selon leur gravité.

Afficher les catégories de résultats en fonction du nombre de résultats actifs

Pour afficher les catégories de résultats en fonction du nombre de résultats actifs qu'elles contiennent, vous pouvez utiliser la console Google Cloud ou les commandes de la Google Cloud CLI.

Console

Pour afficher les catégories de résultats en fonction du nombre de résultats actifs qu'elles sur la page Failles, vous pouvez trier dans la colonne Résultats actifs, ou vous pouvez filtrer les catégories en fonction du nombre de résultats actifs que chacune contient.

Filtrer les catégories de résultats de failles en fonction du nombre de résultats actifs qu'ils contiennent, procédez comme suit:

  1. Ouvrez la page Vulnerabilities (Failles) dans la console Google Cloud:

    Accéder

  2. Dans le sélecteur de projet, choisissez votre organisation, votre dossier ou votre projet.

  3. Placez votre curseur dans le champ de filtre pour afficher la liste des filtres.

  4. Dans la liste des filtres, sélectionnez Résultats actifs. Une liste de logiques s'affiche.

  5. Sélectionnez un opérateur logique à utiliser dans votre filtre, par exemple >=.

  6. Saisissez un chiffre, puis appuyez sur Entrée.

L'affichage est mis à jour pour afficher uniquement les catégories de failles qui contiennent un certain nombre de résultats actifs correspondant à votre filtre.

gcloud

Pour utiliser la gcloud CLI afin d'obtenir le nombre de tous les résultats actifs, vous devez d'abord interroger Security Command Center pour obtenir l'ID source d'une faille puis utiliser l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour terminer cette étape, obtenez votre ID d'organisation, puis la source ID de l'un des services de détection de vulnérabilité, également appelés pour la recherche de sources. Si vous n'avez pas encore activé l'API Security Command Center, vous êtes invité à l'activer.

  1. Obtenez l'ID de votre organisation en exécutant gcloud organizations list, puis notez le numéro situé à côté du nom de l'organisation.

  2. Obtenez l'ID source de Security Health Analytics en exécutant la commande suivante :

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de votre organisation. Veuillez saisir un ID d'organisation, quel que soit le niveau d'activation de Security Command Center.
    • SOURCE_DISPLAY_NAME: nom à afficher du service de détection des failles dont vous avez besoin pour afficher les résultats . Exemple :Security Health Analytics

  3. Si vous y êtes invité, activez l'API Security Command Center, puis exécutez la pour obtenir à nouveau l'ID de la source.

La commande permettant d'obtenir l'ID source doit afficher un résultat semblable à celui-ci :

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notez la valeur de SOURCE_ID afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez le SOURCE_ID que vous avez noté précédemment pour filtrer les résultats. La gcloud CLI suivante renvoie un nombre de résultats par catégorie:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Vous pouvez définir la taille de la page sur une valeur ne dépassant pas 1 000. La commande doit d'afficher des résultats semblables à ce qui suit, avec les résultats de votre organisation ou projet:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50