在 Security Command Center 中查看漏洞发现结果

本页介绍了如何使用过滤条件来显示特定的漏洞发现结果。

您可以在 Google Cloud 控制台中的 Security Command Center 的漏洞发现结果页面上查看和过滤漏洞发现结果。

显示对您重要的漏洞发现结果后,您可以在 Security Command Center 中选择漏洞,查看有关特定发现结果的详细信息。这些信息包括对漏洞和风险的说明以及修复建议。

在本页中,漏洞是指 VulnerabilityMisconfiguration 类发现结果。

比较“漏洞”页面与“发现结果”页面

您可以在 Google Cloud 控制台的漏洞页面和发现结果页面上查看和过滤漏洞发现结果。

发现结果页面上的过滤条件和查询选项相比,漏洞页面上的过滤条件选项较少。

漏洞页面会显示 VulnerabilityMisconfiguration 类发现结果中的所有发现结果类别,以及每个类别中当前有效发现结果的数量,以及每个发现结果类别对应的合规性标准。如果特定类别中没有有效漏洞,有效发现结果列中会显示 0

与之相反,发现结果页面可以显示任何发现类别中的发现结果类别,但只有在您指定的时间范围内在您的环境中检测到该类别的安全问题时,才会显示该类别的发现结果。

如需了解详情,请参阅以下页面:

应用查询预设

漏洞页面上,您可以选择预定义的查询(查询预设),以返回与特定安全目标相关的发现结果。

例如,如果您的职责是负责 Google Cloud 的云基础架构权限管理 (CIEM),您可以选择身份和访问权限配置错误查询预设,查看与配置错误或被授予过多或敏感权限的主要账号相关的所有发现。

或者,如果您的目标是明确限制主账号仅拥有其实际需要的权限,您可以选择 IAM 建议工具查询预设,以便针对拥有超出所需权限的主账号显示 IAM 建议工具的结果。

如需选择查询预设,请按以下步骤操作:

  1. 前往漏洞页面:

    转至“漏洞”

  2. 查询预设部分中,点击其中一个查询选择器。

    界面会更新为仅显示查询中指定的漏洞类别。

按项目查看漏洞发现结果

如需在 Google Cloud 控制台的漏洞页面上按项目查看漏洞发现结果,请执行以下操作:

  1. 前往 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在页面顶部的项目选择器中,选择您需要查看其漏洞发现结果的项目。

漏洞页面仅会显示所选项目的发现结果。

或者,如果您的控制台视图设置为组织,您可以在“发现结果”页面上使用快速过滤条件,按一个或多个项目 ID 过滤漏洞发现结果。

按发现结果类别查看漏洞发现结果

如需按类别查看漏洞发现结果,请执行以下操作:

  1. 前往 Google Cloud 控制台中的漏洞页面。

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 类别列中,选择要显示其发现结果的发现结果类型。

发现结果页面会加载并显示与您选择的类型匹配的发现结果列表。

如需详细了解发现结果类别,请参阅漏洞发现结果

按资源类型查看发现结果

如需查看特定资产类型的漏洞发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快速过滤条件面板中,选择以下内容:

    • 发现类部分中,同时选择漏洞配置错误
    • 可选:在项目 ID 部分中,选择要在其中查看资产的项目的 ID。
    • 资源类型部分中,选择您需要查看的资源类型。

发现结果的查询结果面板中的发现结果列表会更新,仅显示与您的选择匹配的发现结果。

按攻击风险得分查看漏洞发现结果

被指定为高价值且受攻击路径模拟支持的漏洞发现结果会被分配攻击风险得分。您可以按此得分过滤发现结果。

如需按攻击风险得分查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览面板右侧,点击修改查询

  4. 查询编辑器面板的顶部,点击添加过滤条件

  5. 选择过滤条件对话框中,选择攻击风险

  6. 攻击风险高于字段中,输入得分值。

  7. 点击应用

    过滤条件语句会添加到您的查询中,并且发现结果的查询结果面板中的发现结果会更新,仅显示攻击风险得分大于新过滤条件语句中指定值的发现结果。

按 CVE ID 查看漏洞发现结果

您可以在概览页面或发现结果页面上按相应的 CVE ID 查看发现结果。

概览页面的重要 CVE 发现结果部分,漏洞发现结果会按 Mandiant 评估的相应 CVE 的可利用性和影响分组,并显示在交互式图表中。点击图表中的某个分块,即可按 CVE ID 查看在您的环境中检测到的漏洞列表。

发现结果页面上,您可以按 CVE ID 查询发现结果。

如需按 CVE ID 查询漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 查询预览字段右侧,点击修改查询

  4. 查询编辑器中,修改查询以添加您要查找的 CVE ID。例如:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    发现结果的查询结果会更新,以显示所有未被忽略且包含 CVE ID 的有效发现结果。

按严重程度查看漏洞发现结果

如需按严重程度查看漏洞发现结果,请执行以下操作:

  1. 在 Google Cloud 控制台中,进入 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 快速过滤条件面板中,前往发现结果类部分,然后同时选择漏洞配置错误

    显示的发现结果会更新为仅显示 VulnerabilityMisconfiguration 类发现结果。

  4. 同样在快速过滤条件面板中,前往严重级别部分,然后选择您需要查看的发现结果的严重级别。

    系统会更新显示的发现结果,以仅显示所选严重级别的漏洞发现结果。

按有效发现结果数量查看发现结果类别

如需按包含的有效发现结果数量查看发现结果类别,您可以使用 Google Cloud 控制台或 Google Cloud CLI 命令。

控制台

如需在漏洞页面上按包含的有效发现结果数量查看发现结果类别,您可以按有效发现结果列对类别进行排序,也可以按每个类别包含的有效发现结果数量对类别进行过滤。

如需按漏洞发现结果类别包含的有效发现结果数量进行过滤,请按以下步骤操作:

  1. 在 Google Cloud 控制台中打开漏洞页面:

    转至“漏洞”

  2. 在项目选择器中,选择您的组织、文件夹或项目。

  3. 将光标置于过滤条件字段中,以显示过滤条件列表。

  4. 从过滤条件列表中,选择有效的发现。系统随即会显示逻辑运算符列表。

  5. 选择要在过滤条件中使用的逻辑运算符,例如 >=

  6. 输入一个号码,然后按 Enter 键。

界面随即会更新,仅显示包含多个与过滤条件匹配的有效发现结果的漏洞类别。

gcloud

如需使用 gcloud CLI 获取所有有效发现结果的数量,请先查询 Security Command Center 获取漏洞服务的来源 ID,然后使用来源 ID 来查询有效发现结果数量。

第 1 步:获取来源 ID

如需完成此步骤,请获取您的组织 ID,然后获取其中一个漏洞检测服务(也称为发现结果来源)的来源 ID。如果您尚未启用 Security Command Center API,系统会提示您启用它。

  1. 通过运行 gcloud organizations list 获取组织 ID,然后记下组织名称旁边的编号。

  2. 运行以下命令获取 Security Health Analytics 来源 ID:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    替换以下内容:

    • ORGANIZATION_ID:您的组织的 ID。 无论 Security Command Center 的激活级别如何,都必须提供组织 ID。
    • SOURCE_DISPLAY_NAME:您需要显示其发现结果的漏洞检测服务的显示名称。例如 Security Health Analytics

  3. 如果出现提示,请启用 Security Command Center API,然后运行上述命令再次获取来源 ID。

用于获取来源 ID 的命令应该显示如下输出:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

请记下要在下一步中使用的 SOURCE_ID

第 2 步:获取有效的发现结果数量

使用您在上一步中记下的 SOURCE_ID 来过滤发现结果。以下 gcloud CLI 命令会按类别返回发现结果数量:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

您可以将页面大小设置为不超过 1000 的任意值。该命令应显示如下所示的输出,其中包含来自特定组织或项目的结果:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50