Visualiza los hallazgos de vulnerabilidades en Security Command Center

En esta página, se muestra cómo usar filtros para mostrar resultados de vulnerabilidades específicos.

Puedes ver y filtrar los hallazgos de vulnerabilidades en la consola de Google Cloud en las páginas Vulnerabilidades y Resultados de Security Command Center.

Después de mostrar los resultados de vulnerabilidades que son importantes para ti, puedes ver información detallada sobre un resultado en particular si seleccionas la vulnerabilidad en Security Command Center. Esta información incluye una descripción de la vulnerabilidad y el riesgo, y recomendaciones para solucionar el problema.

En esta página, la vulnerabilidad se refiere a los resultados de las clases Vulnerabliity y Misconfiguration.

Comparación de la página de vulnerabilidades con la página de resultados

Puedes ver y filtrar los resultados de vulnerabilidades en la consola de Google Cloud en las páginas Vulnerabilidades y Resultados.

Las opciones de filtro de la página Vulnerabilidades son limitadas en comparación con las opciones de filtro y consulta que están disponibles en la página Resultados.

En la página Vulnerabilidades, se muestran todas las categorías de resultados en las clases Vulnerability y Misconfiguration, junto con la cantidad actual de resultados activos en cada categoría y los estándares de cumplimiento a los que se asigna cada categoría. Si no hay vulnerabilidades activas en una categoría en particular, 0 se muestra en la columna Resultados activos.

Por el contrario, la página Resultados puede mostrar categorías de resultados de cualquier clase, pero solo muestra una categoría de resultado si se detectó un problema de seguridad en esa categoría en el entorno dentro del intervalo de tiempo especificado.

Si deseas obtener más información, consulta las siguientes páginas:

Aplicar ajustes predeterminados de las consultas

En la página Vulnerabilidades, puedes seleccionar consultas predefinidas, ajustes predeterminados de la consulta, que muestran resultados relacionados con objetivos de seguridad específicos.

Por ejemplo, si tu responsabilidad es la administración de derechos de infraestructura de nube (CIEM), puedes seleccionar el ajuste predeterminado de consulta Configuración incorrecta de identidad y acceso para ver todos los resultados relacionados con cuentas principales que están mal configuradas o a las que se les otorgaron permisos sensibles o excesivos.

O bien, si tu objetivo es limitar de forma específica las principales a solo los permisos que realmente necesitan, puedes seleccionar el ajuste predeterminado de consulta del recomendador de IAM para mostrar los resultados del recomendador de IAM de las principales que tienen más permisos de los que necesitan.

Para seleccionar un ajuste predeterminado de consulta, sigue estos pasos:

  1. Ve a la página Vulnerabilidades:

    Ir a Vulnerabilidades

  2. En la sección Ajustes predeterminados de consulta, haz clic en uno de los selectores de consultas.

    La pantalla se actualiza para mostrar solo las categorías de vulnerabilidad especificadas en la consulta.

Visualiza los resultados de vulnerabilidades por proyecto

Para ver los resultados de vulnerabilidades por proyecto en la página Vulnerabilidades de la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página Vulnerabilidades en la consola de Google Cloud.

    Ir a Vulnerabilidades

  2. En el selector de proyectos en la parte superior de la página, selecciona el proyecto en el que necesitas ver los resultados de vulnerabilidades.

En la página Vulnerabilidades, se muestran los resultados solo para el proyecto que seleccionaste.

Como alternativa, si la vista de la consola está configurada como tu organización, puedes filtrar los resultados de vulnerabilidades por uno o más IDs del proyecto con los Filtros rápidos en la página Resultados.

Visualiza los hallazgos de vulnerabilidades por categoría de resultado

Para ver los hallazgos de vulnerabilidades por categoría, haz lo siguiente:

  1. Ve a la página Vulnerabilidades en la consola de Google Cloud.

    Ir a Vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En la columna Categoría, selecciona el tipo de resultado que deseas mostrar.

La página Resultados carga y muestra una lista de resultados que coincide con el tipo que seleccionaste.

Para obtener más información sobre las categorías de resultados, consulta Resultados de vulnerabilidades.

Visualiza resultados por tipo de elemento

Para ver los hallazgos de vulnerabilidades de un tipo de recurso específico, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, selecciona lo siguiente:

    • En la sección Clase de resultado, selecciona Vulnerabilidad y Configuración incorrecta.
    • Opcional: En la sección ID del proyecto, selecciona el ID del proyecto en el que deseas ver los recursos.
    • En la sección Resource type, selecciona el tipo de recurso que necesitas ver.

La lista de resultados del panel Resultados de la consulta de resultados se actualiza para mostrar solo los resultados que coinciden con tus selecciones.

Visualiza los hallazgos de vulnerabilidades por puntuación de exposición a ataques

A los hallazgos de vulnerabilidades que se designan como de alto valor y que son compatibles con simulaciones de rutas de ataque se les asigna una puntuación de exposición a ataques. Puedes filtrar los resultados según esta puntuación.

Para ver los hallazgos de vulnerabilidades por puntuación de exposición a ataques, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha del panel Vista previa de la consulta, haz clic en Editar consulta.

  4. En la parte superior del panel Editor de consultas, haz clic en Agregar filtro.

  5. En el diálogo Seleccionar filtro, selecciona Exposición ante ataques.

  6. En el campo Exposición al ataque mayor que, ingresa un valor de puntuación.

  7. Haz clic en Aplicar.

    La instrucción de filtro se agrega a tu consulta y los resultados en el panel Resultados de la consulta se actualizan para mostrar solo los resultados con una puntuación de exposición a ataques mayor que el valor especificado en la nueva declaración de filtro.

Visualiza los resultados de vulnerabilidades por ID de CVE

Puedes ver los resultados por su ID de CVE correspondiente en las páginas Descripción general o Resultados.

En la página Descripción general, en la sección Resultados principales de CVE, los resultados de vulnerabilidades se agrupan en un gráfico interactivo por la explotación y el impacto de la CVE correspondiente, según la evaluación de Mandiant. Haz clic en un bloque del gráfico para ver una lista de vulnerabilidades por ID de CVE que se detectaron en tu entorno.

En la página Resultados, puedes consultar los resultados por su ID de CVE.

Para consultar los resultados de vulnerabilidades por ID de CVE, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha, en el campo Vista previa de la consulta, haz clic en Editar consulta.

  4. En el Editor de consultas, edita la consulta para incluir el ID de CVE que buscas. Por ejemplo:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Los Resultados de la consulta de resultados se actualizan para mostrar todos los resultados activos que no están silenciados y que contienen el ID de CVE.

Visualiza los resultados de vulnerabilidades por gravedad

Para ver los resultados de vulnerabilidades por gravedad, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, ve a la sección Clase de descubrimiento y selecciona Vulnerabilidad y Configuración incorrecta.

    Los resultados que se muestran se actualizan para mostrar solo los resultados de la clase Vulnerability y Misconfiguration.

  4. Además, en el panel Filtros rápidos, ve a la sección Gravedad y selecciona la gravedad de los resultados que necesitas ver.

    Los resultados mostrados se actualizan para mostrar solo los resultados de vulnerabilidad de las gravedades seleccionadas.

Visualiza las categorías de resultados por la cantidad de resultados activos

Para ver las categorías de resultados por la cantidad de resultados activos que contienen, puedes usar la consola de Google Cloud o los comandos de Google Cloud CLI.

Console

Para ver las categorías de resultados por la cantidad de resultados activos que contienen en la página Vulnerabilidades, puedes ordenar las categorías por la columna Resultados activos o puedes filtrar las categorías por la cantidad de resultados activos que contiene cada una.

Para filtrar las categorías de resultados de vulnerabilidades por la cantidad de resultados activos que contienen, sigue estos pasos:

  1. Abre la página Vulnerabilidades en la consola de Google Cloud:

    Ir a Vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. Coloca el cursor en el campo de filtro para mostrar una lista de filtros.

  4. En la lista de filtros, selecciona Resultados activos. Se muestra una lista de operadores lógicos.

  5. Selecciona un operador lógico para usar en el filtro, como >=.

  6. Escribe un número y presiona Intro.

La pantalla se actualiza para mostrar solo las categorías de vulnerabilidad que contienen una serie de resultados activos que coinciden con tu filtro.

gcloud

Si quieres usar gcloud CLI para obtener un recuento de todos los resultados activos, primero debes consultar Security Command Center para obtener el ID de origen de un servicio de vulnerabilidad y, luego, usar el ID de origen para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, obtén el ID de tu organización y, luego, el ID de origen de uno de los servicios de detección de vulnerabilidades, que también se conocen como fuentes de búsqueda. Si aún no habilitaste la API de Security Command Center, se te solicitará que la habilites.

  1. Obtén el ID de la organización mediante la ejecución de gcloud organizations list y, luego, toma nota del número junto al nombre de la organización.

  2. Obtén el ID de la fuente de estadísticas del estado de seguridad mediante la ejecución del siguiente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID de la organización. El ID de la organización es obligatorio, sin importar el nivel de activación de Security Command Center.
    • SOURCE_DISPLAY_NAME: Es el nombre visible del servicio de detección de vulnerabilidades para el que necesitas mostrar los resultados. Por ejemplo, Security Health Analytics

  3. Si se te solicita, habilita la API de Security Command Center y, luego, ejecuta el comando anterior para obtener el ID de origen nuevamente.

El comando para obtener el ID de la fuente debe mostrar un resultado como el siguiente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Toma nota de SOURCE_ID para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el SOURCE_ID que anotaste en el paso anterior para filtrar los resultados. El siguiente comando de gcloud CLI muestra un recuento de resultados por categoría:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con resultados de tu organización o proyecto en particular:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50