Afficher les résultats des failles dans Security Command Center

Cette page explique comment utiliser des filtres pour afficher des résultats de failles spécifiques.

Vous pouvez afficher et filtrer les résultats concernant les failles dans la console Google Cloud, sur les pages Vulnerabilities (Failles) et Findings (Résultats) de Security Command Center.

Après avoir affiché les résultats de failles qui vous intéressent, vous pouvez afficher des informations détaillées sur un résultat particulier en sélectionnant la faille dans Security Command Center. Ces informations incluent une description de la faille et du risque, ainsi que des recommandations pour y remédier.

Sur cette page, la faille fait référence aux résultats des classes Vulnerabliity et Misconfiguration.

Comparer les pages "Failles" et "Résultats"

Vous pouvez afficher et filtrer les résultats de failles de la console Google Cloud sur les pages Failles et Résultats.

Les options de filtrage de la page Failles sont limitées par rapport aux options de filtre et de requête disponibles sur la page Résultats.

La page Failles affiche toutes les catégories de résultats des classes de résultats Vulnerability et Misconfiguration, ainsi que le nombre actuel de résultats actifs dans chaque catégorie et les normes de conformité auxquelles chaque catégorie de résultat est mappée. S'il n'y a pas de failles actives dans une catégorie particulière, 0 s'affiche dans la colonne Résultats actifs.

En revanche, la page Résultats peut afficher les catégories de résultats de n'importe quelle classe de résultat, mais n'affiche une catégorie de résultat que si un problème de sécurité a été détecté dans cette catégorie dans votre environnement au cours de la période spécifiée.

Pour en savoir plus, consultez les pages suivantes :

Appliquer des préréglages de requête

Sur la page Failles, vous pouvez sélectionner des requêtes prédéfinies, ou requêtes prédéfinies, qui renvoient les résultats liés à des objectifs de sécurité spécifiques.

Par exemple, si votre responsabilité est la gestion des droits d'accès à l'infrastructure cloud (CIEM), vous pouvez sélectionner le préréglage de requête Erreurs de configuration concernant l'identité et les accès pour afficher tous les résultats liés aux comptes principaux mal configurés ou auxquels des autorisations excessives ou sensibles sont accordées.

Si votre objectif est spécifiquement de limiter les comptes principaux aux seules autorisations dont ils ont réellement besoin, vous pouvez sélectionner le préréglage de requête de l'outil de recommandation IAM afin d'afficher les résultats de l'outil de recommandation IAM pour les comptes principaux disposant de plus d'autorisations que nécessaire.

Pour sélectionner un préréglage de requête, procédez comme suit:

  1. Accédez à la page Failles:

    Accéder à la page "Failles"

  2. Dans la section Préréglages de requête, cliquez sur l'un des sélecteurs de requête.

    L'écran est mis à jour pour n'afficher que les catégories de failles spécifiées dans la requête.

Afficher les résultats de failles par projet

Pour afficher les résultats des failles par projet sur la page Failles de la console Google Cloud, procédez comme suit:

  1. Accédez à la page Failles de la console Google Cloud.

    Accéder à la page "Failles"

  2. Dans le sélecteur de projet en haut de la page, sélectionnez le projet pour lequel vous souhaitez afficher les résultats de failles.

La page Failles n'affiche que les résultats du projet que vous avez sélectionné.

Si la vue de votre console est définie sur votre organisation, vous pouvez également filtrer les résultats de failles selon un ou plusieurs ID de projet à l'aide des filtres rapides de la page Résultats.

Afficher les résultats de failles par catégorie de résultats

Pour afficher les résultats de failles par catégorie, procédez comme suit:

  1. Accédez à la page Failles de la console Google Cloud.

    Accéder à la page "Failles"

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.

La pâge Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.

Pour en savoir plus sur les catégories de recherche, consultez la section Résultats de failles.

Afficher les résultats par type d'élément

Pour afficher les résultats de failles pour un type d'élément spécifique, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

    Accéder

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Dans le panneau Filtres rapides, sélectionnez les options suivantes:

    • Dans la section Finding class (Classe de résultat), sélectionnez à la fois Vulnerability (Vulnérabilité) et Misconfiguration (Erreur de configuration).
    • Facultatif: dans la section ID du projet, sélectionnez l'ID du projet dans lequel afficher les éléments.
    • Dans la section Type de ressource, sélectionnez le type de ressource que vous souhaitez afficher.

La liste des résultats du panneau Résultats de la requête de résultats est mise à jour pour n'afficher que les résultats correspondant à vos sélections.

Afficher les résultats des failles par score d'exposition aux attaques

Les résultats de failles identifiés comme ayant une valeur élevée et qui sont étayés par des simulations de chemin d'attaque se voient attribuer un score d'exposition aux attaques. Vous pouvez filtrer les résultats en fonction de ce score.

Pour afficher les résultats des failles par score d'exposition aux attaques, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. À droite du panneau Aperçu de la requête, cliquez sur Modifier la requête.

  4. En haut du panneau Éditeur de requête, cliquez sur Ajouter un filtre.

  5. Dans la boîte de dialogue Sélectionner un filtre, choisissez Exposition au piratage.

  6. Dans le champ Exposition supérieure à, saisissez un score.

  7. Cliquez sur Appliquer.

    L'instruction de filtre est ajoutée à votre requête, et les résultats du panneau Résultats de la requête de résultats sont mis à jour pour n'afficher que ceux dont le score d'exposition aux attaques est supérieur à la valeur spécifiée dans la nouvelle instruction de filtre.

Afficher les résultats de failles par ID CVE

Vous pouvez afficher les résultats en fonction de leur ID CVE correspondant sur la page Présentation ou Résultats.

Sur la page Présentation, dans la section Principaux résultats CVE, les résultats de failles sont regroupés dans un graphique interactif en fonction de l'exploitabilité et de l'impact de la CVE correspondante, tels qu'évalués par Mandiant. Cliquez sur un bloc du graphique pour afficher la liste des failles par ID de CVE qui ont été détectées dans votre environnement.

Sur la page Résultats, vous pouvez interroger les résultats en fonction de leur ID de CVE.

Pour interroger les résultats de failles par ID de CVE, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. À droite du champ Aperçu de la requête, cliquez sur Modifier la requête.

  4. Dans l'éditeur de requête, modifiez la requête pour inclure l'ID de CVE que vous recherchez. Exemple :

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Les résultats de la requête de résultats sont mis à jour pour afficher tous les résultats actifs qui ne sont pas ignorés et qui contiennent l'ID de la CVE.

Afficher les résultats de failles par gravité

Pour afficher les résultats de failles par gravité, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Dans le panneau Filtres rapides, accédez à la section Classe de résultat, puis sélectionnez Vulnérabilité et Erreur de configuration.

    Les résultats affichés sont mis à jour pour n'afficher que les résultats des classes Vulnerability et Misconfiguration.

  4. Toujours dans le panneau Filtres rapides, accédez à la section Gravité, puis sélectionnez le niveau de gravité des résultats à afficher.

    Les résultats affichés sont mis à jour pour afficher uniquement les résultats de failles des niveaux de gravité sélectionnés.

Afficher les catégories de résultats en fonction du nombre de résultats actifs

Pour afficher les catégories de résultats en fonction du nombre de résultats actifs qu'elles contiennent, vous pouvez utiliser les commandes de la console Google Cloud ou de Google Cloud CLI.

Console

Pour afficher les catégories de résultats en fonction du nombre de résultats actifs qu'elles contiennent sur la page Failles, vous pouvez trier les catégories en fonction de la colonne Résultats actifs ou les filtrer en fonction du nombre de résultats actifs qu'elles contiennent.

Pour filtrer les catégories de résultats de failles en fonction du nombre de résultats actifs qu'elles contiennent, procédez comme suit:

  1. Ouvrez la page Failles dans la console Google Cloud:

    Accéder à la page "Failles"

  2. Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Placez votre curseur dans le champ de filtre pour afficher une liste de filtres.

  4. Dans la liste des filtres, sélectionnez Résultats actifs. Une liste d'opérateurs logiques s'affiche.

  5. Sélectionnez un opérateur logique à utiliser dans votre filtre, par exemple >=.

  6. Saisissez un nombre, puis appuyez sur Entrée.

L'affichage est mis à jour pour n'afficher que les catégories de failles contenant un certain nombre de résultats actifs correspondant à votre filtre.

gcloud

Pour utiliser la gcloud CLI afin d'obtenir le nombre de résultats actifs, vous devez d'abord interroger Security Command Center pour obtenir l'ID source d'un service de failles, puis utiliser l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour effectuer cette étape, obtenez votre ID d'organisation, puis l'ID de source de l'un des services de détection de failles (également appelés sources de recherche). Si vous n'avez pas encore activé l'API Security Command Center, vous êtes invité à le faire.

  1. Obtenez l'ID de votre organisation en exécutant gcloud organizations list, puis notez le numéro situé à côté du nom de l'organisation.

  2. Obtenez l'ID source de Security Health Analytics en exécutant la commande suivante :

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Remplacez les éléments suivants :

    • ORGANIZATION_ID: ID de votre organisation. Un ID d'organisation est requis, quel que soit le niveau d'activation de Security Command Center.
    • SOURCE_DISPLAY_NAME: nom à afficher du service de détection des failles pour lequel vous devez afficher les résultats. Par exemple, Security Health Analytics.

  3. Si vous y êtes invité, activez l'API Security Command Center, puis exécutez la commande précédente pour obtenir à nouveau l'ID source.

La commande permettant d'obtenir l'ID source doit afficher un résultat semblable à celui-ci :

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notez la valeur de SOURCE_ID afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez le SOURCE_ID que vous avez noté à l'étape précédente pour filtrer les résultats. La commande gcloud CLI suivante renvoie un nombre de résultats par catégorie:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Vous pouvez définir la taille de la page sur une valeur ne dépassant pas 1 000. La commande doit afficher un résultat semblable à celui-ci, avec les résultats propres à votre organisation ou à votre projet:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50