En esta página, se explica cómo trabajar con los resultados en la página Resultados de Security Command Center en la consola de Google Cloud. Un hallazgo es un registro de un problema de seguridad que crean los servicios de Security Command Center cuando detectan un problema de seguridad.
Estas son algunas de las acciones que puedes realizar en la página de resultados:
- Resultados de la consulta
- Inspeccionar resultados
- Silenciar resultados
- Agrega marcas de seguridad a los resultados
Los resultados se enumeran en el panel Resultados de la consulta de la página Resultados. Puedes hacer clic en un resultado para ver sus detalles, así como su formato JSON completo.
Para obtener información sobre cómo trabajar con los resultados mediante la API de Security Command Center, consulta Accede a Security Command Center de manera programática.
Funciones de IAM para Security Command Center
Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad de ver, editar, crear o actualizar los resultados, los elementos y las fuentes de seguridad depende del nivel para el que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Visualiza los resultados en la consola de Google Cloud
De forma predeterminada, en el panel Resultados de la consulta de la página Resultados, se muestran todos los resultados activos que no están silenciados y que son nuevos o actualizados en los últimos siete días.
Si quieres ver resultados específicos, edita la consulta de resultados para especificar los valores o atributos que los resultados que necesitas ver deben o no deben contener.
El siguiente ejemplo es la consulta de resultados predeterminada:
state="ACTIVE" AND NOT mute="MUTED"
Puedes ver la búsqueda actual en el campo Vista previa de la consulta de la página Resultados.
Ajusta el intervalo de tiempo para ver más resultados
Puedes ajustar el intervalo de tiempo que se usa para tus consultas en el campo Intervalo de tiempo a la derecha en la barra de acciones del Editor de consultas.
El intervalo de tiempo predeterminado es Last 7 days.
El intervalo de tiempo se basa en el valor del atributo eventTime de los resultados, que refleja la hora a la que se actualizó por última vez el registro del resultado.
Cómo encontrar la disponibilidad
Por lo general, un resultado está disponible para que lo consultes en Security Command Center menos de un minuto después de que el servicio que genera el resultado lo almacena en la base de datos de resultados de Security Command Center. Los resultados permanecen disponibles para consultas durante al menos 13 meses.
Security Command Center almacena una o más instantáneas de cada resultado. Una instantánea de un resultado se borra 13 meses después de la marca de tiempo en el campo eventTime. Si se borran todas las instantáneas de un resultado, ya no se puede consultar ni recuperar.
Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.
Encontrar y ver resultados específicos
Para encontrar y ver resultados específicos o grupos de resultados, edita la consulta de resultados en la página Resultados. Puedes editar la consulta de las siguientes maneras:
- En el panel Filtros rápidos, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta.
- En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta.
- Edita la consulta de resultados directamente en el panel Editor de consultas.
- En el panel de detalles de un resultado, en el menú desplegable de un atributo en particular, selecciona un filtro predefinido para ese atributo para agregarlo a una consulta.
Si seleccionas un filtro predefinido, se agregará automáticamente el filtro a la consulta.
En el panel Filtros rápidos, puedes ver las opciones de filtro de uso general y de uso general. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basan en atributos de resultado de nivel inferior.
Para obtener más información sobre cómo crear y editar consultas de resultados en la consola, consulta Edita una consulta de resultados en la consola de Google Cloud.
Consulta los detalles de un hallazgo
Si deseas obtener más información sobre un resultado, abre la vista detallada del resultado haciendo clic en su nombre en la columna Categoría del panel Resultados de la consulta de resultados.
En la vista detallada, puedes encontrar información que es fundamental para comprender un hallazgo, investigar una amenaza o abordar una vulnerabilidad.
La vista detallada de los resultados incluye las siguientes pestañas que puedes seleccionar para obtener más información sobre un resultado y tomar medidas:
- La pestaña Resumen, que es la vista predeterminada, destaca información y atributos clave sobre el resultado.
- La pestaña Propiedades fuente, en la que puedes ver los atributos del objeto
sourcePropertiesdel JSON de resultado - La pestaña JSON, en la que puedes ver el formato JSON completo del resultado.
Puedes realizar ciertas acciones sobre el resultado en la vista detallada y, además, encontrar vínculos a información adicional relacionada con él.
Obtén más información sobre el hallazgo en la vista detallada
La vista detallada de un resultado destaca información importante sobre el resultado que puedes usar para comprender y abordar el problema de seguridad subyacente.
Información sobre la pestaña Resumen
La pestaña Resumen proporciona información sobre el resultado en las siguientes secciones:
- Qué se detectó
Detalles sobre el resultado que se detectó, como los siguientes:
- Un resumen generado por IAVista previa
- La gravedad del resultado
- El estado del resultado,
ACTIVEoINACTIVE - Cualquier campo clave que esté relacionado con el resultado específico
- Vulnerabilidad
Información del registro de CVE que corresponde a la vulnerabilidad, si la hubiera. En la sección Vulnerabilidad, se incluye información del registro de CVE, como los siguientes:
- ID de CVE
- Puntuación de CVE
- Impacto
- Actividad de explotación
- Exposición al ataque
La puntuación de exposición a ataques y la hora en que se calculó por última vez la puntuación Cuando haces clic en la puntuación, se abre una representación visual de los recursos de alto valor afectados y la ruta de ataque asociada.
- Recurso afectado
Detalles sobre el recurso asociado con el hallazgo, incluidos los contactos técnicos y de seguridad. Esta sección también contiene un menú que te permite ver los detalles del recurso.
- Marcas de seguridad
Las marcas de seguridad asociadas con este resultado, si las hay.
- Próximos pasos
Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo ciertos servicios, como Security Health Analytics, proporcionan los próximos pasos.
- Vínculos relacionados
Vínculos a fuentes clave de información de seguridad fuera de Security Command Center Solo ciertos servicios, como Event Threat Detection, proporcionan vínculos relacionados.
- Servicio de detección
Detalles sobre el servicio, o la fuente, que detectó el resultado.
Información sobre la pestaña Propiedades fuente
Para algunos resultados, el panel de detalles incluye una pestaña Propiedades fuente que destaca ciertas propiedades del objeto sourceProperties del JSON de búsqueda.
Las propiedades fuente difieren para cada resultado y cada servicio que se ejecuta en Security Command Center. No hay garantía de que las propiedades de la fuente estén estandarizadas en todos los servicios. Por este motivo, no recomendamos que consumas propiedades fuente de manera programática. Si deseas que una propiedad fuente se estandarice en todos los servicios, envíanos tus comentarios.
Información sobre la pestaña JSON
La pestaña JSON contiene la estructura JSON completa del resultado seleccionado actualmente, que puede ser útil cuando investigas un resultado o buscas atributos que puedes usar en tus consultas de resultados.
Para copiar el objeto JSON en tu portapapeles, haz clic en Copiar.
La estructura JSON de un resultado contiene los siguientes objetos:
findings: Son los atributos del resultado. Estos atributos se estandarizaron en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta:Finding.resource: Son los atributos del recurso afectado. Para obtener más información, consultaResource.sourceProperties: Son las propiedades específicas del servicio del resultado.
También puedes usar la API de ListFindings para enumerar los resultados y obtener sus definiciones de JSON.
Cómo realizar acciones en un resultado desde la vista detallada
Puedes realizar diversas acciones en un resultado desde la vista detallada, como silenciarlo o agregar atributos a la consulta actual.
Cómo silenciar un resultado en la vista detallada
En el menú Realizar una acción en la vista detallada de un resultado, puedes silenciarlo o activar su sonido, o bien crear una regla que silencie todos los resultados futuros, como el actual.
A fin de obtener instrucciones completas para silenciar un resultado o crear una regla de silencio, consulta Silencia resultados en Security Command Center.
Cómo agregar filtros de atributo a una consulta desde la vista de detalles
Desde la vista detallada de un resultado, puedes agregar filtros para los atributos que se muestran a la consulta de resultados actual.
Para obtener instrucciones, consulta Agrega filtros de atributo desde la vista de detalles de un resultado.
Consulta los nombres de la API de atributo en la vista detallada de un resultado
La mayoría de los atributos de resultados que se muestran en la consola de Google Cloud tienen un nombre correspondiente que se usa en la API de Security Command Center. En la vista detallada de un resultado, puedes encontrar y copiar el nombre de la API correspondiente de los atributos de resultado que se muestran.
Compartir la vista detallada de un resultado
Para compartir la vista detallada de un resultado, puedes copiar la URL de la página de la vista detallada a fin de compartirla con otros usuarios.
Para copiar la URL de vista de detalles en tu portapapeles, en el menú Realizar una acción, haz clic en Copiar vínculo.
Envía comentarios sobre el hallazgo a Google Cloud
Para enviar comentarios a Google Cloud, abre el menú Tomar medidas y haz clic en Enviar comentarios.
La herramienta de comentarios te permite capturar e incluir una captura de pantalla.
En las siguientes secciones, se describen las pestañas Resumen, Propiedades fuente y JSON.
Muestra detalles de otros resultados en el panel Resultados de la consulta de resultados.
Para ver los detalles de los resultados que preceden o siguen al resultado que estás viendo en ese momento, usa el botón siguiente o anterior para ir al resultado siguiente o anterior, sin tener que volver a la página Resultados.
Agrega marcas de seguridad a los resultados en la consola de Google Cloud
Puedes agregar marcas de seguridad a los resultados, editarlas o quitarlas de los resultados en el panel Resultados de la consulta de resultados.
Una marca de seguridad es una etiqueta de par clave-valor personalizada que puedes usar para anotar un resultado, asociarlo con otros resultados que comparten la misma marca de seguridad y los resultados de la consulta.
Para crear, editar o quitar marcas de seguridad en la consola de Google Cloud, en la barra de acciones del panel Resultados de la consulta, haz clic en Establecer marcas de seguridad.
Si quieres obtener instrucciones completas para establecer marcas de seguridad en los resultados o recursos, consulta Usa marcas de seguridad.
Silencia los resultados en la consola de Google Cloud
Puedes silenciar y activar el sonido de los resultados en la página Resultados mediante las opciones para silenciar de la barra de acciones Resultados de la consulta de resultados o haciendo clic en Realizar una acción en el panel de detalles de un resultado.
Puedes silenciar resultados individuales o crear reglas de silenciamiento que silencien los resultados actuales y futuros según los filtros que definas.
Los resultados silenciados están ocultos y silenciados, pero aún puedes verlos si agregas el filtro mute="MUTED" a tu consulta de resultados. Los resultados silenciados se siguen registrando para fines de auditoría y cumplimiento.
Puedes ver las reglas de silencio definidas actualmente en la pestaña Reglas de silencio en la configuración de Security Command Center.
Si deseas obtener instrucciones detalladas para silenciar y dejar de silenciar los resultados, consulta Silencia resultados en Security Command Center.
Cambiar el estado de un resultado
Un resultado puede tener uno de dos estados: Active o Inactive.
Un estado de Active significa que el problema de seguridad que identifica el hallazgo persiste en tu entorno como una posible amenaza o vulnerabilidad.
Un estado de Inactive significa que se solucionó el problema de seguridad.
Es posible que desees cambiar el estado de un resultado por varias razones, como cambiar el estado de un resultado a Inactive en cuanto se resuelva, para que no tengas que esperar que el siguiente análisis cambie el estado por ti.
Para cambiar el estado de un resultado en la consola de Google Cloud, sigue estos pasos:
Ve a la vista Resultados en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En el panel Resultados de la consulta de resultados, selecciona el resultado.
En la barra de acciones del panel Resultados de la consulta de resultados, haz clic en Cambiar estado activo. Aparecerá un menú emergente.
En el menú emergente Cambiar estado activo, selecciona Activo o Inactivo.
Configura la página Resultados
Puedes controlar algunos de los elementos que aparecen en la página Resultados.
Ajusta las columnas de los resultados de la consulta
Puedes agregar o quitar columnas del panel Resultados de la consulta de resultados.
Puedes quitar cualquier columna, excepto la Categoría.
De forma predeterminada, en el panel Resultados de la consulta se muestran las siguientes columnas, pero es posible que debas desplazarte hacia la derecha para verlas:
- Categoría: El nombre del tipo de resultado.
- Gravedad: La gravedad del resultado. Para obtener más información sobre cómo encontrar niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.
- Puntuación de exposición a ataques: La puntuación de exposición a ataques del hallazgo.
- Hora del evento: Ya sea cuando se detectó el resultado por primera vez o cuando se actualizó por última vez.
- Hora de creación: Momento en el que se creó el resultado en Security Command Center
- Nombre visible del recurso: El nombre visible del recurso en el que se detectó el problema.
- Nombre completo del recurso: El nombre completo del recurso en el que se detectó el problema.
- Ruta de acceso del recurso: La ruta de acceso al recurso en el que se detectó el problema.
- Resource type: El tipo de recurso en el que se detectó el problema.
- Marcas de seguridad: Cualquier marca de seguridad que se agregue al resultado.
- Clase del resultado: La clase del resultado, como
THREAT,VULNERABILITYyMISCONFIGURATION.
Para seleccionar las columnas de resultados que deseas mostrar, completa los siguientes pasos:
- A la derecha de la barra de acciones Resultados de la consulta, haz clic en view_column Columnas.
- En el menú que aparece, selecciona las columnas que deseas mostrar.
- Para ocultar una columna, anula la selección del nombre de la columna.
- Haz clic en Aplicar para aplicar los cambios al panel Resultados de la consulta de resultados.
Las selecciones de columnas se conservan la próxima vez que consultes la página Resultados, incluso si cambias de organización o proyecto. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.
Cómo ajustar los paneles de la página de resultados
Si deseas proporcionar más espacio en pantalla para editar consultas o ver los resultados, puedes contraer y expandir los siguientes paneles:
- El panel Filtros rápidos
- El panel Editor de consultas.
Para contraer un panel, haz clic en el ícono Activar o desactivar panel (first_page o first_page).
Para expandir el panel, vuelve a hacer clic en el ícono.
Envía comentarios al equipo de Security Command Center
Siempre estamos buscando maneras de mejorar nuestro servicio. Tus comentarios nos ayudarán a mejorar nuestros productos y crear una mejor experiencia para todos los usuarios de Security Command Center.
Para enviar comentarios, sigue estos pasos:
Ve a la vista Resultados en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Haz clic en Opciones y selecciona Enviar comentarios.
¿Qué sigue?
- Obtén más información sobre las fuentes de seguridad.
- Aprende a usar las marcas de seguridad.
- Obtén más información sobre cómo configurar Security Command Center.
- Obtén más información para crear un filtro de resultados con la API de Security Command Center.