Utiliser les résultats dans la console Google Cloud

Cette page explique comment utiliser les résultats de la page Résultats de Security Command Center dans la console Google Cloud. Un résultat est un enregistrement d'un problème de sécurité créé par les services Security Command Center lorsqu'ils détectent un problème de sécurité.

Voici quelques-unes des actions que vous pouvez effectuer sur la page de résultats:

• Résultats de la requête
• Inspecter les résultats
• Ignorer les résultats
• Ajouter des marques de sécurité aux résultats

Les résultats sont répertoriés dans le panneau Résultats de la requête de résultats de la page Résultats. Vous pouvez cliquer sur un résultat pour afficher ses détails, ainsi que son format JSON complet.

Pour en savoir plus sur l'utilisation des résultats à l'aide de l'API Security Command Center, consultez la page Accéder à Security Command Center de manière automatisée.

Rôles IAM pour Security Command Center

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Afficher les résultats dans la console Google Cloud

Par défaut, le panneau Résultats de la requête de résultats de la page Résultats affiche tous les résultats actifs qui ne sont pas ignorés, et qui sont nouveaux ou mis à jour au cours des sept derniers jours.

Pour afficher des résultats spécifiques, modifiez la requête de résultats pour spécifier les valeurs ou les attributs que les résultats que vous devez voir doivent ou ne doivent pas contenir.

L'exemple suivant est la requête de résultat par défaut:

state="ACTIVE"
AND NOT mute="MUTED"

Vous pouvez afficher la requête de résultat actuelle dans le champ Aperçu de la requête de la page Résultats.

Ajustez la période pour afficher plus de résultats

Vous pouvez ajuster la période utilisée pour vos requêtes dans le champ Période à droite de la barre d'action de l'éditeur de requête. La période par défaut est Last 7 days.

La période est basée sur la valeur de l'attribut eventTime des résultats, qui reflète l'heure à laquelle l'enregistrement du résultat a été mis à jour pour la dernière fois.

Disponibilité...

Un résultat devient généralement disponible pour que vous puissiez l'interroger dans Security Command Center moins d'une minute après que le service qui génère le résultat le stocke dans la base de données de résultats de Security Command Center. Les résultats restent disponibles pour les requêtes pendant au moins 13 mois.

Security Command Center stocke un ou plusieurs instantanés de chaque résultat. L'instantané d'un résultat est supprimé 13 mois après l'horodatage indiqué dans le champ eventTime. Si tous les instantanés d'un résultat sont supprimés, le résultat ne peut plus être interrogé ni récupéré.

Pour en savoir plus sur la conservation des données dans Security Command Center, consultez la section Conservation des données.

Rechercher et afficher des résultats spécifiques

Vous pouvez rechercher et afficher des résultats ou des groupes de résultats spécifiques en modifiant la requête de résultats sur la page Résultats. Vous pouvez modifier la requête de différentes manières:

• Dans le panneau Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête.
• Dans le menu Ajouter un filtre du panneau Éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête.
• Modifiez la requête de résultats directement dans le panneau Éditeur de requête.
• Dans le panneau d'informations d'un résultat, dans le menu déroulant d'un attribut particulier, sélectionnez un filtre prédéfini pour cet attribut afin de l'ajouter à une requête.

La sélection d'un filtre prédéfini ajoute automatiquement le filtre à la requête.

Utilisez le panneau Filtres rapides pour accéder aux options de filtrage généraux fréquemment utilisées. Utilisez le menu Ajouter un filtre pour appliquer des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur.

Pour en savoir plus sur la création et la modification de requêtes de résultat dans la console, consultez Modifier une requête de résultat dans la console Google Cloud.

Afficher les détails d'un résultat

Pour en savoir plus sur un résultat, ouvrez la vue détaillée du résultat en cliquant sur son nom dans la colonne Category (Catégorie) du panneau Findings query results (Résultats de la requête de résultats).

La vue détaillée contient des informations essentielles pour comprendre un résultat, enquêter sur une menace ou traiter une faille.

La vue détaillée des résultats comprend les onglets suivants que vous pouvez sélectionner pour en savoir plus sur un résultat et prendre des mesures:

• L'onglet Résumé, qui est la vue par défaut, met en évidence les informations et les attributs clés du résultat.
• L'onglet Propriétés sources, dans lequel vous pouvez voir les attributs de l'objet sourceProperties du résultat JSON.
• L'onglet JSON, qui affiche le format JSON complet du résultat.

Vous pouvez effectuer certaines actions sur le résultat dans la vue détaillée et trouver des liens vers des informations supplémentaires liées au résultat.

En savoir plus sur le résultat dans la vue détaillée

La vue détaillée d'un résultat met en évidence des informations importantes sur le résultat que vous pouvez utiliser pour comprendre et résoudre le problème de sécurité sous-jacent.

Informations sur l'onglet Récapitulatif

L'onglet Summary (Résumé) fournit des informations sur le résultat dans les sections suivantes:

Risque détecté

Informations détaillées sur le résultat détecté, par exemple:

• Résumé généré par IA^Aperçu
• Gravité du résultat
• L'état du résultat, ACTIVE ou INACTIVE
• Tous les champs clés liés au résultat spécifique

Faille

Informations de l'enregistrement CVE correspondant à la faille, le cas échéant. La section Failles inclut des informations de l'enregistrement CVE, telles que:

• ID de la CVE
• Score CVE
• Impact
• Activité d'exploitation

Exposition au piratage

Le score d'exposition aux attaques et l'heure à laquelle il a été calculé pour la dernière fois. Cliquez sur le score pour afficher une représentation visuelle des ressources de forte valeur affectées et le chemin d'attaque associé.

Ressource concernée

Détails sur l'élément associé au résultat, y compris les contacts techniques et de sécurité. Cette section contient également un menu qui vous permet d'afficher les détails de la ressource.

Marques de sécurité

Les marques de sécurité associées à ce résultat, le cas échéant.

Étapes suivantes

Des conseils sur la marche à suivre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, fournissent les étapes suivantes.

Liens associés

Liens vers des sources clés d'informations de sécurité en dehors de Security Command Center. Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.

Service de détection

Les détails sur le service, ou la source, qui a détecté le résultat.

Informations sur l'onglet Propriétés sources

Pour certains résultats, le panneau de détails comprend un onglet Propriétés sources qui met en évidence certaines propriétés de l'objet sourceProperties du fichier JSON des résultats.

Les propriétés sources diffèrent pour chaque résultat et chaque service exécuté sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. C'est pourquoi nous vous déconseillons vivement d'utiliser les propriétés sources par programmation. Si vous souhaitez qu'une propriété source soit standardisée sur tous les services, envoyez-nous vos commentaires.

Informations sur l'onglet JSON

L'onglet JSON contient la structure JSON complète du résultat actuellement sélectionné, ce qui peut être utile lorsque vous recherchez ou recherchez des attributs que vous pouvez utiliser dans vos requêtes de résultat.

Pour copier l'objet JSON dans le presse-papiers, cliquez sur content_copy Copier.

La structure JSON d'un résultat contient les objets suivants:

• findings : attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la section Finding.
• resource : attributs de la ressource concernée. Pour en savoir plus, consultez la section Resource.
• sourceProperties : propriétés spécifiques au service du résultat.

Vous pouvez également utiliser l'API ListFindings pour répertorier les résultats et obtenir leurs définitions JSON.

Traiter un résultat depuis la vue détaillée

Vous pouvez effectuer diverses actions sur un résultat à partir de la vue détaillée du résultat, par exemple ignorer le résultat ou ajouter des attributs du résultat à la requête de résultat actuelle.

Ignorer un résultat dans la vue détaillée

Dans la vue détaillée d'un résultat du menu Effectuer une action, vous pouvez ignorer ou réactiver le résultat, ou créer une règle qui ignorera tous les résultats futurs, comme le résultat actuel.

Pour obtenir des instructions complètes sur la manière d'ignorer un résultat ou de créer une règle Ignorer, consultez la section Ignorer des résultats dans Security Command Center.

Ajouter des filtres d'attributs à une requête à partir de la vue détaillée

À partir de la vue détaillée d'un résultat, vous pouvez ajouter des filtres pour les attributs affichés à la requête de résultats actuelle.

Pour savoir comment procéder, consultez Ajouter des filtres d'attributs à partir de la vue détaillée d'un résultat.

Afficher les noms d'API des attributs dans la vue détaillée d'un résultat

La plupart des attributs de résultat affichés dans la console Google Cloud ont un nom correspondant qui est utilisé dans l'API Security Command Center. Dans la vue détaillée d'un résultat, vous pouvez rechercher et copier le nom d'API correspondant aux attributs de résultat affichés.

Partager la vue détaillée d'un résultat

Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL de cette page afin de la partager avec d'autres utilisateurs.

Pour copier l'URL de la vue détaillée dans le presse-papiers, dans le menu Effectuer une action, cliquez sur Copier le lien.

Envoyer des commentaires sur le résultat à Google Cloud

Pour envoyer des commentaires à Google Cloud, ouvrez le menu Effectuer une action, puis cliquez sur Envoyer des commentaires.

L'outil d'envoi de commentaires vous permet de faire une capture d'écran et de l'inclure.

Les sections suivantes décrivent les onglets Summary (Résumé), Source Properties (Propriétés sources) et JSON.

Afficher les détails des autres résultats dans le panneau Résultats de la requête de résultats

Pour afficher les détails des résultats qui précèdent ou suivent le résultat que vous êtes en train de consulter, utilisez le bouton navigate_next suivant ou navigate_before précédent afin d'accéder au résultat suivant ou précédent, sans avoir à revenir à la page Résultats.

Ajouter des marques de sécurité aux résultats dans la console Google Cloud

Vous pouvez ajouter des marques de sécurité aux résultats, les modifier ou les supprimer dans le panneau Résultats de la requête de résultats.

Une marque de sécurité est un libellé de clé-valeur personnalisé que vous pouvez utiliser pour annoter un résultat, associer un résultat à d'autres résultats qui partagent la même marque de sécurité et interroger des résultats.

Pour créer, modifier ou supprimer des marques de sécurité dans la console Google Cloud, cliquez sur Définir des marques de sécurité dans la barre d'action du panneau Résultats de la requête de résultats.

Pour obtenir des instructions complètes sur la définition de marques de sécurité sur les résultats ou les éléments, consultez la page Utiliser des marques de sécurité.

Ignorer des résultats dans la console Google Cloud

Vous pouvez ignorer et réactiver des résultats sur la page Résultats à l'aide des options Ignorer dans la barre d'action Résultats de la requête de résultats ou en cliquant sur Effectuer une action dans le panneau de détails d'un résultat.

Vous pouvez ignorer des résultats individuels ou créer des règles Ignorer qui ignorent les résultats actuels et futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les afficher en ajoutant le filtre mute="MUTED" à votre requête de résultat. Les résultats ignorés continuent d'être consignés à des fins d'audit et de conformité.

Vous pouvez afficher les règles Ignorer actuellement définies dans l'onglet Règles Ignorer des paramètres de Security Command Center.

Pour obtenir des instructions détaillées sur l'omission et la réactivation des résultats, consultez la section Ignorer des résultats dans Security Command Center.

Modifier l'état d'un résultat

Un résultat peut avoir l'un des deux états suivants: Active ou Inactive.

L'état Active signifie que le problème de sécurité identifié par le résultat persiste dans votre environnement en tant que menace ou faille potentielle.

L'état Inactive signifie que le problème de sécurité a été résolu.

Vous pouvez modifier l'état d'un résultat pour diverses raisons, par exemple pour remplacer l'état d'un résultat par Inactive dès qu'il est traité. Vous n'avez donc pas à attendre la prochaine analyse pour le modifier à votre place.

Pour modifier l'état d'un résultat dans la console Google Cloud:

1. Accédez à la vue Résultats de Security Command Center.

   Accéder

2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

   

3. Dans le panneau Résultats de la requête de résultats, sélectionnez le résultat.

4. Dans la barre d'action du panneau Résultats de la requête de résultats, cliquez sur Modifier l'état actif. Un menu contextuel s'affiche.

5. Dans le menu pop-up Modifier l'état actif, sélectionnez Actif ou Inactif.

Configurer la page "Résultats"

Vous pouvez contrôler certains des éléments qui apparaissent sur la page Résultats.

Ajuster les colonnes de résultats de requête

Vous pouvez ajouter ou supprimer des colonnes depuis le panneau Résultats de la requête de résultats.

Vous pouvez supprimer n'importe quelle colonne, à l'exception de la colonne Category.

Par défaut, le panneau Finding query results (Trouver des résultats de requête) affiche les colonnes suivantes, mais vous devrez peut-être faire défiler l'écran vers la droite pour les voir:

• Catégorie: nom du type de résultat.
• Severity (Gravité) : niveau de gravité du résultat. Pour en savoir plus sur la recherche des niveaux de gravité, consultez la section Classification des niveaux de gravité pour les résultats.
• Niveau d'exposition aux attaques: score d'exposition aux attaques du résultat.
• Heure de l'événement: date à laquelle le résultat a été détecté pour la première fois ou à la dernière mise à jour.
• Date et heure de création: date à laquelle le résultat a été créé dans Security Command Center.
• Resource display name (Nom à afficher de la ressource) : nom à afficher de la ressource dans laquelle le problème a été détecté.
• Resource full name (Nom complet de la ressource) : nom complet de la ressource dans laquelle le problème a été détecté.
• Resource path (Chemin d'accès à la ressource) : chemin d'accès à la ressource dans laquelle le problème a été détecté.
• Resource type (Type de ressource) : type de ressource dans laquelle le problème a été détecté.
• Marques de sécurité: toute marque de sécurité ajoutée au résultat.
• Finding class (Classe du résultat) : classe du résultat, telle que THREAT, VULNERABILITY et MISCONFIGURATION.

Pour sélectionner les colonnes de résultats à afficher, procédez comme suit:

1. À droite de la barre d'action Résultats de la requête de résultats, cliquez sur view_column Colonnes.
2. Dans le menu qui s'affiche, sélectionnez les colonnes que vous souhaitez afficher.
3. Pour masquer une colonne, désélectionnez son nom.
4. Cliquez sur Appliquer pour appliquer les modifications au panneau Résultats de la requête de résultats.

Les sélections de colonnes sont conservées la prochaine fois que vous affichez la page Résultats, même si vous changez de projet ou d'organisation. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Clear column selection (Effacer les sélections de colonnes).

Ajuster les panneaux de la page de résultats

Pour bénéficier de plus d'espace à l'écran pour modifier des requêtes ou afficher les résultats, vous pouvez réduire et développer les panneaux suivants:

• Le panneau Filtres rapides
• Le panneau de l'éditeur de requête

Pour réduire un panneau, cliquez sur l'icône Activer/Désactiver le panneau, first_page ou first_page.

Pour développer le panneau, cliquez de nouveau sur l'icône.

Envoyer des commentaires à l'équipe Security Command Center

Nous cherchons en permanence à améliorer notre service. Vos commentaires nous permettront d'améliorer nos produits et d'offrir une meilleure expérience à tous les utilisateurs de Security Command Center.

Pour envoyer vos commentaires, procédez comme suit :

1. Accédez à la vue Résultats de Security Command Center.

   Accéder

2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

   

3. Cliquez sur Options, puis sélectionnez Envoyer des commentaires.

Étapes suivantes

• Apprenez-en davantage sur les sources de sécurité.
• Découvrez comment utiliser des marques de sécurité.
• Découvrez comment configurer Security Command Center.
• Découvrez comment créer un filtre de résultats à l'aide de l'API Security Command Center.