Sicherheitsdiagramm mit Abfragen untersuchen

Der Sicherheitsgraph in Security Command Center ist eine beziehungsbasierte Datenbank, in der Cloud-Ressourcen, ihre Konfigurationen und zugehörige Risikoindikatoren wie Sicherheitslücken, Zugriffsberechtigungen, Datensensibilität und Netzwerkexposition abgebildet werden. Das Diagramm bietet einen umfassenden Überblick über Ihre Cloud-Assets und ihre Beziehungen.

In diesem Dokument erfahren Sie mehr über Graph Search, eine Funktion, mit der Sie den Sicherheitsgraphen untersuchen können, indem Sie benutzerdefinierte Abfragen erstellen, um potenzielle Sicherheitsrisiken in Ihrer Umgebung zu ermitteln.

Abfragekomponenten

Sicherheitsdiagramm-Abfragen bestehen aus drei Hauptkomponententypen:

  • Knoten: Ein Sicherheitsergebnis oder eine Cloud-Ressource.
  • WHERE-Klausel (Filter): Ein Filter, der auf einen Knoten angewendet wird, um die Abfrage basierend auf den spezifischen Attributen des Knotens zu verfeinern.
  • Verbindung: Eine gerichtete Beziehung zwischen zwei Knoten.

Das Folgende ist ein Beispiel für eine Abfrage, wie sie in der Google Cloud -Konsole mit diesen Komponenten zu sehen ist.

Beispiel für eine Security Command Center-Graphabfrage mit verschiedenen Komponenten
Beispiel für eine Security Command Center Graph-Abfrage mit verschiedenen Komponenten

Diese Beispielabfragestruktur identifiziert eine Beziehung zwischen Sicherheitsentitäten, um das Risiko zu ermitteln. Zuerst werden mit der Abfrage die wichtigsten Themen oder Knoten der Untersuchung festgelegt: die CVE-Sicherheitslücke und die VM (GCE). Die Verbindung, die durch den Ausdruck betrifft gekennzeichnet ist, verknüpft diese beiden Knoten explizit. Schließlich wird die Abfrage mit mehreren Attributen, den sogenannten WHERE-Klauseln oder Filtern, für jeden Knoten optimiert. Die hier verwendeten Filter umfassen den Schweregrad der Sicherheitslücke und die Erreichbarkeit der VM im Netzwerk. Zusammen helfen diese Komponenten dabei, Ressourcen zu identifizieren, die Indikatoren für Risiken in einer Umgebung sein können.

Knoten

Ein Knoten stellt ein Sicherheitsergebnis oder eine Cloud-Ressource dar.

Einige Beispiele für Knoten in der Google Cloud Konsole:

  • CVE-Sicherheitslücke: Eine Sicherheitslücke, die von der MITRE Corporation als „Common Vulnerabilities and Exposures“ definiert wurde.
  • Virtuelle Maschine (GCE): eine Compute Engine-Instanz.
  • GKE-Bereitstellung: eine Google Kubernetes Engine-Ressource.
  • IAM-Dienstkonto: Ein Dienstkonto für Identity and Access Management (IAM).
  • BigQuery-Dataset: Ein Container mit Daten in BigQuery. Weitere Informationen finden Sie unter Einführung in Datasets.

Knoten werden nach Kategorien wie Compute, Kubernetes, Identität und Datenbanken gruppiert. Sie können alle verfügbaren Knotentypen in derGoogle Cloud Konsole durchsuchen oder danach suchen, wenn Sie Ihre Anfrage erstellen.

WHERE-Klausel (Filter)

Eine WHERE-Klausel ist ein Filter, der auf einen Knoten angewendet wird, um die Abfrage basierend auf den spezifischen Eigenschaften des Knotens zu verfeinern.

Hier einige Beispiele für Filter:

  • Schweregrad = Kritisch: Ein Element mit kritischem Schweregrad, z. B. eine CVE.
  • Has Full API Access = True: Gibt an, dass ein Knoten mit vollem Zugriff auf alle Google Cloud APIs konfiguriert ist.
  • Exploitation Activity = Confirmed (Ausnutzungsaktivität = Bestätigt): Gibt an, dass es bekannte, gemeldete oder erwartete Instanzen einer Sicherheitslücke gibt, die aktiv ausgenutzt werden.

Die in der Google Cloud Konsole angezeigten Filter sind kontextbezogen und hängen vom ausgewählten Knotentyp ab.

Verbindung

Eine Verbindung ist eine gerichtete Beziehung zwischen zwei Knoten.

Hier einige Beispiele für Verbindungen:

  • that affects (betrifft): definiert die Beziehung zwischen zwei ausgewählten Knoten, z. B. eine CVE-Schwachstelle in Bezug auf eine virtuelle Maschine (GCE).
  • that uses (wird verwendet von): definiert die Beziehung zwischen zwei ausgewählten Knoten, z. B. einer virtuellen Maschine (GCE) in Bezug auf ein IAM-Dienstkonto.

Verbindungen sind kontextbezogen und es werden nur gültige Beziehungen für den ausgewählten Knotentyp angezeigt.

Abfrage erstellen

Sie können den Sicherheitsgraphen abfragen, um Ihre Cloud-Umgebung anhand von Kriterien zu untersuchen, die für Sie wichtig sind. Durch das Ausführen und Optimieren von Abfragen im Diagramm können Sie bestimmte Sicherheitslücken identifizieren, die Sie überwachen möchten.

  1. Rufen Sie Risiko > Graph Search auf, um die Seite für Sicherheitsgraph-Abfragen zu öffnen.

  2. Erstellen Sie Ihre Abfrage im Editor für benutzerdefinierte Abfragen.

    1. Eigene benutzerdefinierte Abfrage erstellen

    2. Wählen Sie einen vordefinierten Suchvorschlag aus und verwenden Sie ihn unverändert oder passen Sie die Anfrage an Ihre Bedürfnisse an.

  3. Führen Sie die Abfrage aus.

  4. Sehen Sie sich die Abfrageergebnisse in der Tabelle an. Sie können die Ergebnisansicht anpassen, indem Sie auswählen, welche Spalten angezeigt werden sollen. Sie können jede Spalte auch in aufsteigender oder absteigender Reihenfolge sortieren.

  5. Exportieren Sie Abfrageergebnisse als CSV-Datei mit der Option CSV-Datei herunterladen.

Benutzerdefinierte Abfragen erstellen

Sie können benutzerdefinierte Abfragen definieren, um Sicherheitslücken zu identifizieren, die für Ihre Umgebung spezifisch sind.

Dazu können Sie eine neue benutzerdefinierte Abfrage erstellen und ausführen oder einen vorhandenen Suchvorschlag anpassen. Gehen Sie dazu so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Risk > Graph Search auf, um die Seite für Sicherheitsgraphabfragen zu öffnen.

  2. Klicken Sie im Feld Anzeigen auf  und wählen Sie eine Ressource oder ein Ergebnis als primären Knoten für Ihre Anfrage aus. Klicken Sie dann auf Auswählen.

  3. Wenn Sie Ihre Anfrage eingrenzen möchten, klicken Sie auf den Ein/Aus-Schalter für einen beliebigen Filter oder eine beliebige Verbindung, um ihn für den ausgewählten Knoten zu aktivieren. Legen Sie den Wert für jeden Filter fest, den Sie aktivieren, und klicken Sie dann auf Auswählen.

    Security Command Center-Graphsuche-Widget
    Widget für die Diagrammsuche im Security Command Center (zum Vergrößern klicken)

  4. Wenn Sie Ihre Anfrage noch weiter anpassen möchten, klicken Sie auf das Pluszeichen (), das mit einem Knoten oder einer Verbindung verknüpft ist, um Änderungen vorzunehmen. Klicken Sie auf , um eine Komponente aus Ihrer Anfrage zu entfernen.

  5. Wählen Sie Abfrage ausführen aus.

Wenn sich das Diagrammschema weiterentwickelt, werden die verfügbaren Knoten, Filter und Verbindungen in der Google Cloud Console aktualisiert.

Suchvorschläge verwenden oder anpassen

Es werden mehrere Suchvorschläge als Ausgangspunkt angezeigt. Sie können diese Vorschläge unverändert verwenden oder an Ihre spezifischen Anforderungen anpassen.

  1. Rufen Sie in der Google Cloud Console die Seite Risk > Graph Search auf, um die Seite für Sicherheitsgraphabfragen zu öffnen.

  2. Wählen Sie einen Suchvorschlag aus, um detailliertere Informationen zur Anfrage zu erhalten.

  3. Klicken Sie auf Vorschlag verwenden.

  4. Optional: Passen Sie die Abfragedetails im Editor an Ihre Anforderungen an. Weitere Informationen finden Sie unter Benutzerdefinierte Abfragen erstellen.

  5. Wählen Sie Abfrage ausführen aus.

Fehlerbehebung bei Abfragen, die keine Ergebnisse zurückgeben

Wenn bei Ihrer Abfrage keine Ergebnisse zurückgegeben werden, können Sie die folgenden Schritte zur Fehlerbehebung und Anpassung ausführen.

Vordefinierten Suchvorschlag verwenden

Die vordefinierten Suchvorschläge sind Beispiele, die Ergebnisse liefern sollen, die für eine Vielzahl von Umgebungen relevant sind. Sie können Suchvorschläge an Ihre spezifischen Anforderungen anpassen.

Abfrage vereinfachen oder anpassen

  • Entfernen oder reduzieren Sie Filter, um den Umfang Ihrer Anfrage zu erweitern.

  • Versuchen Sie, einen einzelnen Assettyp oder eine einzelne Eigenschaft abzufragen, um zu prüfen, ob Daten zurückgegeben werden.

  • Vermeiden Sie es, zu viele Einschränkungen zu kombinieren. Andernfalls werden möglicherweise Ergebnisse ausgeschlossen.

Zugriffsberechtigungen prüfen

Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben, um die Daten abzurufen, die Sie abfragen. Ohne den richtigen Zugriff werden einige Assets oder Beziehungen möglicherweise ausgeblendet oder aus den Ergebnissen ausgeschlossen.

Zeit für die Datensynchronisierung einplanen

Es kann einige Minuten oder Stunden dauern, bis neu erstellte oder aktualisierte Ressourcen im Diagramm angezeigt werden. Verzögerungen können beispielsweise auftreten, wenn Sie gerade eine Ressource hinzugefügt oder IAM-Richtlinien aktualisiert haben. Wenn Sie gerade Änderungen an Ihrer Cloud-Umgebung vorgenommen haben, versuchen Sie es nach einiger Zeit noch einmal.

Abdeckung des Graphen

Einige Datentypen oder Beziehungen sind im Sicherheitsdiagramm möglicherweise nicht verfügbar, je nach Ihrer Umgebung und den unterstützten Datentypen. Wenn Sie nicht die erwarteten Daten sehen, sind sie möglicherweise nicht im Diagramm verfügbar.

Zusätzliche Hilfe

Wenn Sie die oben genannten Schritte ausprobiert haben und immer noch nicht die erwarteten Ergebnisse sehen, wenden Sie sich an Ihren Projektadministrator oder lesen Sie den Abschnitt Support erhalten, um Hilfe bei der Überprüfung Ihrer Abfragekonfiguration und Berechtigungen zu erhalten.

Nächste Schritte