Explorar el gráfico de seguridad mediante consultas

Enterprise

El gráfico de seguridad de Security Command Center es una base de datos que tiene en cuenta las relaciones y que asigna recursos en la nube, sus configuraciones e indicadores de riesgo asociados, como vulnerabilidades, permisos de acceso, sensibilidad de los datos y exposición de la red. El gráfico ofrece una vista completa de tus recursos en la nube y sus relaciones.

En este documento, se explica Búsqueda de gráfico, una función que te permite explorar el gráfico de seguridad creando consultas personalizadas para identificar posibles problemas de seguridad en tu entorno.

Componentes de la consulta

Las consultas de gráficos de seguridad constan de tres tipos de componentes principales:

  • Nodo: un hallazgo de seguridad o un recurso en la nube.
  • Cláusula Where (filtro): filtro que se aplica a un nodo para acotar la consulta en función de las propiedades específicas del nodo.
  • Conexión: relación direccional entre dos nodos.

A continuación, se muestra un ejemplo de una consulta tal como se ve en la consola Google Cloud , con estos componentes.

Ejemplo de consulta de gráficos de Security Command Center con varios componentes
Ejemplo de consulta de gráficos de Security Command Center con varios componentes

Esta estructura de consulta de ejemplo identifica una relación entre entidades de seguridad para ayudar a identificar riesgos. En primer lugar, la consulta establece los temas clave, o nodos, de la investigación, la vulnerabilidad CVE y la máquina virtual (GCE). La conexión, identificada por la frase que afecta, vincula explícitamente estos dos nodos. Por último, la consulta se ajusta con varios atributos, conocidos como cláusulas where o filtros, en cada nodo. Los filtros que se usan aquí incluyen la gravedad de la vulnerabilidad y la accesibilidad de la red de la máquina virtual. En conjunto, estos componentes ayudan a identificar los recursos que pueden ser indicadores de riesgo en un entorno.

Node

Un nodo representa un hallazgo de seguridad o un recurso de la nube.

Estos son algunos ejemplos de nodos en la consola de Google Cloud :

  • Vulnerabilidad de CVE: vulnerabilidad de la lista Common Vulnerabilities and Exposures definida por The MITRE Corporation.
  • Máquina virtual (GCE): una instancia de Compute Engine.
  • Despliegue de GKE: un recurso de Google Kubernetes Engine.
  • Cuenta de servicio de gestión de identidades y accesos (IAM): una cuenta de servicio de gestión de identidades y accesos (IAM).
  • Conjunto de datos de BigQuery: un contenedor de datos en BigQuery. Para obtener más información, consulta el artículo Introducción a los conjuntos de datos.

Los nodos se agrupan por categorías, como Compute, Kubernetes, Identity y Databases. Puedes buscar o consultar todos los tipos de nodos disponibles en laGoogle Cloud consola al crear tu consulta.

Cláusula WHERE (filtro)

Una cláusula where es un filtro que se aplica a un nodo para acotar la consulta en función de las propiedades específicas asociadas al nodo.

Estos son algunos ejemplos de filtros:

  • Gravedad = Crítica: un elemento de gravedad crítica, como una CVE.
  • Has Full API Access = True: indica que un nodo está configurado con acceso completo a todas las APIs de Google Cloud .
  • Actividad de explotación = Confirmada: indica instancias conocidas, notificadas o previstas de una vulnerabilidad que se está explotando en circulación.

Los filtros que se muestran en la Google Cloud consola tienen en cuenta el contexto y dependen del tipo de nodo que hayas seleccionado.

Conexión

Una conexión es una relación direccional entre dos nodos.

Estos son algunos ejemplos de conexiones:

  • Afecta a: define la relación entre dos nodos seleccionados. Por ejemplo, una vulnerabilidad CVE en relación con una máquina virtual (GCE).
  • que usa: define la relación entre dos nodos seleccionados. Por ejemplo, una máquina virtual (GCE) en relación con una cuenta de servicio de IAM.

Las conexiones tienen en cuenta el contexto y solo se muestran las relaciones válidas para el tipo de nodo seleccionado.

Crear una consulta

Puedes consultar el gráfico de seguridad para explorar tu entorno de nube en función de los criterios que te interesen. Realizar y refinar consultas en el gráfico puede ayudarte a identificar vulnerabilidades de seguridad específicas que quieras monitorizar.

  1. Ve a Riesgo > Búsqueda de gráficos para abrir la página de consulta de gráficos de seguridad.

  2. Interactúa con el editor de consultas personalizadas para crear tu consulta.

    1. Crea tu propia consulta personalizada.

    2. Selecciona una sugerencia de búsqueda predefinida y úsala tal cual o modifica la consulta para adaptarla a tus necesidades.

  3. Ejecuta la consulta.

  4. Consulta los resultados de la consulta en la tabla. Puedes personalizar la vista de resultados seleccionando las columnas que quieras que se muestren. También puedes ordenar cada columna en orden ascendente o descendente.

  5. Exporta los resultados de la consulta como un archivo CSV con la opción Descargar CSV.

Crear consultas personalizadas

Puedes definir consultas personalizadas para identificar vulnerabilidades de seguridad específicas de tu entorno.

Para ello, cree y ejecute una consulta personalizada o personalice una sugerencia de búsqueda siguiendo estos pasos:

  1. En la Google Cloud consola, ve a Riesgo > Búsqueda en el gráfico para abrir la página de consultas del gráfico de seguridad.

  2. En el campo Mostrar, haga clic en y seleccione un recurso o un resultado como nodo principal de su consulta. A continuación, haga clic en Seleccionar.

  3. Para acotar la consulta, haz clic en el interruptor de cualquier filtro o conexión para habilitarlo en el nodo seleccionado. Define el valor de cada filtro que habilites y, a continuación, haz clic en Seleccionar.

    Widget de búsqueda de gráficos de Security Command Center
    Widget de búsqueda de gráficos de Security Command Center (haz clic en la imagen para ampliarla)

  4. Para modificar aún más tu consulta, haz clic en el icono más () asociado a un nodo o una conexión para hacer cambios. Haz clic en para quitar un componente de tu consulta.

  5. Selecciona Ejecutar consulta.

A medida que evoluciona el esquema del gráfico, los nodos, filtros y conexiones disponibles se actualizan en la Google Cloud consola.

Usar o personalizar una sugerencia de búsqueda

Se ofrecen varias sugerencias de búsqueda como punto de partida. Puedes usar estas sugerencias tal cual o personalizarlas para que se adapten a tus necesidades específicas.

  1. En la Google Cloud consola, ve a Riesgo > Búsqueda en el gráfico para abrir la página de consultas del gráfico de seguridad.

  2. Selecciona una sugerencia de búsqueda para ver información más detallada sobre la consulta.

  3. Haz clic en Usar sugerencia.

  4. Si quieres, puedes modificar los detalles de la consulta en el editor para adaptarla a tus necesidades. Para obtener más información, consulta Crear consultas personalizadas.

  5. Selecciona Ejecutar consulta.

Solucionar problemas con consultas que no devuelven resultados

Si tu consulta no devuelve ningún resultado, prueba a seguir estos pasos para solucionar el problema y hacer los ajustes necesarios.

Usar una sugerencia de búsqueda predefinida

Las sugerencias de búsqueda predefinidas que se proporcionan son ejemplos diseñados para devolver resultados relevantes para diversos entornos. Puedes modificar las sugerencias de búsqueda para que se ajusten a tus necesidades.

Simplifica o ajusta tu consulta

  • Quita o reduce los filtros para ampliar el ámbito de tu consulta.

  • Prueba a consultar un solo tipo de recurso o propiedad para validar que se devuelven datos.

  • No combines demasiadas restricciones. Si lo haces, podrías excluir resultados sin querer.

Verificar permisos de acceso

Asegúrate de que tienes los permisos necesarios para ver los datos que estás consultando. Si no tienes el acceso correcto, es posible que algunos recursos o relaciones se oculten o se excluyan de los resultados.

Dejar tiempo para la sincronización de datos

Los recursos creados o actualizados recientemente pueden tardar unos minutos u horas en aparecer en el gráfico. Por ejemplo, pueden producirse retrasos si acaba de añadir un recurso o de actualizar las políticas de gestión de identidades y accesos. Si acabas de hacer cambios en tu entorno de nube, prueba a ejecutar la consulta de nuevo al cabo de un tiempo.

Cobertura de gráficos

Es posible que algunos tipos de datos o relaciones no estén disponibles en el gráfico de seguridad, en función de tu entorno y de los tipos de datos admitidos. Si no ves los datos que esperabas, es posible que no estén disponibles en el gráfico.

Ayuda adicional

Si has probado los pasos anteriores y sigues sin ver los resultados esperados, ponte en contacto con el administrador de tu proyecto o consulta la sección Obtener asistencia para obtener ayuda con la configuración de tu consulta y los permisos.

Siguientes pasos