Explora el gráfico de seguridad con consultas

El gráfico de seguridad en Security Command Center es una base de datos que reconoce las relaciones y que asigna los recursos de la nube, sus configuraciones y los indicadores de riesgo asociados, como las vulnerabilidades, los permisos de acceso, la sensibilidad de los datos y la exposición de la red. El gráfico proporciona una vista integral de tus recursos de nube y sus relaciones.

En este documento, aprenderás sobre la Búsqueda en el gráfico, una función que te permite explorar el gráfico de seguridad creando consultas personalizadas para identificar posibles problemas de seguridad en tu entorno.

Componentes de la búsqueda

Las consultas del gráfico de seguridad constan de tres tipos de componentes principales:

  • Nodo: Es un hallazgo de seguridad o un recurso de nube.
  • Cláusula WHERE (filtro): Es un filtro que se aplica a un nodo para refinar la consulta según las propiedades específicas del nodo.
  • Conexión: Es una relación direccional entre dos nodos.

A continuación, se muestra un ejemplo de una consulta tal como se ve en la consola de Google Cloud , con estos componentes.

Ejemplo de consulta de Security Command Center Graph con una variedad de componentes
Ejemplo de consulta del gráfico de Security Command Center con una variedad de componentes

Esta estructura de consulta de ejemplo identifica una relación entre entidades de seguridad para ayudar a identificar el riesgo. Primero, la búsqueda establece los temas clave, o nodos, de la investigación, la vulnerabilidad del CVE y la máquina virtual (GCE). La conexión, identificada por la frase que afecta, vincula explícitamente estos dos nodos. Por último, la búsqueda se ajusta con precisión usando varios atributos, conocidos como cláusulas where o filtros, en cada nodo. Los filtros que se usan aquí incluyen la gravedad de la vulnerabilidad y la accesibilidad a la red de la VM. En conjunto, estos componentes ayudan a identificar los recursos que pueden ser indicadores de riesgo en un entorno.

Nodo

Un nodo representa un hallazgo de seguridad o un recurso de la nube.

Estos son algunos ejemplos de un nodo en la consola de Google Cloud :

  • Vulnerabilidad CVE: Es una vulnerabilidad de Common Vulnerabilities and Exposures definida por The MITRE Corporation.
  • Máquina virtual (GCE): Es una instancia de Compute Engine.
  • Implementación de GKE: Es un recurso de Google Kubernetes Engine.
  • Cuenta de servicio de IAM: Es una cuenta de servicio de Identity and Access Management (IAM).
  • Conjunto de datos de BigQuery: Es un contenedor de datos en BigQuery. Para obtener más información, consulta Introducción a los conjuntos de datos.

Los nodos se agrupan por categorías, como Compute, Kubernetes, Identity y Databases. Puedes explorar o buscar todos los tipos de nodos disponibles en la consola deGoogle Cloud cuando construyas tu consulta.

Cláusula WHERE (filtro)

Una cláusula where es un filtro que se aplica a un nodo para refinar la consulta en función de las propiedades específicas asociadas con el nodo.

Estos son algunos ejemplos de filtros:

  • Severity = Critical: Es un elemento de gravedad crítica, por ejemplo, una CVE.
  • Has Full API Access = True: Indica que un nodo está configurado con acceso completo a todas las APIs de Google Cloud .
  • Actividad de explotación = Confirmada: Indica instancias conocidas, informadas o previstas de una vulnerabilidad que se está explotando en el entorno real.

Los filtros que se muestran en la consola Google Cloud son sensibles al contexto y dependen del tipo de nodo que seleccionaste.

Conexión

Una conexión es una relación direccional entre dos nodos.

A continuación, se incluyen ejemplos de conexiones:

  • that affects: Define la relación entre dos nodos seleccionados; por ejemplo, una vulnerabilidad de CVE en relación con una máquina virtual (GCE).
  • que usa: Define la relación entre dos nodos seleccionados; por ejemplo, una máquina virtual (GCE) en relación con una cuenta de servicio de IAM.

Las conexiones tienen en cuenta el contexto y solo se muestran las relaciones válidas para el tipo de nodo seleccionado.

Cómo crear una consulta

Puedes consultar el gráfico de seguridad para explorar tu entorno de nube según los criterios que te interesen. Realizar y refinar consultas en el gráfico puede ayudarte a identificar debilidades de seguridad específicas que deseas supervisar.

  1. Ve a Riesgo > Búsqueda en el gráfico para abrir la página de consulta del gráfico de seguridad.

  2. Interactúa con el editor de consultas personalizadas para crear tu consulta.

    1. Crea tu propia consulta personalizada.

    2. Selecciona una sugerencia de búsqueda predefinida y úsala tal como está, o bien modifica la búsqueda para que se ajuste a tus necesidades.

  3. Ejecuta tu consulta.

  4. Revisa los resultados de la consulta en la tabla. Puedes personalizar la vista de resultados seleccionando las columnas que deseas mostrar. También puedes ordenar cada columna de forma ascendente o descendente.

  5. Exporta los resultados de la búsqueda como un archivo CSV con la opción Descargar CSV.

Crea consultas personalizadas

Puedes definir consultas personalizadas para identificar vulnerabilidades de seguridad específicas de tu entorno.

Para ello, crea y ejecuta una nueva búsqueda personalizada o personaliza una sugerencia de búsqueda existente siguiendo estos pasos:

  1. En la consola de Google Cloud , ve a Risk > Graph Search para abrir la página de consultas del gráfico de seguridad.

  2. En el campo Mostrar, haz clic en y selecciona un recurso o un hallazgo como el nodo principal de tu búsqueda. Luego, haz clic en Seleccionar.

  3. Para definir mejor tu búsqueda, haz clic en el botón de activación de cualquier filtro o conexión para habilitarlo en el nodo seleccionado. Define el valor de cada filtro que habilites y, luego, haz clic en Seleccionar.

    Widget de la Búsqueda de gráficos de Security Command Center
    Widget de búsqueda del grafo de Security Command Center (haz clic para ampliar)

  4. Para modificar aún más tu búsqueda, haz clic en el ícono de signo más () asociado a un nodo o una conexión para realizar actualizaciones. Haz clic en para quitar un componente de tu búsqueda.

  5. Selecciona Ejecutar consulta.

A medida que evoluciona el esquema del gráfico, los nodos, los filtros y las conexiones disponibles se actualizan en la consola de Google Cloud .

Cómo usar o personalizar una sugerencia de búsqueda

Se proporcionan varias sugerencias de búsqueda como puntos de partida. Puedes usar estas sugerencias tal como están o personalizarlas para que se ajusten a tus requisitos específicos.

  1. En la consola de Google Cloud , ve a Risk > Graph Search para abrir la página de consultas del gráfico de seguridad.

  2. Selecciona una sugerencia de búsqueda para ver información más detallada sobre la búsqueda.

  3. Haz clic en Usar sugerencia.

  4. De manera opcional, modifica los detalles de la consulta en el editor según tus necesidades. Para obtener más información, consulta Crea consultas personalizadas.

  5. Selecciona Ejecutar consulta.

Soluciona problemas de consultas que no muestran resultados

Si tu búsqueda no arroja resultados, prueba los siguientes pasos para solucionar el problema y realizar ajustes.

Cómo usar una sugerencia de búsqueda predefinida

Las sugerencias de búsqueda predefinidas que se proporcionan son ejemplos diseñados para devolver resultados relevantes para una variedad de entornos. Puedes modificar las sugerencias de búsqueda para que se adapten a tus necesidades específicas.

Simplifica o ajusta tu búsqueda

  • Quita o reduce los filtros para ampliar el alcance de tu búsqueda.

  • Intenta consultar un solo tipo de activo o propiedad para validar que se devuelvan los datos.

  • Evita combinar demasiadas restricciones. De lo contrario, es posible que se excluyan resultados sin querer.

Verifica los permisos de acceso

Asegúrate de tener los permisos necesarios para ver los datos sobre los que realizas la consulta. Sin el acceso correcto, es posible que algunos activos o relaciones se oculten o excluyan de los resultados.

Permite la sincronización de datos

Es posible que los recursos creados o actualizados recientemente tarden unos minutos u horas en aparecer en el gráfico. Por ejemplo, pueden ocurrir demoras si acabas de agregar un recurso o actualizar las políticas de IAM. Si acabas de realizar cambios en tu entorno de nube, intenta ejecutar la consulta de nuevo después de un tiempo.

Cobertura de gráficos

Es posible que algunos tipos de datos o relaciones no estén disponibles en el gráfico de seguridad, según tu entorno y los tipos de datos admitidos. Si no ves los datos esperados, es posible que no estén disponibles en el gráfico.

Ayuda adicional

Si probaste los pasos anteriores y aún no ves los resultados esperados, comunícate con el administrador de tu proyecto o consulta Cómo obtener asistencia para obtener ayuda con la revisión de la configuración y los permisos de tu consulta.

¿Qué sigue?