Explorer le graphique de sécurité à l'aide de requêtes

Le graphique de sécurité dans Security Command Center est une base de données tenant compte des relations qui mappe les ressources cloud, leurs configurations et les indicateurs de risque associés tels que les failles, les autorisations d'accès, la sensibilité des données et l'exposition du réseau. Le graphique fournit une vue complète de vos composants cloud et de leurs relations.

Dans ce document, vous allez découvrir la recherche dans le graphique, une fonctionnalité qui vous permet d'explorer le graphique de sécurité en créant des requêtes personnalisées pour identifier les problèmes de sécurité potentiels dans votre environnement.

Composants de la requête

Les requêtes de graphique de sécurité se composent de trois types de composants principaux :

• Nœud : résultat de sécurité ou ressource cloud.
• Clause WHERE (filtre) : filtre appliqué à un nœud pour affiner la requête en fonction des propriétés spécifiques du nœud.
• Connexion : relation directionnelle entre deux nœuds.

Voici un exemple de requête telle qu'elle apparaît dans la console Google Cloud , à l'aide de ces composants.

Cette structure de requête exemple identifie une relation entre des entités de sécurité pour aider à identifier les risques. Tout d'abord, la requête établit les principaux sujets, ou nœuds, de l'enquête, à savoir la faille CVE et la machine virtuelle (GCE). La connexion, identifiée par l'expression qui affecte, relie explicitement ces deux nœuds. Enfin, la requête est affinée à l'aide de plusieurs attributs, appelés clauses WHERE ou filtres, sur chaque nœud. Les filtres utilisés ici incluent la gravité de la faille et l'accessibilité réseau de la VM. Ensemble, ces composants permettent d'identifier les ressources pouvant être des indicateurs de risque dans un environnement.

Nœud

Un nœud représente un résultat de sécurité ou une ressource cloud.

Voici quelques exemples de nœuds dans la console Google Cloud  :

• Faille CVE : faille CVE (Common Vulnerabilities and Exposures) définie par la MITRE Corporation.
• Machine virtuelle (GCE) : instance Compute Engine.
• Déploiement GKE : ressource Google Kubernetes Engine.
• Compte de service IAM : compte de service Identity and Access Management (IAM).
• Ensemble de données BigQuery : conteneur de données dans BigQuery. Pour en savoir plus, consultez Présentation des ensembles de données.

Les nœuds sont regroupés par catégories telles que "Compute", "Kubernetes", "Identité" et "Bases de données". Vous pouvez parcourir ou rechercher tous les types de nœuds disponibles dans la consoleGoogle Cloud lorsque vous créez votre requête.

Clause WHERE (filtre)

Une clause "where" est un filtre appliqué à un nœud pour affiner la requête en fonction des propriétés spécifiques associées au nœud.

Voici quelques exemples de filtres :

• Gravité = Critique : élément de gravité critique, par exemple une CVE.
• Has Full API Access = True : indique qu'un nœud est configuré avec un accès complet à toutes les API Google Cloud .
• Activité d'exploitation = Confirmée : indique les instances connues, signalées ou anticipées d'une faille exploitée dans le monde réel.

Les filtres affichés dans la console Google Cloud sont contextuels et dépendent du type de nœud que vous avez sélectionné.

Connexion

Une connexion est une relation directionnelle entre deux nœuds.

Voici quelques exemples de connexions :

• that affects (qui affecte) : définit la relation entre deux nœuds sélectionnés (par exemple, une faille CVE par rapport à une machine virtuelle (GCE)).
• qui utilise : définit la relation entre deux nœuds sélectionnés (par exemple, une machine virtuelle (GCE) par rapport à un compte de service IAM).

Les connexions sont contextuelles et seules les relations valides sont affichées pour le type de nœud sélectionné.

Créer une requête

Vous pouvez interroger le graphique de sécurité pour explorer votre environnement cloud en fonction des critères qui vous intéressent. Effectuer et affiner des requêtes sur le graphique peut vous aider à identifier les faiblesses de sécurité spécifiques que vous souhaitez surveiller.

1. Accédez à Risque > Recherche dans le graphique pour ouvrir la page de requête du graphique de sécurité.

2. Interagissez avec l'éditeur de requêtes personnalisées pour créer votre requête.

   1. Créez votre propre requête personnalisée.

   2. Sélectionnez une suggestion de recherche prédéfinie et utilisez-la telle quelle, ou modifiez la requête pour l'adapter à vos besoins.

3. Exécutez votre requête.

4. Examinez les résultats de la requête dans le tableau. Vous pouvez personnaliser l'affichage des résultats en sélectionnant les colonnes à afficher. Vous pouvez également trier chaque colonne par ordre croissant ou décroissant.

5. Exportez les résultats de la requête au format CSV à l'aide de l'option Télécharger au format CSV.

Créer des requêtes personnalisées

Vous pouvez définir des requêtes personnalisées pour identifier les failles de sécurité spécifiques à votre environnement.

Pour ce faire, créez et exécutez une requête personnalisée, ou personnalisez une suggestion de recherche existante en procédant comme suit :

1. Dans la console Google Cloud , accédez à Risque > Recherche dans le graphique pour ouvrir la page de requête du graphique de sécurité.

2. Dans le champ Afficher, cliquez sur add, sélectionnez une ressource ou un résultat comme nœud principal de votre requête, puis cliquez sur Sélectionner.

3. Pour affiner votre requête, cliquez sur le bouton bascule de n'importe quel filtre ou connexion pour l'activer pour le nœud sélectionné. Définissez la valeur de chaque filtre que vous activez, puis cliquez sur Sélectionner.

   

4. Pour modifier davantage votre requête, cliquez sur l'icône Plus (add) associée à un nœud ou à une connexion pour apporter des modifications. Cliquez sur close pour supprimer un composant de votre requête.

5. Sélectionnez Exécuter la requête.

À mesure que le schéma du graphique évolue, les nœuds, filtres et connexions disponibles sont mis à jour dans la console Google Cloud .

Utiliser ou personnaliser une suggestion de recherche

Plusieurs suggestions de recherche sont fournies comme points de départ. Vous pouvez utiliser ces suggestions telles quelles ou les personnaliser en fonction de vos besoins spécifiques.

1. Dans la console Google Cloud , accédez à Risque > Recherche dans le graphique pour ouvrir la page de requête du graphique de sécurité.

2. Sélectionnez une suggestion de recherche pour afficher des informations plus détaillées sur la requête.

3. Cliquez sur Utiliser la suggestion.

4. Si vous le souhaitez, modifiez les détails de la requête dans l'éditeur en fonction de vos besoins. Pour en savoir plus, consultez Créer des requêtes personnalisées.

5. Sélectionnez Exécuter la requête.

Résoudre les problèmes liés aux requêtes qui ne renvoient aucun résultat

Si votre requête ne renvoie aucun résultat, essayez les étapes suivantes pour résoudre le problème et ajuster votre requête.

Utiliser une suggestion de recherche prédéfinie

Les suggestions de recherche prédéfinies fournies sont des exemples conçus pour renvoyer des résultats pertinents pour différents environnements. Vous pouvez modifier les suggestions de recherche pour les adapter à vos besoins spécifiques.

Simplifier ou ajuster votre requête

• Supprimez ou réduisez les filtres pour élargir la portée de votre requête.

• Essayez d'interroger un seul type d'élément ou une seule propriété pour vérifier que des données sont renvoyées.

• Évitez de combiner trop de contraintes. Cela pourrait exclure des résultats de manière involontaire.

Vérifier les autorisations d'accès

Assurez-vous de disposer des autorisations nécessaires pour afficher les données que vous interrogez. Sans les droits d'accès appropriés, certains composants ou relations peuvent être masqués ou exclus des résultats.

Patienter le temps que les données se synchronisent

L'affichage des ressources récemment créées ou mises à jour dans le graphique peut prendre quelques minutes ou heures. Par exemple, des retards peuvent se produire si vous venez d'ajouter une ressource ou de mettre à jour des règles IAM. Si vous venez de modifier votre environnement cloud, réessayez d'exécuter la requête après un certain temps.

Couverture du graphique

Il est possible que certains types de données ou relations ne soient pas disponibles dans le graphique de sécurité, en fonction de votre environnement et des types de données compatibles. Si vous ne voyez pas les données attendues, il est possible qu'elles ne soient pas disponibles dans le graphique.

Aide supplémentaire

Si vous avez essayé les étapes précédentes et que vous n'obtenez toujours pas les résultats attendus, contactez l'administrateur de votre projet ou consultez Obtenir de l'aide pour obtenir de l'aide concernant l'examen de la configuration et des autorisations de votre requête.

Étapes suivantes

• En savoir plus sur les problèmes Security Command Center
• Gérer et résoudre les problèmes