Esplorare il grafico della sicurezza utilizzando le query

Il grafico della sicurezza in Security Command Center è un database sensibile alle relazioni che mappa le risorse cloud, le loro configurazioni e gli indicatori di rischio associati, come vulnerabilità, autorizzazioni di accesso, sensibilità dei dati ed esposizione della rete. Il grafico fornisce una visione completa delle tue risorse cloud e delle loro relazioni.

In questo documento scoprirai di più su Graph Search, una funzionalità che ti consente di esplorare il grafico della sicurezza creando query personalizzate per identificare potenziali problemi di sicurezza nel tuo ambiente.

Componenti della query

Le query del grafico di sicurezza sono costituite da tre tipi di componenti principali:

  • Nodo: un risultato di sicurezza o una risorsa cloud.
  • Clausola WHERE (filtro): un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche del nodo.
  • Connessione: una relazione direzionale tra due nodi.

Di seguito è riportato un esempio di query visualizzata nella console Google Cloud , utilizzando questi componenti.

Esempio di query del grafico di Security Command Center che utilizza una serie di componenti
Esempio di query del grafico di Security Command Center che utilizza una serie di componenti

Questa struttura di query di esempio identifica una relazione tra entità di sicurezza per contribuire a individuare il rischio. Innanzitutto, la query stabilisce i soggetti chiave, o nodi, dell'indagine, la vulnerabilità CVE e la macchina virtuale (GCE). La connessione, identificata dalla frase che influisce su, collega esplicitamente questi due nodi. Infine, la query viene ottimizzata con più attributi, noti come clausole WHERE o filtri, su ogni nodo. I filtri utilizzati qui includono la gravità della vulnerabilità e la raggiungibilità di rete della VM. Questi componenti insieme aiutano a identificare le risorse che possono essere indicatori di rischio in un ambiente.

Nodo

Un nodo rappresenta un risultato di sicurezza o una risorsa cloud.

Ecco alcuni esempi di nodo nella console Google Cloud :

  • Vulnerabilità CVE: una vulnerabilità Common Vulnerabilities and Exposures definita da The MITRE Corporation.
  • Macchina virtuale (GCE): un'istanza di Compute Engine.
  • Deployment GKE: una risorsa Google Kubernetes Engine.
  • Service account IAM: un service account Identity and Access Management (IAM).
  • Set di dati BigQuery: un contenitore di dati in BigQuery. Per saperne di più, consulta Introduzione ai set di dati.

I nodi sono raggruppati per categorie, ad esempio Compute, Kubernetes, Identity e Database. Puoi sfogliare o cercare tutti i tipi di nodi disponibili nella consoleGoogle Cloud durante la creazione della query.

Clausola WHERE (filtro)

Una clausola where è un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche associate al nodo.

Di seguito sono riportati alcuni esempi di filtri:

  • Gravità = Critica: un elemento di gravità critica, ad esempio una CVE.
  • Has Full API Access = True: indica che un nodo è configurato con accesso completo a tutte le API Google Cloud .
  • Exploitation Activity = Confirmed: indica istanze note, segnalate o previste di una vulnerabilità sfruttata in circolazione.

I filtri visualizzati nella console Google Cloud sono sensibili al contesto e dipendono dal tipo di nodo selezionato.

Connessione

Una connessione è una relazione direzionale tra due nodi.

Di seguito sono riportati alcuni esempi di connessioni:

  • che interessa: definisce la relazione tra due nodi selezionati, ad esempio una vulnerabilità CVE in relazione a una macchina virtuale (GCE).
  • che utilizza: definisce la relazione tra due nodi selezionati, ad esempio una macchina virtuale (GCE) in relazione a un service account IAM.

Le connessioni sono sensibili al contesto e vengono mostrate solo le relazioni valide per il tipo di nodo selezionato.

Creare una query

Puoi eseguire query sul grafico della sicurezza per esplorare il tuo ambiente cloud in base a criteri importanti per te. L'esecuzione e il perfezionamento delle query sul grafico possono aiutarti a identificare punti deboli specifici della sicurezza che vuoi monitorare.

  1. Vai a Rischio > Ricerca nel grafico per aprire la pagina della query del grafico di sicurezza.

  2. Interagisci con l'editor di query personalizzate per creare la query.

    1. Crea una query personalizzata.

    2. Seleziona un suggerimento di ricerca predefinito e utilizzalo così com'è o modifica la query in base alle tue esigenze.

  3. Esegui la query.

  4. Esamina i risultati della query nella tabella. Puoi personalizzare la visualizzazione dei risultati selezionando le colonne da visualizzare. Puoi anche ordinare ogni colonna in ordine crescente o decrescente.

  5. Esporta i risultati della query come file CSV utilizzando l'opzione Scarica CSV.

Creare query personalizzate

Puoi definire query personalizzate per identificare le vulnerabilità di sicurezza specifiche del tuo ambiente.

Per farlo, crea ed esegui una nuova query personalizzata o personalizza un suggerimento di ricerca esistente seguendo questi passaggi:

  1. Nella console Google Cloud , vai a Rischio > Ricerca nel grafico per aprire la pagina di query del grafico di sicurezza.

  2. Nel campo Mostra, fai clic su e seleziona una risorsa o un risultato come nodo principale della query, quindi fai clic su Seleziona.

  3. Per perfezionare la query, fai clic sul pulsante di attivazione/disattivazione di qualsiasi filtro o connessione per abilitarlo per il nodo selezionato. Definisci il valore per ogni filtro che attivi, poi fai clic su Seleziona.

    Widget Ricerca nel grafico di Security Command Center
    Widget di ricerca nel grafico di Security Command Center (fai clic per ingrandire)

  4. Per modificare ulteriormente la query, fai clic sull'icona Più () associata a un nodo o a una connessione per apportare aggiornamenti. Fai clic su per rimuovere un componente dalla query.

  5. Seleziona Esegui query.

Man mano che lo schema del grafico si evolve, i nodi, i filtri e le connessioni disponibili vengono aggiornati nella Google Cloud console.

Utilizzare o personalizzare un suggerimento di ricerca

Vengono forniti diversi suggerimenti di ricerca come punti di partenza. Puoi utilizzare questi suggerimenti così come sono o personalizzarli in base alle tue esigenze specifiche.

  1. Nella console Google Cloud , vai a Rischio > Ricerca nel grafico per aprire la pagina di query del grafico di sicurezza.

  2. Seleziona un suggerimento di ricerca per visualizzare informazioni più dettagliate sulla query.

  3. Fai clic su Usa suggerimento.

  4. Se vuoi, modifica i dettagli della query nell'editor in base alle tue esigenze. Per maggiori informazioni, vedi Creare query personalizzate.

  5. Seleziona Esegui query.

Risolvere i problemi relativi alle query che non restituiscono risultati

Se la query non restituisce risultati, prova a seguire questi passaggi per risolvere il problema e apportare le modifiche necessarie.

Utilizzare un suggerimento di ricerca predefinito

I suggerimenti di ricerca predefiniti forniti sono esempi progettati per restituire risultati pertinenti a una serie di ambienti. Puoi modificare i suggerimenti di ricerca in base alle tue esigenze specifiche.

Semplificare o modificare la query

  • Rimuovi o riduci i filtri per ampliare l'ambito della query.

  • Prova a eseguire una query su un singolo tipo di asset o proprietà per verificare che i dati vengano restituiti.

  • Evita di combinare troppi vincoli. In questo modo, potresti escludere involontariamente i risultati.

Verifica le autorizzazioni di accesso

Assicurati di disporre delle autorizzazioni necessarie per visualizzare i dati che stai interrogando. Senza l'accesso corretto, alcune risorse o relazioni potrebbero essere nascoste o escluse dai risultati.

Attendere la sincronizzazione dei dati

Potrebbero essere necessari alcuni minuti o ore prima che le risorse create o aggiornate di recente vengano visualizzate nel grafico. Ad esempio, possono verificarsi ritardi se hai appena aggiunto una risorsa o aggiornato i criteri IAM. Se hai appena apportato modifiche al tuo ambiente cloud, prova a eseguire di nuovo la query dopo un po' di tempo.

Copertura del grafico

A seconda dell'ambiente e dei tipi di dati supportati, alcuni tipi di dati o relazioni potrebbero non essere disponibili nel grafico della sicurezza. Se non visualizzi i dati previsti, è possibile che non siano disponibili nel grafico.

Ulteriore assistenza

Se hai provato i passaggi precedenti e non visualizzi ancora i risultati previsti, contatta l'amministratore del progetto o consulta la sezione Richiedere assistenza per ricevere aiuto per la revisione della configurazione e delle autorizzazioni della query.

Passaggi successivi