Explore o gráfico de segurança através de consultas

O gráfico de segurança no Security Command Center é uma base de dados com reconhecimento de relações que mapeia os recursos da nuvem, as respetivas configurações e os indicadores de risco associados, como vulnerabilidades, autorizações de acesso, sensibilidade dos dados e exposição da rede. O gráfico oferece uma vista abrangente dos seus recursos na nuvem e das respetivas relações.

Neste documento, vai saber mais sobre a Pesquisa de gráficos, uma funcionalidade que lhe permite explorar o gráfico de segurança através da criação de consultas personalizadas para ajudar a identificar potenciais preocupações de segurança no seu ambiente.

Componentes de consulta

As consultas do gráfico de segurança são compostas por três tipos de componentes principais:

  • : uma descoberta de segurança ou um recurso da nuvem.
  • Cláusula where (filtro): um filtro que é aplicado a um nó para refinar a consulta com base nas propriedades específicas do nó.
  • Ligação: uma relação direcional entre dois nós.

Segue-se um exemplo de uma consulta, conforme apresentado na Google Cloud consola, que usa estes componentes.

Exemplo de consulta do gráfico do Security Command Center com vários componentes
Exemplo de consulta de gráfico do Security Command Center com vários componentes

Esta estrutura de consulta de exemplo identifica uma relação entre entidades de segurança para ajudar a identificar o risco. Primeiro, a consulta estabelece os principais assuntos, ou nós, da investigação, a vulnerabilidade CVE e a máquina virtual (GCE). A associação, identificada pela expressão que afeta, associa explicitamente estes dois nós. Por último, a consulta é ajustada com precisão através de vários atributos, conhecidos como cláusulas WHERE ou filtros, em cada nó. Os filtros usados aqui incluem a gravidade da vulnerabilidade e a acessibilidade da rede da VM. Em conjunto, estes componentes ajudam a identificar recursos que podem ser indicadores de risco num ambiente.

Um nó representa uma descoberta de segurança ou um recurso da nuvem.

Seguem-se alguns exemplos de um nó na Google Cloud consola:

  • Vulnerabilidade CVE: uma vulnerabilidade de vulnerabilidades e exposições comuns definida pela The MITRE Corporation.
  • Máquina virtual (GCE): uma instância do Compute Engine.
  • Implementação do GKE: um recurso do Google Kubernetes Engine.
  • Conta de serviço do IAM: uma conta de serviço do Identity and Access Management (IAM).
  • Conjunto de dados do BigQuery: um contentor de dados no BigQuery. Para mais informações, consulte o artigo Introdução aos conjuntos de dados.

Os nós são agrupados por categorias, como computação, Kubernetes, identidade e bases de dados. Pode procurar ou pesquisar todos os tipos de nós disponíveis na Google Cloud consola quando cria a sua consulta.

Cláusula Where (filtro)

Uma cláusula where é um filtro aplicado a um nó para refinar a consulta com base nas propriedades específicas associadas ao nó

Seguem-se alguns exemplos de filtros:

  • Gravidade = Crítica: um item de gravidade crítica, por exemplo, uma CVE.
  • Has Full API Access = True: indica que um nó está configurado com acesso total a todas as Google Cloud APIs.
  • Atividade de exploração = Confirmada: indica instâncias conhecidas, comunicadas ou previstas de uma vulnerabilidade a ser explorada.

Os filtros apresentados na Google Cloud consola são sensíveis ao contexto e dependem do tipo de nó que selecionou.

Connection

Uma ligação é uma relação direcional entre dois nós.

Seguem-se exemplos de associações:

  • que afeta: define a relação entre dois nós selecionados, por exemplo, uma vulnerabilidade de CVE em relação a uma máquina virtual (GCE).
  • que usa: define a relação entre dois nós selecionados, por exemplo, uma máquina virtual (GCE) em relação a uma conta de serviço do IAM.

As associações têm em conta o contexto e apenas são apresentadas relações válidas para o tipo de nó selecionado.

Crie uma consulta

Pode consultar o gráfico de segurança para explorar o seu ambiente de nuvem com base em critérios que são importantes para si. A execução e o refinamento de consultas no gráfico podem ajudar a identificar vulnerabilidades de segurança específicas que quer monitorizar.

  1. Aceda a Risco > Pesquisa no gráfico para abrir a página de consulta do gráfico de segurança.

  2. Interaja com o editor de consultas personalizadas para criar a sua consulta.

    1. Crie a sua própria consulta personalizada.

    2. Selecione uma sugestão de pesquisa predefinida e use-a tal como está ou modifique a consulta para se adequar às suas necessidades.

  3. Execute a consulta.

  4. Reveja os resultados da consulta na tabela. Pode personalizar a vista de resultados selecionando as colunas a apresentar. Também pode ordenar cada coluna por ordem ascendente ou descendente.

  5. Exporte os resultados da consulta como um ficheiro CSV através da opção Transferir CSV.

Crie consultas personalizadas

Pode definir consultas personalizadas para identificar vulnerabilidades de segurança específicas do seu ambiente.

Para tal, crie e execute uma nova consulta personalizada ou personalize uma sugestão de pesquisa existente através dos seguintes passos:

  1. Na Google Cloud consola, aceda a Risco > Pesquisa de gráficos para abrir a página de consulta do gráfico de segurança.

  2. No campo Mostrar, clique em e selecione um recurso ou uma descoberta como o nó principal da sua consulta e, de seguida, clique em Selecionar.

  3. Para refinar a consulta, clique no botão para qualquer filtro ou ligação para o ativar para o nó selecionado. Defina o valor para cada filtro que ativar e, de seguida, clique em Selecionar.

    Widget de pesquisa de gráficos do Security Command Center
    Widget de pesquisa do gráfico do Security Command Center (clique para aumentar)

  4. Para modificar ainda mais a consulta, clique no ícone de mais () associado a um nó ou uma associação para fazer atualizações. Clique em para remover um componente da sua consulta.

  5. Selecione Executar consulta.

À medida que o esquema do gráfico evolui, os nós, os filtros e as associações disponíveis são atualizados na Google Cloud consola.

Usar ou personalizar uma sugestão de pesquisa

São fornecidas várias sugestões de pesquisa como pontos de partida. Pode usar estas sugestões tal como estão ou personalizá-las de acordo com os seus requisitos específicos.

  1. Na Google Cloud consola, aceda a Risco > Pesquisa de gráficos para abrir a página de consulta do gráfico de segurança.

  2. Selecione uma Sugestão de pesquisa para ver informações mais detalhadas sobre a consulta.

  3. Clique em Usar sugestão.

  4. Opcionalmente, modifique os detalhes da consulta no editor de acordo com as suas necessidades. Para mais informações, consulte o artigo Crie consultas personalizadas.

  5. Selecione Executar consulta.

Resolva problemas de consultas que não devolvem resultados

Se a consulta não devolver resultados, experimente os seguintes passos para resolver problemas e ajustar.

Use uma sugestão de pesquisa predefinida

As sugestões de pesquisa predefinidas apresentadas são exemplos concebidos para devolver resultados relevantes para uma variedade de ambientes. Pode modificar as sugestões de pesquisa para se adequarem às suas necessidades específicas.

Simplifique ou ajuste a sua consulta

  • Remova ou reduza os filtros para alargar o âmbito da sua consulta.

  • Experimente consultar um único tipo de recurso ou propriedade para validar se os dados estão a ser devolvidos.

  • Evite combinar demasiadas restrições. Caso contrário, pode excluir resultados involuntariamente.

Valide as autorizações de acesso

Certifique-se de que tem as autorizações necessárias para ver os dados que está a consultar. Sem o acesso correto, alguns recursos ou relações podem ser ocultados ou excluídos dos resultados.

Aguarde algum tempo para a sincronização de dados

Os recursos criados ou atualizados recentemente podem demorar alguns minutos ou horas a aparecer no gráfico. Por exemplo, podem ocorrer atrasos se tiver acabado de adicionar um recurso ou atualizado as políticas de IAM. Se acabou de fazer alterações ao seu ambiente de nuvem, tente executar a consulta novamente após algum tempo.

Cobertura do gráfico

Alguns tipos de dados ou relações podem não estar disponíveis no gráfico de segurança, consoante o seu ambiente e os tipos de dados suportados. Se não estiver a ver os dados esperados, estes podem não estar disponíveis no gráfico.

Ajuda adicional

Se tentou os passos anteriores e ainda não vê os resultados esperados, contacte o administrador do projeto ou consulte o artigo Receber apoio técnico para obter assistência na revisão da configuração e das autorizações da consulta.

O que se segue?