O grafo de segurança no Security Command Center é um banco de dados que reconhece relacionamentos e mapeia recursos da nuvem, as configurações deles e indicadores de risco associados, como vulnerabilidades, permissões de acesso, sensibilidade de dados e exposição da rede. O gráfico oferece uma visão abrangente dos seus recursos de nuvem e das relações entre eles.
Neste documento, você vai aprender sobre a Pesquisa de gráficos, um recurso que permite explorar o gráfico de segurança criando consultas personalizadas para ajudar a identificar possíveis problemas de segurança no seu ambiente.
Componentes de consulta
As consultas de gráfico de segurança consistem em três tipos principais de componentes:
- Nó: uma descoberta de segurança ou um recurso de nuvem.
- Cláusula WHERE (filtro): um filtro aplicado a um nó para refinar a consulta com base nas propriedades específicas dele.
- Conexão: uma relação direcional entre dois nós.
Confira abaixo um exemplo de consulta no console do Google Cloud usando esses componentes.
Esta estrutura de consulta de exemplo identifica uma relação entre entidades de segurança para ajudar a identificar o risco. Primeiro, a consulta estabelece os principais assuntos, ou nós, da investigação: a vulnerabilidade de CVE e a máquina virtual (GCE). A conexão, identificada pela frase que afeta, vincula explicitamente esses dois nós. Por fim, a consulta é ajustada usando vários atributos, conhecidos como cláusulas WHERE ou filtros, em cada nó. Os filtros usados aqui incluem a gravidade da vulnerabilidade e a capacidade de alcance da rede da VM. Juntos, esses componentes ajudam a identificar recursos que podem ser indicadores de risco em um ambiente.
Nó
Um nó representa uma descoberta de segurança ou um recurso de nuvem.
Confira alguns exemplos de um nó no console do Google Cloud :
- Vulnerabilidade de CVE: uma vulnerabilidade de vulnerabilidades e exposições comuns definida pela MITRE Corporation.
- Máquina virtual (GCE): uma instância do Compute Engine.
- Implantação do GKE: um recurso do Google Kubernetes Engine.
- Conta de serviço do IAM: uma conta de serviço do Identity and Access Management (IAM).
- Conjunto de dados do BigQuery: um contêiner de dados no BigQuery. Para mais informações, consulte Introdução aos conjuntos de dados.
Os nós são agrupados por categorias, como Compute, Kubernetes, Identity e Databases. Você pode navegar ou pesquisar todos os tipos de nós disponíveis no console do Google Cloud ao criar sua consulta.
Cláusula WHERE (filtro)
Uma cláusula "where" é um filtro aplicado a um nó para refinar a consulta com base nas propriedades específicas associadas a ele.
Confira alguns exemplos de filtros:
- Gravidade = Crítica: um item de gravidade crítica, por exemplo, uma CVE.
- Has Full API Access = True: indica que um nó está configurado com acesso total a todas as APIs do Google Cloud .
- Atividade de exploração = Confirmada: indica instâncias conhecidas, relatadas ou previstas de uma vulnerabilidade sendo explorada na natureza.
Os filtros mostrados no console Google Cloud são sensíveis ao contexto e dependem do tipo de nó selecionado.
Conexão
Uma conexão é uma relação direcional entre dois nós.
Confira alguns exemplos de conexões:
- que afeta: define a relação entre dois nós selecionados, por exemplo, uma vulnerabilidade de CVE em relação a uma máquina virtual (GCE).
- que usa: define a relação entre dois nós selecionados, por exemplo, uma máquina virtual (GCE) em relação a uma conta de serviço do IAM.
As conexões são sensíveis ao contexto, e apenas relacionamentos válidos são mostrados para o tipo de nó selecionado.
Criar uma consulta
É possível consultar o gráfico de segurança para explorar seu ambiente de nuvem com base em critérios importantes para você. Realizar e refinar consultas no gráfico pode ajudar você a identificar pontos fracos de segurança específicos que quer monitorar.
Acesse Risco > Pesquisa no gráfico para abrir a página de consulta do gráfico de segurança.
Interaja com o editor de consultas personalizadas para criar sua consulta.
Selecione uma sugestão de pesquisa predefinida e use-a como está ou modifique a consulta para atender às suas necessidades.
Execute a consulta.
Analise os resultados da consulta na tabela. É possível personalizar a visualização de resultados selecionando as colunas que serão mostradas. Você também pode classificar cada coluna em ordem crescente ou decrescente.
Exporte os resultados da consulta como um arquivo CSV usando a opção Fazer o download do CSV.
Criar consultas personalizadas
É possível definir consultas personalizadas para identificar vulnerabilidades de segurança específicas do seu ambiente.
Para isso, crie e execute uma nova consulta personalizada ou personalize uma sugestão de pesquisa seguindo estas etapas:
No console Google Cloud , acesse Pesquisa no gráfico de > risco para abrir a página de consulta do gráfico de segurança.
No campo Mostrar, clique em e selecione um recurso ou descoberta como o nó principal da consulta. Depois, clique em Selecionar.
Para refinar sua consulta, clique no botão de alternância de qualquer filtro ou conexão para ativar o nó selecionado. Defina o valor de cada filtro ativado e clique em Selecionar.
Widget de pesquisa gráfica do Security Command Center (clique para ampliar) Para modificar ainda mais sua consulta, clique no ícone de adição () associado a um nó ou conexão para fazer atualizações. Clique em para remover um componente da consulta.
Selecione Executar consulta.
À medida que o esquema de gráfico evolui, os nós, filtros e conexões disponíveis são atualizados no console Google Cloud .
Usar ou personalizar uma sugestão de pesquisa
Várias sugestões de pesquisa são fornecidas como pontos de partida. Você pode usar essas sugestões como estão ou personalizá-las para atender aos seus requisitos específicos.
No console Google Cloud , acesse Pesquisa no gráfico de > risco para abrir a página de consulta do gráfico de segurança.
Selecione uma sugestão de pesquisa para ver informações mais detalhadas sobre a consulta.
Clique em Usar sugestão.
Se quiser, modifique os detalhes da consulta no editor para atender às suas necessidades. Para mais informações, consulte Criar consultas personalizadas.
Selecione Executar consulta.
Resolver problemas com consultas que não retornam resultados
Se a consulta não retornar resultados, tente as etapas a seguir para resolver o problema e fazer ajustes.
Usar uma sugestão de pesquisa predefinida
As sugestões de pesquisa predefinidas são exemplos projetados para retornar resultados relevantes para vários ambientes. É possível modificar as sugestões de pesquisa para atender às suas necessidades específicas.
Simplificar ou ajustar a consulta
Remova ou reduza os filtros para ampliar o escopo da sua consulta.
Tente consultar um único tipo de recurso ou propriedade para validar se os dados estão sendo retornados.
Evite combinar muitas restrições. Isso pode excluir resultados sem querer.
Verificar as permissões de acesso
Verifique se você tem as permissões necessárias para acessar os dados que está consultando. Sem o acesso correto, alguns recursos ou relacionamentos podem ficar ocultos ou ser excluídos dos resultados.
Aguarde a sincronização de dados
Os recursos criados ou atualizados recentemente podem levar alguns minutos ou horas para aparecer no gráfico. Por exemplo, podem ocorrer atrasos se você acabou de adicionar um recurso ou atualizar as políticas do IAM. Se você acabou de fazer mudanças no ambiente de nuvem, tente executar a consulta novamente depois de algum tempo.
Cobertura do gráfico
Alguns tipos de dados ou relações podem não estar disponíveis no gráfico de segurança, dependendo do seu ambiente e dos tipos de dados compatíveis. Se os dados esperados não aparecerem, talvez eles não estejam disponíveis no gráfico.
Mais ajuda
Se você tentou as etapas anteriores e ainda não vê os resultados esperados, entre em contato com o administrador do projeto ou consulte Receber suporte para receber ajuda na revisão da configuração e das permissões da consulta.
A seguir
- Saiba mais sobre os problemas do Security Command Center.
- Gerenciar e corrigir problemas