使用查询探索安全图

Security Command Center 中的安全图表是一个关系感知型数据库,可用于映射云资源、其配置以及相关风险指标,例如漏洞、访问权限、数据敏感度和网络暴露情况。该图表可全面展示您的云资产及其关系。

本文档介绍了图表搜索功能,该功能可让您通过创建自定义查询来探索安全图表,从而帮助您找出环境中的潜在安全问题。

查询组件

安全图查询包含三种主要组件类型:

以下示例展示了在 Google Cloud 控制台中看到的、使用这些组件的查询。

使用各种组件的 Security Command Center 图表查询示例
使用各种组件的 Security Command Center 图表查询示例

此示例查询结构可识别安全实体之间的关系,以帮助精确定位风险。首先,查询确定了调查的关键主题或节点,即 CVE 漏洞虚拟机 (GCE)。由“影响”一词标识的连接明确关联了这两个节点。最后,使用每个节点上的多个属性(称为 where 子句或过滤器)对查询进行精细调整。此处使用的过滤条件包括漏洞的严重程度和虚拟机的网络可达性。这些组件共同帮助识别可作为环境中风险指标的资源。

节点

节点表示安全发现结果或云资源。

Google Cloud 控制台中的节点的一些示例如下:

  • CVE 漏洞:由 MITRE 公司定义的常见漏洞和披露漏洞。
  • 虚拟机 (GCE)Compute Engine 实例。
  • GKE Deployment:一种 Google Kubernetes Engine 资源。
  • IAM 服务账号:Identity and Access Management (IAM) 服务账号
  • BigQuery 数据集:BigQuery 中的数据容器。如需了解详情,请参阅数据集简介

节点按类别分组,例如“计算”“Kubernetes”“身份”和“数据库”。在构建查询时,您可以在Google Cloud 控制台中浏览或搜索所有可用的节点类型。

Where 子句(过滤条件)

where 子句是一种应用于节点的过滤器,用于根据与节点关联的特定属性优化查询

以下是一些过滤条件示例:

  • 严重程度 = 严重:严重程度为“严重”的项,例如 CVE。
  • Has Full API Access = True:表示节点已配置为对所有 Google Cloud API 具有完全访问权限。
  • Exploitation Activity = Confirmed:表示已知、已报告或可预见的漏洞在真实环境中被利用的实例。

Google Cloud 控制台中显示的过滤条件具有上下文感知能力,具体取决于您选择的节点类型。

连接

连接是两个节点之间的定向关系。

以下是连接的示例:

  • 影响:定义两个所选节点之间的关系,例如 CVE 漏洞与虚拟机 (GCE) 之间的关系。
  • 使用:定义两个所选节点之间的关系,例如虚拟机 (GCE) 与 IAM 服务账号之间的关系。

连接具有上下文感知能力,并且仅显示所选节点类型的有效关系。

构建查询

您可以查询安全图,根据对您而言重要的条件探索云环境。在图上执行和优化查询有助于您确定要监控的特定安全漏洞。

  1. 前往风险 > 图表搜索,打开安全图表查询页面。

  2. 与自定义查询编辑器互动以构建查询。

    1. 创建自己的自定义查询

    2. 选择预定义的搜索建议并直接使用,或根据需要修改查询。

  3. 运行查询。

  4. 查看表格中的查询结果。 您可以选择要显示的列,自定义结果视图。您还可以按升序或降序对各列进行排序。

  5. 使用下载 CSV 选项将查询结果导出为 CSV 文件。

创建自定义查询

您可以定义自定义查询,以识别特定于您环境的安全漏洞。

为此,请按照以下步骤创建并运行新的自定义查询,或自定义现有搜索建议

  1. 在 Google Cloud 控制台中,依次前往风险 > 图表搜索,打开安全图表查询页面。

  2. 显示字段中,点击 ,选择一个资源或发现结果作为查询的主节点,然后点击选择

  3. 如需优化查询,请点击任意过滤条件或连接的切换开关,以针对所选节点启用相应过滤条件或连接。为启用的每个过滤条件定义值,然后点击选择

    Security Command Center 图表搜索微件
    Security Command Center 图表搜索 widget(点击可放大)

  4. 如需进一步修改查询,请点击与节点或连接关联的加号图标 () 以进行更新。点击 可从查询中移除组件。

  5. 选择运行查询

随着图表架构的演变, Google Cloud 控制台中可用的节点、过滤条件和连接也会随之更新。

使用或自定义搜索建议

系统会提供多条搜索建议作为起点。您可以直接使用这些建议,也可以根据自己的具体要求对其进行自定义。

  1. 在 Google Cloud 控制台中,依次前往风险 > 图表搜索,打开安全图表查询页面。

  2. 选择搜索建议,即可查看有关相应搜索查询的更详细信息。

  3. 点击使用建议

  4. 您可以根据需要选择修改编辑器中的查询详细信息。如需了解详情,请参阅创建自定义查询

  5. 选择运行查询

排查未返回结果的查询

如果查询未返回任何结果,请尝试以下步骤进行问题排查和调整。

使用预定义的搜索建议

提供的预定义搜索建议是旨在返回与各种环境相关的结果的示例。您可以修改搜索建议,以满足您的特定需求。

简化或调整查询

  • 移除或减少过滤条件,以扩大查询范围。

  • 尝试查询单个资产类型或媒体资源,以验证是否返回了数据。

  • 避免组合过多的限制条件。否则可能会无意中排除结果。

验证访问权限

确保您拥有查看所查询数据的必要权限。如果没有正确的访问权限,某些资产或关系可能会被隐藏或从结果中排除。

留出时间进行数据同步

新创建或更新的资源可能需要几分钟或几小时才能显示在图表中。例如,如果您刚刚添加了资源或更新了 IAM 政策,就可能会出现延迟。如果您刚刚更改了云环境,请稍后再次尝试运行查询。

图表覆盖范围

某些数据类型或关系可能不会显示在安全图表中,具体取决于您的环境和支持的数据类型。如果您未看到预期的数据,可能是因为该数据未显示在图表中。

更多帮助

如果您尝试了上述步骤,但仍未看到预期结果,请与项目管理员联系,或参阅获取支持,以获取有关检查查询配置和权限的帮助。

后续步骤