Questa pagina descrive come eseguire lo streaming di risultati nuovi e aggiornati in un set di dati BigQuery utilizzando la funzione di esportazione di Security Command Center per BigQuery. I risultati esistenti non vengono inviati a BigQuery, a meno che non vengano aggiornati.
BigQuery è il data warehouse di analisi di Google Cloud completamente gestito, su scala petabyte e dai costi contenuti, che ti consente di eseguire analisi su enormi quantità di dati quasi in tempo reale. Puoi utilizzare BigQuery per eseguire query su risultati nuovi e aggiornati, filtrare i dati per trovare ciò che ti serve e generare report personalizzati. Per scoprire di più su BigQuery, consulta la documentazione di BigQuery.
Panoramica
Se attivi questa funzionalità, i nuovi risultati scritti in Security Command Center vengono esportati in una tabella BigQuery quasi in tempo reale. Puoi quindi integrare i dati nei flussi di lavoro esistenti e creare analisi personalizzate. Puoi attivare questa funzionalità a livello di organizzazione, cartella e progetto per esportare i risultati in base ai tuoi requisiti.
Questa funzionalità è il modo consigliato per esportare i risultati di Security Command Center in BigQuery, perché è completamente gestita e non richiede l'esecuzione di operazioni manuali o la scrittura di codice personalizzato.
Struttura del set di dati
Questa funzionalità aggiunge ogni nuovo rilevamento e i relativi aggiornamenti come nuove righe nella tabella findings
, raggruppata per source_id
, finding_id
e event_time
.
Quando un rilevamento viene aggiornato, questa funzionalità crea più record di rilevamento con gli stessi valori source_id
e finding_id
, ma con valori event_time
diversi. Questa struttura del set di dati ti consente di visualizzare l'evoluzione dello stato di ciascun rilevamento nel tempo.
Tieni presente che nel set di dati potrebbero essere presenti voci duplicate. Per analizzarli, puoi utilizzare la clausola DISTINCT
, come mostrato nella prima query di esempio.
Ogni set di dati contiene una tabella findings
con i seguenti campi:
Campo | Descrizione |
---|---|
source_id |
Un identificatore univoco assegnato da Security Command Center all' origine di un risultato. Ad esempio, tutti i risultati dell'origine Rilevamento delle anomalie di Cloud hanno lo stesso valore source_id. Esempio: |
finding_id | Identificatore univoco che rappresenta il rilevamento. È univoco all'interno di un'origine per un'organizzazione. È alfanumerico e contiene al massimo 32 caratteri. |
event_time |
L'ora in cui si è verificato l'evento o l'ora in cui si è verificato un aggiornamento del
risultato. Ad esempio, se il rilevamento rappresenta un firewall aperto, Esempio: |
risultato |
Un record di dati di valutazione come sicurezza, rischio, salute o privacy, che viene importato in Security Command Center per la presentazione, la notifica, l'analisi, il test delle norme e l'applicazione. Ad esempio, una vulnerabilità di cross-site scripting (XSS) in un'applicazione App Engine è un rilevamento.
Per ulteriori informazioni sui campi nidificati, consulta il riferimento all'API per l'oggetto
|
risorsa |
Informazioni relative alla risorsa Google Cloud associata a questo rilevamento.
Per ulteriori informazioni sui campi nidificati, consulta il riferimento all'API per l'oggetto
|
Costo
Sosterrai gli addebiti di BigQuery relativi a questa funzionalità. Per ulteriori informazioni, vedi Prezzi di BigQuery.
Prima di iniziare
Devi completare questi passaggi prima di attivare questa funzionalità.
Configurare le autorizzazioni
Per completare questa guida, devi disporre dei seguenti ruoli IAM (Identity and Access Management):
Nell'organizzazione, nella cartella o nel progetto da cui vuoi esportare i risultati, una delle seguenti opzioni:
- Security Center BigQuery Exports Editor
(
roles/securitycenter.bigQueryExportsEditor
). - Amministratore Centro sicurezza
(
roles/securitycenter.admin
).
Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.
- Security Center BigQuery Exports Editor
(
Nel set di dati BigQuery, Proprietario dati BigQuery (
roles/bigquery.dataOwner
).
Crea un set di dati BigQuery
Creare un set di dati BigQuery. Per scoprire di più, consulta la sezione Creare set di dati.
Pianifica la residenza dei dati
Se la residenza dei dati è abilitata per Security Command Center, le configurazioni che definiscono le esportazioni in streaming in BigQuery (risorse BigQueryExport
) sono soggette al controllo della residenza dei dati e vengono archiviate in una posizione di Security Command Center selezionata.
Per esportare i risultati in una posizione di Security Command Center in BigQuery, devi configurare l'esportazione BigQuery nella stessa posizione di Security Command Center dei risultati.
Poiché i filtri utilizzati nelle esportazioni di BigQuery possono contenere dati soggetti a controlli della residenza, assicurati di specificare la località corretta prima di crearli. Security Command Center non limita la località in cui crei le esportazioni.
Le esportazioni di BigQuery vengono archiviate solo nella posizione in cui vengono create e non possono essere visualizzate o modificate in altre posizioni.
Una volta creata un'esportazione BigQuery, non puoi modificarne la posizione. Per modificare la posizione, devi eliminare l'esportazione BigQuery e ricrearla nella nuova posizione.
Per recuperare un'esportazione di BigQuery utilizzando le chiamate API, devi specificare la posizione nel nome completo della risorsa del bigQueryExport
.
Ad esempio:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/bigQueryExports/my-export-01
Analogamente, per recuperare un'esportazione BigQuery utilizzando gcloud CLI, devi specificare la posizione utilizzando il flag --location
. Ad esempio:
gcloud scc bqexports get myBigQueryExport --organization=123 \
--location=us
Esportare i risultati da Security Command Center in BigQuery
Per esportare i risultati, abilita prima l'API Security Command Center.
Attivazione dell'API Security Command Center
Per abilitare l'API Security Command Center:
Vai alla pagina Libreria API nella console Google Cloud.
Seleziona il progetto per cui vuoi abilitare l'API Security Command Center.
Nella casella Cerca, inserisci
Security Command Center
e poi fai clic su Security Command Center nei risultati di ricerca.Nella pagina dell'API visualizzata, fai clic su Attiva.
L'API Security Command Center è abilitata per il tuo progetto. Poi, utilizza gcloud CLI per creare una nuova configurazione di esportazione in BigQuery.
Concedere l'accesso al perimetro in Controlli di servizio VPC
Se utilizzi i Controlli di servizio VPC e il tuo set di dati BigQuery fa parte di un progetto all'interno di un perimetro di servizio, devi concedere l'accesso ai progetti per esportare i risultati.
Per concedere l'accesso ai progetti, crea
regole in entrata e in uscita per
gli account principali e i progetti da cui esporti i risultati. Le regole consentono di accedere alle risorse protette e consentono a BigQuery di verificare che gli utenti dispongano dell'autorizzazione setIamPolicy
per il set di dati BigQuery.
Prima di configurare una nuova esportazione in BigQuery
Vai alla pagina Controlli di servizio VPC nella console Google Cloud.
Se necessario, seleziona la tua organizzazione.
Fai clic sul nome del perimetro di servizio da modificare.
Per trovare il perimetro di servizio da modificare, puoi controllare i log per verificare la presenza di voci che mostrano violazioni
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
. In queste voci, controlla il camposervicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Fai clic su Modifica perimetro.
Nel menu di navigazione, fai clic su Criterio in entrata.
Per configurare le regole di ingresso per gli utenti o gli account di servizio, utilizza i seguenti parametri:
- Attributi FROM del client API:
- Nel menu Identità, scegli Identità selezionate.
- Nel menu Origine, seleziona Tutte le origini.
- Fai clic su Seleziona, quindi inserisci il principale utilizzato per chiamare l'API Security Command Center.
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu Progetto, scegli Progetti selezionati.
- Fai clic su Seleziona e poi inserisci il progetto contenente il set di dati BigQuery.
- Nel menu Servizi, scegli Servizi selezionati, quindi API BigQuery.
- Nel menu Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
Fai clic su Salva.
Nel menu di navigazione, fai clic su Regola di uscita.
Fai clic su Aggiungi regola.
Per configurare le regole di uscita per gli account utente o di servizio, inserisci i seguenti parametri:
- Attributi FROM del client API:
- Nel menu Identità, scegli Identità selezionate.
- Fai clic su Seleziona, quindi inserisci il principale utilizzato per chiamare l'API Security Command Center.
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu Progetto, scegli Tutti i progetti.
- Nel menu Servizi, scegli Servizi selezionati, quindi seleziona API BigQuery.
- Nel menu Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
Fai clic su Salva.
Configurare una nuova esportazione in BigQuery
In questo passaggio, crei una configurazione di esportazione per esportare i risultati in un'istanza BigQuery. Puoi creare configurazioni di esportazione a livello di progetto, cartella o organizzazione. Ad esempio, se vuoi esportare risultati da un progetto in un set di dati BigQuery, crea una configurazione di esportazione a livello di progetto per esportare solo i risultati correlati a quel progetto. Se vuoi, puoi specificare filtri per esportare solo determinati risultati.
Assicurati di creare le configurazioni di esportazione al livello appropriato. Ad esempio, se crei una configurazione di esportazione nel progetto B per esportare i risultati dal progetto A e definisci filtri come resource.project_display_name: project-a-id
, la configurazione non esporta alcun risultato.
Puoi creare un massimo di 500 configurazioni di esportazione in BigQuery per la tua organizzazione. Puoi utilizzare lo stesso set di dati per più configurazioni di esportazione. Se utilizzi lo stesso set di dati, tutti gli aggiornamenti verranno apportati alla stessa tabella dei risultati.
Quando crei la tua prima configurazione di esportazione, viene creato automaticamente un account di servizio. Questo account di servizio è necessario per creare o
aggiornare la tabella dei risultati all'interno di un set di dati ed esportare i risultati nella tabella.
Ha il formato
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gservicaccount.com
e
viene concesso il ruolo Editor dati BigQuery (roles/bigquery.dataEditor
) a livello di
set di dati BigQuery.
Nella console Google Cloud, alcune risorse BigQueryExport
potrebbero avere l'etichetta Legacy, che indica che sono state create con l'API Security Command Center v1. Puoi gestire queste risorseBigQueryExport
con la console Google Cloud, l'gcloud CLI, l'API Security Command Center v1 o le librerie client v1 per Security Command Center.
Per gestire queste risorse BigQueryExport
con gcloud CLI, non devi specificare una posizione quando esegui il comando gcloud CLI.
gcloud
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Per creare una nuova configurazione di esportazione, esegui il seguente comando:
gcloud scc bqexports create BIGQUERY_EXPORT \ --dataset=DATASET_NAME \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--description=DESCRIPTION] \ [--filter=FILTER]
Sostituisci quanto segue:
BIGQUERY_EXPORT
con un nome per questa configurazione di esportazione.DATASET_NAME
con il nome del set di dati BigQuery, ad esempioprojects/PROJECT_ID/datasets/DATASET_ID
.FOLDER_ID
,ORGANIZATION_ID
oPROJECT_ID
con il nome della cartella, dell'organizzazione o del progetto. Devi impostare una di queste opzioni. Per le cartelle e le organizzazioni, il nome è l'ID cartella o l'ID organizzazione. Per i progetti, il nome è il numero o l'ID progetto.LOCATION
: se la residenza dei dati è abilitata, la località di Security Command Center in cui creare una configurazione di esportazione. Se la residenza dei dati non è abilitata, utilizza il valoreglobal
.DESCRIPTION
con una descrizione leggibile della configurazione dell'esportazione. Questa variabile è facoltativa.FILTER
con un'espressione che definisce quali risultati includere nell'esportazione. Ad esempio, se vuoi filtrare in base alla categoria XSS_SCRIPTING, digita"category=\"XSS_SCRIPTING\"
. Questa variabile è facoltativa.
Java
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Dovresti visualizzare i risultati nel set di dati BigQuery entro circa 15 minuti dalla creazione della configurazione di esportazione. Dopo aver creato la tabella BigQuery, tutti i risultati nuovi e aggiornati che corrispondono al filtro e all'ambito verranno visualizzati nella tabella quasi in tempo reale.
Per esaminare i risultati, consulta Esaminare i risultati.
Crea una regola di importazione per la nuova esportazione in BigQuery
Se utilizzi Controlli di servizio VPC e il tuo set di dati BigQuery fa parte di un progetto all'interno di un perimetro di servizio, devi creare una regola di ingresso per una nuova esportazione in BigQuery.
Riapri il perimetro di servizio da Configurare una nuova esportazione in BigQuery.
Fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Per configurare la regola di ingresso per le configurazioni di esportazione, inserisci i seguenti parametri:
- Attributi FROM del client API:
- Nel menu a discesa Origine, seleziona Tutte le origini.
- Nel menu a discesa Identità, scegli Identità selezionate.
- Fai clic su Seleziona e inserisci il nome dell'account di servizio di configurazione dell'esportazione BigQuery:
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- Attributi TO di servizi/risorse Google Cloud:
- Nel menu a discesa Progetto, scegli Progetti selezionati.
- Fai clic su Seleziona e poi seleziona il progetto che contiene il set di dati BigQuery.
- Nel menu a discesa Servizi, scegli Servizi selezionati, quindi API BigQuery.
- Nel menu a discesa Metodi, scegli Tutte le azioni.
- Attributi FROM del client API:
Nel menu di navigazione, fai clic su Salva.
I progetti, gli utenti e gli account di servizio selezionati ora possono accedere alle risorse protette ed esportare i risultati.
Se hai seguito tutti i passaggi descritti in questa guida e le esportazioni funzionano correttamente, ora puoi eliminare quanto segue:
- La regola in entrata per l'entità
- La regola in uscita per l'entità
Queste regole erano necessarie solo per configurare la configurazione dell'esportazione. Tuttavia, affinché le configurazioni di esportazione continuino a funzionare, devi mantenere la regola di ingresso che hai creato in precedenza, che consente a Security Command Center di esportare i risultati nel tuo set di dati BigQuery dietro il perimetro di servizio.
Visualizzare i dettagli di una configurazione di esportazione
gcloud
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Per verificare i dettagli della configurazione di esportazione, esegui il seguente comando:
gcloud scc bqexports get BIGQUERY_EXPORT \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION
Sostituisci quanto segue:
BIGQUERY_EXPORT
con il nome di questa configurazione di esportazione.FOLDER_ID
,ORGANIZATION_ID
oPROJECT_ID
con il nome della cartella, dell'organizzazione o del progetto. Devi impostare una di queste opzioni. Per le cartelle e le organizzazioni, il nome è l'ID cartella o l'ID organizzazione. Per i progetti, il nome è il numero o l'ID progetto.LOCATION
: se la residenza dei dati è abilitata, la località di Security Command Center in cui creare una configurazione di esportazione. Se la residenza dei dati non è abilitata, utilizza il valoreglobal
.Ad esempio, per ottenere una configurazione di esportazione denominata
my-bq-export
da un'organizzazione con un ID organizzazione impostato su123
, esegui:gcloud scc bqexports get my-bq-export \ --organization=123 \ --location=global
Aggiornare una configurazione di esportazione
Se necessario, puoi modificare il filtro, il set di dati e la descrizione di una configurazione di esportazione esistente. Non puoi modificare il nome della configurazione dell'esportazione.
gcloud
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Per aggiornare una configurazione di esportazione, esegui il seguente comando:
gcloud scc bqexports update BIGQUERY_EXPORT \ --dataset=DATASET_NAME \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--description=DESCRIPTION] \ [--filter=FILTER]
Sostituisci quanto segue:
BIGQUERY_EXPORT
con il nome della configurazione di esportazione da aggiornare.DATASET_NAME
con il nome del set di dati BigQuery, ad esempioprojects/PROJECT_ID/datasets/DATASET_ID
.FOLDER_ID
,ORGANIZATION_ID
oPROJECT_ID
con il nome della cartella, dell'organizzazione o del progetto. Devi impostare una di queste opzioni. Per le cartelle e le organizzazioni, il nome è l'ID cartella o l'ID organizzazione. Per i progetti, il nome è il numero o l'ID progetto.LOCATION
: se la residenza dei dati è attivata, la posizione di Security Command Center in cui aggiornare la configurazione dell'esportazione. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.DESCRIPTION
con una descrizione leggibile della configurazione dell'esportazione. Questa variabile è facoltativa.FILTER
con un'espressione che definisce i risultati da includere nell'esportazione. Ad esempio, se vuoi filtrare in base alla categoria XSS_SCRIPTING, digita"category=\"XSS_SCRIPTING\"
. Questa variabile è facoltativa.
Visualizza tutte le configurazioni di esportazione
Puoi visualizzare tutte le configurazioni di esportazione all'interno della tua organizzazione, della tua cartella o del tuo progetto.
gcloud
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Per elencare le configurazioni di esportazione, esegui il seguente comando:
gcloud scc bqexports list \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION \ [--limit=LIMIT] \ [--page-size=PAGE_SIZE]
Sostituisci quanto segue:
FOLDER_ID
,ORGANIZATION_ID
oPROJECT_ID
con il nome della cartella, dell'organizzazione o del progetto. Devi impostare una di queste opzioni. Per le cartelle e le organizzazioni, il nome è l'ID cartella o l'ID organizzazione. Per i progetti, il nome è il numero o l'ID progetto.Se specifichi un ID organizzazione, l'elenco include tutte le configurazioni di esportazione definite in quell'organizzazione, incluse quelle a livello di cartella e di progetto. Se specifichi un ID cartella, l'elenco include tutte le configurazioni di esportazione definite a livello di cartella e nei progetti all'interno della cartella. Se specifichi un numero di progetto o un ID progetto, l'elenco include tutte le configurazioni di esportazione solo per quel progetto.
LOCATION
: se la residenza dei dati è abilitata, la posizione di Security Command Center in cui elencare le configurazioni di esportazione. Se la residenza dei dati non è abilitata, utilizza il valoreglobal
.LIMIT
con il numero di configurazioni di esportazione che vuoi visualizzare. Questa variabile è facoltativa.PAGE_SIZE
con un valore della dimensione pagina. Questa variabile è facoltativa.
Java
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Eliminare una configurazione di esportazione
Se non hai più bisogno di una configurazione di esportazione, puoi eliminarla.
gcloud
Vai alla console Google Cloud.
Seleziona il progetto per cui hai attivato l'API Security Command Center.
Fai clic su Attiva Cloud Shell.
Per eliminare una configurazione di esportazione, esegui il seguente comando:
gcloud scc bqexports delete BIGQUERY_EXPORT \ --folder=FOLDER_ID | --organization=ORGANIZATION_ID | --project=PROJECT_ID \ --location=LOCATION
Sostituisci quanto segue:
BIGQUERY_EXPORT
con un nome per la configurazione di esportazione che vuoi eliminare.FOLDER_ID
,ORGANIZATION_ID
oPROJECT_ID
con il nome della cartella, dell'organizzazione o del progetto. Devi impostare una di queste opzioni. Per le cartelle e le organizzazioni, il nome è l'ID cartella o l'ID organizzazione. Per i progetti, il nome è il numero o l'ID progetto.LOCATION
: se la residenza dei dati è attivata, la posizione di Security Command Center in cui eliminare la configurazione di esportazione. Se la residenza dei dati non è attivata, utilizza il valoreglobal
.Ad esempio, per eliminare una configurazione di esportazione denominata
my-bq-export
da un'organizzazione con un ID organizzazione impostato su123
, esegui:gcloud scc bqexports delete my-bq-export \ --organization=123 \ --location=global
Java
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per autenticarti in Security Command Center, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Dopo aver eliminato la configurazione di esportazione, puoi rimuovere i dati da Looker Studio. Per ulteriori informazioni, consulta la sezione Rimuovere, eliminare e ripristinare un'origine dati.
Esamina i risultati in BigQuery
Dopo aver creato una configurazione di esportazione, i nuovi risultati vengono esportati nel set di dati BigQuery del progetto specificato.
Per esaminare i risultati in BigQuery:
Vai al progetto in BigQuery.
Seleziona un progetto.
Nel riquadro Explorer, espandi il nodo per il tuo progetto.
Espandi il set di dati.
Fai clic sulla tabella Risultati.
Nella scheda che si apre, fai clic su Anteprima. Viene visualizzato un insieme di dati di esempio.
Query utili
Questa sezione fornisce esempi di query per analizzare i dati dei risultati. Negli esempi riportati di seguito, sostituisci
DATASET
con il nome assegnato al set di dati e
PROJECT_ID
con il nome del progetto per il set di dati.
Per risolvere eventuali errori riscontrati, consulta la sezione Messaggi di errore.
Il numero di nuovi risultati creati e aggiornati ogni giorno
SELECT
FORMAT_DATETIME("%Y-%m-%d", event_time) AS date,
count(DISTINCT finding_id)
FROM `PROJECT_ID.DATASET.findings`
GROUP BY date
ORDER BY date DESC
Il record del risultato più recente per ogni risultato
SELECT
* EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
)
WHERE row = 1
Risultati attuali attivi, ordinati per data
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
ORDER BY event_time DESC
Risultati attuali in un progetto
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
WHERE resource.project_display_name = 'PROJECT'
Sostituisci PROJECT
con il nome del progetto.
Risultati attuali che si trovano in una cartella
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding, resource
FROM latestFindings
CROSS JOIN UNNEST(resource.folders) AS folder
WHERE folder.resource_folder_display_name = 'FOLDER'
Sostituisci FOLDER
con il nome della cartella.
Risultati attuali dello scanner Logging Scanner
WITH latestFindings AS (
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
CROSS JOIN UNNEST(finding.source_properties) AS source_property
WHERE source_property.key = "ScannerName"
AND source_property.value = "LOGGING_SCANNER"
Risultati attivi correnti di tipo Persistence: IAM Anomalous Grant
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT finding_id, event_time, finding
FROM latestFindings
WHERE finding.state = "ACTIVE"
AND finding.category = "Persistence: IAM Anomalous Grant"
Correlare i risultati attivi di un determinato tipo con Cloud Audit Logs
Questa query di esempio consente di esaminare i risultati anomali delle concessioni IAM provenienti da Event Threat Detection utilizzando Cloud Audit Logs mostrando la sequenza di azioni di attività amministrative del concessore durante il periodo di tempo precedente e successivo all'azione di concessione IAM anomala. La seguente query correla i log attività amministratore tra 1 ora prima e 1 ora dopo il timestamp del rilevamento.
WITH latestFindings AS(
SELECT * EXCEPT(row)
FROM (
SELECT *, ROW_NUMBER() OVER(
PARTITION BY finding_id
ORDER BY event_time DESC, finding.mute_update_time DESC
) AS row
FROM `PROJECT_ID.DATASET.findings`
) WHERE row = 1
)
SELECT
finding_id,
ANY_VALUE(event_time) as event_time,
ANY_VALUE(finding.access.principal_email) as grantor,
JSON_VALUE_ARRAY(ANY_VALUE(finding.source_properties_json), '$.properties.sensitiveRoleGrant.members') as grantees,
ARRAY_AGG(
STRUCT(
timestamp,
IF(timestamp < event_time, 'before', 'after') as timeline,
protopayload_auditlog.methodName,
protopayload_auditlog.resourceName,
protopayload_auditlog.serviceName
)
ORDER BY timestamp ASC
) AS recent_activity
FROM (
SELECT
f.*,
a.*,
FROM latestFindings AS f
LEFT JOIN `PROJECT_ID.DATASET.cloudaudit_googleapis_com_activity` AS a
ON a.protopayload_auditlog.authenticationInfo.principalEmail = f.finding.access.principal_email
WHERE f.finding.state = "ACTIVE"
AND f.finding.category = "Persistence: IAM Anomalous Grant"
AND a.timestamp >= TIMESTAMP_SUB(f.event_time, INTERVAL 1 HOUR)
AND a.timestamp <= TIMESTAMP_ADD(f.event_time, INTERVAL 1 HOUR)
)
GROUP BY
finding_id
ORDER BY
event_time DESC
L'output è simile al seguente:
Creare grafici in Looker Studio
Looker Studio ti consente di creare dashboard e report interattivi.
In generale, quando accedi a BigQuery tramite Looker Studio, devi sostenere costi di utilizzo di BigQuery. Per ulteriori informazioni, consulta Visualizzare i dati di BigQuery utilizzando Looker Studio.
Per creare un grafico che visualizzi i dati dei risultati in base a gravità e categoria:
- Apri Looker Studio e accedi.
- Se richiesto, fornisci ulteriori informazioni e configura altre preferenze. Leggi i Termini di servizio e, se li accetti, continua.
- Fai clic su Report vuoto.
- Nella scheda Connessione ai dati, fai clic sulla scheda BigQuery.
- Se richiesto, autorizza Looker Studio ad accedere ai progetti BigQuery.
Connettiti ai dati dei risultati:
- In Project (Progetto), seleziona il progetto per il set di dati. In alternativa, nella scheda I miei progetti, inserisci l'ID progetto per cercarlo.
- In Set di dati, fai clic sul nome del set di dati.
- In Tabella, fai clic su Risultati.
- Fai clic su Aggiungi.
- Nella finestra di dialogo, fai clic su Aggiungi al report.
Dopo aver aggiunto il report, fai clic su Aggiungi un grafico.
Fai clic su Grafico a colonne con raggruppamento e poi sull'area in cui vuoi inserirlo.
Nel riquadro Grafico > A barre, nella scheda Dati, imposta i seguenti campi:
- Nel campo Dimensione, seleziona finding.severity.
- Nel campo Dimensione di distribuzione, seleziona finding.category.
Il report viene aggiornato per mostrare più colonne con i risultati suddivisi per gravità e categoria.
Passaggi successivi
Scopri come eseguire una query in BigQuery.