Membuat kueri temuan di konsol

Halaman ini menjelaskan cara membuat dan mengedit kueri temuan Security Command Center menggunakan panel Editor kueri di halaman Temuan di konsol Google Cloud dan konsol Security Operations.

Gunakan kueri untuk mengambil temuan tertentu dan memfilter temuan yang ditampilkan dalam hasil kueri temuan.

Menggunakan temuan di konsol Security Command Center Enterprise

Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di dua konsol:

  • Konsol Google Cloud: tersedia di semua tingkat layanan
  • Konsol Operasi Keamanan: hanya tersedia di tingkat Enterprise

Untuk informasi selengkapnya, lihat Konsol Enterprise Security Command Center.

Mengedit kueri temuan

Di panel Query editor, Anda dapat menambahkan filter ke kueri untuk memilih temuan berdasarkan nilai properti atau atributnya. Anda dapat memfilter hal-hal seperti keberadaan nilai, tidak adanya nilai, atau pencocokan string sebagian.

Untuk informasi tentang cara mengedit kueri temuan, klik tab untuk konsol yang Anda gunakan.

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda. Halaman Temuan dimuat dengan kueri default yang ditampilkan di kolom Pratinjau kueri.
  3. Di sebelah kanan bagian Preview kueri, klik Edit Kueri untuk membuka panel Editor kueri.
  4. Pilih Tambahkan filter untuk menavigasi, menelusuri, dan menambahkan filter atribut standar ke kueri.
  5. Dialog Pilih filter memungkinkan Anda memilih atribut dan nilai penemuan yang didukung.

    1. Pilih atribut temuan atau ketik namanya di kotak Telusuri atribut temuan. Daftar sub-atribut yang tersedia akan ditampilkan.
    2. Pilih sub-atribut. Kolom pilihan akan ditampilkan tempat Anda dapat membuat pernyataan kueri menggunakan sub-atribut yang dipilih, operator kueri, dan satu atau beberapa nilai untuk sub-atribut.
    3. Pilih operator dan satu atau beberapa nilai untuk sub-atribut dari panel. Untuk mengetahui informasi selengkapnya tentang operator kueri dan fungsi yang digunakannya, lihat Operator kueri di menu Tambahkan filter.
    4. Klik Terapkan.

      Dialog akan ditutup dan kueri Anda akan diperbarui.

    5. Ulangi hingga kueri temuan berisi semua atribut yang Anda inginkan.

Saat Anda bekerja di editor kueri di halaman Temuan, bagian Filter cepat akan dinonaktifkan untuk menghindari konflik antara keduanya.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di panel Editor kueri, klik Tambahkan filter. Dialog Add Filter akan muncul. Dialog ini memungkinkan Anda memilih atribut dan nilai penemuan yang didukung.
  3. Di kotak Kategori, pilih atau masukkan atribut temuan.
  4. Di kotak Nama atribut, pilih atau masukkan sub-atribut.
  5. Di kotak Operator, pilih opsi evaluasi untuk nilai sub-atribut yang dipilih. Untuk informasi selengkapnya tentang opsi evaluasi dan operator yang dapat Anda gunakan, lihat Operator kueri di menu Tambahkan filter.
  6. Pilih Apply.

    Dialog akan ditutup dan kueri Anda akan diperbarui.

  7. Ulangi proses ini hingga kueri temuan berisi semua atribut yang ingin Anda filter.

    Untuk menghapus filter, klik Reset.

Atau, Anda dapat membuat kueri temuan secara manual dengan cara yang sama seperti membuat filter temuan menggunakan Security Command Center API. Saat Anda mengetik kueri, menu pelengkapan otomatis akan muncul, tempat Anda dapat memilih nama, fungsi, dan nilai filter. Untuk membuka menu pelengkapan otomatis secara manual, tekan Control+Spasi.

Saat Anda mengedit kueri, editor akan menandai error dalam kueri, sehingga Anda dapat memperbaiki error sebelum mengirimkan kueri.

Operator kueri

Pernyataan kueri untuk temuan Security Command Center mendukung operator yang didukung oleh sebagian besar Google Cloud API.

Daftar berikut menunjukkan penggunaan berbagai operator:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

Daftar berikut menunjukkan semua operator dan fungsi yang didukung dalam pernyataan kueri untuk temuan:

  • Untuk string:
    • = untuk kesetaraan penuh
    • : untuk pencocokan string sebagian
  • Untuk angka:
    • <, >, <=, >= untuk ketidaksetaraan
    • =, != untuk kesetaraan
  • Untuk boolean:
    • = untuk kesetaraan
  • Untuk hubungan logis:
    • AND
    • OR
    • NOT atau -
  • Untuk ekspresi pengelompokan:
    • (, ) (tanda kurung)
  • Untuk array:
    • contains(), fungsi untuk mengkueri temuan dengan kolom array yang berisi minimal satu elemen yang cocok dengan filter yang ditentukan
    • containsOnly(), fungsi untuk membuat kueri temuan dengan kolom array yang hanya berisi elemen yang cocok dengan filter yang ditentukan
  • Untuk alamat IP:
    • inIpRange(), fungsi untuk membuat kueri alamat IP dalam rentang CIDR yang ditentukan

Operator kueri di menu Tambahkan filter

Untuk informasi tentang operator kueri yang digunakan di menu Tambahkan filter, klik tab untuk konsol yang Anda gunakan.

Konsol Google Cloud

Di menu Tambahkan filter pada Query editor di konsol Google Cloud, operator dan fungsi kueri diwakili oleh kata atau frasa, seperti berikut:

  • Sama dengan: mencocokkan temuan dengan nilai atribut yang sama persis ini.
  • Tidak sama dengan: cocok dengan temuan yang tidak memiliki nilai atribut yang sama persis ini.
  • Setelah: mencocokkan temuan dengan waktu pembuatan atau pembaruan setelah waktu yang ditentukan.
  • Sebelum: mencocokkan temuan dengan waktu pembuatan atau pembaruan sebelum waktu yang ditentukan.
  • Memiliki: mencocokkan temuan dengan nilai atribut yang berisi teks yang Anda masukkan di kolom Kata Kunci.
  • Tidak memiliki: mencocokkan temuan dengan nilai atribut yang tidak berisi teks yang Anda masukkan di kolom Kata Kunci.
  • Untuk menemukan atribut yang berisi array:
    • Berisi apa pun: mencocokkan temuan yang memiliki nilai array yang berisi teks apa pun yang Anda masukkan di kolom Kata Kunci.
    • Berisi semua: mencocokkan temuan yang memiliki nilai array yang berisi semua teks yang Anda masukkan di kolom Kata kunci.
    • Tidak berisi: cocok dengan temuan yang tidak memiliki nilai array yang berisi teks yang Anda masukkan di kolom Kata Kunci.
    • Hanya berisi: mencocokkan temuan yang memiliki atribut array yang hanya berisi nilai yang Anda masukkan di kolom Kata Kunci, dan tidak ada nilai lain.
  • Untuk alamat IP:
    • Apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP dalam rentang CIDR yang ditentukan.
    • Tidak memiliki apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP yang tidak berada dalam rentang CIDR yang ditentukan.

Konsol Security Operations

Di menu Add filters dari Query editor di konsol Security Operations, operator dan fungsi kueri diwakili oleh hal berikut:

  • Sama dengan: mencocokkan temuan dengan nilai atribut yang sama persis ini.
  • Tidak sama dengan: cocok dengan temuan yang tidak memiliki nilai atribut yang sama persis ini.
  • Setelah: mencocokkan temuan dengan waktu pembuatan atau pembaruan setelah waktu yang Anda tentukan.
  • Sebelum: mencocokkan temuan dengan waktu pembuatan atau pembaruan sebelum waktu yang Anda tentukan.
  • Memiliki: mencocokkan temuan dengan nilai atribut yang berisi teks yang Anda masukkan di kolom Kata Kunci.
  • Tidak memiliki: mencocokkan temuan dengan nilai atribut yang tidak berisi teks yang Anda masukkan di kolom Kata Kunci.
  • Lebih besar dari: mencocokkan temuan dengan nilai atribut yang lebih tinggi dari nilai yang Anda tentukan.
  • Kurang dari: mencocokkan temuan dengan nilai atribut yang lebih rendah dari nilai yang Anda tentukan.
  • Apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP dalam rentang CIDR yang ditentukan.
  • Tidak memiliki apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP yang tidak berada dalam rentang CIDR yang ditentukan.

Fungsi kueri

Fungsi kueri memberikan evaluasi nilai atribut yang lebih kompleks daripada operator kueri umum.

Fungsi contains

Gunakan fungsi contains untuk mengevaluasi atribut atau subkolom atribut yang dapat muncul beberapa kali dalam temuan yang sama.

Secara internal, atribut atau subkolom atribut ini disimpan dalam elemen struktur data array, sehingga disebut sebagai atribut jenis array.

Misalnya, temuan tertentu dapat mereferensikan beberapa koneksi jaringan, sehingga atribut connections adalah atribut jenis array. Demikian pula, temuan ancaman tertentu dapat mereferensikan beberapa alamat IP sebagai indikator kompromi, sehingga subkolom ip_addresses dari atribut indicator adalah atribut jenis array.

Fungsi contains menggunakan sintaksis berikut:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ganti kode berikut:

  • ARRAY_ATTRIBUTE_NAME: nama atribut jenis array yang disimpan dalam array. Jika atribut jenis array adalah subkolom dari atribut lain, tentukan nama atribut dan nama subkolom yang dipisahkan dengan titik.

    Dalam contoh berikut, atribut jenis array, ip_addresses, adalah subkolom dari indicator, sehingga keduanya ditentukan dalam posisi ARRAY_ATTRIBUTE_NAME:

    contains(indicator.ip_addresses, elem="192.0.2.80")
  • SUBFILTER: ekspresi yang menentukan cara mengevaluasi setiap instance atribut jenis array. Operator kueri dan pernyataan evaluasi Security Command Center Standard didukung.

    Jika nilai yang akan diperiksa berada dalam subkolom atribut jenis array, tentukan nama subkolom di sebelah kiri ekspresi. Fungsi contains berikut mengevaluasi setiap elemen array connections, yang merupakan atribut jenis array yang berisi subkolom. Nilai yang dikueri berada di subkolom destination_ip, yang bukan kolom jenis array. Nilai yang akan dikueri ditentukan dengan nama subkolom, destination_ip, bukan parameter elem.

    contains(connections, destination_ip="192.0.2.80")

    Jika subkolom adalah atribut jenis array, tentukan atribut jenis array di sebelah kiri ekspresi dengan induknya dan gunakan parameter elem di sebelah kanan ekspresi untuk menentukan nilai yang akan ditelusuri. Misalnya, fungsi contains berikut mengevaluasi setiap elemen array ip_addresses, yang merupakan subkolom atribut indicator. Atribut indicator bukan kolom jenis array.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Fungsi contains di menu Tambahkan filter

Di menu Tambahkan filter, bergantung pada atribut temuan yang Anda evaluasi, fungsi contains dicantumkan secara eksplisit atau disertakan secara otomatis saat Anda memilih opsi filter lain yang memerlukannya.

Misalnya, untuk sub-kolom Alamat IP dari atribut Indikator, Anda dapat memilih opsi filter berikut:

  • Berisi salah satu
  • Berisi semua
  • Tidak berisi

Sebaliknya, jika Anda memfilter pada sub-kolom Destination IP dari atribut Connections dan memilih Any within IP range, fungsi contains akan otomatis ditambahkan ke pernyataan kueri, seperti yang ditunjukkan dalam contoh berikut:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Untuk informasi selengkapnya tentang fungsi contains, lihat Pemfilteran pada kolom jenis array.

Fungsi containsOnly

Fungsi containsOnly memungkinkan Anda membuat kueri temuan untuk atribut jenis array atau subkolom yang hanya berisi nilai yang ditentukan dalam subfilter, dan tidak ada yang lain.

Fungsi containsOnly menggunakan sintaksis berikut:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ganti kode berikut:

  • ARRAY_ATTRIBUTE_NAME: nama atribut jenis array. Jika atribut jenis array adalah subkolom dari atribut lain, tentukan nama atribut dan nama subkolom yang dipisahkan dengan titik. Saat Anda menjalankan kueri menggunakan konsol Google Cloud, fungsi ini hanya mendukung atribut array iam_bindings.member dan iam_bindings.role.

  • SUBFILTER: ekspresi yang menentukan cara mengevaluasi setiap elemen atribut jenis array. Operator kueri dan pernyataan evaluasi Security Command Center Standar didukung.

Di menu Add filter, opsi filter berikut menggunakan fungsi containsOnly:

  • IAM binding > Member: hanya memilih temuan yang menyertakan pengguna, akun layanan, atau grup yang ditentukan.

  • IAM binding > Role: hanya memilih temuan yang menyertakan peran yang ditentukan.

Contoh berikut menunjukkan kueri temuan di konsol Google Cloud yang menampilkan temuan aktif yang tidak dibisukan untuk pengguna di grup example-group:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Fungsi inIpRange

Fungsi inIpRange memeriksa apakah alamat IP dalam atribut penemuan yang dipilih berada dalam rentang alamat IP yang Anda tentukan menggunakan notasi CIDR (rentang CIDR). Berikut ini sintaksis fungsi inIpRange:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Di menu Add filter, opsi filter berikut menggunakan fungsi inIpRange:

  • Semua dalam rentang IP: hanya memilih temuan yang berisi alamat IP dalam rentang yang ditentukan.
  • Tidak memiliki apa pun dalam rentang IP: hanya memilih temuan yang tidak berisi alamat IP dalam rentang yang ditentukan.

Contoh berikut menunjukkan kueri temuan di konsol Google Cloud yang menampilkan temuan aktif yang tidak dibisukan dengan sub-kolom caller_ip objek access berisi alamat IPv6 dalam rentang CIDR 2001:db8::/32:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Contoh berikut menunjukkan kueri temuan yang menampilkan temuan aktif yang tidak dibisukan, dengan sub-kolom caller_ip dari objek access tidak berisi alamat IP dalam rentang CIDR IPv4 192.0.2.0/24:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Jika alamat IP berada dalam atribut yang dapat muncul beberapa kali dalam temuan, gunakan fungsi contains dengan fungsi inIpRange untuk memeriksa setiap instance atribut untuk alamat IP. Contoh:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Untuk informasi selengkapnya tentang fungsi contains(), lihat Fungsi contains.

Menemukan atribut untuk kueri

Security Command Center memilih temuan yang akan ditampilkan dengan mengevaluasi atribut setiap temuan yang disimpan terhadap filter atribut yang Anda tentukan dalam kueri.

Anda dapat membuat kueri untuk sebagian besar atribut temuan. Beberapa atribut umum untuk semua temuan. Atribut lainnya mungkin spesifik untuk masalah keamanan, kategori penemuan, atau layanan deteksi tertentu.

Di menu Tambahkan filter pada panel Query editor, opsi yang dapat Anda terapkan ke filter atribut berbeda-beda, bergantung pada jenis atribut yang Anda pilih dan apakah atribut memiliki sub-kolom atau array nilai.

Di menu Tambahkan filter, klik salah satu atribut tingkat atas berikut untuk menampilkan sub-atribut dan nilai yang dapat Anda gunakan dalam kueri temuan: