Halaman ini menjelaskan cara membuat dan mengedit kueri temuan Security Command Center menggunakan panel Editor kueri di halaman Temuan di konsol Google Cloud dan konsol Security Operations.
Gunakan kueri untuk mengambil temuan tertentu dan memfilter temuan yang ditampilkan dalam hasil kueri temuan.
Menggunakan temuan di konsol Security Command Center Enterprise
Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di dua konsol:
- Konsol Google Cloud: tersedia di semua tingkat layanan
- Konsol Operasi Keamanan: hanya tersedia di tingkat Enterprise
Untuk informasi selengkapnya, lihat Konsol Enterprise Security Command Center.
Mengedit kueri temuan
Di panel Query editor, Anda dapat menambahkan filter ke kueri untuk memilih temuan berdasarkan nilai properti atau atributnya. Anda dapat memfilter hal-hal seperti keberadaan nilai, tidak adanya nilai, atau pencocokan string sebagian.
Untuk informasi tentang cara mengedit kueri temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda. Halaman Temuan dimuat dengan kueri default yang ditampilkan di kolom Pratinjau kueri.
- Di sebelah kanan bagian Preview kueri, klik edit Edit Kueri untuk membuka panel Editor kueri.
- Pilih Tambahkan filter untuk menavigasi, menelusuri, dan menambahkan filter atribut standar ke kueri.
- Pilih atribut temuan atau ketik namanya di kotak Telusuri atribut temuan. Daftar sub-atribut yang tersedia akan ditampilkan.
- Pilih sub-atribut. Kolom pilihan akan ditampilkan tempat Anda dapat membuat pernyataan kueri menggunakan sub-atribut yang dipilih, operator kueri, dan satu atau beberapa nilai untuk sub-atribut.
- Pilih operator dan satu atau beberapa nilai untuk sub-atribut dari panel. Untuk mengetahui informasi selengkapnya tentang operator kueri dan fungsi yang digunakannya, lihat Operator kueri di menu Tambahkan filter.
- Klik Terapkan.
Dialog akan ditutup dan kueri Anda akan diperbarui.
- Ulangi hingga kueri temuan berisi semua atribut yang Anda inginkan.
Dialog Pilih filter memungkinkan Anda memilih atribut dan nilai penemuan yang didukung.
Saat Anda bekerja di editor kueri di halaman Temuan, bagian Filter cepat akan dinonaktifkan untuk menghindari konflik antara keduanya.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di panel Editor kueri, klik Tambahkan filter. Dialog Add Filter akan muncul. Dialog ini memungkinkan Anda memilih atribut dan nilai penemuan yang didukung.
- Di kotak Kategori, pilih atau masukkan atribut temuan.
- Di kotak Nama atribut, pilih atau masukkan sub-atribut.
- Di kotak Operator, pilih opsi evaluasi untuk nilai sub-atribut yang dipilih. Untuk informasi selengkapnya tentang opsi evaluasi dan operator yang dapat Anda gunakan, lihat Operator kueri di menu Tambahkan filter.
- Pilih Apply.
Dialog akan ditutup dan kueri Anda akan diperbarui.
- Ulangi proses ini hingga kueri temuan berisi semua atribut
yang ingin Anda filter.
Untuk menghapus filter, klik Reset.
Atau, Anda dapat membuat kueri temuan secara manual dengan cara yang sama seperti membuat filter temuan menggunakan Security Command Center API. Saat Anda mengetik kueri, menu pelengkapan otomatis akan muncul, tempat Anda dapat memilih nama, fungsi, dan nilai filter. Untuk membuka menu pelengkapan otomatis secara manual, tekan Control+Spasi.
Saat Anda mengedit kueri, editor akan menandai error dalam kueri, sehingga Anda dapat memperbaiki error sebelum mengirimkan kueri.
Operator kueri
Pernyataan kueri untuk temuan Security Command Center mendukung operator yang didukung oleh sebagian besar Google Cloud API.
Daftar berikut menunjukkan penggunaan berbagai operator:
state="ACTIVE" AND NOT mute="MUTED"
create_time>"2023-08-15T19:05:32.428Z"
resource.parent_name:"prod"
severity="CRITICAL" OR severity="HIGH"
Daftar berikut menunjukkan semua operator dan fungsi yang didukung dalam pernyataan kueri untuk temuan:
- Untuk string:
=
untuk kesetaraan penuh:
untuk pencocokan string sebagian
- Untuk angka:
<
,>
,<=
,>=
untuk ketidaksetaraan=
,!=
untuk kesetaraan
- Untuk boolean:
=
untuk kesetaraan
- Untuk hubungan logis:
AND
OR
NOT
atau-
- Untuk ekspresi pengelompokan:
(
,)
(tanda kurung)
- Untuk array:
contains()
, fungsi untuk mengkueri temuan dengan kolom array yang berisi minimal satu elemen yang cocok dengan filter yang ditentukancontainsOnly()
, fungsi untuk membuat kueri temuan dengan kolom array yang hanya berisi elemen yang cocok dengan filter yang ditentukan
- Untuk alamat IP:
inIpRange()
, fungsi untuk membuat kueri alamat IP dalam rentang CIDR yang ditentukan
Operator kueri di menu Tambahkan filter
Untuk informasi tentang operator kueri yang digunakan di menu Tambahkan filter, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Di menu Tambahkan filter pada Query editor di konsol Google Cloud, operator dan fungsi kueri diwakili oleh kata atau frasa, seperti berikut:
- Sama dengan: mencocokkan temuan dengan nilai atribut yang sama persis ini.
- Tidak sama dengan: cocok dengan temuan yang tidak memiliki nilai atribut yang sama persis ini.
- Setelah: mencocokkan temuan dengan waktu pembuatan atau pembaruan setelah waktu yang ditentukan.
- Sebelum: mencocokkan temuan dengan waktu pembuatan atau pembaruan sebelum waktu yang ditentukan.
- Memiliki: mencocokkan temuan dengan nilai atribut yang berisi teks yang Anda masukkan di kolom Kata Kunci.
- Tidak memiliki: mencocokkan temuan dengan nilai atribut yang tidak berisi teks yang Anda masukkan di kolom Kata Kunci.
- Untuk menemukan atribut yang berisi array:
- Berisi apa pun: mencocokkan temuan yang memiliki nilai array yang berisi teks apa pun yang Anda masukkan di kolom Kata Kunci.
- Berisi semua: mencocokkan temuan yang memiliki nilai array yang berisi semua teks yang Anda masukkan di kolom Kata kunci.
- Tidak berisi: cocok dengan temuan yang tidak memiliki nilai array yang berisi teks yang Anda masukkan di kolom Kata Kunci.
- Hanya berisi: mencocokkan temuan yang memiliki atribut array yang hanya berisi nilai yang Anda masukkan di kolom Kata Kunci, dan tidak ada nilai lain.
- Untuk alamat IP:
- Apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP dalam rentang CIDR yang ditentukan.
- Tidak memiliki apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP yang tidak berada dalam rentang CIDR yang ditentukan.
Konsol Security Operations
Di menu operator dan fungsi kueri diwakili oleh hal berikut:
Add filters dari Query editor di konsol Security Operations,- Sama dengan: mencocokkan temuan dengan nilai atribut yang sama persis ini.
- Tidak sama dengan: cocok dengan temuan yang tidak memiliki nilai atribut yang sama persis ini.
- Setelah: mencocokkan temuan dengan waktu pembuatan atau pembaruan setelah waktu yang Anda tentukan.
- Sebelum: mencocokkan temuan dengan waktu pembuatan atau pembaruan sebelum waktu yang Anda tentukan.
- Memiliki: mencocokkan temuan dengan nilai atribut yang berisi teks yang Anda masukkan di kolom Kata Kunci.
- Tidak memiliki: mencocokkan temuan dengan nilai atribut yang tidak berisi teks yang Anda masukkan di kolom Kata Kunci.
- Lebih besar dari: mencocokkan temuan dengan nilai atribut yang lebih tinggi dari nilai yang Anda tentukan.
- Kurang dari: mencocokkan temuan dengan nilai atribut yang lebih rendah dari nilai yang Anda tentukan.
- Apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP dalam rentang CIDR yang ditentukan.
- Tidak memiliki apa pun dalam rentang IP: cocok dengan temuan yang memiliki alamat IP yang tidak berada dalam rentang CIDR yang ditentukan.
Fungsi kueri
Fungsi kueri memberikan evaluasi nilai atribut yang lebih kompleks daripada operator kueri umum.
Fungsi contains
Gunakan fungsi contains
untuk mengevaluasi atribut atau subkolom atribut
yang dapat muncul beberapa kali dalam temuan yang sama.
Secara internal, atribut atau subkolom atribut ini disimpan dalam elemen struktur data array, sehingga disebut sebagai atribut jenis array.
Misalnya, temuan tertentu dapat mereferensikan beberapa koneksi jaringan, sehingga atribut connections
adalah atribut jenis array.
Demikian pula, temuan ancaman tertentu dapat mereferensikan beberapa alamat IP sebagai indikator kompromi, sehingga subkolom ip_addresses
dari atribut indicator
adalah atribut jenis array.
Fungsi contains
menggunakan sintaksis berikut:
contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)
Ganti kode berikut:
ARRAY_ATTRIBUTE_NAME
: nama atribut jenis array yang disimpan dalam array. Jika atribut jenis array adalah subkolom dari atribut lain, tentukan nama atribut dan nama subkolom yang dipisahkan dengan titik.Dalam contoh berikut, atribut jenis array,
ip_addresses
, adalah subkolom dariindicator
, sehingga keduanya ditentukan dalam posisiARRAY_ATTRIBUTE_NAME
:contains(indicator.ip_addresses, elem="192.0.2.80")
SUBFILTER
: ekspresi yang menentukan cara mengevaluasi setiap instance atribut jenis array. Operator kueri dan pernyataan evaluasi Security Command Center Standard didukung.Jika nilai yang akan diperiksa berada dalam subkolom atribut jenis array, tentukan nama subkolom di sebelah kiri ekspresi. Fungsi
contains
berikut mengevaluasi setiap elemen arrayconnections
, yang merupakan atribut jenis array yang berisi subkolom. Nilai yang dikueri berada di subkolomdestination_ip
, yang bukan kolom jenis array. Nilai yang akan dikueri ditentukan dengan nama subkolom,destination_ip
, bukan parameterelem
.contains(connections, destination_ip="192.0.2.80")
Jika subkolom adalah atribut jenis array, tentukan atribut jenis array di sebelah kiri ekspresi dengan induknya dan gunakan parameter
elem
di sebelah kanan ekspresi untuk menentukan nilai yang akan ditelusuri. Misalnya, fungsicontains
berikut mengevaluasi setiap elemen arrayip_addresses
, yang merupakan subkolom atributindicator
. Atributindicator
bukan kolom jenis array.contains(indicator.ip_addresses, elem="192.0.2.80")
Fungsi contains
di menu Tambahkan filter
Di menu Tambahkan filter, bergantung pada atribut temuan yang
Anda evaluasi, fungsi contains
dicantumkan secara eksplisit
atau disertakan secara otomatis saat Anda memilih opsi filter lain
yang memerlukannya.
Misalnya, untuk sub-kolom Alamat IP dari atribut Indikator, Anda dapat memilih opsi filter berikut:
- Berisi salah satu
- Berisi semua
- Tidak berisi
Sebaliknya, jika Anda memfilter pada sub-kolom Destination IP dari
atribut Connections dan memilih Any within IP range, fungsi
contains
akan otomatis ditambahkan ke pernyataan kueri,
seperti yang ditunjukkan dalam contoh berikut:
contains(connections, inIpRange(destination_ip, "2001:db8::/32"))
Untuk informasi selengkapnya tentang fungsi contains
, lihat
Pemfilteran pada kolom jenis array.
Fungsi containsOnly
Fungsi containsOnly
memungkinkan Anda membuat kueri temuan untuk atribut jenis array atau
subkolom yang hanya berisi nilai yang ditentukan dalam subfilter, dan
tidak ada yang lain.
Fungsi containsOnly
menggunakan sintaksis berikut:
containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)
Ganti kode berikut:
ARRAY_ATTRIBUTE_NAME
: nama atribut jenis array. Jika atribut jenis array adalah subkolom dari atribut lain, tentukan nama atribut dan nama subkolom yang dipisahkan dengan titik. Saat Anda menjalankan kueri menggunakan konsol Google Cloud, fungsi ini hanya mendukung atribut arrayiam_bindings.member
daniam_bindings.role
.SUBFILTER
: ekspresi yang menentukan cara mengevaluasi setiap elemen atribut jenis array. Operator kueri dan pernyataan evaluasi Security Command Center Standar didukung.
Di menu Add filter, opsi filter berikut menggunakan fungsi containsOnly
:
IAM binding > Member: hanya memilih temuan yang menyertakan pengguna, akun layanan, atau grup yang ditentukan.
IAM binding > Role: hanya memilih temuan yang menyertakan peran yang ditentukan.
Contoh berikut menunjukkan kueri temuan di konsol Google Cloud
yang menampilkan temuan aktif yang tidak dibisukan untuk pengguna di grup example-group
:
state="ACTIVE" AND NOT mute="MUTED" AND containsOnly(iam_bindings,member="group:example-group@example.com")
Fungsi inIpRange
Fungsi inIpRange
memeriksa apakah alamat IP dalam atribut penemuan yang dipilih berada dalam rentang alamat IP yang Anda tentukan menggunakan notasi CIDR (rentang CIDR). Berikut ini sintaksis fungsi inIpRange
:
inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")
Di menu Add filter, opsi filter berikut menggunakan fungsi inIpRange
:
- Semua dalam rentang IP: hanya memilih temuan yang berisi alamat IP dalam rentang yang ditentukan.
- Tidak memiliki apa pun dalam rentang IP: hanya memilih temuan yang tidak berisi alamat IP dalam rentang yang ditentukan.
Contoh berikut menunjukkan kueri temuan di konsol Google Cloud
yang menampilkan temuan aktif yang tidak dibisukan dengan sub-kolom caller_ip
objek access
berisi alamat IPv6 dalam rentang CIDR 2001:db8::/32
:
state="ACTIVE" AND NOT mute="MUTED" AND inIpRange(access.caller_ip, "2001:db8::/32")
Contoh berikut menunjukkan kueri temuan yang menampilkan temuan aktif
yang tidak dibisukan, dengan sub-kolom caller_ip
dari objek access
tidak berisi alamat IP dalam rentang CIDR IPv4 192.0.2.0/24
:
state="ACTIVE" AND NOT mute="MUTED" AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")
Jika alamat IP berada dalam atribut yang dapat muncul
beberapa kali dalam temuan, gunakan fungsi contains
dengan
fungsi inIpRange
untuk memeriksa setiap instance atribut
untuk alamat IP. Contoh:
contains(connections, inIpRange(source_ip, "192.0.2.0/24"))
Untuk informasi selengkapnya tentang fungsi contains()
, lihat Fungsi contains
.
Menemukan atribut untuk kueri
Security Command Center memilih temuan yang akan ditampilkan dengan mengevaluasi atribut setiap temuan yang disimpan terhadap filter atribut yang Anda tentukan dalam kueri.
Anda dapat membuat kueri untuk sebagian besar atribut temuan. Beberapa atribut umum untuk semua temuan. Atribut lainnya mungkin spesifik untuk masalah keamanan, kategori penemuan, atau layanan deteksi tertentu.
Di menu Tambahkan filter pada panel Query editor, opsi yang dapat Anda terapkan ke filter atribut berbeda-beda, bergantung pada jenis atribut yang Anda pilih dan apakah atribut memiliki sub-kolom atau array nilai.
Di menu Tambahkan filter, klik salah satu atribut tingkat atas berikut untuk menampilkan sub-atribut dan nilai yang dapat Anda gunakan dalam kueri temuan:
- Temuan
- Resource
- Akses (
access
) - Skor eksposur serangan
- Pencadangan Pemulihan dari Bencana
- Kepatuhan (
compliances[]
) - Koneksi (
connections[]
) - Kontak
- Container
- Database
- Pemindahan yang tidak sah (
exfiltration
) - File
- Binding IAM (
iamBindings[]
) - Indikator
- Rootkit kernel
- Kubernetes
- MITRE ATT&CK (
mitreAttack
) - Proses (
processes[]
) - Postur keamanan
- Sensitive Data Protection
- Kerentanan