Risultati della query nella console

In questa pagina viene descritto come creare e modificare le query sui risultati di Security Command Center utilizzando il riquadro Editor di query nella pagina Risultati della console Google Cloud e della console Security Operations.

Utilizza le query per recuperare risultati specifici e filtrare quelli visualizzati nei risultati della query dei risultati.

Utilizzo dei risultati nelle console di Security Command Center Enterprise

Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:

  • Console Google Cloud: disponibile in tutti i livelli di servizio
  • Security Operations Console: disponibile solo nel livello Enterprise

La pagina Risultati della Security Operations Console è in anteprima.

In questa pagina, i passaggi per lavorare con le due console sono descritti uno accanto all'altro in schede separate.

Per ulteriori informazioni, vedi Console Security Command Center Enterprise.

Modifica query sui risultati

Nel riquadro Editor di query, puoi aggiungere filtri alle query per selezionare i risultati in base ai relativi valori delle proprietà o degli attributi. Puoi filtrare in base a elementi come la presenza di valori, l'assenza di valori o la corrispondenza di una stringa parziale.

Per informazioni su come modificare una query dei risultati, fai clic sulla scheda della console in uso.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud. Viene caricata la pagina Risultati con la query predefinita visualizzata nel campo Anteprima query.
  3. A destra della sezione Anteprima query, fai clic su Modifica query per aprire il riquadro Editor query.
  4. Seleziona Aggiungi filtro per esplorare, cercare e aggiungere filtri di attributi predefiniti alla query.

    5. La finestra di dialogo Seleziona filtro ti consente di scegliere attributi e valori dei risultati supportati. Finestra di dialogo del filtro di query

    1. Seleziona un attributo dei risultati o digitane il nome nella casella Cerca attributi dei risultati. Viene visualizzato un elenco degli attributi secondari disponibili.
    2. Seleziona un attributo secondario. Un campo di selezione per le opzioni di valutazione viene visualizzato sopra un elenco dei valori degli attributi secondari trovati nei risultati nel riquadro Risultati della query dei risultati.
    3. Seleziona un'opzione di valutazione per i valori dell'attributo secondario selezionato. Per saperne di più sulle opzioni di valutazione, sugli operatori e sulle funzioni che utilizzano, consulta Operatori di query nel menu Aggiungi filtri.
    4. Seleziona Applica.

      La finestra di dialogo si chiude e la query viene aggiornata.

    5. Ripeti finché la query dei risultati non contiene tutti gli attributi desiderati.

In alternativa, puoi creare manualmente una query dei risultati nello stesso modo in cui crei un filtro dei risultati utilizzando l'API Security Command Center. Mentre digiti la query, viene visualizzato un menu di completamento automatico in cui puoi selezionare nomi e funzioni dei filtri.

Quando lavori con Query Builder nella pagina Risultati, la sezione Filtri rapidi viene disattivata per evitare conflitti tra i due.

Quando modifichi una query, l'editor evidenzia eventuali errori al suo interno, in modo che tu possa correggerli prima di inviarla.

Console operativa di sicurezza

  1. In Security Operations Console, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.

  2. Nel riquadro Editor di query, fai clic su Aggiungi filtro. Viene visualizzata la finestra di dialogo Filtri. Questa finestra di dialogo ti consente di scegliere gli attributi e i valori dei risultati supportati.
  3. Per Filtro, seleziona un attributo dei risultati predefiniti in base al quale filtrare.
  4. Imposta l'opzione di valutazione del filtro e il valore dell'attributo:
    • Per filtrare in base ai risultati che hanno un valore dell'attributo specifico, seleziona Mostra solo. Nell'elenco Valore, seleziona il valore dell'attributo.
    • Per filtrare i risultati che non hanno un valore dell'attributo specifico, seleziona Filtra. Nell'elenco Valore, seleziona il valore dell'attributo.
  5. Per aggiungere un altro filtro:
    1. Fai clic su Aggiungi filtro.
    2. Imposta il nome dell'attributo, l'opzione di valutazione e il valore dell'attributo.
    3. Imposta la relazione logica tra i filtri. Per Operatore logico, seleziona AND o OR.
  6. Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query sui risultati vengono filtrati di conseguenza.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Operatori di query

Le istruzioni di query per i risultati di Security Command Center supportano gli operatori supportati dalla maggior parte delle API Google Cloud.

Nell'elenco seguente viene illustrato l'utilizzo di vari operatori:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

L'elenco seguente mostra tutti gli operatori e le funzioni supportati nelle istruzioni di query per i risultati:

  • Per le stringhe:
    • = per la piena uguaglianza
    • : per la corrispondenza parziale delle stringhe
  • Per i numeri:
    • <, >, <=, >= per le disuguaglianze
    • =, != per l'uguaglianza
  • Per i valori booleani:
    • = per l'uguaglianza
  • Per le relazioni logiche:
    • AND
    • OR
    • NOT o -
  • Per raggruppare le espressioni:
    • (, ) (parentesi tonde)
  • Per gli array:
    • contains(), una funzione per eseguire query sui risultati con un campo array che contiene almeno un elemento che corrisponde al filtro specificato
    • containsOnly(), una funzione per eseguire query sui risultati con un campo di array che contiene solo elementi che corrispondono al filtro specificato
  • Per gli indirizzi IP:
    • inIpRange(), una funzione per eseguire query su indirizzi IP all'interno di un intervallo CIDR specificato

Operatori di query nel menu Aggiungi filtri

Per informazioni sugli operatori di query utilizzati nel menu Aggiungi filtri, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

Nel menu Aggiungi filtri dell'Editor di query nella console Google Cloud, gli operatori e le funzioni di query sono rappresentati da parole o frasi come le seguenti:

  • Uguale a: associa i risultati con questo esatto valore dell'attributo.
  • È diverso: corrisponde ai risultati che non hanno questo esatto valore dell'attributo.
  • Dopo: associa i risultati a un'ora di creazione o aggiornamento successiva a un orario specificato.
  • Prima: associa i risultati a un'ora di creazione o aggiornamento precedente a un'ora specificata.
  • Ha: crea corrispondenze con i risultati con valori degli attributi contenenti il testo inserito nel campo Parola chiave.
  • Non ha: crea corrispondenze con i risultati con valori di attributi che non contengono il testo inserito nel campo Parola chiave.
  • Per trovare attributi che contengono array:
    • Contiene qualsiasi: corrisponde ai risultati che hanno un valore array contenente qualsiasi testo inserito nel campo Parola chiave.
    • Contiene tutto: corrisponde ai risultati che hanno un valore array contenente tutto il testo inserito nel campo Parola chiave.
    • Non contiene nessuno: corrisponde ai risultati che non hanno un valore array contenente il testo inserito nel campo Parola chiave.
    • Contiene solo: corrisponde ai risultati per cui è presente un attributo array che contiene solo il valore inserito nel campo Parola chiave e nessun altro valore.
  • Per gli indirizzi IP:
    • Qualsiasi all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP in un intervallo CIDR specificato.
    • Non ha alcun valore all'interno dell'intervallo IP: corrisponde ai risultati con un indirizzo IP che non è compreso in un intervallo CIDR specificato.

Console operativa di sicurezza

Nel menu Aggiungi filtri dell'editor di query in Security Operations Console, operatori di query e funzioni sono rappresentati da quanto segue:

  • Mostra solo: associa i risultati con questo esatto valore dell'attributo.
  • Filtra: corrisponde ai risultati che non hanno questo esatto valore dell'attributo.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Funzioni di query

Una funzione di query fornisce valutazioni più complesse dei valori degli attributi rispetto ai comuni operatori di query.

La funzione contains

Utilizza la funzione contains per valutare gli attributi o i sottocampi degli attributi che possono apparire più volte nello stesso risultato.

Internamente, questi attributi o campi secondari degli attributi vengono archiviati negli elementi di una struttura di dati array, quindi sono chiamati attributi di tipo array.

Ad esempio, alcuni risultati possono fare riferimento a più connessioni di rete, quindi l'attributo connections è di tipo array. Analogamente, alcuni risultati relativi alla minaccia possono fare riferimento a più indirizzi IP come indicatori di compromissione, per cui il sottocampo ip_addresses dell'attributo indicator è un attributo di tipo array.

La funzione contains utilizza la seguente sintassi:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Sostituisci quanto segue:

  • ARRAY_ATTRIBUTE_NAME: il nome dell'attributo tipo array archiviato in un array. Se l'attributo di tipo array è un sottocampo di un altro attributo, specifica il nome dell'attributo e quello del sottocampo separati da un punto.

    Nell'esempio seguente, l'attributo di tipo array ip_addresses è un sottocampo di indicator, quindi entrambi sono specificati nella posizione ARRAY_ATTRIBUTE_NAME:

    contains(indicator.ip_addresses, elem="192.0.2.80")

  • SUBFILTER: un'espressione che definisce come valutare ogni istanza dell'attributo di tipo array. Sono supportati operatori di query e istruzioni di valutazione standard di Security Command Center.

    Se il valore da verificare si trova in un campo secondario di un attributo di tipo array, specifica il nome del campo secondario a sinistra dell'espressione. La seguente funzione contains valuta ogni elemento di un array di connections, che è un attributo di tipo array che contiene sottocampi. I valori per i quali viene eseguita la query si trovano nel sottocampo destination_ip, che non è un campo di tipo array. I valori su cui eseguire la query vengono specificati con il nome del sottocampo, destination_ip, anziché il parametro elem.

    contains(connections, destination_ip="192.0.2.80")

    Se il sottocampo è l'attributo di tipo array, specifica l'attributo tipo array a sinistra dell'espressione con il relativo padre e utilizza il parametro elem a destra dell'espressione per specificare il valore da cercare. Ad esempio, la seguente funzione contains valuta ogni elemento di un array di ip_addresses, che è un sottocampo dell'attributo indicator. L'attributo indicator non è un campo di tipo array.

    contains(indicator.ip_addresses, elem="192.0.2.80")

La funzione contains nel menu Aggiungi filtro

Nel menu Aggiungi filtro, a seconda dell'attributo dei risultati che stai valutando, la funzione contains viene elencata in modo esplicito o viene inclusa automaticamente quando selezioni un'altra opzione di filtro che la richiede.

Ad esempio, per il sottocampo Indirizzi IP dell'attributo Indicator, puoi selezionare le seguenti opzioni di filtro:

  • Contiene un valore qualsiasi
  • Contiene tutte
  • Non ne contiene

Al contrario, se applichi un filtro in base al sottocampo IP di destinazione dell'attributo Connections e selezioni Qualsiasi all'interno dell'intervallo IP, le funzioni contains vengono aggiunte automaticamente all'istruzione di query, come mostrato nell'esempio seguente:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Per ulteriori informazioni sulla funzione contains, consulta Applicazione di filtri ai campi di tipo array.

La funzione containsOnly

La funzione containsOnly consente di eseguire query sui risultati per attributi di tipo array o campi secondari che contengono solo i valori specificati nel filtro secondario e non altri.

La funzione containsOnly utilizza la seguente sintassi:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Sostituisci quanto segue:

  • ARRAY_ATTRIBUTE_NAME: il nome dell'attributo tipo array. Se l'attributo tipo array è un campo secondario di un altro attributo, specifica il nome dell'attributo e il nome del sottocampo separati da un punto. Quando esegui query utilizzando la console Google Cloud, questa funzione supporta solo gli attributi array iam_bindings.member e iam_bindings.role.

  • SUBFILTER: un'espressione che definisce come valutare ogni elemento dell'attributo di tipo array. Sono supportati gli operatori di query standard e le istruzioni di valutazione di Security Command Center.

Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione containsOnly:

  • Associazione IAM > Membro: seleziona solo i risultati che includono gli utenti, gli account di servizio o i gruppi specificati.

  • Associazione IAM > Ruolo: seleziona solo i risultati che includono i ruoli specificati.

L'esempio seguente mostra una query dei risultati nella console Google Cloud che restituisce risultati attivi e riattivati per gli utenti del gruppo example-group:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

La funzione inIpRange

La funzione inIpRange verifica se l'indirizzo IP in un attributo di ricerca selezionato è compreso in un intervallo di indirizzi IP da te specificati utilizzando la notazione CIDR (un intervallo CIDR). Di seguito viene mostrata la sintassi della funzione inIpRange:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione inIpRange:

  • Qualsiasi all'interno dell'intervallo IP: seleziona solo i risultati che contengono indirizzi IP all'interno dell'intervallo specificato.
  • Non contiene indirizzi IP all'interno dell'intervallo IP: seleziona solo i risultati che non contengono indirizzi IP all'interno dell'intervallo specificato.

L'esempio seguente mostra una query sui risultati nella console Google Cloud che restituisce risultati attivi e riattivati in cui il sottocampo caller_ip dell'oggetto access contiene un indirizzo IPv6 nell'intervallo CIDR 2001:db8::/32:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

L'esempio seguente mostra una query dei risultati che restituisce risultati attivi e riattivati in cui il sottocampo caller_ip dell'oggetto access non contiene un indirizzo IP nell'intervallo CIDR IPv4 di 192.0.2.0/24:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Se un indirizzo IP si trova in un attributo che può apparire più volte in un risultato, utilizza la funzione contains con la funzione inIpRange per verificare l'indirizzo IP in ogni istanza dell'attributo. Ad esempio:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Per ulteriori informazioni sulla funzione contains(), consulta l'articolo La funzione contains.

Trovare gli attributi per le query

Security Command Center seleziona i risultati da visualizzare valutando gli attributi di ogni risultato archiviato rispetto ai filtri degli attributi specificati nella query.

Puoi eseguire query sulla maggior parte degli attributi dei risultati. Alcuni attributi sono comuni a tutti i risultati. Altri attributi possono essere specifici di un problema di sicurezza, una categoria di risultati o un servizio di rilevamento.

Nel menu Aggiungi filtro del riquadro Editor di query, le opzioni che puoi applicare a un filtro degli attributi sono diverse a seconda del tipo di attributo selezionato e del fatto che l'attributo abbia sottocampi o un array di valori.

Nel menu Aggiungi filtro, fai clic su uno dei seguenti attributi di primo livello per visualizzare gli attributi e i valori secondari che puoi utilizzare in una query dei risultati:

  • Risultato
  • Risorsa
  • Accesso (access)
  • Punteggio di esposizione all'attacco
  • Ripristino di emergenza backup
  • Conformità (compliances[])
  • Connessioni (connections[])
  • Contatti
  • Container
  • Database
  • Esfiltrazione (exfiltration)
  • File
  • Associazione IAM (iamBindings[])
  • Indicatore
  • Rootkit kernel
  • Kubernetes
  • MITRE ATT&CK (mitreAttack)
  • Processi (processes[])
  • Security posture
  • Protezione dei dati sensibili
  • Vulnerabilità