Ergebnisse in der Console abfragen

Auf dieser Seite wird beschrieben, wie Sie Ergebnisabfragen in Security Command Center in der Google Cloud Console und in der Security Operations Console auf der Seite Ergebnisse im Bereich Abfrageeditor erstellen und bearbeiten.

Verwenden Sie Abfragen, um bestimmte Ergebnisse abzurufen und die Ergebnisse zu filtern, die in den Ergebnisabfrageergebnissen angezeigt werden.

Mit Ergebnissen in den Security Command Center Enterprise-Konsolen arbeiten

Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Ergebnissen in zwei Konsolen arbeiten:

  • Google Cloud Console: in allen Dienststufen verfügbar
  • Security Operations Console: nur in der Enterprise-Stufe verfügbar

Die Seite Ergebnisse in der Security Operations-Konsole befindet sich in der Vorabversion.

Auf dieser Seite werden die Schritte für die Arbeit mit den beiden Konsolen nebeneinander auf separaten Tabs beschrieben.

Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.

Ergebnisabfragen bearbeiten

Im Bereich Abfrageeditor können Sie Ihren Abfragen Filter hinzufügen, um Ergebnisse anhand ihrer Attribut- oder Attributwerte auszuwählen. Sie können nach Dingen wie dem Vorhandensein von Werten, dem Fehlen von Werten oder dem Abgleich eines Teilstrings filtern.

Weitere Informationen zum Bearbeiten einer Ergebnisabfrage finden Sie auf dem Tab der verwendeten Konsole.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu den Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus. Die Seite Ergebnisse wird geladen. Die Standardabfrage wird im Feld Abfragevorschau angezeigt.
  3. Klicken Sie rechts im Abschnitt Abfragevorschau auf Abfrage bearbeiten, um den Bereich Abfrageeditor zu öffnen.
  4. Wählen Sie Filter hinzufügen aus, um die Abfrage aufzurufen, vordefinierte Attributfilter hinzuzufügen und zu suchen.

    5. Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen. Dialogfeld "Abfragefilter"

    1. Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Eine Liste der verfügbaren Unterattribute wird angezeigt.
    2. Wählen Sie ein Unterattribut aus. Über einer Liste der Unterattributwerte aus den Ergebnissen im Bereich Abfrageergebnisse wird ein Auswahlfeld für Ihre Bewertungsoptionen angezeigt.
    3. Wählen Sie eine Bewertungsoption für die Werte des ausgewählten Unterattributs aus. Weitere Informationen zu den Bewertungsoptionen und den von ihnen verwendeten Operatoren und Funktionen finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
    4. Klicken Sie auf Apply (Anwenden).

      Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

    5. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.

Alternativ können Sie manuell eine Ergebnisabfrage erstellen, genauso wie Sie einen Ergebnisfilter mit der Security Command Center API erstellen. Während der Eingabe wird ein Menü für die automatische Vervollständigung angezeigt, in dem Sie Filternamen und -funktionen auswählen können.

Wenn Sie im Query Builder auf der Seite Ergebnisse arbeiten, ist der Bereich Schnellfilter deaktiviert, um Konflikte zwischen den beiden zu vermeiden.

Beim Bearbeiten einer Abfrage hebt der Editor alle Fehler in der Abfrage hervor, sodass Sie sie vor dem Senden der Abfrage korrigieren können.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Bereich Abfrageeditor auf Filter hinzufügen. Das Dialogfeld Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ergebnisattribute und -werte auswählen.
  3. Wählen Sie unter Filter ein vordefiniertes Ergebnisattribut aus, nach dem gefiltert werden soll.
  4. Legen Sie die Filterbewertungsoption und den Attributwert fest:
    • Wenn Sie nach Ergebnissen mit einem bestimmten Attributwert filtern möchten, wählen Sie Nur anzeigen aus. Wählen Sie in der Liste Wert den Attributwert aus.
    • Wählen Sie Filtern aus, um Ergebnisse zu filtern, die keinen bestimmten Attributwert haben. Wählen Sie in der Liste Wert den Attributwert aus.
  5. So fügen Sie einen weiteren Filter hinzu:
    1. Klicken Sie auf Filter hinzufügen.
    2. Legen Sie den Attributnamen, die Bewertungsoption und den Attributwert fest.
    3. Legen Sie die logische Beziehung zwischen den Filtern fest. Wählen Sie für Logischer Operator AND oder OR aus.
  6. Klicken Sie auf Übernehmen. Der Abfrageeditor wird aktualisiert und die Ergebnisse der Ergebnisabfrage werden entsprechend gefiltert.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Abfrageoperatoren

Die Abfrageanweisungen für Security Command Center-Ergebnisse unterstützen die Operatoren, die von den meisten Google Cloud APIs unterstützt werden.

Die folgende Liste zeigt die Verwendung verschiedener Operatoren:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

Die folgende Liste enthält alle Operatoren und Funktionen, die in Abfrageanweisungen für Ergebnisse unterstützt werden:

  • Für Strings:
    • = für vollständige Gleichheit
    • : für teilweisen Stringabgleich
  • Für Zahlen:
    • <, >, <=, >= für Ungleichungen
    • =, != für Gleichheit
  • Für boolesche Werte:
    • = für Gleichheit
  • Für logische Beziehungen:
    • AND
    • OR
    • NOT oder -
  • Für Gruppierungsausdrücke:
    • (, ) (Klammern)
  • Für Arrays:
    • contains(), eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das mindestens ein Element enthält, das dem angegebenen Filter entspricht
    • containsOnly(), eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das nur Elemente enthält, die dem angegebenen Filter entsprechen
  • Für IP-Adressen:
    • inIpRange(), eine Funktion zum Abfragen von IP-Adressen innerhalb eines angegebenen CIDR-Bereichs

Abfrageoperatoren im Menü „Filter hinzufügen“

Informationen zu den Abfrageoperatoren, die im Menü Filter hinzufügen verwendet werden, finden Sie auf dem Tab für die verwendete Konsole.

Google Cloud Console

Im Menü Filter hinzufügen des Abfrageeditors in der Google Cloud Console werden Abfrageoperatoren und -funktionen durch Wörter oder Wortgruppen dargestellt. Beispiel:

  • Ist gleich: Gleicht Ergebnisse mit diesem genauen Attributwert ab.
  • Ist nicht gleich: Findet Ergebnisse, die nicht genau diesen Attributwert haben.
  • Nach: Gleicht Ergebnisse mit einer Zeit zum Erstellen oder Aktualisieren nach einem bestimmten Zeitpunkt ab.
  • Vor: Gleicht Ergebnisse mit einer Erstellungs- oder Aktualisierungszeit ab, die vor einem bestimmten Zeitpunkt liegt.
  • Has: gleicht Ergebnisse mit Attributwerten ab, die den Text enthalten, den Sie in das Feld Keyword eingeben.
  • Enthält nicht: Gleicht Ergebnisse mit Attributwerten ab, die nicht den Text enthalten, den Sie in das Feld Keyword eingeben.
  • Für Ergebnisattribute, die Arrays enthalten:
    • Enthält alle: Findet Ergebnisse mit einem Arraywert, der einen beliebigen Text enthält, den Sie in das Feld Keyword eingeben.
    • Enthält alle: Findet Ergebnisse mit einem Arraywert, der den gesamten Text enthält, den Sie in das Feld Keyword eingeben.
    • Enthält keine: Findet Ergebnisse, die keinen Arraywert haben, der den Text enthält, den Sie in das Feld Keyword eingeben.
    • Enthält nur: Findet Ergebnisse mit einem Array-Attribut, das nur den Wert enthält, den Sie in das Feld Keyword eingeben, und keine anderen Werte.
  • Für IP-Adressen:
    • Beliebig innerhalb des IP-Bereichs: Findet Ergebnisse mit einer IP-Adresse in einem angegebenen CIDR-Bereich.
    • Enthält keine innerhalb des IP-Bereichs: Findet Ergebnisse mit einer IP-Adresse, die nicht in einem angegebenen CIDR-Bereich liegt.

Security Operations-Konsole

Im Menü Filter hinzufügen des Abfrageeditors in der Security Operations Console werden Abfrageoperatoren und -funktionen so dargestellt:

  • Nur anzeigen: entspricht Ergebnissen genau diesem Attributwert.
  • Filtern: Findet Ergebnisse ohne genau diesen Attributwert.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Abfragefunktionen

Eine Abfragefunktion bietet komplexere Auswertungen von Attributwerten als die gängigen Abfrageoperatoren.

Die contains-Funktion

Mit der Funktion contains können Sie Attribute oder Attributunterfelder bewerten, die mehrmals im selben Ergebnis vorkommen können.

Intern werden diese Attribute oder Attributunterfelder in den Elementen einer Arraydatenstruktur gespeichert und somit als Array-Attribute bezeichnet.

Bestimmte Ergebnisse können beispielsweise auf mehrere Netzwerkverbindungen verweisen. Daher ist das Attribut connections ein Array-Typ-Attribut. In ähnlicher Weise können bestimmte Bedrohungsergebnisse auf mehrere IP-Adressen als Indikatoren für eine Manipulation verweisen. Daher ist das Unterfeld ip_addresses des Attributs indicator ein Arrayattribut.

Die Funktion contains verwendet die folgende Syntax:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Array-Typ-Attributs, das in einem Array gespeichert ist. Wenn das Array-Typ-Attribut ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Namen des Unterfelds durch einen Punkt getrennt an.

    Im folgenden Beispiel ist das Arraytyp-Attribut ip_addresses ein Unterfeld von indicator. Daher werden beide an der Position ARRAY_ATTRIBUTE_NAME angegeben:

    contains(indicator.ip_addresses, elem="192.0.2.80")

  • SUBFILTER: ein Ausdruck, der definiert, wie die einzelnen Instanzen des Array-Typ-Attributs ausgewertet werden. Standardmäßig werden Abfrageoperatoren und Auswertungsanweisungen von Security Command Center unterstützt.

    Wenn sich der zu prüfende Wert in einem Unterfeld eines Array-Attributs befindet, geben Sie den Namen des Unterfelds links neben dem Ausdruck an. Die folgende contains-Funktion wertet jedes Element eines Arrays mit connections aus. Dabei handelt es sich um ein Array-Attribut, das Unterfelder enthält. Die Werte, die abgefragt werden, befinden sich im Unterfeld destination_ip, das kein Feld vom Typ Array ist. Die abzufragenden Werte werden mit dem Namen des Unterfelds (destination_ip) anstelle des Parameters elem angegeben.

    contains(connections, destination_ip="192.0.2.80")

    Wenn das Unterfeld das Array-Typ-Attribut ist, geben Sie das Array-Typ-Attribut auf der linken Seite des Ausdrucks mit seinem übergeordneten Element an und verwenden Sie den Parameter elem auf der rechten Seite des Ausdrucks, um den Wert anzugeben, nach dem gesucht werden soll. Mit der folgenden contains-Funktion wird beispielsweise jedes Element eines Arrays mit ip_addresses ausgewertet. Dabei handelt es sich um ein untergeordnetes Feld des Attributs indicator. Das Attribut indicator ist kein Array-Feld.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Funktion contains im Menü „Filter hinzufügen“

Je nach Ergebnisattribut, das Sie auswerten, wird im Menü Filter hinzufügen die Funktion contains explizit aufgeführt oder automatisch eingefügt, wenn Sie eine andere Filteroption auswählen, für die sie erforderlich ist.

Für das Unterfeld IP-Adressen des Attributs Indicator stehen beispielsweise die folgenden Filteroptionen zur Verfügung:

  • Enthält beliebige
  • Enthält alle
  • Enthält nicht

Wenn Sie dagegen nach dem Unterfeld Ziel-IP des Attributs Verbindungen filtern und Beliebige innerhalb des IP-Bereichs auswählen, werden die contains-Funktionen automatisch der Abfrageanweisung hinzugefügt, wie im folgenden Beispiel gezeigt:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Weitere Informationen zur Funktion contains finden Sie unter Filtern nach Arrayfeldern.

Die containsOnly-Funktion

Mit der Funktion containsOnly können Sie Ergebnisse für Array-Attribute oder Unterfelder abfragen, die nur die Werte enthalten, die im Unterfilter angegeben sind.

Die Funktion containsOnly verwendet die folgende Syntax:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Array-Typ-Attributs. Wenn das Array-Typ-Attribut ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Namen des Unterfelds durch einen Punkt getrennt an. Wenn Sie Abfragen über die Google Cloud Console ausführen, unterstützt diese Funktion nur die Arrayattribute iam_bindings.member und iam_bindings.role.

  • SUBFILTER: ein Ausdruck, der definiert, wie jedes Element des Array-Typ-Attributs ausgewertet wird. Security Command Center-Standardabfrageoperatoren und Bewertungsanweisungen werden unterstützt.

Im Menü Filter hinzufügen wird für die folgenden Filteroptionen die Funktion containsOnly verwendet:

  • IAM-Bindung > Mitglied: Es werden nur Ergebnisse ausgewählt, die die angegebenen Nutzer, Dienstkonten oder Gruppen enthalten.

  • IAM-Bindung > Rolle: Es werden nur Ergebnisse ausgewählt, die die angegebenen Rollen enthalten.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console, die aktive, nicht ausgeblendete Ergebnisse für Nutzer in der Gruppe example-group zurückgibt:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Die inIpRange-Funktion

Die Funktion inIpRange prüft, ob die IP-Adresse in einem ausgewählten Ergebnisattribut in einem Bereich von IP-Adressen liegt, den Sie mit der CIDR-Notation (CIDR-Bereich) angeben. Im Folgenden wird die Syntax der inIpRange-Funktion dargestellt:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Im Menü Filter hinzufügen wird die Funktion inIpRange für die folgenden Filteroptionen verwendet:

  • Beliebig innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die IP-Adressen innerhalb des angegebenen Bereichs enthalten.
  • Enthält keine innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die keine IP-Adressen im angegebenen Bereich enthalten.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console, die aktive, nicht ausgeblendete Ergebnisse zurückgibt, in denen das Unterfeld caller_ip des access-Objekts eine IPv6-Adresse im CIDR-Bereich von 2001:db8::/32 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Das folgende Beispiel zeigt eine Ergebnisabfrage, die aktive, nicht ausgeblendete Ergebnisse zurückgibt, bei denen das Unterfeld caller_ip des Objekts access keine IP-Adresse im IPv4-CIDR-Bereich von 192.0.2.0/24 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Wenn sich eine IP-Adresse in einem Attribut befindet, das mehrmals in einem Ergebnis vorkommen kann, verwenden Sie die Funktion contains mit der Funktion inIpRange, um jede Instanz des Attributs auf die IP-Adresse zu prüfen. Beispiel:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Weitere Informationen zur contains()-Funktion findest du unter contains-Funktion.

Attribute für Abfragen finden

Security Command Center wählt die anzuzeigenden Ergebnisse aus. Dazu werden die Attribute jedes gespeicherten Ergebnisses mit den Attributfiltern verglichen, die Sie in der Abfrage angeben.

Sie können die meisten Ergebnisattribute abfragen. Einige Attribute sind allen Ergebnissen gemeinsam. Andere Attribute können spezifisch für ein bestimmtes Sicherheitsproblem, eine Ergebniskategorie oder einen Erkennungsdienst sein.

Die Optionen, die Sie im Menü Filter hinzufügen des Bereichs Abfrageeditor auf einen Attributfilter anwenden können, hängen vom ausgewählten Attributtyp und davon ab, ob das Attribut Unterfelder oder ein Array von Werten hat.

Klicken Sie im Menü Filter hinzufügen auf eines der folgenden Attribute der obersten Ebene, um die Unterattribute und Werte anzuzeigen, die Sie in einer Ergebnisabfrage verwenden können: