Ergebnisse in der Console abfragen

Auf dieser Seite wird beschrieben, wie Sie mithilfe des Bereichs Abfrageeditor auf der Seite Ergebnisse in der Google Cloud Console und in der Security Operations Console Abfragen für Security Command Center-Ergebnisse erstellen und bearbeiten.

Mit Abfragen können Sie bestimmte Ergebnisse abrufen und die Ergebnisse filtern, die in den Ergebnissen der Abfrage angezeigt werden.

Mit Ergebnissen in den Security Command Center Enterprise-Konsolen arbeiten

Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Ergebnissen in zwei Konsolen arbeiten:

  • Google Cloud Console: in allen Dienststufen verfügbar
  • Security Operations Console: nur in der Enterprise-Stufe verfügbar

Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.

Ergebnisabfragen bearbeiten

Im Bereich Abfrage-Editor können Sie Ihren Abfragen Filter hinzufügen, um Ergebnisse anhand ihrer Property- oder Attributwerte auszuwählen. Sie können beispielsweise nach dem Vorhandensein oder Fehlen von Werten oder nach dem Abgleich eines Teilstrings filtern.

Informationen zum Bearbeiten einer Ergebnisabfrage finden Sie auf dem Tab der von Ihnen verwendeten Console.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus. Die Seite Ergebnisse wird mit der Standardabfrage im Feld Abfragevorschau geladen.
  3. Klicken Sie rechts im Bereich Abfragevorschau auf  Abfrage bearbeiten, um den Bereich Abfrageeditor zu öffnen.
  4. Wählen Sie Filter hinzufügen aus, um nach vordefinierten Attributfiltern zu suchen und sie der Abfrage hinzuzufügen.
  5. Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.

    1. Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Eine Liste der verfügbaren Unterattribute wird angezeigt.
    2. Wählen Sie ein untergeordnetes Attribut aus. Es wird ein Auswahlfeld angezeigt, in dem Sie die Abfrageanweisung mit dem ausgewählten untergeordneten Attribut, einem Abfrageoperator und einem oder mehreren Werten für das untergeordnete Attribut erstellen können.
    3. Wählen Sie im Steuerfeld den Operator und einen oder mehrere Werte für das untergeordnete Attribut aus. Weitere Informationen zu Abfrageoperatoren und den verwendeten Funktionen finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
    4. Klicken Sie auf Anwenden.

      Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

    5. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.

Wenn Sie im Query Editor auf der Seite Ergebnisse arbeiten, ist der Abschnitt Schnellfilter deaktiviert, um Konflikte zwischen den beiden zu vermeiden.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Bereich Abfrageeditor auf Filter hinzufügen. Das Dialogfeld Filter hinzufügen wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ergebnisattribute und -werte auswählen.
  3. Wählen Sie im Feld Kategorie ein Ergebnisattribut aus oder geben Sie ein Ergebnisattribut ein.
  4. Wählen Sie im Feld Attributname ein untergeordnetes Attribut aus oder geben Sie es ein.
  5. Wählen Sie im Feld Operator eine Bewertungsoption für die Werte des ausgewählten untergeordneten Attributs aus. Weitere Informationen zu den Auswertungsoptionen und den verfügbaren Operatoren finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
  6. Klicken Sie auf Apply (Anwenden).

    Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

  7. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle Attribute enthält, nach denen Sie filtern möchten.

    Wenn Sie die Filter löschen möchten, klicken Sie auf Zurücksetzen.

Alternativ können Sie eine Ergebnisabfrage manuell genauso definieren wie einen Ergebnisfilter mithilfe der Security Command Center API. Während der Eingabe in der Abfrage wird ein Menü zur automatischen Vervollständigung angezeigt, in dem Sie Filternamen, Funktionen und Werte auswählen können. Wenn Sie das Menü für die automatische Vervollständigung manuell öffnen möchten, drücken Sie Strg + Leertaste.

Beim Bearbeiten einer Abfrage werden alle Fehler in der Abfrage hervorgehoben, damit Sie sie korrigieren können, bevor Sie die Abfrage senden.

Abfrageoperatoren

Die Abfrageanweisungen für Security Command Center-Ergebnisse unterstützen die Operatoren, die von den meisten Google Cloud APIs unterstützt werden.

In der folgenden Liste sind verschiedene Operatoren aufgeführt:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

Die folgende Liste enthält alle Operatoren und Funktionen, die in Abfrageanweisungen für Ergebnisse unterstützt werden:

  • Für Strings:
    • = für vollständige Gleichberechtigung
    • : für Teilstringabgleich
  • Für Zahlen:
    • <, >, <=, >= für Ungleichungen
    • =, != für Gleichberechtigung
  • Für boolesche Werte:
    • = für Gleichberechtigung
  • Für logische Beziehungen:
    • AND
    • OR
    • NOT oder -
  • Für Gruppierungsausdrücke:
    • (, ) (Klammern)
  • Für Arrays:
    • contains(), eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das mindestens ein Element enthält, das mit dem angegebenen Filter übereinstimmt
    • containsOnly(): Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das nur Elemente enthält, die mit dem angegebenen Filter übereinstimmen
  • Für IP-Adressen:
    • inIpRange(), eine Funktion zum Abfragen von IP-Adressen innerhalb eines bestimmten CIDR-Bereichs

Abfrageoperatoren im Menü „Filter hinzufügen“

Informationen zu den Abfrageoperatoren, die im Menü Filter hinzufügen verwendet werden, finden Sie auf dem Tab der von Ihnen verwendeten Konsole.

Google Cloud Console

Im Menü Filter hinzufügen des Abfrageeditors in der Google Cloud Console werden Abfrageoperatoren und ‑funktionen durch Wörter oder Wortgruppen dargestellt, z. B.:

  • Ist gleich: Ergebnisse mit genau diesem Attributwert heraussuchen
  • Ungleich: Ergebnisse heraussuchen, die nicht genau diesen Attributwert haben
  • Nach: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit nach einer bestimmten Zeit abgeglichen.
  • Vor: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit vor einer bestimmten Zeit abgeglichen.
  • Hat: Ergebnisse mit Attributwerten heraussuchen, die den von Ihnen im Feld Keyword eingegebenen Text enthalten
  • Enthält nicht: Ergebnisse mit Attributwerten heraussuchen, die nicht den im Feld Keyword eingegebenen Text enthalten
  • So finden Sie Attribute, die Arrays enthalten:
    • Enthält: Ergebnisse mit einem Arraywert heraussuchen, der einen Teil des im Feld Keyword eingegebenen Texts enthält
    • Enthält alle: Ergebnisse mit einem Arraywert heraussuchen, der den gesamten Text enthält, den Sie in das Feld Keyword eingeben
    • Enthält keine: Ergebnisse heraussuchen, die keinen Arraywert haben, der den im Feld Keyword eingegebenen Text enthält
    • Enthält nur: Ergebnisse mit einem Arrayattribut heraussuchen, das nur den Wert enthält, den Sie in das Feld Keyword eingeben, und keine anderen Werte
  • Für IP-Adressen:
    • Beliebig innerhalb des IP-Bereichs: Übereinstimmt mit Ergebnissen, die eine IP-Adresse in einem bestimmten CIDR-Bereich haben.
    • Enthält keine innerhalb des IP-Bereichs: Damit werden Ergebnisse mit einer IP-Adresse abgeglichen, die sich nicht in einem bestimmten CIDR-Bereich befindet.

Security Operations Console

Im Menü Filter hinzufügen des Abfrageeditors in der Security Operations Console werden Abfrageoperatoren und ‑funktionen so dargestellt:

  • Ist gleich: Ergebnisse mit genau diesem Attributwert heraussuchen
  • Ungleich: Ergebnisse heraussuchen, die nicht genau diesen Attributwert haben.
  • Nach: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit nach der angegebenen Zeit abgeglichen.
  • Vor: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit vor dem angegebenen Zeitpunkt abgeglichen.
  • Hat: Ergebnisse mit Attributwerten heraussuchen, die den von Ihnen im Feld Keyword eingegebenen Text enthalten
  • Enthält nicht: Ergebnisse mit Attributwerten heraussuchen, die nicht den im Feld Keyword eingegebenen Text enthalten
  • Größer als: Ergebnisse mit Attributwerten, die über dem angegebenen Wert liegen.
  • Kleiner als: Ergebnisse mit Attributwerten werden ermittelt, die kleiner als der angegebene Wert sind.
  • Beliebig innerhalb des IP-Bereichs: Übereinstimmt mit Ergebnissen, deren IP-Adresse in einem bestimmten CIDR-Bereich liegt.
  • Enthält keine innerhalb des IP-Bereichs: Ergebnisse mit einer IP-Adresse, die nicht in einem angegebenen CIDR-Bereich liegt.

Abfragefunktionen

Mit einer Abfragefunktion können Attributewerte komplexer ausgewertet werden als mit den gängigen Abfrageoperatoren.

Die contains-Funktion

Verwenden Sie die Funktion contains, um Attribute oder Attributunterfelder auszuwerten, die in derselben Feststellung mehrmals vorkommen können.

Intern werden diese Attribute oder Attributunterfelder in den Elementen einer Array-Datenstruktur gespeichert. Daher werden sie als Attribute vom Arraytyp bezeichnet.

Bestimmte Ergebnisse können beispielsweise auf mehrere Netzwerkverbindungen verweisen. Daher ist das connections-Attribut ein Array-Attribut. Ebenso können bestimmte Bedrohungsergebnisse auf mehrere IP-Adressen als Indikatoren für einen Sicherheitsverstoß verweisen. Das Unterfeld ip_addresses des Attributs indicator ist daher ein Array-Attribut.

Die Funktion contains verwendet die folgende Syntax:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: Der Name des Attributs vom Arraytyp, das in einem Array gespeichert ist. Wenn das Attribut vom Typ „Array“ ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Unterfeldnamen durch einen Punkt getrennt an.

    Im folgenden Beispiel ist das Attribut vom Arraytyp ip_addresses ein Unterfeld von indicator. Daher werden beide an der Position ARRAY_ATTRIBUTE_NAME angegeben:

    contains(indicator.ip_addresses, elem="192.0.2.80")
  • SUBFILTER: ein Ausdruck, der definiert, wie jede Instanz des Attributs vom Arraytyp ausgewertet wird. Die standardmäßigen Abfrageoperatoren und Bewertungsausdrücke von Security Command Center werden unterstützt.

    Wenn sich der zu prüfende Wert in einem Unterfeld eines Attributs vom Arraytyp befindet, geben Sie den Namen des Unterfelds links neben dem Ausdruck an. Die folgende contains-Funktion wertet jedes Element eines Arrays von connections aus. connections ist ein Attribut vom Arraytyp, das Unterfelder enthält. Die Werte, nach denen gesucht wird, befinden sich im Unterfeld destination_ip, das kein Feld vom Typ „Array“ ist. Die Werte, nach denen gesucht werden soll, werden mit dem Namen des Unterfelds destination_ip anstelle des Parameters elem angegeben.

    contains(connections, destination_ip="192.0.2.80")

    Wenn das untergeordnete Feld das Attribut vom Arraytyp ist, geben Sie das Attribut vom Arraytyp links neben dem Ausdruck mit dem übergeordneten Element an und verwenden Sie den Parameter elem rechts neben dem Ausdruck, um den Wert anzugeben, nach dem gesucht werden soll. In der folgenden contains-Funktion wird beispielsweise jedes Element eines ip_addresses-Arrays ausgewertet, das ein Unterfeld des Attributs indicator ist. Das Attribut indicator ist kein Feld vom Typ „Array“.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Die Funktion contains im Menü „Filter hinzufügen“

Je nachdem, welches Ergebnisattribut Sie auswerten, wird die Funktion contains im Menü Filter hinzufügen entweder explizit aufgeführt oder automatisch eingefügt, wenn Sie eine andere Filteroption auswählen, für die sie erforderlich ist.

Für das Unterfeld IP-Adressen des Attributs Indikator können Sie beispielsweise die folgenden Filteroptionen auswählen:

  • Enthält beliebige
  • Enthält alle
  • Enthält keine

Wenn Sie dagegen nach dem Unterfeld Ziel-IP des Attributs Verbindungen filtern und Beliebig innerhalb des IP-Bereichs auswählen, werden die contains-Funktionen der Abfrage automatisch hinzugefügt, wie im folgenden Beispiel gezeigt:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Weitere Informationen zur Funktion contains finden Sie unter Nach Arrayfeldern filtern.

Die containsOnly-Funktion

Mit der Funktion containsOnly können Sie Ergebnisse für Attribute vom Arraytyp oder Unterfelder abfragen, die nur die im Unterfilter angegebenen Werte enthalten.

Die Funktion containsOnly verwendet die folgende Syntax:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Attributs vom Arraytyp. Wenn das Attribut vom Arraytyp ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Unterfeldnamen durch einen Punkt getrennt an. Wenn Sie Abfragen über die Google Cloud Console ausführen, werden mit dieser Funktion nur die Arrayattribute iam_bindings.member und iam_bindings.role unterstützt.

  • SUBFILTER: ein Ausdruck, der festlegt, wie jedes Element des Attributs vom Arraytyp ausgewertet werden soll. Standardmäßige Security Command Center-Abfrageoperatoren und -Bewertungsausdrücke werden unterstützt.

Im Menü Filter hinzufügen wird die Funktion containsOnly für die folgenden Filteroptionen verwendet:

  • IAM-Bindung > Mitglied: Es werden nur Ergebnisse ausgewählt, die die angegebenen Nutzer, Dienstkonten oder Gruppen enthalten.

  • IAM-Bindung > Rolle: Es werden nur Ergebnisse ausgewählt, die die angegebenen Rollen enthalten.

Im folgenden Beispiel wird eine Suchanfrage für Ergebnisse in der Google Cloud Console gezeigt, die aktive, nicht stummgeschaltete Ergebnisse für Nutzer in der Gruppe example-group zurückgibt:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Die inIpRange-Funktion

Die Funktion inIpRange prüft, ob sich die IP-Adresse in einem ausgewählten Ergebnisattribut in einem IP-Adressbereich befindet, den Sie mithilfe der CIDR-Notation (CIDR-Bereich) angeben. Die Syntax der Funktion inIpRange sieht so aus:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Im Menü Filter hinzufügen wird die Funktion inIpRange für die folgenden Filteroptionen verwendet:

  • Beliebig innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die IP-Adressen innerhalb des angegebenen Bereichs enthalten.
  • Enthält keine innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die keine IP-Adressen innerhalb des angegebenen Bereichs enthalten.

Das folgende Beispiel zeigt eine Suchanfrage für Ergebnisse in der Google Cloud Console, die aktive, nicht stummgeschaltete Ergebnisse zurückgibt, bei denen das untergeordnete Feld caller_ip des Objekts access eine IPv6-Adresse im CIDR-Bereich von 2001:db8::/32 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Im folgenden Beispiel wird eine Suchanfrage für Ergebnisse gezeigt, bei der aktive, nicht stummgeschaltete Ergebnisse zurückgegeben werden, bei denen das untergeordnete Feld caller_ip des Objekts access keine IP-Adresse im IPv4-CIDR-Bereich von 192.0.2.0/24 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Wenn sich eine IP-Adresse in einem Attribut befindet, das in einem Ergebnis mehrmals vorkommen kann, verwenden Sie die Funktion contains mit der Funktion inIpRange, um jede Instanz des Attributs auf die IP-Adresse zu prüfen. Beispiel:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Weitere Informationen zur contains()-Funktion finden Sie unter Die contains-Funktion.

Attribute für Abfragen finden

In Security Command Center werden die anzuzeigenden Ergebnisse ausgewählt, indem die Attribute der einzelnen gespeicherten Ergebnisse anhand der Attributfilter bewertet werden, die Sie in der Abfrage angeben.

Sie können die meisten Ergebnisattribute abfragen. Einige Attribute sind für alle Ergebnisse gleich. Andere Attribute können für ein bestimmtes Sicherheitsproblem, eine bestimmte Ergebniskategorie oder einen bestimmten Erkennungsdienst spezifisch sein.

Im Menü Filter hinzufügen des Bereichs Abfrageeditor sind die Optionen, die Sie auf einen Attributfilter anwenden können, unterschiedlich. Sie hängen davon ab, welchen Attributtyp Sie auswählen und ob das Attribut untergeordnete Felder oder ein Array von Werten hat.

Klicken Sie im Menü Filter hinzufügen auf eines der folgenden übergeordneten Attribute, um die untergeordneten Attribute und Werte aufzurufen, die Sie in einer Suchanfrage für Ergebnisse verwenden können: