Ergebnisse in der Console abfragen

Auf dieser Seite wird beschrieben, wie Sie Security Command Center-Ergebnisse erstellen und bearbeiten Abfrageeditor auf der Seite Ergebnisse im Google Cloud Console und Security Operations Console

Verwenden Sie Abfragen, um bestimmte Ergebnisse abzurufen und die Ergebnisse zu filtern, die werden in den Ergebnissen der Abfrage angezeigt.

Mit Ergebnissen in den Security Command Center Enterprise-Konsolen arbeiten

Als Security Command Center Enterprise-Kunde können Sie mit Ergebnissen arbeiten in zwei Konsolen:

  • Google Cloud Console: in allen Dienststufen verfügbar
  • Security Operations Console: nur in der Enterprise-Stufe verfügbar

Die Seite Ergebnisse im Die Security Operations-Konsole befindet sich in der Vorschau.

Auf dieser Seite werden die Schritte für die Arbeit mit den beiden Konsolen beschrieben. Seite an Seite auf separaten Tabs anzeigen.

Weitere Informationen finden Sie unter Security Command Center Enterprise. Konsolen.

Ergebnisabfragen bearbeiten

Im Bereich Abfrageeditor können Sie Ihren Abfragen Filter hinzufügen. um Ergebnisse anhand ihrer Eigenschafts- oder Attributwerte auszuwählen. Sie können nach Dingen wie dem Vorhandensein von Werten, dem Fehlen von Werten oder den Abgleich eines Teilstrings.

Informationen zum Bearbeiten einer Ergebnisabfrage finden Sie auf dem Tab für die Sie verwenden.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    <ph type="x-smartling-placeholder"></ph> Zu den Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus. Die Seite Ergebnisse wird mit der Standardabfrage geladen, die im Abfragevorschau.
  3. Klicken Sie rechts im Abschnitt Abfragevorschau auf . Klicken Sie auf Abfrage bearbeiten, um den Bereich Abfrageeditor zu öffnen.
  4. Wählen Sie Filter hinzufügen aus, um vordefinierte Elemente hinzuzufügen. Attributfilter für die Abfrage hinzufügen.

    5. Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen. Dialogfeld &quot;Abfragefilter&quot;

    1. Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen: Eine Liste der verfügbaren werden angezeigt.
    2. Wählen Sie ein Unterattribut aus. Ein Auswahlfeld für Ihre Bewertungsoptionen wird über einer Liste des Unterattributs Werte aus den Ergebnissen der Ergebnisabfrage .
    3. Wählen Sie eine Bewertungsoption für die Werte der ausgewähltes Unterattribut. Weitere Informationen zu den Bewertungsoptionen sowie zu den verwendeten Operatoren und Funktionen finden Sie unter Abfrageoperatoren im Menü "Filter hinzufügen".
    4. Klicken Sie auf Apply (Anwenden).

      Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

    5. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.

Alternativ können Sie auf die gleiche Weise manuell eine Ergebnisabfrage erstellen Ergebnisfilter mit der Security Command Center API erstellen Während der Eingabe wird ein Menü für die automatische Vervollständigung angezeigt, in dem Sie Filternamen und -funktionen.

Wenn Sie im Query Builder auf der Seite Ergebnisse arbeiten, Der Bereich Schnellfilter ist deaktiviert, um Konflikte zu vermeiden. zwischen den beiden.

Beim Bearbeiten einer Abfrage hebt der Editor alle Fehler hervor, können Sie die Fehler beheben, bevor Sie die Abfrage senden.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Bereich Abfrageeditor auf Filter hinzufügen. Über die Option Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ergebnisattribute auswählen und Werte.
  3. Wählen Sie unter Filter ein vordefiniertes Ergebnisattribut aus, nach dem gefiltert werden soll.
  4. Legen Sie die Filterbewertungsoption und den Attributwert fest: <ph type="x-smartling-placeholder">
      </ph>
    • Um nach Ergebnissen mit einem bestimmten Attributwert zu filtern, wählen Sie Anzeigen . Wählen Sie in der Liste Wert den Attributwert aus.
    • Um nach Ergebnissen zu filtern, die keinen bestimmten Attributwert haben, wählen Sie Herausfiltern aus. Wählen Sie in der Liste Wert das Attribut aus. Wert.
  5. So fügen Sie einen weiteren Filter hinzu: <ph type="x-smartling-placeholder">
      </ph>
    1. Klicken Sie auf Filter hinzufügen.
    2. Legen Sie den Attributnamen, die Bewertung und Attributwert.
    3. Legen Sie die logische Beziehung zwischen den Filtern fest. Für Logical Operator, wählen Sie AND oder OR aus.
  6. Klicken Sie auf Anwenden. Der Abfrageeditor wird aktualisiert und die Ergebnisse der Ergebnisabfrage werden entsprechend gefiltert.

Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

Abfrageoperatoren

Die Abfrageanweisungen für Security Command Center-Ergebnisse unterstützen die Operatoren, die von den meisten Google Cloud APIs unterstützt werden.

Die folgende Liste zeigt die Verwendung verschiedener Operatoren:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

In der folgenden Liste sind alle Operatoren und Funktionen aufgeführt, in Abfrageanweisungen für Ergebnisse unterstützt:

  • Für Strings: <ph type="x-smartling-placeholder">
      </ph>
    • = für vollständige Gleichheit
    • : für teilweisen Stringabgleich
  • Für Zahlen: <ph type="x-smartling-placeholder">
      </ph>
    • <, >, <=, >= für Ungleichungen
    • =, != für Gleichheit
  • Für boolesche Werte: <ph type="x-smartling-placeholder">
      </ph>
    • = für Gleichheit
  • Für logische Beziehungen: <ph type="x-smartling-placeholder">
      </ph>
    • AND
    • OR
    • NOT oder -
  • Für Gruppierungsausdrücke: <ph type="x-smartling-placeholder">
      </ph>
    • (, ) (Klammern)
  • Für Arrays: <ph type="x-smartling-placeholder">
      </ph>
    • contains(), eine Funktion zum Abfragen von Ergebnissen mit einem Array-Feld, das mindestens ein Element enthält, das mit dem spezifizierter Filter
    • containsOnly(), eine Funktion zum Abfragen von Ergebnisse mit einem Array-Feld, das nur Elemente enthält, die den spezifizierter Filter
  • Für IP-Adressen: <ph type="x-smartling-placeholder">
      </ph>
    • inIpRange(), eine Funktion zum Abfragen von IP-Adressen Adressen innerhalb eines angegebenen CIDR-Bereichs

Abfrageoperatoren im Menü „Filter hinzufügen“

Informationen zu den Abfrageparametern, die im Menü Filter hinzufügen verwendet werden, klicken Sie auf den Tab für die Console, die Sie verwenden.

Google Cloud Console

Wählen Sie im Menü Filter hinzufügen des Abfrageeditors im Menü Google Cloud Console, Abfrageoperatoren und Funktionen durch Wörter oder Wortgruppen dargestellt werden. Beispiel:

  • Ist gleich: Gleicht Ergebnisse mit diesem genauen Attributwert ab.
  • Ist nicht gleich: stimmt mit Ergebnissen überein, die nicht genau so angegeben sind Attributwert
  • Nach: Gleicht Ergebnissen eine Erstellungs- oder Aktualisierungszeit nach dem zu einer bestimmten Zeit.
  • Vor: Gleicht Ergebnisse mit einer Erstellungs- oder Aktualisierungszeit ab, die vor dem liegt. zu einer bestimmten Zeit.
  • Enthält: Gleicht Ergebnisse mit Attributwerten ab, die den von Ihnen angegebenen Text enthalten. in das Feld Keyword ein.
  • Enthält nicht: Gleicht Ergebnisse mit Attributwerten ab, die es nicht den Text enthalten, den Sie im Feld Keyword eingegeben haben.
  • So finden Sie Attribute, die Arrays enthalten: <ph type="x-smartling-placeholder">
      </ph>
    • Enthält alle: Findet Ergebnisse mit einem Arraywert der Text enthält, den Sie in das Feld Keyword ein.
    • Enthält alle: Findet Ergebnisse mit einem Arraywert der den gesamten Text enthält, den Sie in das Feld Keyword ein.
    • Enthält keine: Findet Ergebnisse, die kein Array haben der den Text enthält, den Sie in das Feld Keyword ein.
    • Enthält nur: Findet Ergebnisse mit einem Array das nur den Wert enthält, den Sie in das Feld Keyword und keine anderen Werte.
  • Für IP-Adressen: <ph type="x-smartling-placeholder">
      </ph>
    • Beliebig innerhalb des IP-Bereichs: entspricht Ergebnissen, die eine IP-Adresse in einem angegebenen CIDR-Bereich haben.
    • Hat keine innerhalb des IP-Bereichs: entspricht Ergebnissen, die haben eine IP-Adresse, die nicht in einem angegebenen CIDR-Bereich liegt.

Security Operations-Konsole

Wählen Sie im Menü Filter hinzufügen der Abfrageeditor in der Security Operations Console, Abfrageoperatoren und Funktionen werden so dargestellt:

  • Nur anzeigen: entspricht Ergebnissen genau diesem Attributwert.
  • Herausfiltern: Findet Ergebnisse, die nicht genau dieses Attribut haben Wert.

Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

Abfragefunktionen

Eine Abfragefunktion bietet komplexere Auswertungen von Attributwerten als die üblichen Abfrageoperatoren.

Die contains-Funktion

Mit der Funktion contains Attribute oder Unterattribute von Attributen auswerten die mehrfach in demselben Ergebnis vorkommen können.

Intern werden diese Attribute oder Attributunterfelder im -Elemente einer Array-Datenstruktur, sodass sie Diese werden als Arrayattribute bezeichnet.

Bestimmte Ergebnisse können beispielsweise auf mehrere Netzwerke verweisen Verbindungen. Daher ist das connections-Attribut ein Array-Attribut. In ähnlicher Weise können bestimmte Bedrohungsergebnisse auf mehrere IP-Adressen als Indikatoren für eine Manipulation sein, sodass die ip_addresses des Attributs indicator ist ein Array-Attribut.

Die Funktion contains verwendet die folgende Syntax:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Arraytyps das in einem Array gespeichert ist. Wenn das Array-Typ-Attribut Unterfeld eines anderen Attributs, geben Sie den Attributnamen und das untergeordnete Feld an durch einen Punkt getrennt.

    Im folgenden Beispiel ist das Array-Typ-Attribut ip_addresses ein untergeordnetes Feld von indicator. Beide werden im Feld ARRAY_ATTRIBUTE_NAME-Position:

    contains(indicator.ip_addresses, elem="192.0.2.80")

  • SUBFILTER: ein Ausdruck, der definiert, wie jede Instanz des Array-Typ-Attributs ausgewertet wird. Standard Security Command Center Abfrageoperatoren und Auswertungsanweisungen unterstützt werden.

    Wenn sich der zu prüfende Wert in einem Unterfeld eines Array-Attributs befindet, geben Sie den Namen des Unterfelds links neben dem Ausdruck an. Die folgenden Die Funktion contains wertet jedes Element eines connections, einem Array-Attribut, das Unterfelder enthält. Die Werte, die abgefragt werden, befinden sich im Unterfeld destination_ip, das ist kein Array-Feld. Die Werte, die abgefragt werden sollen, werden mit den Namen des Unterfelds, destination_ip, anstelle des Parameters elem.

    contains(connections, destination_ip="192.0.2.80")

    Wenn das Unterfeld das Array-Typ-Attribut ist, geben Sie das Array-Typ-Attribut an. auf der linken Seite des Ausdrucks mit seinem übergeordneten Element und verwenden Sie den elem-Parameter für rechts neben dem Ausdruck, um den Wert anzugeben, nach dem gesucht werden soll. Beispiel: wertet die folgende contains-Funktion jedes Element eines ip_addresses, das ein untergeordnetes Feld des indicator-Attributs ist. Die Das Attribut indicator ist kein Array-Feld.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Funktion contains im Menü „Filter hinzufügen“

im Menü Filter hinzufügen, je nach Ergebnisattribut, das wird die Funktion contains explizit aufgeführt, oder sie wird automatisch berücksichtigt, wenn Sie eine andere Filteroption auswählen. das sie erfordert.

So gilt beispielsweise für das Unterfeld IP-Adressen des Attributs Indicator: können Sie die folgenden Filteroptionen auswählen:

  • Enthält beliebige
  • Enthält alle
  • Enthält nicht

Wenn Sie dagegen nach dem Unterfeld Ziel-IP das Attribut Verbindungen und wählen Sie Beliebig innerhalb des IP-Bereichs, das Attribut contains-Funktionen werden automatisch zur Abfrageanweisung hinzugefügt. Dies wird im folgenden Beispiel gezeigt:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Weitere Informationen zur Funktion contains finden Sie unter Filtern nach Array-Feldern.

Die containsOnly-Funktion

Mit der Funktion containsOnly können Sie Ergebnisse für Array-Attribute oder Unterfelder, die nur die im Unterfilter angegebenen Werte enthalten, und keine anderen.

Die Funktion containsOnly verwendet die folgende Syntax:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Arraytyps . Wenn das Array-Typ-Attribut ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Namen des Unterfelds an, getrennt durch einen Punkt. Wenn Sie die Abfragen über die Google Cloud Console ausführen, unterstützt das Array iam_bindings.member und iam_bindings.role Attribute.

  • SUBFILTER: ein Ausdruck, der definiert, wie auszuwerten jedes Element des Array-Typ-Attributs. Security Command Center-Standardabfrage Operatoren und Bewertungsanweisungen werden unterstützt.

Im Menü Filter hinzufügen wird für die folgenden Filteroptionen die Funktion containsOnly verwendet. :

  • IAM-Bindung > Mitglied: Wählt nur Ergebnisse aus, die das angegebene Element enthalten. -Nutzern, -Dienstkonten oder -Gruppen.

  • IAM-Bindung > Rolle: Wählt nur Ergebnisse aus, die das angegebene Rollen.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console gibt aktive, nicht ausgeblendete Ergebnisse für Nutzer in der Gruppe example-group zurück:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Die inIpRange-Funktion

Die Funktion inIpRange prüft, ob die IP-Adresse in einer ausgewählten finden, befindet sich in einem Bereich von IP-Adressen, die Sie mit der CIDR-Notation (ein CIDR-Bereich) angeben. Folgendes wird gezeigt: Syntax der inIpRange-Funktion:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Im Menü Filter hinzufügen wird der folgende Filter -Optionen verwenden die inIpRange-Funktion:

  • Beliebig innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die IP-Adressen enthalten. innerhalb des angegebenen Bereichs liegt.
  • Enthält keine innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die nicht IP-Adressen innerhalb des angegebenen Bereichs enthalten.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console gibt aktive, nicht ausgeblendete Ergebnisse zurück, in denen das Unterfeld caller_ip angegeben ist. des access-Objekts enthält eine IPv6-Adresse im CIDR-Bereich von 2001:db8::/32:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Das folgende Beispiel zeigt eine Ergebnisabfrage, die aktive, nicht ausgeblendete Ergebnisse, in denen das Unterfeld caller_ip von access enthält keine IP-Adresse im IPv4-CIDR-Bereich von 192.0.2.0/24:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Wenn eine IP-Adresse in einem Attribut enthalten ist, mehrmals in einem Ergebnis verwenden, verwenden Sie die contains-Funktion mit Die inIpRange-Funktion, um jede Instanz des Attributs zu prüfen für die IP-Adresse ein. Beispiel:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Weitere Informationen zur contains()-Funktion findest du unter contains-Funktion.

Attribute für Abfragen finden

Security Command Center wählt die anzuzeigenden Ergebnisse durch Bewertung aus eines jeden gespeicherten Ergebnisses den Attributfiltern, die Sie in der Abfrage angeben.

Sie können die meisten Ergebnisattribute abfragen. Einige Attribute sind bei alle Ergebnisse. Andere Attribute können je nach Sicherheitstyp spezifisch sein Problem, Ergebniskategorie oder Erkennungsdienst.

Im Menü Filter hinzufügen des Bereichs Abfrageeditor Die Optionen, die Sie auf einen Attributfilter anwenden können, unterscheiden sich je nach zum ausgewählten Attributtyp und ob das Attribut untergeordnete Felder oder ein Array von Werten.

Klicken Sie im Menü Filter hinzufügen auf eine der folgenden Optionen auf oberster Ebene: , um die Unterattribute und Werte anzuzeigen, die Sie in Ergebnisabfrage: