Ergebnisse in der Console abfragen

Auf dieser Seite wird beschrieben, wie Sie mithilfe des Bereichs Abfrageeditor auf der Seite Ergebnisse in der Google Cloud Console und in der Security Operations Console Abfragen für Security Command Center-Ergebnisse erstellen und bearbeiten.

Verwenden Sie Abfragen, um bestimmte Ergebnisse abzurufen und die Ergebnisse zu filtern, die werden in den Ergebnissen der Abfrage angezeigt.

Mit Ergebnissen in den Security Command Center Enterprise-Konsolen arbeiten

Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Ergebnissen in zwei Konsolen arbeiten:

  • Google Cloud Console: Verfügbar in allen Dienststufen
  • Security Operations Console: nur in der Enterprise-Stufe verfügbar

Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.

Ergebnisabfragen bearbeiten

Im Bereich Abfrageeditor können Sie Ihren Abfragen Filter hinzufügen. um Ergebnisse anhand ihrer Eigenschafts- oder Attributwerte auszuwählen. Sie können beispielsweise nach dem Vorhandensein oder Fehlen von Werten oder nach dem Abgleich eines Teilstrings filtern.

Informationen zum Bearbeiten einer Ergebnisabfrage finden Sie auf dem Tab für die Sie verwenden.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus. Die Seite Ergebnisse wird mit der Standardabfrage im Feld Abfragevorschau geladen.
  3. Klicken Sie rechts im Abschnitt Abfragevorschau auf . Klicken Sie auf Abfrage bearbeiten, um den Bereich Abfrageeditor zu öffnen.
  4. Wählen Sie Filter hinzufügen aus, um vordefinierte Elemente hinzuzufügen. Attributfilter für die Abfrage hinzufügen.
  5. Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.

    1. Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Eine Liste der verfügbaren werden die Unterattribute angezeigt.
    2. Wählen Sie ein untergeordnetes Attribut aus. Ein Auswahlfeld wird angezeigt, in dem Sie die Abfrageanweisung erstellen können mit dem ausgewählten Unterattribut, einem Abfrageoperator und einem oder mehreren Werten für das Unterattribut.
    3. Wählen Sie im Steuerfeld den Operator und einen oder mehrere Werte für das Unterattribut aus. Weitere Informationen zu den von ihnen verwendeten Abfrageoperatoren und -funktionen finden Sie unter Suchanfrage im Menü „Filter hinzufügen“.
    4. Klicken Sie auf Anwenden.

      Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

    5. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.

Wenn Sie im Query Builder auf der Seite Ergebnisse arbeiten, ist der Abschnitt Schnellfilter deaktiviert, um Konflikte zwischen den beiden zu vermeiden.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Bereich Abfrageeditor auf Filter hinzufügen. Die Schaltfläche Hinzufügen Das Dialogfeld „Filter“ wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ergebnisattribute und -werte auswählen.
  3. Wählen Sie im Feld Kategorie ein Ergebnisattribut aus oder geben Sie es ein.
  4. Wählen Sie im Feld Attributname ein Unterattribut aus oder geben Sie es ein.
  5. Wählen Sie im Feld Operator eine Bewertungsoption für die Werte des ausgewählten untergeordneten Attributs aus. Weitere Informationen zur Bewertung und Operatoren, die Sie verwenden können, Suchanfrage im Menü „Filter hinzufügen“.
  6. Klicken Sie auf Apply (Anwenden).

    Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

  7. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle Attribute enthält, nach denen Sie filtern möchten.

    Wenn Sie die Filter löschen möchten, klicken Sie auf Zurücksetzen.

Alternativ können Sie eine Ergebnisabfrage manuell genauso definieren wie einen Ergebnisfilter mithilfe der Security Command Center API. Während der Eingabe wird ein Menü für die automatische Vervollständigung angezeigt, in dem Sie Filternamen, -funktionen und -werten. Wenn Sie das Menü für die automatische Vervollständigung manuell öffnen möchten, drücken Sie Strg + Leertaste.

Beim Bearbeiten einer Abfrage hebt der Editor alle Fehler hervor, sodass können Sie die Fehler beheben, bevor Sie die Abfrage senden.

Abfrageoperatoren

Die Abfrageanweisungen für Security Command Center-Ergebnisse unterstützen die die von den meisten Google Cloud APIs unterstützt werden.

Die folgende Liste zeigt die Verwendung verschiedener Operatoren:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

In der folgenden Liste sind alle Operatoren und Funktionen aufgeführt, in Abfrageanweisungen für Ergebnisse unterstützt:

  • Für Strings:
    • = für vollständige Gleichberechtigung
    • : für Teilstringabgleich
  • Für Zahlen:
    • <, >, <=, >= für Ungleichungen
    • =, != für Gleichheit
  • Für boolesche Werte:
    • = für Gleichberechtigung
  • Für logische Beziehungen:
    • AND
    • OR
    • NOT oder -
  • Für Gruppierungsausdrücke:
    • (, ) (Klammern)
  • Für Arrays:
    • contains(), eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das mindestens ein Element enthält, das mit dem angegebenen Filter übereinstimmt
    • containsOnly(), -Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das nur Elemente, die dem angegebenen Filter entsprechen
  • Für IP-Adressen:
    • inIpRange(), eine Funktion zum Abfragen von IP-Adressen innerhalb eines angegebenen CIDR-Bereichs

Abfrageoperatoren im Menü „Filter hinzufügen“

Informationen zu den Abfrageoperatoren, die im Menü Filter hinzufügen verwendet werden, finden Sie auf dem Tab der von Ihnen verwendeten Konsole.

Google Cloud Console

Wählen Sie im Menü Filter hinzufügen des Abfrageeditors im Menü Google Cloud Console, Abfrageoperatoren und Funktionen durch Wörter oder Wortgruppen dargestellt werden. Beispiel:

  • Ist gleich: Ergebnisse mit genau diesem Attributwert heraussuchen
  • Ist nicht gleich: stimmt mit Ergebnissen überein, die nicht genau so angegeben sind Attributwert
  • Nach: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit nach einer bestimmten Zeit abgeglichen.
  • Vor: Gleicht Ergebnisse mit einer Erstellungs- oder Aktualisierungszeit ab, die vor dem liegt. zu einer bestimmten Zeit.
  • Hat: Ergebnisse mit Attributwerten heraussuchen, die den von Ihnen im Feld Keyword eingegebenen Text enthalten
  • Enthält nicht: Ergebnisse mit Attributwerten heraussuchen, die nicht den im Feld Keyword eingegebenen Text enthalten
  • So finden Sie Attribute, die Arrays enthalten:
    • Enthält: Ergebnisse mit einem Arraywert heraussuchen, der einen Teil des im Feld Keyword eingegebenen Texts enthält
    • Enthält alle: Ergebnisse mit einem Arraywert heraussuchen, der den gesamten Text enthält, den Sie in das Feld Keyword eingeben
    • Enthält keine: Ergebnisse heraussuchen, die keinen Arraywert haben, der den im Feld Keyword eingegebenen Text enthält
    • Enthält nur: Ergebnisse mit einem Arrayattribut heraussuchen, das nur den Wert enthält, den Sie in das Feld Keyword eingeben, und keine anderen Werte
  • Für IP-Adressen:
    • Beliebig innerhalb des IP-Bereichs: Damit werden Ergebnisse mit einer IP-Adresse in einem bestimmten CIDR-Bereich abgeglichen.
    • Hat keine innerhalb des IP-Bereichs: entspricht Ergebnissen, die haben eine IP-Adresse, die nicht in einem angegebenen CIDR-Bereich liegt.

Security Operations Console

Wählen Sie im Menü Filter hinzufügen der Abfrageeditor in der Security Operations Console, Abfrageoperatoren und Funktionen werden so dargestellt:

  • Ist gleich: Gleicht Ergebnisse mit diesem genauen Attributwert ab.
  • Ungleich: Ergebnisse heraussuchen, die nicht genau diesen Attributwert haben.
  • Nach: Die Ergebnisse werden einem Zeitpunkt der Erstellung oder Aktualisierung zugeordnet. nach der von Ihnen angegebenen Zeit.
  • Vor: Ergebnisse werden mit einer Erstellungs- oder Aktualisierungszeit vor der angegebenen Zeit abgeglichen.
  • Has: Gleicht Ergebnisse mit Attributwerten ab, die den Text, den Sie im Feld Keyword eingeben.
  • Enthält nicht: Gleicht Ergebnisse mit Attributwerten ab, die es nicht enthalten den Text, den Sie im Feld Keyword eingegeben haben.
  • Größer als: entspricht Ergebnissen mit höheren Attributwerten. als der angegebene Wert ist.
  • Kleiner als: Ergebnisse mit Attributwerten werden ermittelt, die kleiner als der angegebene Wert sind.
  • Beliebig innerhalb des IP-Bereichs: Damit werden Ergebnisse mit einer IP-Adresse in einem bestimmten CIDR-Bereich abgeglichen.
  • Enthält keine innerhalb des IP-Bereichs: Ergebnisse mit einer IP-Adresse, die nicht in einem bestimmten CIDR-Bereich liegt.

Abfragefunktionen

Mit einer Abfragefunktion können Attributewerte komplexer ausgewertet werden als mit den gängigen Abfrageoperatoren.

Die contains-Funktion

Mit der Funktion contains Attribute oder Unterattribute von Attributen auswerten die mehrfach in demselben Ergebnis vorkommen können.

Intern werden diese Attribute oder Attributunterfelder in den Elementen einer Array-Datenstruktur gespeichert. Daher werden sie als Attribute vom Arraytyp bezeichnet.

Bestimmte Ergebnisse können beispielsweise auf mehrere Netzwerke verweisen Verbindungen. Daher ist das connections-Attribut ein Array-Attribut. In ähnlicher Weise können bestimmte Bedrohungsergebnisse auf mehrere IP-Adressen als Indikatoren für eine Manipulation sein, sodass die ip_addresses des Attributs indicator ist ein Array-Attribut.

Die Funktion contains verwendet die folgende Syntax:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: Der Name des Attributs vom Arraytyp, das in einem Array gespeichert ist. Wenn das Array-Typ-Attribut Unterfeld eines anderen Attributs, geben Sie den Attributnamen und das untergeordnete Feld an durch einen Punkt getrennt.

    Im folgenden Beispiel ist das Array-Typ-Attribut ip_addresses ein untergeordnetes Feld von indicator. Beide werden im Feld ARRAY_ATTRIBUTE_NAME-Position:

    contains(indicator.ip_addresses, elem="192.0.2.80")
  • SUBFILTER: ein Ausdruck, der definiert, wie jede Instanz des Array-Typ-Attributs ausgewertet wird. Standard Security Command Center Abfrageoperatoren und Auswertungsanweisungen unterstützt werden.

    Wenn sich der zu prüfende Wert in einem Unterfeld eines Array-Attributs befindet, geben Sie den Namen des Unterfelds links neben dem Ausdruck an. Die folgenden Die Funktion contains wertet jedes Element eines connections, einem Array-Attribut, das Unterfelder enthält. Die Werte, nach denen gesucht wird, befinden sich im Unterfeld destination_ip, das kein Feld vom Typ „Array“ ist. Die Werte, nach denen gesucht werden soll, werden mit dem Namen des Unterfelds destination_ip anstelle des Parameters elem angegeben.

    contains(connections, destination_ip="192.0.2.80")

    Wenn das Unterfeld das Array-Typ-Attribut ist, geben Sie das Array-Typ-Attribut an. auf der linken Seite des Ausdrucks mit seinem übergeordneten Element und verwenden Sie den elem-Parameter für rechts neben dem Ausdruck, um den Wert anzugeben, nach dem gesucht werden soll. In der folgenden contains-Funktion wird beispielsweise jedes Element eines ip_addresses-Arrays ausgewertet, das ein Unterfeld des Attributs indicator ist. Das Attribut indicator ist kein Feld vom Typ „Array“.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Die Funktion contains im Menü „Filter hinzufügen“

im Menü Filter hinzufügen, je nach Ergebnisattribut, das wird die Funktion contains explizit aufgeführt, oder sie wird automatisch berücksichtigt, wenn Sie eine andere Filteroption auswählen. das sie erfordert.

Für das Unterfeld IP-Adressen des Attributs Indikator können Sie beispielsweise die folgenden Filteroptionen auswählen:

  • Enthält beliebige
  • Enthält alle
  • Enthält keine

Wenn Sie dagegen nach dem Unterfeld Ziel-IP des Attributs Verbindungen filtern und Beliebig innerhalb des IP-Bereichs auswählen, werden die contains-Funktionen der Abfrage automatisch hinzugefügt, wie im folgenden Beispiel gezeigt:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Weitere Informationen zur Funktion contains finden Sie unter Filtern nach Array-Feldern.

Die containsOnly-Funktion

Mit der Funktion containsOnly können Sie Ergebnisse für Attribute vom Arraytyp oder Unterfelder abfragen, die nur die im Unterfilter angegebenen Werte enthalten.

Die Funktion containsOnly verwendet die folgende Syntax:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Attributs vom Arraytyp. Wenn das Attribut vom Typ „Array“ ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Namen des Unterfelds durch einen Punkt getrennt an. Wenn Sie die Abfragen über die Google Cloud Console ausführen, unterstützt das Array iam_bindings.member und iam_bindings.role Attribute.

  • SUBFILTER: ein Ausdruck, der festlegt, wie jedes Element des Attributs vom Arraytyp ausgewertet wird. Security Command Center-Standardabfrage Operatoren und Bewertungsanweisungen werden unterstützt.

Im Menü Filter hinzufügen wird für die folgenden Filteroptionen die Funktion containsOnly verwendet. :

  • IAM-Bindung > Mitglied: Es werden nur Ergebnisse ausgewählt, die die angegebenen Nutzer, Dienstkonten oder Gruppen enthalten.

  • IAM-Bindung > Rolle: Es werden nur Ergebnisse ausgewählt, die die angegebenen Rollen enthalten.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console gibt aktive, nicht ausgeblendete Ergebnisse für Nutzer in der Gruppe example-group zurück:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Die inIpRange-Funktion

Die Funktion inIpRange prüft, ob sich die IP-Adresse in einem ausgewählten Ergebnisattribut in einem IP-Adressbereich befindet, den Sie mithilfe der CIDR-Notation (CIDR-Bereich) angeben. Folgendes wird gezeigt: Syntax der inIpRange-Funktion:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Im Menü Filter hinzufügen wird die Funktion inIpRange für die folgenden Filteroptionen verwendet:

  • Beliebig innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die IP-Adressen innerhalb des angegebenen Bereichs enthalten.
  • Enthält keine innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die keine IP-Adressen innerhalb des angegebenen Bereichs enthalten.

Das folgende Beispiel zeigt eine Ergebnisabfrage in der Google Cloud Console gibt aktive, nicht ausgeblendete Ergebnisse zurück, in denen das Unterfeld caller_ip angegeben ist. des access-Objekts enthält eine IPv6-Adresse im CIDR-Bereich von 2001:db8::/32:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Im folgenden Beispiel wird eine Suchanfrage für Ergebnisse gezeigt, bei der aktive, nicht stummgeschaltete Ergebnisse zurückgegeben werden, bei denen das untergeordnete Feld caller_ip des Objekts access keine IP-Adresse im IPv4-CIDR-Bereich von 192.0.2.0/24 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Wenn eine IP-Adresse in einem Attribut enthalten ist, mehrmals in einem Ergebnis verwenden, verwenden Sie die contains-Funktion mit Die inIpRange-Funktion, um jede Instanz des Attributs zu prüfen für die IP-Adresse ein. Beispiel:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Weitere Informationen zur contains()-Funktion findest du unter contains-Funktion.

Attribute für Abfragen finden

Security Command Center wählt die anzuzeigenden Ergebnisse durch Bewertung aus eines jeden gespeicherten Ergebnisses den Attributfiltern, die Sie in der Abfrage angeben.

Sie können die meisten Ergebnisattribute abfragen. Einige Attribute sind bei alle Ergebnisse. Andere Attribute können für ein bestimmtes Sicherheitsproblem, eine bestimmte Ergebniskategorie oder einen bestimmten Erkennungsdienst spezifisch sein.

Im Menü Filter hinzufügen des Bereichs Abfrageeditor sind die Optionen, die Sie auf einen Attributfilter anwenden können, unterschiedlich. Sie hängen davon ab, welchen Attributtyp Sie auswählen und ob das Attribut untergeordnete Felder oder ein Array von Werten hat.

Klicken Sie im Menü Filter hinzufügen auf eines der folgenden übergeordneten Attribute, um die untergeordneten Attribute und Werte aufzurufen, die Sie in einer Suchanfrage für Ergebnisse verwenden können: