Esegui query sui risultati nella console

Questa pagina descrive come creare e modificare le query sui risultati di Security Command Center utilizzando il riquadro Editor query nella pagina Risultati.

Utilizza le query per recuperare risultati specifici e filtrare quelli visualizzati nei risultati della query.

Modificare le query sui risultati

Nel riquadro Editor di query, puoi aggiungere filtri alle query per selezionare i risultati in base ai valori delle proprietà o degli attributi. Puoi filtrare in base a elementi come la presenza di valori, l'assenza di valori o la corrispondenza di una stringa parziale.

Per informazioni su come modificare una query sui risultati, fai clic sulla scheda del tuo livello di servizio.

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud . La pagina Risultati viene caricata con la query predefinita visualizzata nel campo Anteprima query.
  3. A destra della sezione Anteprima query, fai clic su Modifica query per aprire il riquadro Editor query.
  4. Seleziona Aggiungi filtro per navigare, cercare e aggiungere filtri attributo predefiniti alla query.

    5. La finestra di dialogo Seleziona filtro ti consente di scegliere attributi e valori di ricerca supportati.

    1. Seleziona un attributo del risultato o digita il relativo nome nella casella Cerca attributi del risultato. Viene visualizzato un elenco dei sottoattributi disponibili.
    2. Seleziona un attributo secondario. Viene visualizzato un campo di selezione in cui puoi creare l'istruzione della query utilizzando l'attributo secondario selezionato, un operatore di query e uno o più valori per l'attributo secondario.
    3. Seleziona l'operatore e uno o più valori per l'attributo secondario dal riquadro. Per saperne di più sugli operatori di query e sulle funzioni che utilizzano, consulta Operatori di query nel menu Aggiungi filtri.
    4. Fai clic su Applica.

      La finestra di dialogo si chiude e la query viene aggiornata.

    5. Ripeti l'operazione finché la query sui risultati non contiene tutti gli attributi che ti interessano.

Quando lavori nell'editor di query nella pagina Risultati, la sezione Filtri rapidi viene disattivata per evitare conflitti tra le due.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Nel riquadro Editor di query, fai clic su Aggiungi filtro. Viene visualizzata la finestra di dialogo Aggiungi filtro. Questa finestra di dialogo ti consente di scegliere gli attributi e i valori dei risultati supportati.
  3. Nel campo Categoria attributo, seleziona o inserisci un attributo del risultato.
  4. Nel campo Nome attributo, seleziona o inserisci un attributo secondario.
  5. Nel campo Operatore, seleziona un'opzione di valutazione per i valori dell'attributo secondario selezionato. Per ulteriori informazioni sulle opzioni di valutazione e sugli operatori che puoi utilizzare, vedi Operatori di query nel menu Aggiungi filtri.
  6. Seleziona Applica.

    La finestra di dialogo si chiude e la query viene aggiornata.

  7. Ripeti questa procedura finché la query sui risultati non contiene tutti gli attributi su cui vuoi filtrare.

    Per cancellare i filtri, fai clic su Reimposta.

In alternativa, puoi formare manualmente una query sui risultati nello stesso modo in cui formi un filtro dei risultati utilizzando l'API Security Command Center. Mentre digiti la query, viene visualizzato un menu di completamento automatico in cui puoi selezionare nomi di filtri, funzioni e valori. Per aprire manualmente il menu del completamento automatico, premi Ctrl + Spazio.

Durante la modifica di una query, l'editor evidenzia eventuali errori nella query, in modo che tu possa correggerli prima di inviarla.

Operatori di query

Le istruzioni di query per i risultati di Security Command Center supportano gli operatori supportati dalla maggior parte delle API Google Cloud .

Il seguente elenco mostra l'utilizzo di vari operatori:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

Il seguente elenco mostra tutti gli operatori e le funzioni supportati nelle istruzioni di query per i risultati:

  • Per le stringhe:
    • = per la piena uguaglianza
    • : per la corrispondenza parziale delle stringhe
  • Per i numeri (tranne int64):
    • <, >, <=, >= per le disuguaglianze
    • =, != per l'uguaglianza
  • Per i numeri (int 64):
    • =, != per l'uguaglianza
  • Per i valori booleani:
    • = per l'uguaglianza
  • Per le relazioni logiche:
    • AND
    • OR
    • NOT o -
  • Per raggruppare le espressioni:
    • (, ) (parentesi)
  • Per gli array:
    • contains(), una funzione per eseguire query sui risultati con un campo array che contiene almeno un elemento che corrisponde al filtro specificato
    • containsOnly(), una funzione per eseguire query sui risultati con un campo array che contiene solo elementi che corrispondono al filtro specificato
  • Per gli indirizzi IP:
    • inIpRange(), una funzione per eseguire query sugli indirizzi IP all'interno di un intervallo CIDR specificato

Operatori di query nel menu Aggiungi filtri

Per informazioni sugli operatori di query utilizzati nel menu Aggiungi filtri, fai clic sulla scheda del tuo livello di servizio.

Standard o Premium

Nel menu Aggiungi filtro dell'editor di query, gli operatori e le funzioni di query sono rappresentati da parole o frasi, ad esempio:

  • Uguale a: corrisponde ai risultati con questo valore esatto dell'attributo.
  • Non è uguale a: corrisponde ai risultati che non hanno questo valore esatto dell'attributo.
  • Dopo: corrisponde ai risultati con un orario di creazione o aggiornamento successivo a un orario specificato.
  • Prima: corrisponde ai risultati con un orario di creazione o aggiornamento precedente a un orario specificato.
  • Contiene: corrisponde ai risultati con valori degli attributi che contengono il testo che inserisci nel campo Parola chiave.
  • Non contiene: corrisponde ai risultati con valori degli attributi che non contengono il testo inserito nel campo Parola chiave.
  • Per trovare gli attributi che contengono array:
    • Contiene uno qualsiasi: corrisponde ai risultati che hanno un valore di array che contiene uno qualsiasi dei testi inseriti nel campo Parola chiave.
    • Contiene tutti: corrisponde ai risultati che hanno un valore di array che contiene tutto il testo inserito nel campo Parola chiave.
    • Non contiene: corrisponde ai risultati che non hanno un valore di array che contiene il testo inserito nel campo Parola chiave.
    • Contiene solo: corrisponde ai risultati che hanno un attributo array che contiene solo il valore inserito nel campo Parola chiave e nessun altro valore.
  • Per gli indirizzi IP:
    • Qualsiasi all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP in un intervallo CIDR specificato.
    • Nessuno all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP che non rientra in un intervallo CIDR specificato.

Aziende

Nel menu Aggiungi filtro dell'editor di query, gli operatori e le funzioni di query sono rappresentati da quanto segue:

  • Uguale a: corrisponde ai risultati con questo valore esatto dell'attributo.
  • Non è uguale a: corrisponde ai risultati che non hanno questo valore esatto dell'attributo.
  • Dopo: corrisponde ai risultati con un'ora di creazione o aggiornamento successiva all'ora specificata.
  • Prima: corrisponde ai risultati con un orario di creazione o aggiornamento precedente all'orario specificato.
  • Contiene: corrisponde ai risultati con valori degli attributi che contengono il testo inserito nel campo Parola chiave.
  • Non contiene: corrisponde ai risultati con valori degli attributi che non contengono il testo inserito nel campo Parola chiave.
  • Maggiore di: corrisponde ai risultati con valori degli attributi superiori al valore specificato.
  • Minore di: corrisponde ai risultati con valori degli attributi inferiori al valore specificato.
  • Qualsiasi indirizzo IP compreso nell'intervallo: corrisponde ai risultati che hanno un indirizzo IP in un intervallo CIDR specificato.
  • Nessuno all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP che non rientra in un intervallo CIDR specificato.

Funzioni di query

Una funzione di query fornisce valutazioni più complesse dei valori degli attributi rispetto agli operatori di query comuni.

La funzione contains

Utilizza la funzione contains per valutare gli attributi o i sotto campi degli attributi che possono essere visualizzati più volte nello stesso risultato.

Internamente, questi attributi o campi secondari degli attributi vengono archiviati negli elementi di una struttura di dati array, pertanto vengono definiti attributi di tipo array.

Ad esempio, alcuni risultati possono fare riferimento a più connessioni di rete, pertanto l'attributo connections è un attributo di tipo array. Allo stesso modo, alcuni risultati di minacce possono fare riferimento a più indirizzi IP come indicatori di compromissione, quindi il campo secondario ip_addresses dell'attributo indicator è un attributo di tipo array.

La funzione contains utilizza la seguente sintassi:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Sostituisci quanto segue:

  • ARRAY_ATTRIBUTE_NAME: il nome dell'attributo di tipo array memorizzato in un array. Se l'attributo di tipo array è un sottocampo di un altro attributo, specifica il nome dell'attributo e il nome del sottocampo separati da un punto.

    Nell'esempio seguente, l'attributo di tipo array, ip_addresses, è un campo secondario di indicator, quindi entrambi sono specificati nella posizione ARRAY_ATTRIBUTE_NAME:

    contains(indicator.ip_addresses, elem="192.0.2.80")

  • SUBFILTER: un'espressione che definisce come valutare ogni istanza dell'attributo di tipo array. Sono supportati gli operatori di query e le istruzioni di valutazione di Security Command Center Standard.

    Se il valore da controllare si trova in un campo secondario di un attributo di tipo array, specifica il nome del campo secondario a sinistra dell'espressione. La seguente funzione contains valuta ogni elemento di un array di connections, ovvero un attributo di tipo array che contiene campi secondari. I valori per cui viene eseguita la query si trovano nel campo secondario destination_ip, che non è un campo di tipo array. I valori da interrogare vengono specificati con il nome del sottocampo, destination_ip, anziché con il parametro elem.

    contains(connections, destination_ip="192.0.2.80")

    Se il campo secondario è l'attributo di tipo array, specifica l'attributo di tipo array a sinistra dell'espressione con il relativo elemento principale e utilizza il parametro elem a destra dell'espressione per specificare il valore da cercare. Ad esempio, la seguente funzione contains valuta ogni elemento di un array di ip_addresses, che è un sottocampo dell'attributo indicator. L'attributo indicator non è un campo di tipo array.

    contains(indicator.ip_addresses, elem="192.0.2.80")

La funzione contains nel menu Aggiungi filtro

Nel menu Aggiungi filtro, a seconda dell'attributo del risultato che stai valutando, la funzione contains è elencata in modo esplicito o viene inclusa automaticamente quando selezioni un'altra opzione di filtro che la richiede.

Ad esempio, per il campo secondario Indirizzi IP dell'attributo Indicatore, puoi selezionare le seguenti opzioni di filtro:

  • Contiene qualunque
  • Contiene tutto
  • Non contiene nessuno

Al contrario, se filtri in base al sottocampo IP di destinazione dell'attributo Connessioni e selezioni Qualsiasi nell'intervallo IP, la funzione contains viene aggiunta automaticamente all'istruzione di query, come mostrato nell'esempio seguente:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Per saperne di più sulla funzione contains, consulta Filtrare in base ai campi di tipo array.

La funzione containsOnly

La funzione containsOnly ti consente di eseguire query sui risultati per gli attributi di tipo array o sui campi secondari che contengono solo i valori specificati nel filtro secondario e nessun altro.

La funzione containsOnly utilizza la seguente sintassi:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Sostituisci quanto segue:

  • ARRAY_ATTRIBUTE_NAME: il nome dell'attributo di tipo array. Se l'attributo di tipo array è un campo secondario di un altro attributo, specifica il nome dell'attributo e il nome del campo secondario separati da un punto. Quando esegui query utilizzando la console Google Cloud , questa funzione supporta solo gli attributi di array iam_bindings.member e iam_bindings.role.

  • SUBFILTER: un'espressione che definisce come valutare ogni elemento dell'attributo di tipo array. Sono supportati gli operatori di query e le istruzioni di valutazione di Security Command Center Standard.

Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione containsOnly:

  • Binding IAM > Membro: seleziona solo i risultati che includono gli utenti, i service account o i gruppi specificati.

  • Associazione IAM > Ruolo: seleziona solo i risultati che includono i ruoli specificati.

L'esempio seguente mostra una query sui risultati nella Google Cloud console che restituisce i risultati attivi e non disattivati per gli utenti del gruppo example-group:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

La funzione inIpRange

La funzione inIpRange verifica se l'indirizzo IP in un attributo di risultato selezionato rientra in un intervallo di indirizzi IP specificato utilizzando la notazione CIDR (un intervallo CIDR). Di seguito è riportata la sintassi della funzione inIpRange:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione inIpRange:

  • Qualsiasi all'interno dell'intervallo IP: seleziona solo i risultati che contengono indirizzi IP all'interno dell'intervallo specificato.
  • Nessuno all'interno dell'intervallo IP: seleziona solo i risultati che non contengono indirizzi IP all'interno dell'intervallo specificato.

L'esempio seguente mostra una query sui risultati nella console Google Cloud che restituisce risultati attivi e non disattivati in cui il sottocampo caller_ip dell'oggetto access contiene un indirizzo IPv6 nell'intervallo CIDR di 2001:db8::/32:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

L'esempio seguente mostra una query sui risultati che restituisce risultati attivi e non disattivati in cui il campo secondario caller_ip dell'oggetto access non contiene un indirizzo IP nell'intervallo CIDR IPv4 di 192.0.2.0/24:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Se un indirizzo IP si trova in un attributo che può apparire più volte in un risultato, utilizza la funzione contains con la funzione inIpRange per controllare ogni istanza dell'attributo per l'indirizzo IP. Ad esempio:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Per saperne di più sulla funzione contains(), consulta La funzione contains.

Attributi dei risultati per le query

Security Command Center seleziona i risultati da visualizzare valutando gli attributi di ogni risultato archiviato in base ai filtri degli attributi specificati nella query.

Puoi eseguire query sulla maggior parte degli attributi dei risultati. Alcuni attributi sono comuni a tutti i risultati. Altri attributi potrebbero essere specifici di un particolare problema di sicurezza, categoria di risultati o servizio di rilevamento.

Nel menu Aggiungi filtro del riquadro Editor di query, le opzioni che puoi applicare a un filtro degli attributi variano a seconda del tipo di attributo selezionato e se l'attributo ha campi secondari o un array di valori.

Nel menu Aggiungi filtro, fai clic su uno dei seguenti attributi di primo livello per visualizzare gli attributi secondari e i valori che puoi utilizzare in una query sui risultati:

  • Risultato
  • Risorsa
  • Accesso (access)
  • Punteggio di esposizione all'attacco
  • Disaster recovery backup
  • Conformità (compliances[])
  • Connessioni (connections[])
  • Contatti
  • Container
  • Database
  • Esfiltrazione (exfiltration)
  • File
  • Associazione IAM (iamBindings[])
  • Indicatore
  • Rootkit kernel
  • Kubernetes
  • MITRE ATT&CK (mitreAttack)
  • Procedure (processes[])
  • Security posture
  • Sensitive Data Protection
  • Vulnerabilità