Ergebnisse in der Console abfragen

Auf dieser Seite wird beschrieben, wie Sie mithilfe des Bereichs Query-Editor auf der Seite Ergebnisse Security Command Center-Ergebnisabfragen erstellen und bearbeiten.

Mit Abfragen können Sie bestimmte Ergebnisse abrufen und die Ergebnisse filtern, die in den Ergebnissen der Abfrage angezeigt werden.

Ergebnisabfragen bearbeiten

Im Bereich Abfrage-Editor können Sie Ihren Abfragen Filter hinzufügen, um Ergebnisse anhand ihrer Eigenschafts- oder Attributwerte auszuwählen. Sie können beispielsweise nach dem Vorhandensein oder Fehlen von Werten oder nach dem Abgleich eines Teilstrings filtern.

Informationen zum Bearbeiten einer Abfrage für Ergebnisse finden Sie auf dem Tab für Ihre Service-Stufe.

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus. Die Seite Ergebnisse wird geladen. Die Standardabfrage wird im Feld Abfragevorschau angezeigt.
  3. Klicken Sie rechts neben dem Bereich Abfragevorschau auf  Abfrage bearbeiten, um den Bereich Abfrageeditor zu öffnen.
  4. Wählen Sie Filter hinzufügen aus, um vordefinierte Attributfilter in der Abfrage zu suchen und hinzuzufügen.

    5. Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.

    1. Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Eine Liste der verfügbaren untergeordneten Attribute wird angezeigt.
    2. Wählen Sie ein untergeordnetes Attribut aus. In einem Auswahlfeld können Sie die Abfrageanweisung mit dem ausgewählten untergeordneten Attribut, einem Abfrageoperator und einem oder mehreren Werten für das untergeordnete Attribut erstellen.
    3. Wählen Sie den Operator und einen oder mehrere Werte für das untergeordnete Attribut aus dem Bereich aus. Weitere Informationen zu Abfrageoperatoren und den Funktionen, die sie verwenden, finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
    4. Klicken Sie auf Übernehmen.

      Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

    5. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.

Wenn Sie auf der Seite Ergebnisse im Abfrageeditor arbeiten, ist der Abschnitt Schnellfilter deaktiviert, um Konflikte zwischen den beiden zu vermeiden.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Klicken Sie im Bereich Abfrageeditor auf  Filter hinzufügen. Das Dialogfeld Filter hinzufügen wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ergebnisattribute und -werte auswählen.
  3. Wählen Sie im Feld Attributkategorie ein Ergebnisattribut aus oder geben Sie es ein.
  4. Wählen Sie im Feld Attributname ein untergeordnetes Attribut aus oder geben Sie es ein.
  5. Wählen Sie im Feld Operator eine Auswertungsoption für die Werte des ausgewählten untergeordneten Attributs aus. Weitere Informationen zu den Auswertungsoptionen und den Operatoren, die Sie verwenden können, finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
  6. Klicken Sie auf Anwenden.

    Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.

  7. Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle Attribute enthält, nach denen Sie filtern möchten.

    Wenn Sie die Filter entfernen möchten, klicken Sie auf Zurücksetzen.

Alternativ können Sie eine Ergebnisabfrage manuell genauso definieren wie einen Ergebnisfilter mithilfe der Security Command Center API. Während der Eingabe in der Abfrage wird ein Menü zur automatischen Vervollständigung angezeigt, in dem Sie Filternamen, Funktionen und Werte auswählen können. Wenn Sie das Menü für die automatische Vervollständigung manuell öffnen möchten, drücken Sie Strg + Leertaste.

Beim Bearbeiten einer Abfrage werden alle Fehler in der Abfrage hervorgehoben, sodass Sie die Fehler korrigieren können, bevor Sie die Abfrage einreichen.

Abfrageoperatoren

Die Abfrageanweisungen für Security Command Center-Ergebnisse unterstützen die Operatoren, die von den meisten Google Cloud APIs unterstützt werden.

In der folgenden Liste sehen Sie, wie verschiedene Operatoren verwendet werden:

  • state="ACTIVE" AND NOT mute="MUTED"
  • create_time>"2023-08-15T19:05:32.428Z"
  • resource.parent_name:"prod"
  • severity="CRITICAL" OR severity="HIGH"

In der folgenden Liste sind alle Operatoren und Funktionen aufgeführt, die in Abfrageanweisungen für Ergebnisse unterstützt werden:

  • Für Strings:
    • = für vollständige Gleichheit
    • : für Teilstringabgleich
  • Für Zahlen (außer int64):
    • <, >, <=, >= für Ungleichungen
    • =, != für Gleichberechtigung
  • Für Zahlen (int64):
    • =, != für Gleichberechtigung
  • Für boolesche Werte:
    • = für Gleichberechtigung
  • Für logische Beziehungen:
    • AND
    • OR
    • NOT oder -
  • Für Gruppierungsausdrücke:
    • (, ) (Klammern)
  • Für Arrays:
    • contains(): Eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das mindestens ein Element enthält, das dem angegebenen Filter entspricht.
    • containsOnly(): Eine Funktion zum Abfragen von Ergebnissen mit einem Arrayfeld, das nur Elemente enthält, die dem angegebenen Filter entsprechen.
  • Für IP-Adressen:
    • inIpRange(), eine Funktion zum Abfragen von IP-Adressen innerhalb eines angegebenen CIDR-Bereichs

Abfrageoperatoren im Menü „Filter hinzufügen“

Informationen zu den Abfrageoperatoren, die im Menü Filter hinzufügen verwendet werden, finden Sie auf dem Tab für Ihre Dienststufe.

Standard oder Premium

Im Menü Filter hinzufügen des Abfrageeditors werden Abfrageoperatoren und -funktionen durch Wörter oder Wortgruppen wie die folgenden dargestellt:

  • Gleich: Es werden Ergebnisse mit genau diesem Attributwert herangezogen.
  • Ungleich: Ergebnisse heraussuchen, die nicht diesen genauen Attributwert haben.
  • Nach: Sucht nach Ergebnissen mit einer Erstellungs- oder Aktualisierungszeit nach einem bestimmten Zeitpunkt.
  • Vor: Sucht nach Ergebnissen, die vor einem bestimmten Zeitpunkt erstellt oder aktualisiert wurden.
  • Hat: Ergebnisse mit Attributwerten heraussuchen, die den von Ihnen im Feld Keyword eingegebenen Text enthalten.
  • Hat nicht: Ergebnisse mit Attributwerten heraussuchen, die nicht den im Feld Suchbegriff eingegebenen Text enthalten.
  • So finden Sie Attribute, die Arrays enthalten:
    • Enthält einen beliebigen: Ergebnisse mit einem Arraywert heraussuchen, der einen beliebigen Text enthält, den Sie im Feld Keyword eingeben.
    • Enthält alle: Ergebnisse mit einem Arraywert heraussuchen, der den gesamten Text enthält, den Sie im Feld Suchbegriff eingeben.
    • Enthält nichts: Ergebnisse heraussuchen, die keinen Arraywert haben, der den im Feld Suchbegriff eingegebenen Text enthält.
    • Enthält nur: Ergebnisse mit einem Arrayattribut heraussuchen, das nur den Wert enthält, den Sie im Feld Keyword eingeben, und keine anderen Werte.
  • Für IP-Adressen:
    • Beliebige innerhalb des IP-Bereichs: Entspricht Ergebnissen mit einer IP-Adresse in einem angegebenen CIDR-Bereich.
    • Enthält keine innerhalb des IP-Bereichs: Entspricht Ergebnissen mit einer IP-Adresse, die nicht in einem angegebenen CIDR-Bereich liegt.

Unternehmen

Im Menü Filter hinzufügen des Abfrageeditors werden Abfrageoperatoren und ‑funktionen so dargestellt:

  • Gleich: Es werden Ergebnisse mit genau diesem Attributwert herangezogen.
  • Ungleich: Ergebnisse heraussuchen, die nicht diesen genauen Attributwert haben.
  • Nach: Sucht nach Ergebnissen, die nach dem angegebenen Zeitpunkt erstellt oder aktualisiert wurden.
  • Vor: Sucht nach Ergebnissen, die vor dem angegebenen Zeitpunkt erstellt oder aktualisiert wurden.
  • Hat: Ergebnisse mit Attributwerten heraussuchen, die den von Ihnen im Feld Keyword eingegebenen Text enthalten.
  • Hat nicht: Ergebnisse mit Attributwerten heraussuchen, die nicht den im Feld Suchbegriff eingegebenen Text enthalten.
  • Größer als: Ergebnisse mit Attributwerten, die höher als der angegebene Wert sind.
  • Kleiner als: Sucht Ergebnisse mit Attributwerten heraus, die kleiner als der angegebene Wert sind.
  • Beliebige innerhalb des IP-Bereichs: Sucht nach Ergebnissen mit einer IP-Adresse in einem angegebenen CIDR-Bereich.
  • Enthält keine innerhalb des IP-Bereichs: Sucht nach Ergebnissen, die eine IP-Adresse haben, die nicht in einem angegebenen CIDR-Bereich liegt.

Abfragefunktionen

Mit einer Abfragefunktion lassen sich komplexere Auswertungen von Attributwerten als mit den gängigen Abfrageoperatoren durchführen.

Die contains-Funktion

Mit der Funktion contains können Sie Attribute oder Attributunterfelder auswerten, die in derselben Erkenntnis mehrmals vorkommen können.

Intern werden diese Attribute oder Attributunterfelder in den Elementen einer Array-Datenstruktur gespeichert. Daher werden sie als Attribute vom Typ „Array“ bezeichnet.

Bestimmte Ergebnisse können beispielsweise auf mehrere Netzwerkverbindungen verweisen. Daher ist das Attribut connections ein Array-Attribut. Bestimmte Bedrohungsbefunde können auf mehrere IP-Adressen als Indikatoren für eine Kompromittierung verweisen. Daher ist das Unterfeld ip_addresses des Attributs indicator ein Attribut vom Typ „Array“.

Die Funktion contains verwendet die folgende Syntax:

contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: Der Name des Attributs vom Typ „Array“, das in einem Array gespeichert ist. Wenn das Attribut vom Typ „Array“ ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Unterfeldnamen durch einen Punkt getrennt an.

    Im folgenden Beispiel ist das Attribut vom Typ „Array“ (ip_addresses) ein Unterfeld von indicator. Daher werden beide an der Position ARRAY_ATTRIBUTE_NAME angegeben:

    contains(indicator.ip_addresses, elem="192.0.2.80")

  • SUBFILTER: Ein Ausdruck, der definiert, wie jede Instanz des Attributs vom Arraytyp ausgewertet werden soll. Standard-Security Command Center-Abfrageoperatoren und ‑Auswertungsanweisungen werden unterstützt.

    Wenn sich der zu prüfende Wert in einem Unterfeld eines Attributs vom Typ „Array“ befindet, geben Sie den Unterfeldnamen links vom Ausdruck an. Die folgende contains-Funktion wertet jedes Element eines Arrays von connections aus. Dabei handelt es sich um ein Attribut vom Typ „Array“, das Unterfelder enthält. Die Werte, nach denen gesucht wird, befinden sich im Unterfeld destination_ip, das kein Feld vom Typ „Array“ ist. Die abzufragenden Werte werden mit dem Unterfeldnamen destination_ip anstelle des Parameters elem angegeben.

    contains(connections, destination_ip="192.0.2.80")

    Wenn das Unterfeld das Attribut vom Typ „Array“ ist, geben Sie das Attribut vom Typ „Array“ links vom Ausdruck mit seinem übergeordneten Element an und verwenden Sie den Parameter elem rechts vom Ausdruck, um den zu suchenden Wert anzugeben. Die folgende contains-Funktion wertet beispielsweise jedes Element eines Arrays von ip_addresses aus, das ein Unterfeld des Attributs indicator ist. Das Attribut indicator ist kein Feld vom Typ „Array“.

    contains(indicator.ip_addresses, elem="192.0.2.80")

Die Funktion contains im Menü „Filter hinzufügen“

Im Menü Filter hinzufügen wird die Funktion contains je nach dem Attribut des Ergebnisses, das Sie auswerten, explizit aufgeführt oder automatisch eingefügt, wenn Sie eine andere Filteroption auswählen, für die sie erforderlich ist.

Für das Unterfeld IP-Adressen des Attributs Indikator können Sie beispielsweise die folgenden Filteroptionen auswählen:

  • Enthält beliebige
  • Enthält alle
  • Enthält keine

Wenn Sie hingegen nach dem Unterfeld Ziel-IP des Attributs Verbindungen filtern und Beliebige innerhalb des IP-Bereichs auswählen, wird die Funktion contains automatisch der Abfrageanweisung hinzugefügt, wie im folgenden Beispiel zu sehen ist:

contains(connections, inIpRange(destination_ip, "2001:db8::/32"))

Weitere Informationen zur Funktion contains finden Sie unter Nach Arrayfeldern filtern.

Die containsOnly-Funktion

Mit der Funktion containsOnly können Sie Ergebnisse für Attribute oder Unterfelder vom Typ „Array“ abfragen, die nur die im Unterfilter angegebenen Werte enthalten.

Die Funktion containsOnly verwendet die folgende Syntax:

containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)

Ersetzen Sie Folgendes:

  • ARRAY_ATTRIBUTE_NAME: der Name des Attributs vom Typ „Array“. Wenn das Attribut vom Typ „Array“ ein Unterfeld eines anderen Attributs ist, geben Sie den Attributnamen und den Unterfeldnamen durch einen Punkt getrennt an. Wenn Sie Abfragen über die Google Cloud -Konsole ausführen, werden für diese Funktion nur die Arrayattribute iam_bindings.member und iam_bindings.role unterstützt.

  • SUBFILTER: Ein Ausdruck, der definiert, wie jedes Element des Attributs vom Typ „Array“ ausgewertet werden soll. Standardmäßige Security Command Center-Abfrageoperatoren und ‑Auswertungsanweisungen werden unterstützt.

Im Menü Filter hinzufügen wird die Funktion containsOnly für die folgenden Filteroptionen verwendet:

  • IAM-Bindung > Mitglied: Es werden nur Ergebnisse ausgewählt, die die angegebenen Nutzer, Dienstkonten oder Gruppen enthalten.

  • IAM-Bindung > Rolle: Es werden nur Ergebnisse ausgewählt, die die angegebenen Rollen enthalten.

Das folgende Beispiel zeigt eine Abfrage für Ergebnisse in der Google Cloud -Konsole, die aktive, nicht stummgeschaltete Ergebnisse für Nutzer in der Gruppe example-group zurückgibt:

state="ACTIVE"
  AND NOT mute="MUTED"
  AND containsOnly(iam_bindings,member="group:example-group@example.com")

Die inIpRange-Funktion

Die Funktion inIpRange prüft, ob die IP-Adresse in einem ausgewählten Attribut eines Ergebnisses innerhalb eines IP-Adressbereichs liegt, den Sie mit der CIDR-Notation (einem CIDR-Bereich) angeben. Die Syntax der Funktion inIpRange sieht so aus:

inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")

Im Menü Filter hinzufügen wird die Funktion inIpRange für die folgenden Filteroptionen verwendet:

  • Beliebige innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die IP-Adressen innerhalb des angegebenen Bereichs enthalten.
  • Enthält keine innerhalb des IP-Bereichs: Es werden nur Ergebnisse ausgewählt, die keine IP-Adressen innerhalb des angegebenen Bereichs enthalten.

Das folgende Beispiel zeigt eine Abfrage für Ergebnisse in der Google Cloud Console, die aktive, nicht stummgeschaltete Ergebnisse zurückgibt, bei denen das Unterfeld caller_ip des Objekts access eine IPv6-Adresse im CIDR-Bereich von 2001:db8::/32 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND inIpRange(access.caller_ip, "2001:db8::/32")

Im folgenden Beispiel wird eine Abfrage für Ergebnisse gezeigt, die aktive, nicht stummgeschaltete Ergebnisse zurückgibt, bei denen das Unterfeld caller_ip des Objekts access keine IP-Adresse im IPv4-CIDR-Bereich von 192.0.2.0/24 enthält:

state="ACTIVE"
AND NOT mute="MUTED"
AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")

Wenn sich eine IP-Adresse in einem Attribut befindet, das in einem Ergebnis mehrmals vorkommen kann, verwenden Sie die Funktion contains mit der Funktion inIpRange, um jede Instanz des Attributs auf die IP-Adresse zu prüfen. Beispiel:

contains(connections, inIpRange(source_ip, "192.0.2.0/24"))

Weitere Informationen zur contains()-Funktion finden Sie unter Die contains-Funktion.

Ergebnisattribute für Abfragen

Security Command Center wählt die anzuzeigenden Ergebnisse aus, indem die Attribute jedes gespeicherten Ergebnisses mit den Attributfiltern verglichen werden, die Sie in der Abfrage angeben.

Sie können die meisten Ergebnisattribute abfragen. Einige Attribute sind für alle Ergebnisse gleich. Andere Attribute sind möglicherweise spezifisch für ein bestimmtes Sicherheitsproblem, eine bestimmte Ergebniskategorie oder einen bestimmten Erkennungsdienst.

Im Menü Filter hinzufügen des Bereichs Abfrageeditor sind die Optionen, die Sie auf einen Attributfilter anwenden können, je nach ausgewähltem Attributtyp und danach unterschiedlich, ob das Attribut Unterfelder oder ein Array von Werten hat.

Klicken Sie im Menü Filter hinzufügen auf eines der folgenden Attribute der obersten Ebene, um die untergeordneten Attribute und Werte aufzurufen, die Sie in einer Ergebnisabfrage verwenden können: