Questa pagina descrive come creare e modificare le query relative ai risultati di Security Command Center utilizzando il riquadro Editor di query nella pagina Risultati della console Google Cloud e della console Security Operations.
Utilizza le query per recuperare risultati specifici e filtrare quelli visualizzati nei risultati della query sui risultati.
Utilizzare i risultati nelle console di Security Command Center Enterprise
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:
- Console Google Cloud: disponibile in tutti i livelli di servizio
- Console Security Operations: disponibile solo nel livello Enterprise
Per ulteriori informazioni, consulta Console di Security Command Center Enterprise.
Modificare le query sui risultati
Nel riquadro Editor di query, puoi aggiungere filtri alle query per selezionare i risultati in base ai valori delle proprietà o degli attributi. Puoi filtrare in base a elementi quali la presenza di valori, l'assenza di valori o la corrispondenza di una stringa parziale.
Per informazioni su come modificare una query sui risultati, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud. La pagina Risultati viene caricata con la query predefinita visualizzata nel campo Anteprima query.
- A destra della sezione Anteprima query, fai clic su edit Modifica query per aprire il riquadro Editor query.
- Seleziona Aggiungi filtro per navigare, cercare e aggiungere alla query filtri di attributi predefiniti.
- Seleziona un attributo del rilevamento o digita il relativo nome nella casella Ricerca attributi del rilevamento. Viene visualizzato un elenco degli attributi secondari disponibili.
- Seleziona un attributo secondario. Viene visualizzato un campo di selezione in cui puoi creare l'istruzione di query utilizzando il sottoattributo selezionato, un operatore di query e uno o più valori per il sottoattributo.
- Seleziona l'operatore e uno o più valori per il sottoattributo dal riquadro. Per ulteriori informazioni sugli operatori di query e sulle funzioni che utilizzano, consulta Operatori di query nel menu Aggiungi filtri.
- Fai clic su Applica.
La finestra di dialogo si chiude e la query viene aggiornata.
- Ripeti fino a quando la query sui risultati non contiene tutti gli attributi che ti interessano.
La finestra di dialogo Seleziona filtro ti consente di scegliere gli attributi e i valori di ricerca supportati.
Quando lavori nel generatore di query nella pagina Risultati, la sezione Filtri rapidi viene disattivata per evitare conflitti tra i due.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nel riquadro Editor di query, fai clic su Aggiungi filtro. Viene visualizzata la finestra di dialogo Aggiungi filtro. Questa finestra di dialogo ti consente di scegliere gli attributi e i valori supportati per le scoperte.
- Nella casella Categoria, seleziona o inserisci un attributo del rilevamento.
- Nella casella Nome attributo, seleziona o inserisci un attributo secondario.
- Nella casella Operatore, seleziona un'opzione di valutazione per i valori dell'attributo secondario selezionato. Per ulteriori informazioni sulle opzioni di valutazione e sugli operatori che puoi utilizzare, consulta Operatori di query nel menu Aggiungi filtri.
- Seleziona Applica.
La finestra di dialogo si chiude e la query viene aggiornata.
- Ripeti questa procedura finché la query sui risultati non contiene tutti gli attributi su cui vuoi applicare un filtro.
Per cancellare i filtri, fai clic su Reimposta.
In alternativa, puoi creare manualmente una query sui risultati nello stesso modo in cui crei un filtro dei risultati utilizzando l'API Security Command Center. Mentre digiti la query, viene visualizzato un menu di completamento automatico in cui puoi selezionare nomi, funzioni e valori dei filtri. Per aprire manualmente il menu di completamento automatico, premi Ctrl+Spazio.
Durante la modifica di una query, l'editor evidenzia eventuali errori nella query, in modo che puoi correggerli prima di inviarla.
Operatori di query
Le istruzioni di query per i risultati di Security Command Center supportano gli operatori supportati dalla maggior parte delle API Google Cloud.
L'elenco seguente mostra l'utilizzo di vari operatori:
state="ACTIVE" AND NOT mute="MUTED"
create_time>"2023-08-15T19:05:32.428Z"
resource.parent_name:"prod"
severity="CRITICAL" OR severity="HIGH"
Il seguente elenco mostra tutti gli operatori e le funzioni supportati nelle istruzioni di query per i risultati:
- Per le stringhe:
=
per la piena uguaglianza:
per la corrispondenza parziale delle stringhe
- Per i numeri:
<
,>
,<=
,>=
per le disuguaglianze=
,!=
per l'uguaglianza
- Per i valori booleani:
=
per l'uguaglianza
- Per le relazioni logiche:
AND
OR
NOT
o-
- Per raggruppare le espressioni:
(
,)
(parentesi tonde)
- Per gli array:
contains()
, una funzione per eseguire query sui risultati con un campo array contenente almeno un elemento che corrisponde al filtro specificatocontainsOnly()
, una funzione per eseguire query sui risultati con un campo array contenente solo gli elementi corrispondenti al filtro specificato
- Per gli indirizzi IP:
inIpRange()
, una funzione per eseguire query sugli indirizzi IP all'interno di un intervallo CIDR specificato
Operatori di query nel menu Aggiungi filtri
Per informazioni sugli operatori di query utilizzati nel menu Aggiungi filtri, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Nel menu Aggiungi filtri dell'Editor di query nella console Google Cloud, gli operatori e le funzioni di query sono rappresentati da parole o frasi, ad esempio:
- Uguale a: corrisponde ai risultati con questo valore dell'attributo esatto.
- Non è uguale: corrisponde ai risultati che non hanno questo valore dell'attributo esatto.
- Dopo: trova una corrispondenza tra i risultati e una data e ora di creazione o aggiornamento successiva a un'ora specificata.
- Prima: associa i risultati a una data e ora di creazione o aggiornamento precedente a un'ora specificata.
- Ha: abbina i risultati ai valori degli attributi che contengono il testo inserito nel campo Parola chiave.
- Non contiene: abbina i risultati ai valori degli attributi che non contengono il testo inserito nel campo Parola chiave.
- Per trovare gli attributi che contengono array:
- Contiene qualsiasi: corrisponde ai risultati che hanno un valore array contenente qualsiasi testo inserito nel campo Parola chiave.
- Contiene tutto: corrisponde ai risultati che hanno un valore array contenente tutto il testo inserito nel campo Parola chiave.
- Non contiene: corrisponde ai risultati che non hanno un valore di array contenente il testo inserito nel campo Parola chiave.
- Contiene solo: corrisponde ai risultati che hanno un attributo array contenente solo il valore inserito nel campo Parola chiave e nessun altro valore.
- Per gli indirizzi IP:
- Qualsiasi all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP in un intervallo CIDR specificato.
- Nessuna corrispondenza all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP non compreso in un intervallo CIDR specificato.
Console Security Operations
Nel menu operatori e le funzioni di query sono rappresentati da quanto segue:
Aggiungi filtri dell'Editor di query nella Console operazioni di sicurezza, gli- Uguale a: corrisponde ai risultati con questo valore dell'attributo esatto.
- Non è uguale: corrisponde ai risultati che non hanno questo valore esatto dell'attributo.
- Dopo: trova i risultati con una data di creazione o aggiornamento successiva a quella specificata.
- Prima: abbina i risultati a una data di creazione o aggiornamento precedente a quella specificata.
- Ha: abbina i risultati ai valori degli attributi che contengono il testo inserito nel campo Parola chiave.
- Non contiene: abbina i risultati ai valori degli attributi che non contengono il testo inserito nel campo Parola chiave.
- Maggiore di: trova una corrispondenza per i risultati con valori degli attributi superiori al valore specificato.
- Meno di: trova corrispondenze per i risultati con valori dell'attributo inferiori al valore specificato.
- Qualsiasi indirizzo IP compreso nell'intervallo: corrisponde ai risultati che hanno un indirizzo IP in un intervallo CIDR specificato.
- Nessuno all'interno dell'intervallo IP: corrisponde ai risultati che hanno un indirizzo IP non compreso in un intervallo CIDR specificato.
Funzioni di query
Una funzione di query fornisce valutazioni più complesse dei valori degli attributi rispetto agli operatori di query comuni.
La funzione contains
Utilizza la funzione contains
per valutare gli attributi o i sottocampi degli attributi
che possono comparire più volte nello stesso rilevamento.
Internamente, questi attributi o sottocampi degli attributi vengono archiviati negli elementi di una struttura di dati array, pertanto vengono definiti attributi di tipo array.
Ad esempio, alcuni risultati possono fare riferimento a più connessioni di rete, pertanto l'attributo connections
è di tipo array.
Analogamente, alcuni risultati relativi alle minacce possono fare riferimento a più indirizzi IP come indicatori di una compromissione, pertanto il sottocampo ip_addresses
dell'attributo indicator
è un attributo di tipo array.
La funzione contains
utilizza la seguente sintassi:
contains(ARRAY_ATTRIBUTE_NAME, SUBFILTER)
Sostituisci quanto segue:
ARRAY_ATTRIBUTE_NAME
: il nome dell'attributo array-type memorizzato in un array. Se l'attributo di tipo array è un subcampo di un altro attributo, specifica il nome dell'attributo e il nome del subcampo separati da un punto.Nell'esempio seguente, l'attributo di tipo array
ip_addresses
è un sottocampo diindicator
, pertanto entrambi sono specificati nella posizioneARRAY_ATTRIBUTE_NAME
:contains(indicator.ip_addresses, elem="192.0.2.80")
SUBFILTER
: un'espressione che definisce la modalità di valutazione di ogni istanza dell'attributo di tipo array. Gli operatori di query e le istruzioni di valutazione di Security Command Center standard sono supportati.Se il valore da controllare si trova in un sottocampo di un attributo di tipo array, specifica il nome del sottocampo a sinistra dell'espressione. La seguente funzione
contains
valuta ogni elemento di un array diconnections
, che è un attributo di tipo array contenente sottocampi. I valori per cui viene eseguita la query si trovano nel sottocampodestination_ip
, che non è un campo di tipo array. I valori per cui eseguire la query sono specificati con il nome del sottocampodestination_ip
anziché con il parametroelem
.contains(connections, destination_ip="192.0.2.80")
Se il sottocampo è l'attributo array-type, specifica l'attributo array-type a sinistra dell'espressione con il relativo elemento principale e utilizza il parametro
elem
a destra dell'espressione per specificare il valore da cercare. Ad esempio, la seguente funzionecontains
valuta ogni elemento di un array diip_addresses
, che è un sottocampo dell'attributoindicator
. L'attributoindicator
non è un campo di tipo array.contains(indicator.ip_addresses, elem="192.0.2.80")
La funzione contains
nel menu Aggiungi filtro
Nel menu Aggiungi filtro, a seconda dell'attributo del rilevamento che stai valutando, la funzione contains
è elencata esplicitamente o viene inclusa automaticamente quando selezioni un'altra opzione di filtro che lo richiede.
Ad esempio, per il sottocampo Indirizzi IP dell'attributo Indicatore, puoi selezionare le seguenti opzioni di filtro:
- Contiene qualsiasi
- Contiene tutto
- Non contiene
Al contrario, se filtri in base al sottocampo IP di destinazione dell'attributo Connessioni e selezioni Qualsiasi nell'intervallo IP, le funzioni contains
vengono aggiunte automaticamente all'istruzione di query, come mostrato nell'esempio seguente:
contains(connections, inIpRange(destination_ip, "2001:db8::/32"))
Per saperne di più sulla funzione contains
, consulta
Applicare filtri a campi di tipo array.
La funzione containsOnly
La funzione containsOnly
ti consente di eseguire query sui risultati per attributi di tipo array o su campi secondari che contengono solo i valori specificati nel sottofiltro e nessun altro.
La funzione containsOnly
utilizza la seguente sintassi:
containsOnly(ARRAY_ATTRIBUTE_NAME,SUBFILTER)
Sostituisci quanto segue:
ARRAY_ATTRIBUTE_NAME
: il nome dell'attributo array-type. Se l'attributo di tipo array è un sottocampo di un altro attributo, specifica il nome dell'attributo e il nome del sottocampo separati da un punto. Quando esecuti query utilizzando la console Google Cloud, questa funzione supporta solo gli attributi arrayiam_bindings.member
eiam_bindings.role
.SUBFILTER
: un'espressione che definisce come valutare ogni elemento dell'attributo di tipo array. Sono supportati gli operatori di query e le istruzioni di valutazione di Security Command Center standard.
Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione containsOnly
:
Associazione IAM > Membro: seleziona solo i risultati che includono gli utenti, gli account di servizio o i gruppi specificati.
Associazione IAM > Ruolo: seleziona solo i risultati che includono i ruoli specificati.
L'esempio seguente mostra una query sui risultati nella console Google Cloud
che restituisce risultati attivi e non disattivati per gli utenti del gruppo example-group
:
state="ACTIVE" AND NOT mute="MUTED" AND containsOnly(iam_bindings,member="group:example-group@example.com")
La funzione inIpRange
La funzione inIpRange
controlla se l'indirizzo IP in un attributo del risultato selezionato rientra in un intervallo di indirizzi IP specificato utilizzando la notazione CIDR (un intervallo CIDR). Di seguito è riportata la sintassi della funzione inIpRange
:
inIpRange(ATTRIBUTE_WITH_IP, "CIDR_RANGE")
Nel menu Aggiungi filtro, le seguenti opzioni di filtro utilizzano la funzione inIpRange
:
- Qualsiasi all'interno dell'intervallo IP: seleziona solo i risultati che contengono indirizzi IP all'interno dell'intervallo specificato.
- Nessuno all'interno dell'intervallo IP: seleziona solo i risultati che non contengono indirizzi IP all'interno dell'intervallo specificato.
L'esempio seguente mostra una query sui risultati nella console Google Cloud
che restituisce risultati attivi e non disattivati in cui il campo secondario caller_ip
dell'oggetto access
contiene un indirizzo IPv6 nell'intervallo CIDR di 2001:db8::/32
:
state="ACTIVE" AND NOT mute="MUTED" AND inIpRange(access.caller_ip, "2001:db8::/32")
L'esempio seguente mostra una query sui risultati che restituisce risultati attivi e non disattivati in cui il campo secondario caller_ip
dell'oggetto access
non contiene un indirizzo IP nell'intervallo CIDR IPv4 di 192.0.2.0/24
:
state="ACTIVE" AND NOT mute="MUTED" AND NOT inIpRange(access.caller_ip, "192.0.2.0/24")
Se un indirizzo IP si trova in un attributo che può apparire più volte in un rilevamento, utilizza la funzione contains
con la funzione inIpRange
per controllare ogni istanza dell'attributo per l'indirizzo IP. Ad esempio:
contains(connections, inIpRange(source_ip, "192.0.2.0/24"))
Per ulteriori informazioni sulla funzione contains()
, consulta la sezione Funzione contains
.
Trovare gli attributi per le query
Security Command Center seleziona i risultati da visualizzare valutando gli attributi di ciascun risultato archiviato in base ai filtri degli attributi specificati nella query.
Puoi eseguire query sulla maggior parte degli attributi di ricerca. Alcuni attributi sono comuni a tutti i risultati. Altri attributi potrebbero essere specifici per un determinato problema di sicurezza, una categoria di risultati o un servizio di rilevamento.
Nel menu Aggiungi filtro del riquadro Editor di query, le opzioni che puoi applicare a un filtro degli attributi sono diverse a seconda del tipo di attributo selezionato e se l'attributo ha campi secondari o un array di valori.
Nel menu Aggiungi filtro, fai clic su uno dei seguenti attributi di primo livello per visualizzare i valori e i valori secondari che puoi utilizzare in una query sui risultati:
- Risultato
- Risorsa
- Accesso (
access
) - Punteggio di esposizione all'attacco
- Disaster recovery backup
- Conformità (
compliances[]
) - Connessioni (
connections[]
) - Contatti
- Container
- Database
- Esfiltrazione (
exfiltration
) - File
- Associatione IAM (
iamBindings[]
) - Indicatore
- Rootkit kernel
- Kubernetes
- MITRE ATT&CK (
mitreAttack
) - Processi (
processes[]
) - Security posture
- Sensitive Data Protection
- Vulnerabilità