Auf dieser Seite wird erläutert, wie Sie in der Google Cloud Console auf der Security Command Center-Seite Ergebnisse mit Ergebnissen arbeiten. Ein Ergebnis ist eine Aufzeichnung eines Sicherheitsproblems, das die Security Command Center-Dienste erstellen, wenn sie ein Sicherheitsproblem erkennen.
Sie können unter anderem folgende Aktionen auf der Seite mit den Ergebnissen ausführen:
- Ergebnisse der Abfrage
- Ergebnisse prüfen
- Ergebnisse ausblenden
- Sicherheitsmarkierungen zu Ergebnissen hinzufügen
Die Ergebnisse werden auf der Seite Ergebnisse im Bereich Ergebnisse der Abfrageergebnisse aufgelistet. Sie können auf ein Ergebnis klicken, um die zugehörigen Details sowie das vollständige JSON-Format zu sehen.
Informationen zum Arbeiten mit Ergebnissen mithilfe der Security Command Center API finden Sie unter Programmatisch auf Security Command Center zugreifen.
IAM-Rollen für Security Command Center
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Ergebnisse in der Google Cloud Console ansehen
Standardmäßig werden im Bereich Ergebnisse der Abfrageergebnisse auf der Seite Ergebnisse alle aktiven Ergebnisse angezeigt, die nicht ausgeblendet sind und in den letzten sieben Tagen entweder neu sind oder aktualisiert wurden.
Wenn Sie bestimmte Ergebnisse sehen möchten, bearbeiten Sie die Ergebnisabfrage und geben Sie die Werte oder Attribute an, die die gewünschten Ergebnisse anzeigen müssen oder nicht enthalten dürfen.
Das folgende Beispiel ist die standardmäßige Ergebnisabfrage:
state="ACTIVE" AND NOT mute="MUTED"
Sie können die aktuelle Ergebnisabfrage auf der Seite Ergebnisse im Feld Abfragevorschau sehen.
Zeitraum anpassen, um weitere Ergebnisse anzusehen
Sie können den Zeitraum für Ihre Abfragen im Feld Zeitraum rechts in der Aktionsleiste Abfrageeditor anpassen.
Der Standardzeitraum ist Last 7 days.
Der Zeitraum basiert auf dem Wert des Attributs eventTime der Ergebnisse, das den Zeitpunkt widerspiegelt, zu dem der Ergebnisdatensatz zuletzt aktualisiert wurde.
Verfügbarkeit wird gesucht
Ein Ergebnis steht in der Regel weniger als eine Minute nach der Abfrage des Ergebnisses durch den Dienst in Security Command Center zur Verfügung, der es in der Security Command Center-Ergebnisdatenbank speichert. Ergebnisse bleiben mindestens 13 Monate lang zum Abfragen verfügbar.
Security Command Center speichert einen oder mehrere Snapshots jedes Ergebnisses. Ein Snapshot eines Ergebnisses wird 13 Monate nach dem Zeitstempel im Feld eventTime gelöscht. Wenn alle Snapshots für ein Ergebnis gelöscht werden, kann das Ergebnis nicht mehr abgefragt oder wiederhergestellt werden.
Weitere Informationen zur Datenaufbewahrung in Security Command Center finden Sie unter Datenaufbewahrung.
Bestimmte Ergebnisse suchen und anzeigen
Sie können bestimmte Ergebnisse oder Ergebnisgruppen finden und anzeigen lassen, indem Sie die Ergebnisabfrage auf der Seite Ergebnisse bearbeiten. Sie können die Abfrage so bearbeiten:
- Wählen Sie im Bereich Schnellfilter einen oder mehrere vordefinierte Attributfilter aus, um sie einer Abfrage hinzuzufügen.
- Wählen Sie im Menü Filter hinzufügen des Felds Abfrageeditor einen oder mehrere der vordefinierten Attributfilter aus, um sie einer Abfrage hinzuzufügen.
- Bearbeiten Sie die Ergebnisabfrage direkt im Bereich Abfrageeditor.
- Wählen Sie im Detailbereich eines Ergebnisses aus dem Drop-down-Menü für ein bestimmtes Attribut einen vordefinierten Filter für dieses Attribut aus, um es einer Abfrage hinzuzufügen.
Wenn Sie einen vordefinierten Filter auswählen, wird er automatisch zur Abfrage hinzugefügt.
Im Bereich Schnellfilter finden Sie häufig verwendete, übergeordnete Filteroptionen. Verwenden Sie das Menü Filter hinzufügen für detailliertere und erweiterte Filter, die auf untergeordneten Ergebnisattributen basieren.
Weitere Informationen zum Erstellen und Bearbeiten von Ergebnisabfragen in der Console finden Sie unter Ergebnisabfrage in der Google Cloud Console bearbeiten.
Details eines Ergebnisses ansehen
Wenn Sie weitere Informationen zu einem Ergebnis erhalten möchten, öffnen Sie die Detailansicht des Ergebnisses. Klicken Sie dazu im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Namen des Ergebnisses.
In der Detailansicht finden Sie Informationen, die für das Verständnis eines Ergebnisses, die Untersuchung einer Bedrohung oder das Beheben einer Sicherheitslücke wichtig sind.
Die Detailansicht für Ergebnisse enthält die folgenden Tabs, die Sie auswählen können, um mehr über ein Ergebnis zu erfahren und Maßnahmen zu ergreifen:
- Auf dem Tab Zusammenfassung, der Standardansicht, werden die wichtigsten Informationen und Attribute zum Ergebnis hervorgehoben.
- Der Tab Quelleigenschaften, auf dem Sie die Attribute des
sourceProperties-Objekts der Ergebnis-JSON-Datei sehen können. - Tab JSON, auf dem Sie das vollständige JSON-Format des Ergebnisses sehen können
In der Detailansicht können Sie bestimmte Aktionen für das Ergebnis ausführen und Links zu weiteren Informationen finden, die sich auf das Ergebnis beziehen.
Weitere Informationen zum Ergebnis in der Detailansicht
Die Detailansicht eines Ergebnisses hebt wichtige Informationen zum Ergebnis hervor, mit denen Sie das zugrunde liegende Sicherheitsproblem verstehen und beheben können.
Informationen auf dem Tab Zusammenfassung
Auf dem Tab Zusammenfassung finden Sie Informationen zu den Ergebnissen in den folgenden Abschnitten:
- Was erkannt wurde
Details zum erkannten Ergebnis, z. B.:
- Eine KI-generierte ZusammenfassungVorschau
- Schweregrad des Ergebnisses
- Ergebnisstatus,
ACTIVEoderINACTIVE - Alle Schlüsselfelder, die sich auf das jeweilige Ergebnis beziehen
- Sicherheitslücke
Informationen aus dem CVE-Eintrag, der der Sicherheitslücke entspricht, falls vorhanden. Der Abschnitt Vulnerability enthält Informationen aus dem CVE-Eintrag, z. B.:
- CVE-ID
- CVE-Wert
- Auswirkungen
- Ausnutzungsaktivitäten
- Angriffsrisiko
Die Angriffsbewertung und der Zeitpunkt, zu dem der Wert zuletzt berechnet wurde. Wenn Sie auf die Punktzahl klicken, wird eine visuelle Darstellung der betroffenen hochwertigen Ressourcen und des zugehörigen Angriffspfads geöffnet.
- Betroffene Ressource
Details zum mit dem Ergebnis verknüpften Asset, einschließlich Kontakten für technische und Sicherheitsfragen. Dieser Abschnitt enthält auch ein Menü, in dem Sie die Details der Ressource anzeigen lassen können.
- Sicherheitsmarkierungen
Die Sicherheitsmarkierungen, die gegebenenfalls mit diesem Ergebnis verknüpft sind.
- Weitere Informationen
So kannst du das erkannte Problem beheben. Nur bestimmte Dienste wie Security Health Analytics enthalten die nächsten Schritte.
- Weitere Informationen
Links zu wichtigen Quellen von Sicherheitsinformationen außerhalb von Security Command Center. Nur bestimmte Dienste wie Event Threat Detection bieten entsprechende Links.
- Erkennungsdienst
Details zum Dienst oder zur Quelle, von der das Ergebnis erkannt wurde.
Informationen auf dem Tab Quell-Properties
Bei einigen Ergebnissen enthält der Detailbereich den Tab Quelleigenschaften, auf dem bestimmte Eigenschaften aus dem Objekt sourceProperties der Ergebnis-JSON-Datei hervorgehoben werden.
Quellattribute unterscheiden sich für jedes Ergebnis und jeden Dienst, der in Security Command Center ausgeführt wird. Es gibt keine Garantie, dass Quellattribute für alle Dienste standardisiert sind. Aus diesem Grund raten wir dringend davon ab, Quellattribute programmatisch zu nutzen. Wenn eine Quell-Property für alle Dienste standardisiert werden soll, geben Sie uns Feedback.
Informationen auf dem Tab JSON
Der Tab JSON enthält die vollständige JSON-Struktur des aktuell ausgewählten Ergebnisses. Dies kann hilfreich sein, wenn Sie Attribute untersuchen oder nach Attributen suchen möchten, die Sie in Ergebnisabfragen verwenden können.
Klicken Sie auf Kopieren, um das JSON-Objekt in die Zwischenablage zu kopieren.
Die JSON-Struktur eines Ergebnisses enthält die folgenden Objekte:
findings: Die Attribute des Ergebnisses. Diese Attribute sind in allen integrierten und integrierten Diensten standardisiert (auch als Sicherheitsquellen bezeichnet). Weitere Informationen finden Sie unter:Finding.resource: Die Attribute der betroffenen Ressource. Weitere Informationen finden Sie unterResource.sourceProperties: Die dienstspezifischen Attribute des Ergebnisses.
Sie können auch die ListFindings API verwenden, um Ergebnisse aufzulisten und die zugehörigen JSON-Definitionen abzurufen.
Aktionen für ein Ergebnis in der Detailansicht ausführen
Sie können über die Detailansicht des Ergebnisses verschiedene Aktionen für ein Ergebnis ausführen, z. B. das Ergebnis ausblenden oder der aktuellen Ergebnisabfrage Attribute des Ergebnisses hinzufügen.
Ergebnis in der Detailansicht ausblenden
Über das Menü Aktion ausführen in der Detailansicht eines Ergebnisses können Sie das Ergebnis stummschalten oder die Stummschaltung aufheben oder eine Regel erstellen, die alle zukünftigen Ergebnisse wie das aktuelle Ergebnis ausblendet.
Eine vollständige Anleitung zum Ausblenden eines Ergebnisses oder zum Erstellen einer Ausblendungsregel finden Sie unter Ergebnisse in Security Command Center ausblenden.
Einer Abfrage über die Detailansicht Attributfilter hinzufügen
In der Detailansicht eines Ergebnisses können Sie der aktuellen Ergebnisabfrage Filter für die angezeigten Attribute hinzufügen.
Eine Anleitung finden Sie unter Attributfilter aus der Detailansicht eines Ergebnisses hinzufügen.
Attribut-API-Namen in der Detailansicht eines Ergebnisses ansehen
Die meisten Ergebnisattribute, die in der Google Cloud Console angezeigt werden, haben einen entsprechenden Namen, der in der Security Command Center API verwendet wird. In der Detailansicht eines Ergebnisses können Sie den entsprechenden API-Namen der angezeigten Ergebnisattribute suchen und kopieren.
Detailansicht eines Ergebnisses teilen
Wenn Sie die Detailansicht eines Ergebnisses freigeben möchten, können Sie die URL der Seite mit der Detailansicht kopieren und mit anderen teilen.
Klicken Sie im Menü Maßnahme ergreifen auf Link kopieren, um die URL der Detailansicht in die Zwischenablage zu kopieren.
Feedback zum Ergebnis an Google Cloud senden
Wenn Sie Feedback an Google Cloud senden möchten, öffnen Sie das Menü Maßnahme ergreifen und klicken Sie auf Feedback geben.
Mit dem Feedback-Tool können Sie einen Screenshot erstellen und anhängen.
In den folgenden Abschnitten werden die Tabs Zusammenfassung, Quellattribute und JSON beschrieben.
Details zu anderen Ergebnissen im Bereich Ergebnisse der Abfrageergebnisse anzeigen
Wenn Sie die Details der Ergebnisse sehen möchten, die dem aktuellen Ergebnis vorausgehen oder folgen, verwenden Sie die Schaltfläche „Weiter“ oder „Zurück“ (), um zum nächsten oder vorherigen Ergebnis zu wechseln, ohne zur Seite Ergebnisse zurückkehren zu müssen.
Sicherheitsmarkierungen zu Ergebnissen in der Google Cloud Console hinzufügen
Sie können Sicherheitsmarkierungen zu Ergebnissen hinzufügen, sie bearbeiten oder sie im Bereich Ergebnisse der Ergebnisabfrage aus Ergebnissen entfernen.
Ein Sicherheitszeichen ist ein benutzerdefiniertes Schlüssel/Wert-Label, mit dem Sie ein Ergebnis annotieren, mit anderen Ergebnissen verknüpfen, die dasselbe Sicherheitszeichen haben, und Ergebnisse abfragen können.
Klicken Sie zum Erstellen, Bearbeiten oder Entfernen von Sicherheitsmarkierungen in der Google Cloud Console in der Aktionsleiste des Bereichs Ergebnisse der Ergebnisabfrage auf Sicherheitsmarkierungen festlegen.
Eine ausführliche Anleitung zum Setzen von Sicherheitsmarkierungen für Ergebnisse oder Assets finden Sie unter Sicherheitsmarkierungen verwenden.
Ergebnisse in der Google Cloud Console ausblenden
Sie können Ergebnisse auf der Seite Ergebnisse ausblenden und deren Stummschaltung aufheben. Verwenden Sie dazu entweder die Optionen zum Ausblenden in der Aktionsleiste Ergebnisse der Ergebnisabfrage oder klicken Sie im Detailbereich eines Ergebnisses auf Maßnahme ergreifen.
Sie können einzelne Ergebnisse ausblenden oder Ausblendungsregeln erstellen, die aktuelle und zukünftige Ergebnisse anhand von von Ihnen definierten Filtern ausblenden.
Ausgeblendete Ergebnisse sind ausgeblendet und stummgeschaltet. Sie können sie jedoch weiterhin ansehen, indem Sie Ihrer Ergebnisabfrage den Filter mute="MUTED" hinzufügen. Stummgeschaltete Ergebnisse werden zu Audit- und Compliance-Zwecken weiterhin protokolliert.
Die aktuell definierten Ausblendungsregeln finden Sie in den Security Command Center-Einstellungen auf dem Tab Ausblendungsregeln.
Eine ausführliche Anleitung zum Ausblenden von Ergebnissen in Security Command Center finden Sie unter Ergebnisse in Security Command Center ausblenden.
Status eines Ergebnisses ändern
Ein Ergebnis kann einen von zwei Status haben: Active oder Inactive.
Der Status Active bedeutet, dass das durch das Ergebnis identifizierte Sicherheitsproblem in Ihrer Umgebung als potenzielle Bedrohung oder Sicherheitslücke besteht.
Der Status Inactive bedeutet, dass das Sicherheitsproblem behoben wurde.
Sie können den Status eines Ergebnisses aus verschiedenen Gründen ändern, z. B. um den Status eines Ergebnisses in Inactive zu ändern, sobald das Ergebnis adressiert ist, damit Sie nicht auf den nächsten Scan warten müssen, um den Status für Sie zu ändern.
So ändern Sie den Status eines Ergebnisses in der Google Cloud Console:
Rufen Sie in Security Command Center die Ansicht Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Bereich Ergebnisse der Ergebnisabfrage das Ergebnis aus.
Klicken Sie in der Aktionsleiste des Bereichs Ergebnisse der Ergebnisabfrage auf Aktiven Status ändern. Ein Pop-up-Menü wird angezeigt.
Wählen Sie im Pop-up-Menü Aktiven Status ändern entweder Aktiv oder Inaktiv aus.
Seite „Ergebnisse“ konfigurieren
Sie können einige der Elemente auf der Seite Ergebnisse steuern.
Spalten von Abfrageergebnissen anpassen
Im Bereich Ergebnisse der Ergebnisabfrage können Sie Spalten hinzufügen oder entfernen.
Sie können jede Spalte mit Ausnahme von Kategorie entfernen.
Im Bereich Abfrageergebnisse finden werden standardmäßig die folgenden Spalten angezeigt. Möglicherweise müssen Sie jedoch nach rechts scrollen, um sie zu sehen:
- Kategorie: Der Name des Ergebnistyps.
- Schweregrad: Der Schweregrad des Ergebnisses. Weitere Informationen zum Ermitteln von Schweregraden finden Sie unter Schweregradklassifizierungen für Ergebnisse.
- Angriffsbewertung: Die Angriffsbewertung des Ergebnisses.
- Ereigniszeit: entweder der Zeitpunkt, an dem das Ergebnis zum ersten Mal erkannt oder zuletzt aktualisiert wurde.
- Erstellungszeit: Zeitpunkt, zu dem das Ergebnis in Security Command Center erstellt wurde.
- Anzeigename der Ressource: Der Anzeigename der Ressource, in der das Problem festgestellt wurde.
- Vollständiger Name der Ressource: Der vollständige Name der Ressource, in der das Problem festgestellt wurde.
- Ressourcenpfad: Der Pfad zu der Ressource, in der das Problem festgestellt wurde.
- Ressourcentyp: Der Ressourcentyp, in dem das Problem festgestellt wurde.
- Sicherheitsmarkierungen: Alle Sicherheitsmarkierungen, die dem Ergebnis hinzugefügt werden.
- Ergebnisklasse: Die Klasse des Ergebnisses, z. B.
THREAT,VULNERABILITYoderMISCONFIGURATION.
Führen Sie die folgenden Schritte aus, um die Ergebnisspalten auszuwählen, die Sie anzeigen lassen möchten:
- Klicken Sie rechts neben der Aktionsleiste Ergebnisse der Ergebnisabfrage auf view_column Spalten.
- Wählen Sie im angezeigten Menü die Spalten aus, die angezeigt werden sollen.
- Wenn Sie eine Spalte ausblenden möchten, heben Sie die Auswahl des Spaltennamens auf.
- Klicken Sie auf Übernehmen, um die Änderungen auf den Bereich Ergebnisse der Ergebnisabfrage anzuwenden.
Die Spaltenauswahl bleibt erhalten, wenn Sie das nächste Mal die Seite Ergebnisse aufrufen, auch wenn Sie Projekte oder Organisationen ändern. Wenn Sie die Auswahl aller benutzerdefinierten Spalten löschen möchten, klicken Sie auf Spaltenauswahl löschen.
Steuerfelder der Ergebnisseite anpassen
Wenn Sie auf dem Bildschirm mehr Platz zum Bearbeiten von Abfragen oder zum Ansehen von Ergebnissen schaffen möchten, können Sie die folgenden Felder minimieren und maximieren:
- Der Bereich Schnellfilter:
- Im Bereich Abfrageeditor.
Zum Minimieren eines Bereichs klicken Sie auf das Symbol Bereich ein-/ausblenden first_page oder first_page.
Klicken Sie noch einmal auf das Symbol, um es zu maximieren.
Feedback an das Security Command Center-Team senden
Wir arbeiten kontinuierlich daran, unseren Service zu verbessern. Ihr Feedback hilft uns, unsere Produkte und Dienste für alle Security Command Center-Nutzer zu verbessern.
So senden Sie Feedback:
Rufen Sie in Security Command Center die Ansicht Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Optionen und wählen Sie Feedback senden aus.
Nächste Schritte
- Weitere Informationen zu Sicherheitsquellen.
- Weitere Informationen zur Verwendung von Sicherheitsmarkierungen.
- Weitere Informationen zur Konfiguration des Security Command Center.
- Mit der Security Command Center API einen Ergebnisfilter erstellen