Trabalhar com as descobertas no console do Google Cloud

Nesta página, explicamos como trabalhar com descobertas na página Descobertas do Security Command Center no Console do Google Cloud. Uma descoberta é um registro que os serviços do Security Command Center criam quando detectam um problema de segurança.

Algumas das ações que você pode realizar na página de descobertas incluem:

• Consultar descobertas
• Inspecionar descobertas
• Silenciar descobertas
• Adicionar marcações de segurança às descobertas

As descobertas são listadas no painel Resultados da consulta de descobertas da página Descobertas. Clique em uma descoberta para ver os detalhes e o formato JSON completo dela.

Para informações sobre como trabalhar com as descobertas usando a API Security Command Center, consulte Como acessar o Security Command Center de maneira programática.

Papéis do IAM para o Security Command Center

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Ver descobertas no console do Google Cloud

Por padrão, o painel Resultados da consulta de descobertas da página Descobertas exibe todas as descobertas ativas que não foram silenciadas e estão novas ou atualizadas nos últimos sete dias.

Para ver descobertas específicas, edite a consulta de descobertas para determinar os valores ou atributos que as descobertas precisam conter ou não.

O exemplo a seguir é a consulta de descoberta padrão:

state="ACTIVE"
AND NOT mute="MUTED"

É possível ver a consulta de descoberta atual no campo Visualização da consulta, na página Descobertas.

Ajuste o período para ver mais descobertas

É possível ajustar o intervalo de tempo usado para as consultas no campo Intervalo de tempo à direita, na barra de ações do Editor de consultas. O intervalo de tempo padrão é Last 7 days.

O intervalo de tempo é baseado no valor do atributo eventTime das descobertas, que reflete o horário em que o registro da descoberta foi atualizado pela última vez.

Disponibilidade da descoberta

Uma descoberta geralmente fica disponível para consulta no Security Command Center menos de um minuto após ser gerada e armazenada no banco de dados de descobertas do Security Command Center por um serviço específico a essa finalidade. As descobertas permanecem disponíveis para consulta por pelo menos 13 meses.

O Security Command Center armazena um ou mais snapshots de cada descoberta. Um snapshot de uma descoberta é excluído 13 meses após o carimbo de data/hora do campo eventTime. Se todos os snapshots de uma descoberta forem excluídos, ela não poderá mais ser consultada ou recuperada.

Para saber mais sobre a retenção de dados do Security Command Center, consulte Retenção de dados.

Encontrar e ver descobertas específicas

É possível encontrar e ver descobertas específicas ou grupos de descobertas editando a consulta de descobertas na página Descobertas. É possível editar a consulta das seguintes maneiras:

• No painel Filtros rápidos, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta.
• No menu Adicionar filtro do painel Editor de consultas, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta.
• Edite a consulta de descobertas diretamente no painel Editor de consultas.
• No painel de detalhes de uma descoberta, no menu suspenso de um atributo específico, selecione um filtro predefinido para esse atributo para adicioná-lo a uma consulta.

Ao selecionar um filtro predefinido, ele é adicionado à consulta automaticamente.

Use o painel Filtros rápidos para ver as opções de filtro de alto nível usadas com frequência. Use o menu Adicionar filtro para ver filtros mais granulares e avançados baseados em atributos de descoberta de nível inferior.

Para mais informações sobre como criar e editar consultas de descoberta no console, consulte Editar uma consulta de descobertas no console do Google Cloud.

Ver os detalhes de uma descoberta

Para saber mais sobre uma descoberta, abra a visualização detalhada dela clicando em seu nome, na coluna Categoria do painel Resultados da consulta de descobertas.

Na visualização detalhada, é possível encontrar informações essenciais para entender uma descoberta, investigar uma ameaça ou resolver uma vulnerabilidade.

A visualização detalhada de descobertas inclui as seguintes guias que podem ser selecionadas para dar mais informações sobre uma descoberta e executar uma ação:

• A guia Resumo, que é a visualização padrão, destaca as principais informações e atributos da descoberta.
• A guia Propriedades de origem, onde é possível ver os atributos do objeto sourceProperties do JSON da descoberta.
• A guia JSON, onde é possível ver o formato JSON completo da descoberta.

Você pode executar determinadas ações na descoberta quando na visualização de detalhes, bem como encontrar links para informações adicionais relacionadas à descoberta.

Saiba mais sobre a descoberta na visualização de detalhes

A visualização detalhada de uma descoberta destaca informações importantes sobre ela que podem ser usadas para entender e resolver o problema de segurança.

Informações sobre a guia Resumo

A guia Resumo fornece informações sobre a descoberta nas seguintes seções:

O que foi detectado

Detalhes sobre a descoberta detectada, como os seguintes:

• Um resumo gerado por IA^{Visualização}
• Gravidade da descoberta
• O estado de descoberta, ACTIVE ou INACTIVE
• Todos os campos-chave relacionados à descoberta específica

Vulnerabilidade

Informações do registro CVE que corresponde à vulnerabilidade, se houver. A seção Vulnerabilidade inclui informações do registro de CVE, como:

• ID da CVE
• Pontuação de CVE
• Impacto
• Atividade de exploração

Exposição a ataques

A pontuação de exposição ao ataque e o horário em que a pontuação foi calculada pela última vez. Clicar na pontuação abre uma representação visual dos recursos afetados de alto valor e o caminho de ataque associado.

Recurso afetado

Detalhes sobre o recurso associado à descoberta, incluindo contatos técnicos e de segurança. Essa seção também contém um menu que permite visualizar os detalhes do recurso.

Marcações de segurança

As marcações de segurança associadas a essa descoberta, se houver.

Próximas etapas

Orientações sobre o que você pode fazer para corrigir o problema detectado. Apenas determinados serviços, como a Análise de integridade da segurança, fornecem as próximas etapas.

Links relacionados

Links para as principais fontes de informações de segurança fora do Security Command Center. Somente determinados serviços, como o Event Threat Detection, fornecem links relacionados.

Serviço de detecção

Detalhes sobre o serviço ou a origem que detectaram a descoberta.

Informações sobre a guia Propriedades de origem

Para algumas descobertas, o painel de detalhes inclui uma guia Propriedades de origem que destaca determinadas propriedades do objeto sourceProperties do JSON de descoberta.

As propriedades de origem são diferentes para cada descoberta e para cada serviço executado no Security Command Center. Não há garantia de que as propriedades de origem sejam padronizadas em todos os serviços. Por esse motivo, não recomendamos o consumo programático de propriedades de origem. Se você quiser que uma propriedade de origem seja padronizada em todos os serviços, envie seu feedback.

Informações na guia JSON

A guia JSON contém a estrutura JSON completa da descoberta selecionada no momento, o que pode ser útil ao investigar uma descoberta ou à procura de atributos que podem ser usados nas suas consultas de descoberta.

Para copiar o objeto JSON para a área de transferência, clique em content_copy Copiar.

A estrutura JSON de uma descoberta contém estes objetos:

• findings: os atributos da descoberta. Esses atributos são padronizados em todos os serviços incorporados e integrados, também conhecidos como fontes de segurança. Veja mais informações em Finding.
• resource: os atributos do recurso afetado. Para mais informações, consulte Resource.
• sourceProperties: as propriedades específicas do serviço da descoberta.

Você também pode usar a API ListFindings para listar descobertas e ver as definições JSON delas.

Executar ações em uma descoberta na visualização de detalhes

É possível realizar várias ações em uma descoberta, como visualizar detalhes dela ou adicionar atributos da descoberta à consulta atual.

Silenciar uma descoberta na visualização de detalhes

No menu Executar ação, na visualização detalhada de uma descoberta, é possível ativar ou desativar o aviso sonoro da descoberta ou criar uma regra que silencie todas as descobertas futuras, da mesma forma que a descoberta atual.

Para instruções completas sobre como silenciar uma descoberta ou criar uma regra de silenciamento, consulte Desativar som das descobertas no Security Command Center.

Adicionar filtros de atributos a uma consulta na visualização de detalhes

Na visualização de detalhes de uma descoberta, adicione filtros para os atributos exibidos na consulta de descobertas atual.

Para ver mais instruções, consulte Adicionar filtros de atributos na visualização de detalhes de uma descoberta.

Ver nomes de APIs de atributos na visualização detalhada de uma descoberta

A maioria dos atributos de descoberta exibidos no Console do Google Cloud tem um nome correspondente usado na API Security Command Center. Na visualização detalhada de uma descoberta, é possível encontrar e copiar o nome da API correspondente dos atributos exibidos.

Compartilhar a visualização detalhada de uma descoberta

Para compartilhar a visualização detalhada de uma descoberta com outras pessoas, copie o URL da página de detalhes.

Para copiar o URL da visualização detalhada para a área de transferência, clique em Copiar link, no menu Executar ação.

Enviar feedback sobre a descoberta para o Google Cloud

Para enviar feedback ao Google Cloud, abra o menu Executar ação e clique em Enviar feedback.

A ferramenta de feedback permite que você faça e inclua uma captura de tela.

As seções a seguir descrevem as guias Resumo, Propriedades de origem e JSON.

Mostrar detalhes de outras descobertas no painel Resultados da consulta de descobertas

Para ver os detalhes das descobertas que precedem ou sucedem a que está sendo visualizada no momento, use o botão de avanço navigate_next ou de retrocesso navigate_before para ir à descoberta seguinte ou anterior sem precisar voltar à página Descobertas.

Adicionar marcas de segurança às descobertas no console do Google Cloud

É possível adicionar marcações de segurança a descobertas, editá-las ou removê-las das descobertas no painel Resultados da consulta de descobertas.

Uma marcação de segurança é um identificador de chave-valor personalizado que pode ser usado para anotar uma descoberta, associá-la a outras que compartilham a mesma marcação de segurança e consultar descobertas.

Para criar, editar ou remover marcas de segurança no Console do Google Cloud, na barra de ações do painel Resultados da consulta de descobertas, clique em Definir marcas de segurança.

Para instruções completas sobre como definir marcações de segurança em descobertas ou recursos, consulte Como usar marcações de segurança.

Silenciar descobertas no console do Google Cloud

É possível desativar e ativar som das descobertas na página Descobertas usando as Opções de silenciar na barra de ação Resultados da consulta de descobertas ou clicando em Realizar ação no painel de detalhes de uma descoberta.

É possível desativar o som de descobertas individuais ou criar regras para silenciar as descobertas atuais e futuras com base nos filtros definidos por você.

As descobertas silenciadas ficam ocultas, mas ainda será possível vê-las se o filtro mute="MUTED" for adicionado a uma consulta. As descobertas silenciadas continuam a ser registradas, para fins de auditoria e conformidade.

É possível ver as regras de silenciamento atualmente em uso na guia Regras de silenciamento, nas configurações do Security Command Center.

Para instruções detalhadas sobre como desativar e ativar o som de descobertas, consulte Desativar som de descobertas no Security Command Center.

Mudar o estado de uma descoberta

Uma descoberta pode ter um dos dois estados: Active ou Inactive.

Um estado Active significa que o problema de segurança identificado pela descoberta persiste no ambiente como uma possível ameaça ou vulnerabilidade.

Um estado Inactive significa que o problema de segurança foi resolvido.

Você pode querer mudar o estado de uma descoberta por vários motivos, como a mudança para o estado Inactive assim que o problema identificado pela descoberta for resolvido. Desse modo, não será necessário aguardar a próxima verificação mudar o estado para você.

Para alterar o estado de uma descoberta no console do Google Cloud:

1. Acesse a página Descobertas no Security Command Center.

   Acesse Descobertas

2. Se necessário, selecione o projeto ou a organização do Google Cloud.

   

3. No painel Resultados da consulta de descobertas, selecione a descoberta.

4. Na barra de ações do painel Resultados da consulta de descobertas, clique em Alterar o estado ativo. Um menu pop-up será exibido.

5. No menu pop-up Alterar estado ativo, selecione Ativo ou Inativo.

Configurar a página "Descobertas"

É possível controlar alguns dos elementos que aparecem na página Descobertas.

Ajustar as colunas dos resultados da consulta

É possível adicionar ou remover colunas do painel Resultados da consulta de descobertas.

É possível remover qualquer coluna, exceto a de Categoria.

Por padrão, o painel Como encontrar resultados da consulta mostra as colunas a seguir, mas talvez seja necessário rolar para a direita para vê-las:

• Categoria: o nome do tipo de descoberta.
• Gravidade: a gravidade da descoberta. Para mais informações sobre como encontrar níveis de gravidade, consulte Classificações de gravidade para descobertas.
• Pontuação de exposição a ataques: a pontuação de exposição a ataques da descoberta.
• Horário do evento: quando a descoberta foi detectada pela primeira vez ou quando foi atualizada pela última vez.
• Horário de criação: quando a descoberta foi criada no Security Command Center.
• Nome de exibição do recurso: identifica em que recurso o problema foi detectado.
• Nome completo do recurso: nome completo do recurso onde o problema foi detectado.
• Caminho do recurso: direciona para o recurso onde o problema foi detectado.
• Tipo de recurso: tipo de recurso onde o problema foi detectado.
• Marcações de segurança: todas as marcações de segurança adicionadas à descoberta.
• Classe da descoberta: indica uma classe, como THREAT, VULNERABILITY e MISCONFIGURATION.

Para selecionar as colunas de descoberta que você quer exibir, siga estas etapas:

1. À direita da barra de ações Resultados da consulta de descobertas, clique em view_column Colunas.
2. No menu exibido, selecione as colunas que você quer exibir.
3. Para ocultar uma coluna, clique no nome dela.
4. Clique em Aplicar para aplicar as mudanças no painel Resultados da consulta de descobertas.

As seleções de coluna serão preservadas na próxima vez que você visualizar a página Descobertas, mesmo que altere projetos ou organizações. Para limpar todas as seleções de colunas personalizadas, clique em Limpar seleções de colunas.

Ajustar painéis da página de descobertas

Para que a tela ofereça mais espaço para editar consultas ou ver descobertas, você pode recolher e expandir os seguintes painéis:

• O painel Filtros rápidos.
• O painel Editor de consultas.

Para recolher um painel, clique no ícone Alternar painel first_page ou first_page.

Para abrir o painel, clique no ícone novamente.

Enviar feedback para a equipe do Security Command Center

Estamos sempre procurando maneiras de melhorar nosso serviço. Seu feedback nos ajudará a melhorar nossos produtos e a criar uma experiência melhor para todos os usuários do Security Command Center.

Para enviar feedback, siga estas etapas:

1. Acesse a página Descobertas no Security Command Center.

   Acesse Descobertas

2. Se necessário, selecione o projeto ou a organização do Google Cloud.

   

3. Clique em Opções e selecione Enviar feedback.

A seguir

• Saiba mais sobre as fontes de segurança.
• Saiba como usar marcações de segurança.
• Saiba como configurar o Security Command Center.
• Saiba como criar um filtro de descobertas usando a API Security Command Center.