Usa el panel de Security Command Center

Accede a Security Command Center, configura la pantalla y revisa los recursos de Google Cloud. Si Security Command Center aún no está configurado para tu organización, primero completa la guía a fin de configurar Security Command Center.

Antes de comenzar

Para usar Security Command Center, debes tener una función de administración de identidades y accesos (IAM) que incluya los permisos adecuados:

  • Para ver el Security Command Center, debes tener la función de IAM de Visualizador administrador del centro de seguridad.
  • Para realizar cambios en Security Command Center, debes tener una función de editor adecuada, como Editor administrador del centro de seguridad.

Si las políticas de tu organización están configuradas para restringir identidades por dominio, debes acceder a Cloud Console en una cuenta que esté en un dominio permitido.

Obtén más información sobre las funciones de Security Command Center.

Accede al panel

Por lo general, la página del Security Command Center en Cloud Console se denomina panel. Para acceder al panel de Security Command Center, haz lo siguiente:

  1. Ve a la página de Security Command Center en Cloud Console.
    Ir a la página Security Command Center
  2. Selecciona la organización que deseas revisar.

El panel de Security Command Center muestra una descripción general de los posibles riesgos de seguridad.

Usa el panel

Cuando abres Security Command Center, se muestra la pestaña Explorar. Te proporciona una descripción general de las pestañas del panel, funciones adicionales de Security Command Center y servicios disponibles para integrar en Security Command Center.

Para obtener más información sobre lo que ofrece una pestaña del panel, haz clic en el nombre de la pestaña.

Amenazas

El panel de Amenazas te ayuda a revisar los eventos potencialmente dañinos en los recursos de Google Cloud de tu organización.

  • Amenazas por gravedad muestra la cantidad de amenazas en cada nivel de gravedad.
  • Amenazas por categoría muestra la cantidad de resultados en cada categoría en todos los proyectos.
  • Amenazas por proyecto muestra la cantidad de resultados para cada proyecto en tu organización.

El panel de amenazas muestra los resultados del período que especificas en la lista desplegable con varias opciones entre 1 hora y 12 meses. El período que seleccionaste se guarda entre las sesiones.

Vulnerabilidades

La pestaña Vulnerabilidades muestra los resultados y las recomendaciones de las estadísticas del estado de seguridad, incluidas las siguientes columnas:

  • Estado: un ícono indica si el detector está activo y si este encontró un resultado que se deba corregir. Cuando mantienes el puntero sobre el ícono de estado, una información sobre la herramienta muestra la fecha y la hora en que el detector encontró el resultado o la información sobre cómo validar la recomendación.
  • Categoría: Es el tipo de resultado. Para obtener una lista de posibles hallazgos de las estadísticas del estado de seguridad, consulta Resultados de las estadísticas del estado de seguridad.
  • Recomendación: Es un resumen de cómo solucionar el resultado. Para obtener más información, consulta Soluciona los problemas de las estadísticas del estado de seguridad.
  • Activa: Es la cantidad total de resultados en la categoría.
  • Gravedad: El nivel de riesgo relativo de la categoría de resultado.
  • Comparativas: Son las comparativas de cumplimiento a las que se aplica la categoría de resultado, si existe alguna. Si deseas obtener más información sobre las comparativas, consulta Resultados de vulnerabilidades.

Filtra los resultados

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Si usas Security Command Center con los filtros disponibles, puedes enfocarte en las vulnerabilidades de mayor gravedad en toda la organización y revisar las vulnerabilidades por tipo de recurso, marca de seguridad y mucho más.

Visualiza los resultados de las estadísticas de estado de seguridad por proyecto

Para ver los resultados de las estadísticas de estado de seguridad por proyecto en la pestaña Vulnerabilidades, haz lo siguiente:

  1. En el cuadro Filtro de proyectos, haz clic en Agregar un proyecto al filtro de proyectos.
  2. Selecciona el proyecto en el que deseas mostrar los resultados.

En la pestaña Vulnerabilidades, se muestra una lista de resultados del proyecto que seleccionaste.

Visualiza los resultados de las estadísticas de estado de seguridad por categoría

Para ver los resultados de las estadísticas de estado de seguridad por categoría en la pestaña Vulnerabilidades, haz clic en el nombre de la categoría en la columna Categoría.

La pestaña Resultados carga y muestra una lista de resultados que coincide con la categoría que seleccionaste.

Visualiza resultados por tipo de elemento

Para ver los resultados de las estadísticas de estado de seguridad para un tipo de elemento específico, usa la pestaña Activos:

  1. Ve a la página de resultados de Security Command Center en Cloud Console.
    Ir a la página Resultados
  2. Junto a Ver por, haz clic en Tipo de fuente y, luego, selecciona Estadísticas del estado de seguridad.
  3. En la casilla de filtro, ingresa resourceName: asset-type. Por ejemplo, a fin de mostrar los resultados de las estadísticas del estado de seguridad de todos los proyectos, ingresa resourceName: projects.

La lista de resultados se actualiza y muestra todos los resultados para el tipo de recurso que especificaste.

Marca elementos y resultados con marcas de seguridad

Puedes agregar propiedades personalizadas a los resultados y a los recursos en Security Command Center mediante marcas de seguridad. Las marcas de seguridad te permiten identificar áreas de interés de alta prioridad, como los proyectos de producción, el descubrimiento de etiquetas con números de seguimiento de incidentes y errores, y mucho más.

La lista de anunciantes permite los resultados de las estadísticas del estado de seguridad mediante marcas de seguridad

Puedes agregar recursos a las lista de anunciantes permitidos en las estadísticas del estado de seguridad a fin de que un detector no cree un resultado de seguridad para el recurso. Cuando agregas un recurso a una lista de anunciantes permitidos, el resultado se marca como resuelto cuando se ejecuta el análisis siguiente. Esto puede ser útil cuando no quieres revisar los hallazgos de seguridad de los proyectos aislados o que están dentro de los parámetros comerciales aceptables.

Si deseas agregar un recurso a una lista de permisos, agrega una marca de seguridad allow_finding-type para un tipo de resultado específico. Por ejemplo, para el tipo de resultado SSL_NOT_ENFORCED, usa la marca de seguridad allow_ssl_not_enforced:true.

Para obtener una lista completa de los tipos de resultados, consulta la página Resultados de las estadísticas del estado de seguridad. Si deseas obtener más información sobre las marcas de seguridad y las técnicas para usarlas, consulta Usa marcas de seguridad de Security Command Center.

Visualiza el recuento de resultados activos por tipo de resultado

Puedes usar Cloud Console o los comandos de la herramienta de línea de comandos de gcloud para ver los recuentos de resultados elementos mediante el tipo de búsqueda.

Console

El panel de las estadísticas del estado de seguridad te permite ver un recuento de resultados activos para cada tipo de resultado.

Para ver los resultados de las estadísticas del estado de seguridad por tipo de resultado, haz lo siguiente:

  1. Ve a Security Command Center en Cloud Console.
    Ir a Security Command Center
  2. Para ver los resultados las estadísticas del estado de seguridad, haz clic en la pestaña Vulnerabilidades.
  3. Haz clic en el encabezado de la columna Activa para ordenar los resultados por cantidad de resultados activos de cada tipo de resultado.

gcloud

Si deseas usar la herramienta de gcloud a fin de obtener un recuento de todos los resultados activos, consulta el Security Command Center para obtener el ID de la fuente de las estadísticas del estado de seguridad. Luego, usa el ID de origen para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, obtén el ID de tu organización y, luego, obtén el ID de la fuente. Si aún no has habilitado la API de Security Command Center, se te solicitará que la habilites.

  1. Obtén el ID de la organización mediante la ejecución de gcloud organizations list y, luego, toma nota del número junto al nombre de la organización.
  2. Obtén el ID de la fuente de estadísticas del estado de seguridad mediante la ejecución del siguiente comando:

    gcloud scc sources describe organizations/your-organization-id
    --source-display-name='Security Health Analytics'

  3. Si se te solicita, habilita la API de Security Command Center y, luego, ejecuta el comando anterior para volver a obtener el ID de la fuente de las estadísticas del estado de seguridad.

El comando para obtener el ID de la fuente debe mostrar un resultado como el siguiente:

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

Toma nota de source-id para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el source-id que anotaste en el paso anterior para filtrar los resultados de las estadísticas del estado de seguridad. El siguiente comando de la herramienta de gcloud muestra un recuento de resultados por categoría:

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con los resultados de tu organización en particular:

  groupByResults:
  - count: '1'
    properties:
      category: 2SV_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

Cumplimiento

El panel Cumplimiento te ayuda a revisar el estado de incumplimiento de alto nivel y los informes de exportación. En este panel, se proporcionan resúmenes sobre la cantidad de detectores asociados con cada régimen de cumplimiento que supervisan las estadísticas del estado de seguridad.

En esta sección, se describe cómo usar las estadísticas del estado de seguridad y los detectores de Web Security Scanner a fin de supervisar los incumplimientos en los controles de cumplimiento comunes, como los que se describen en CIS para Google Cloud Computing Foundations v1.0.0., Estándar de seguridad de datos para la industria de tarjetas de pago (PCI-DSS), versión 3.2.1, y mucho más Las estadísticas del estado de seguridad pueden supervisar los incumplimientos de los controles de cumplimiento comunes, según el mapeo de mejor esfuerzo proporcionado por Google. No es un reemplazo de una auditoría de cumplimiento, pero se puede usar para ayudarte a mantener el cumplimiento continuo y a detectar infracciones con anticipación.

En el panel de cumplimiento, se muestra la cantidad de verificaciones de cada régimen con estado de advertencia y estado de aprobación:

  • Estado de la advertencia: Hay uno o más resultados activos (infracciones) asociados con esa verificación.
  • Estado de aprobación: No hay incumplimientos detectados para la verificación.

Puedes filtrar el panel de cumplimiento por proyecto y ver o exportar informes de resultados de CIS y PCI específicos. Estos informes se basan en los hallazgos de las estadísticas del estado de seguridad y se cargan en la pestaña de vulnerabilidades.

Exporta informes de cumplimiento

Puedes exportar un informe de CSV que agregue los resultados de los incumplimientos para una comparativa de cumplimiento específica. Para generar un informe, sigue estos pasos:

  1. Ve a la pestaña Cumplimiento de Security Command Center en Cloud Console.
    Ir a la pestaña Cumplimiento
  2. Haz clic en Exportar junto al informe que deseas descargar.
  3. En la ventana Exportar que aparecerá, configura la exportación:
    1. Selecciona el informe comparativo que deseas descargar.
    2. Selecciona la fecha y hora de la instantánea del informe.
    3. Si lo deseas, puedes filtrar la exportación por proyecto.
  4. Cuando termines de configurar la exportación, haz clic en Exportar y, luego, selecciona la ubicación en la que deseas guardar el informe CSV.

Las exportaciones de informes de cumplimiento incluyen lo siguiente:

  • Proyectos dentro del alcance
  • Fecha del informe
  • Resultados dentro del alcance del informe
  • Cantidad de recursos analizados
  • La cantidad de recursos que infringen el control específico

Para obtener más información sobre los resultados de las estadísticas del estado de seguridad y el mapeo entre los detectores compatibles y los regímenes de cumplimiento, consulta los resultados de las vulnerabilidades.

Recursos

En la pestaña Recursos, se muestra una vista detallada de todos los recursos de Google Cloud, llamados activos, en tu organización. La pestaña Recursos te permite ver los recursos de toda tu organización o puedes filtrarlos dentro de un proyecto específico, por tipo de recurso o por tipo de cambio. Para ver los detalles sobre un recurso específico, como sus atributos, propiedades del recurso y resultados relacionados, haz clic en el nombre del recurso en la columna resourceProperties.name.

Los recursos se analizan de forma automática dos veces al día. También puedes iniciar un análisis de recursos de forma manual si haces clic en Volver a analizar en la pestaña recursos. El valor updateTime puede variar para los resultados dentro de un análisis automático o manual dado. Esta varianza suele durar menos de 10 minutos.

La actualización del inventario de elementos depende del descubrimiento y la indexación de la fuente del elemento:

  • Por lo general, la frecuencia de actualización es de menos de 1 minuto para los activos preexistentes.
  • Los elementos que no se encuentren ni hayan sido indexados en un análisis diario o manual aparecerán en el inventario de recursos después de que se descubra y se indexe el activo al que están adjuntos.

Usa la pestaña Recursos

La pestaña Recursos proporciona filtros integrados y personalizables para que puedas ver una lista filtrada de recursos.

Visualiza los recursos por proyecto

De forma predeterminada, los activos se muestran en la organización y en la jerarquía del proyecto. Para ver los activos asociados con un recurso específico, en Ver por proyecto, selecciona la organización o el proyecto que deseas revisar.

Visualización por tipo de activo

Para ver los recursos agrupados por tipo de recurso en la pestaña de recursos, haz clic en Tipo de recurso. Los recursos se muestran en categorías como aplicación, depósito, proyecto y servicio. En este momento, se admiten los siguientes tipos de recursos:

  • Resource Manager
    • Organización
    • Proyecto
  • App Engine
    • Aplicación
    • Servicio
    • Versión
  • Compute Engine
    • Dirección
    • Escalador automático
    • BackendBucket
    • BackendService
    • BillingAccount
    • Disco
    • Firewalls
    • GlobalAddress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • Imagen
    • Instancia
    • InstanceGroup
    • InstanceTemplate
    • Licencia
    • Red
    • Ruta
    • SecurityPolicy
    • Snapshot
    • SslCertificate
    • Subred
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • Política
  • IAM
    • ServiceAccount
  • Cloud Spanner
    • Base de datos
    • Instancia
  • Cloud Storage
    • Depósito
  • Google Kubernetes Engine
    • Clúster
  • Container Registry
    • Imagen
  • Cloud Logging
    • LogMetric

Para ver los recursos individuales de un tipo específico de elemento, en la lista Tipo de recurso, selecciona el tipo de recurso que deseas revisar. Para ver los detalles de un recurso específico, haz clic en el nombre del recurso. Para ver todos los proyectos de Google Cloud en tu organización, filtra la lista de recursos mediante securityCenterProperties.resourceType:resourcemanager.Project.

Visualiza por tipo de elemento cambiado

En la pestaña de activos, Activos modificados muestra todos los activos que estuvieron en funcionamiento durante el intervalo de tiempo que seleccionaste. Los activos que se agregaron durante ese tiempo también se agruparán en la categoría Agregados. Para cambiar el intervalo de tiempo de los resultados que se muestran, haz clic en la lista desplegable junto a Activos modificados.

Visualización por política de IAM

En la pestaña de activos, se muestran las políticas de IAM para los elementos de la columna iamPolicy.policy_blob. Para mostrar el iamPolicy columna, haz clic Opciones de visualización de columnas y, luego, ingresa iamPolicy para crear el adjunto de VLAN de supervisión.

Para ver los detalles de la política de IAM de un activo específico, haz clic en Mostrar junto al activo. Las políticas de IAM también se muestran en el panel de detalles del activo cuando haces clic en el nombre del elemento en la columna resourceProperties.name.

Configura la pestaña de activos

Puedes controlar algunos de los activos que aparecen en su pestaña.

Columnas

De forma predeterminada, la pestaña Activos incluye las siguientes columnas:

  • Nombre del recurso: resourceProperties.name
  • Tipo de recurso: securityCenterProperties.resourceType
  • Propietario del activo: securityCenterProperties.resourceOwners
  • Nombre del recurso: name
  • Se agregaron marcas al activo: securityMarks.marks

Puedes ocultar cualquier columna, excepto resourceProperties.name, y seleccionar más columnas de detalles de activos para mostrar:

  1. Para seleccionar las columnas de activos que deseas mostrar, haz clic en Opciones de visualización de columnas.
  2. En el menú emergente, selecciona las columnas que deseas mostrar.
  3. Para ocultar una columna, haz clic en el nombre de la columna a fin de borrar el cuadro junto al nombre de la columna.

Para guardar las selecciones de columnas, haz clic en Recordar columnas. Las selecciones de columnas se aplican a todas las vistas en la pestaña Activos. Cuando seleccionas columnas, la URL de Cloud Console se actualiza para que puedas compartir el vínculo de una vista personalizada.

Las selecciones de columnas se conservan la próxima vez que veas el panel y si cambias de organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Restablecer columnas.

Paneles

Para controlar el espacio de pantalla de la pestaña de activos, puedes cambiar las siguientes opciones:

  • Para ocultar el panel lateral Seguridad de Cloud Console, haz clic en la flecha izquierda.
  • Para cambiar el tamaño de las columnas de visualización de activos, arrastra la línea divisoria izquierda o derecha.
  • Para ocultar el panel lateral Selecciona un recurso, haz clic en Ocultar panel de información.

Para cambiar la fecha y hora de los resultados que muestran los activos, haz clic en la lista desplegable de la fecha y la hora y, luego, selecciona la fecha y la hora que desees.

Ordena elementos

Para ordenar los recursos, haz clic en el encabezado de la columna correspondiente al valor que desea ordenar. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

Resultados

En la pestaña Resultados, se muestra un inventario de resultados detallado para todos los recursos de tu organización. La pantalla de resultados te permite ver los riesgos de seguridad potenciales de tu organización.

La actualización del inventario de resultados depende de encontrar las fuentes:

  • La actualización de la actualización en el panel de Security Command Center suele ser menos a 1 minuto después de la transferencia desde la fuente de búsqueda.
  • Los activos que no se descubrieron ni se indexaron en un análisis automático o manual suelen aparecer en el inventario de resultados en un minuto después de la detección.

Según la configuración predeterminada, la pestaña de resultados solo muestra los resultados activos. Puedes habilitar o inhabilitar la visualización de los resultados inactivos si haces clic en el botón de activación junto a Mostrar solo resultados activos.

Para ver los detalles de un resultado específico, haz clic en él. En el panel de detalles de resultados, se muestran atributos, como el recurso y la hora del evento afectados. Algunos tipos de resultados incluyen más atributos, por ejemplo, un evento de criptominería podría incluir lo siguiente:

  • abuse_target_ips: Es la IP del grupo de minería.
  • urls: Es la URL del grupo de minería.
  • vm_host_and_names: Son las VM específicas que se descubrieron como criptinas.
  • vm_ips: Son las direcciones IP de las VM afectadas.

Visualización por categoría de resultados

De forma predeterminada, los resultados se muestran en categorías específicas, como la secuencia de comandos entre sitios (XSS) y la exposición del número de tarjeta de crédito o del número de teléfono. Si dejas el campo de categoría en blanco cuando creas un resultado, no tiene una categoría en la pantalla de resultados.

  • Para ver los detalles sobre un tipo de riesgo específico, en Visualizar por tipo de resultado, selecciona el tipo de riesgo que deseas revisar.
  • Para ver información detallada sobre un resultado específico, haz clic en el resultado category.

Para ver los resultados por categoría en una fecha específica, usa el menú desplegable Tiempo junto a Mostrar solo resultados activos.

Visualización por tipo de fuente

Una fuente de resultados es cualquier proveedor de resultados, como Web Security Scanner o Cloud DLP. Estas fuentes incluyen lo siguiente:

  • Análisis que proporcionan una instantánea de muestra de los resultados en un momento específico
  • Monitores que proporcionan un flujo de eventos de resultados
  • Registradores que proporcionan resultados de eventos históricos

Puedes ver los resultados por fuente de las siguientes maneras:

  • Para ver los resultados agrupados por tipo de fuente, en la pestaña Resultados, haz clic en Tipo de fuente.
  • Para ver los resultados individuales de un tipo de fuente específico, en Visualizar por tipo de fuente, selecciona el tipo de fuente que deseas revisar.
  • Para ver información detallada sobre un resultado específico, haz clic en el resultado category.

Para ver los resultados por categoría en una fecha específica, usa el menú desplegable Tiempo junto a Mostrar solo resultados activos.

Visualización por resultados que se modificaron

Para ver resultados nuevos y activos, en la pestaña Resultados, haz clic en Resultados modificados. Para incluir los resultados inactivos, debes desactivar Mostrar solo resultados activos.

Todos los resultados se muestran en los siguientes subgrupos:

  • Activo (cambiado): los resultados estaban activos y cambiaron las propiedades durante el período seleccionado.
  • Activo (sin cambio): los resultados que están activos y no tuvieron propiedades modificadas durante el período seleccionado.
  • Inactivo (cambiado): los resultados que cambiaron a inactivo durante el período seleccionado. Este valor es siempre 0 si está desactivado Mostrar solo los resultados activos, incluso si hay resultados modificados inactivos.
  • Inactivo (sin cambio): los resultados que están inactivos y cambiaron las propiedades durante el período seleccionado. Este valor es siempre 0 si está desactivado Mostrar solo los resultados activos, incluso si hay resultados sin modificar.
  • Nuevos: Son los resultados nuevos durante el período seleccionado.

La pestaña de resultados se muestra por un período, con varias opciones entre 1 hora y 12 meses. Para especificar un intervalo de tiempo a fin de mostrar los resultados, usa la lista desplegable junto a Mostrar solo resultados activos.

Visualización según la gravedad del resultado

Cuando ves los resultados por Gravedad, los resultados se agrupan por gravedad en las siguientes categorías:

  • Crítico
    • Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
    • Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
  • Alta:
    • Una vulnerabilidad de alto riesgo se puede detectar con facilidad y se podría aprovechar en combinación con otras vulnerabilidades a fin de obtener acceso directo para ejecutar código arbitrario o robar datos y obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
    • Una amenaza de alto riesgo es crear recursos de procesamiento en un entorno, pero no puede acceder a datos ni ejecutar código en recursos existentes.
  • Media
    • Un actor intermedio puede usar una vulnerabilidad de riesgo medio para obtener acceso a recursos o privilegios, lo que les permite acceder de manera eventual a los datos y la capacidad de robar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
    • Una amenaza de riesgo medio podría causar un impacto organizativo, pero no puede acceder a datos ni ejecutar código no autorizado.
  • Baja
    • Una vulnerabilidad de bajo riesgo afecta la capacidad de una organización de seguridad de detectar vulnerabilidades o amenazas activas en su implementación, o evitan la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
    • Una amenaza de bajo riesgo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar el código ni crear recursos.
  • Sin especificar: El nivel de riesgo de búsqueda no se especifica cuando un proveedor de resultados no establece valores de gravedad para sus resultados.

Puedes ver los resultados por gravedad de las siguientes maneras:

  • Para ver los resultados agrupados por gravedad, en la pestaña Resultados, haz clic en Gravedad.
  • Para ver resultados individuales de una gravedad específica, en Encontrar gravedad, selecciona la gravedad que deseas revisar.
  • Para ver información detallada sobre un resultado específico, haz clic en el resultado category.

Para ver los resultados por categoría en una fecha específica, usa el menú desplegable Tiempo junto a Mostrar solo resultados activos.

Administra resultados

Administra las marcas de seguridad para los resultados o cambia el estado del resultado mediante el Panel de información en el panel de Security Command Center.

Administra las marcas de seguridad

Para agregar marcas de seguridad a los resultados, sigue estos pasos:

  1. En category, selecciona uno o más resultados.
  2. En el Panel de información, en Marcas de seguridad, haz clic en Agregar marca.
  3. Agrega elementos Clave y Valor para identificar las categorías de resultados.

    Por ejemplo, si deseas marcar los resultados que forman parte del mismo incidente, agrega una clave “número de incidente” y un valor “1234”. La nueva marca de seguridad se adjunta a cada resultado en la forma mark.incident-number: 1234.

  4. Cuando termines de agregar las marcas, haz clic en Guardar.

Para quitar las marcas de seguridad de los resultados, sigue estos pasos:

  1. En category, selecciona uno o más resultados.
  2. En el Panel de información, en SecurityMarks, haz clic en Quitar.

Administra el estado de los resultados

Cambia el estado de los resultados a activo o inactivo mediante el Panel de información en el panel de Security Command Center:

  1. En category, selecciona uno o más resultados.
  2. En el Panel de información, en Acciones, selecciona Activo o Inactivo en Estado de la lista desplegable. Si los resultados que seleccionaste son una combinación de inactiva y activa, el Estado se muestra como Combinado hasta que selecciones un estado nuevo.
  3. Cuando termines de cambiar el estado del resultado, haz clic en Guardar.

Configura la pantalla de resultados

Puedes controlar algunos de los elementos que aparecen en la pestaña Resultados.

Columnas

De forma predeterminada, la pestaña de resultados muestra las siguientes columnas:

  • Tipo de resultado: category
  • ID de elemento: resourceName
  • Hora en que se detectó el resultado por última vez: eventTime
  • Hora en que se detectó por primera vez el resultado: createTime
  • La fuente del resultado: parent
  • Se agregaron las marcas al resultado: securityMarks.marks

Puedes ocultar cualquier columna, excepto category, y seleccionar más columnas de detalles de resultado para mostrar.

  1. Para seleccionar las columnas de resultado que deseas mostrar, haz clic en Opciones de visualización de columnas.
  2. En el menú emergente, selecciona las columnas que deseas mostrar.
  3. Para ocultar una columna, haga clic en el nombre de la columna.

Para guardar las selecciones de columnas, haz clic en Recordar columnas. Las selecciones de columna se aplican a todas las vistas en la pestaña Resultados. Cuando seleccionas columnas, la URL de Cloud Console se actualiza para que puedas compartir el vínculo de una vista personalizada.

Las selecciones de columnas se conservan la próxima vez que veas el panel y si cambias de organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Restablecer columnas.

Paneles

Para controlar el espacio de pantalla de los resultados, puedes cambiar las siguientes opciones:

  • Para ocultar el panel lateral Seguridad de Cloud Console, haz clic en la flecha izquierda.
  • Para cambiar el tamaño de las columnas de visualización de los resultados, arrastra la línea divisoria izquierda o derecha.
  • Para ocultar el panel lateral Selecciona un resultado, haz clic en Ocultar panel de información.

Orígenes

La pestaña Fuentes contiene tarjetas que proporcionan un resumen de los recursos y resultados de las fuentes de seguridad que habilitaste. Las tarjetas de cada fuente de seguridad muestran algunos de los hallazgos de esa fuente. Puedes hacer clic en el nombre de la categoría de resultado para ver todos los resultados de esa categoría.

Resumen de activos

La tarjeta de Resumen de activos muestra un recuento de cada tipo de activo de tu organización en función del análisis más reciente. La pantalla incluye elementos nuevos, borrados y totales para el período que especifiques. Puedes ver el resumen como una tabla o un gráfico.

  • Para ver el resumen de un intervalo de tiempo reciente, selecciona una hora en la lista desplegable en la tarjeta Activos.
  • Para ver el resumen de una fecha y hora específicas, haz clic en Ver todos los recursos y, luego, selecciona la fecha y la hora en la lista desplegable de tiempo.
  • Para ver la jerarquía de árbol de tu organización, haz clic en un tipo de recurso o Ver todos los recursos.
  • Para ver los detalles de un activo individual, selecciona la pestaña Activos y, luego, haz clic en su nombre.

Resumen de resultados

La tarjeta Resumen de resultados muestra un recuento de cada categoría de resultados que proporcionan las fuentes de seguridad habilitadas.

  • Para ver los detalles de los resultados de una fuente específica, haz clic en el nombre de la fuente.
  • Para ver los detalles de todos los resultados, haz clic en la pestaña Resultados, en la que puedes agrupar resultados o ver detalles de un resultado individual.

Consultas de Security Command Center

En esta sección, se describe cómo ejecutar consultas comunes para revisar tus recursos mediante Security Command Center.

Solo puedes seleccionar estos filtros en el panel del Security Command Center si tu organización tiene el tipo de recurso relacionado. Si recibes el mensaje de error “Selecciona una de las claves sugeridas”, es posible que tu organización no tenga ese tipo de recurso.

Para ejecutar consultas, usa el cuadro de texto Filtrar por en la pestaña Recursos. A continuación, se muestran algunas consultas comunes que pueden resultarte útiles:

Tipo de consulta Filtrar por
Busca depósitos con LCA heredadas públicas resourceProperties.acl:allUserso bienresourceProperties.acl:allAuthenticatedUsers
Busque reglas de firewall con el puerto SSH 22 abierto desde cualquier red resourceProperties.allowed:22o bienresourceProperties.sourceRange:0.0.0.0/0
Busca VM con direcciones IP públicas resourceProperties.networkInterface:externalIP
Busca propietarios de recursos fuera de tu organización -securityCenterProperties.resourceOwners:@your-domain
Busca y supervisa el estado del SO en las VM resourceProperties.disk:licenses

¿Qué sigue?