Utiliser le tableau de bord Security Command Center

Accédez à Security Command Center, configurez l'affichage et consultez vos ressources Google Cloud. Si Security Command Center n'est pas déjà configuré pour votre organisation, suivez d'abord le guide permettant de configurer Security Command Center.

Avant de commencer

Pour utiliser Security Command Center, vous devez disposer d'un rôle IAM (Identity and Access Management) comprenant les autorisations appropriées :

  • Le lecteur administrateur du centre de sécurité vous permet d'afficher Security Command Center.
  • L'éditeur de l'administrateur du centre de sécurité vous permet d'afficher Security Command Center et d'y apporter des modifications.

Si vos règles d'administration sont définies sur restreindre les identités par domaine, vous devez être connecté à Cloud Console avec un compte appartenant à un domaine autorisé.

Les rôles Security Command Center sont attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments, les sources de sécurité et les marques de sécurité dépend du niveau auquel vous avez accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Accéder au tableau de bord

La page Security Command Center de Cloud Console est appelée tableau de bord. Pour accéder au tableau de bord Security Command Center, procédez comme suit :

  1. Accédez à la page "Security Command Center" de Cloud Console.
    Accéder à la page "Security Command Center"
  2. Sélectionnez l'organisation que vous souhaitez examiner.

Le tableau de bord Security Command Center offre un aperçu complet des résultats de la détection des risques potentiels pour vos ressources

Utiliser le tableau de bord

Lorsque vous accédez à Security Command Center, l'onglet Overview (Présentation) s'affiche, comme illustré ci-dessous. Cet onglet fournit un récapitulatif des résultats les plus critiques de votre organisation afin que vous puissiez hiérarchiser les correctifs.

Tableau de bord SCC

Vous pouvez définir des périodes personnalisables pour examiner les résultats et créer des rapports, mais aussi pour accéder à d'autres onglets du tableau de bord.

Pour en savoir plus sur le contenu de l'onglet d'un tableau de bord, cliquez sur le nom de l'onglet dans le menu suivant.

Présentation

Le tableau de bord Présentation affiche le nombre total de résultats dans votre organisation par niveau de gravité. Les totaux incluent les résultats de tous les services et sources intégrés. Vous pouvez modifier la période affichée dans l'ensemble de cet onglet selon une plage allant d'une heure à six mois.

  • Les résultats par gravité présentent les failles actives et les nouvelles menaces, segmentées par gravité. Des détails sur les niveaux de gravité sont disponibles dans l'onglet Résultats.
  • La section Active Vulnerabilities Over Time By Severity (Failles actives au fil du temps, regroupées par gravité) est un écran graphique qui montre les modifications apportées aux failles.
  • La section Nouvelles menaces au fil du temps indique le nombre de nouvelles menaces détectées par jour. Il fournit les totaux horaires des résultats.

Des tableaux supplémentaires affichent les résultats regroupés par catégorie, par type d'élément et par projet. Ils vous permettent d'afficher le nombre de détections de chaque faille et les ressources les plus affectées.

Menaces

Le tableau de bord Menaces vous permet d'examiner les événements potentiellement dangereux dans les ressources Google Cloud de votre organisation.

  • La section Menaces par niveau de gravité indique le nombre de menaces dans chaque niveau de gravité.
  • La section Menaces par catégorie indique le nombre de résultats dans chaque catégorie pour tous les projets.
  • La section Menaces par ressource indique le nombre de résultats pour chaque ressource de votre organisation.

Le tableau de bord des menaces affiche les résultats correspondant à la période spécifiée dans la liste déroulante. La liste déroulante présente plusieurs options comprises entre une heure et "depuis le début", qui affiche tous les résultats depuis l'activation du service. La période sélectionnée est enregistrée entre les sessions.

Failles

L'onglet Failles affiche les résultats et les recommandations de Security Health Analytics, y compris les colonnes suivantes :

  • État : une icône indique si le détecteur est actif et s'il a trouvé un résultat à corriger. Lorsque vous placez le pointeur de la souris sur l'icône d'état, une info-bulle indique la date et l'heure auxquelles le détecteur a trouvé le résultat ou des informations permettant de valider la recommandation.
  • Dernière analyse : date et heure de la dernière analyse du détecteur.
  • Catégorie : type du résultat. Pour obtenir la liste des résultats potentiels de Security Health Analytics, consultez la page Résultats de l'analyse de l'état de la sécurité.
  • Recommandation : résumé indiquant comment corriger le résultat. Pour en savoir plus, consultez la page Corriger les résultats de l'analyse de l'état de la sécurité.
  • Actif : nombre total de résultats dans la catégorie.
  • Gravité : niveau de risque relatif de la catégorie de résultat.
  • Analyses comparatives : analyse comparative de conformité pour laquelle la catégorie de résultat s'applique, le cas échéant. Pour en savoir plus sur les analyses comparatives, consultez la page Résultats concernant les failles.

Filtrer les résultats

Une grande organisation peut avoir de nombreux résultats de failles à examiner, trier et suivre dans tout son déploiement. En utilisant Security Command Center avec les filtres disponibles, vous pouvez vous concentrer sur les failles les plus critiques de votre organisation, et examiner les failles par type d'élément, marque de sécurité, etc.

Afficher les résultats de Security Health Analytics par projet

Pour afficher les résultats de Security Health Analytics par projet dans l'onglet Failles, procédez comme suit :

  1. Sous Filtre de projets, cliquez sur Ajouter un projet au filtre de projets ().
  2. Dans la boîte de dialogue de recherche qui s'affiche, sélectionnez le projet pour lequel vous souhaitez afficher les résultats.

L'onglet Failles affiche la liste des résultats pour le projet que vous avez sélectionné.

Afficher les résultats de Security Health Analytics par catégorie

Affichez les résultats de Security Health Analytics par catégorie dans l'onglet Failles en cliquant sur le nom de la catégorie dans la colonne Catégorie.

L'onglet Résultats se charge et affiche la liste des résultats correspondant à la catégorie que vous avez sélectionnée.

Afficher les résultats par type d'élément

Pour afficher les résultats de Security Health Analytics pour un type d'élément spécifique, utilisez l'onglet Résultats :

  1. Accédez à la page Résultats de Security Command Center dans Cloud Console.
    Accéder à la page Résultats
  2. À côté de Afficher par, cliquez sur Type de source, puis sélectionnez Security Health Analytics.
  3. Dans la zone Filtre, saisissez resourceName: asset-type. Par exemple, pour afficher les résultats de Security Health Analytics pour tous les projets, saisissez resourceName: projects.

La liste des résultats se met à jour et affiche tous les résultats pour le type d'élément que vous avez spécifié.

Marquer des éléments et des résultats avec des marques de sécurité

Dans Security Command Center, vous pouvez ajouter des propriétés personnalisées aux résultats et aux éléments à l'aide de marques de sécurité. Celles-ci vous permettent d'identifier les domaines d'intérêt prioritaires, tels que les projets de production, les résultats de tags avec des numéros de suivi des bugs et des incidents, etc.

Ajouter à la liste d'autorisation des résultats de Security Health Analytics à l'aide de marques de sécurité

Vous pouvez ajouter des éléments à des listes d'autorisation dans l'analyse de l'état de la sécurité de sorte qu'un détecteur ne crée pas de résultat de sécurité pour l'élément. Lorsque vous ajoutez un élément sur une liste d'autorisation, le résultat est marqué comme résolu lors de l'exécution de la prochaine analyse. Ce paramètre est utile lorsque vous ne souhaitez pas examiner les résultats relatifs à la sécurité des projets isolés ou relevant des paramètres d'entreprise acceptables.

Pour ajouter un élément à une liste d'autorisation, ajoutez une marque de sécurité allow_finding-type pour un type de résultat spécifique. Par exemple, pour le type de résultat SSL_NOT_ENFORCED, utilisez la marque de sécurité allow_ssl_not_enforced:true.

Pour obtenir la liste complète des types de résultats, consultez la page Résultats de l'analyse de l'état de la sécurité. Pour en savoir plus sur les marques de sécurité et les techniques d'utilisation correspondantes, consultez la page Utiliser des marques de sécurité.

Afficher le nombre de résultats actifs par type de résultat

Pour afficher le nombre de résultats actifs par type de résultat, utilisez Cloud Console ou les commandes de l'outil de ligne de commande gcloud.

Console

Le tableau de bord de Security Health Analytics vous permet d'afficher le nombre de résultats actifs pour chaque type de résultat.

Pour afficher les résultats de l'analyse de l'état de sécurité par type de résultat, procédez comme suit :

  1. Accédez à Security Command Center dans Cloud Console.
    Accéder à Security Command Center
  2. Pour afficher les résultats de Security Health Analytics, cliquez sur l'onglet Failles.
  3. Pour trier les résultats en fonction du nombre de résultats actifs pour chaque type de résultat, cliquez sur l'en-tête de colonne Actif.

gcloud

Pour utiliser l'outil gcloud afin d'obtenir le nombre de tous les résultats actifs, vous devez interroger Security Command Center pour obtenir l'ID source de Security Health Analytics. Vous devez ensuite utiliser l'ID source pour interroger le nombre de résultats actifs.

Étape 1 : Obtenir l'ID source

Pour effectuer cette étape, vous devez obtenir l'ID de votre organisation, puis l'ID source. Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center.

  1. Obtenez l'ID de votre organisation en exécutant gcloud organizations list, puis notez le numéro situé à côté du nom de l'organisation.
  2. Obtenez l'ID source de Security Health Analytics en exécutant la commande suivante :

    gcloud scc sources describe organizations/your-organization-id
    --source-display-name='Security Health Analytics'

  3. Si vous y êtes invité, activez l'API Security Command Center, puis exécutez la commande précédente pour obtenir à nouveau l'ID source de Security Health Analytics.

La commande permettant d'obtenir l'ID source doit afficher un résultat semblable à celui-ci :

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

Notez la valeur de source-id afin de pouvoir l'utiliser à l'étape suivante.

Étape 2 : Obtenir le nombre de résultats actifs

Utilisez la valeur de source-id que vous avez notée à l'étape précédente pour filtrer les résultats de Security Health Analytics. La commande de l'outil gcloud suivante renvoie le nombre de résultats par catégorie :

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

Vous pouvez définir la taille de la page sur une valeur ne dépassant pas 1 000. La commande doit afficher un résultat semblable à celui-ci, avec des résultats provenant de votre organisation :

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

Conformité

L'onglet Conformité du tableau de bord vous permet d'examiner votre état de non-respect des règles et d'exporter des rapports. Ce tableau de bord fournit un résumé du nombre de détecteurs associés à chaque norme de conformité surveillée par l'analyse de l'état de la sécurité.

Cette section explique comment utiliser les détecteurs d'analyse de l'état de la sécurité et Web Security Scanner pour détecter les cas de non-respect des contrôles de conformité courants, tels que ceux décrits dans le benchmark CIS de Google Cloud CIS v1.0.1, CIS de Google Cloud. Les bases de l'analyse comparative v1.0.0, la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) v3.2.1, et plus encore. L'analyse de l'état de la sécurité peut surveiller les cas de non-respect des contrôles de conformité courants en fonction des bonnes pratiques de Google à fournir. Il ne remplace pas un audit de conformité, mais peut vous aider à maintenir votre conformité continue et à détecter les cas de non-respect précoce.

Le tableau de bord de conformité indique le nombre de vérifications pour chaque standard qui se trouve à l'état "Avertissement" et "Conforme" :

  • État d'avertissement : un ou plusieurs résultats actifs (non-respect) sont associés à cette vérification.
  • État de réussite : aucune violation n'a été détectée lors de la vérification.

Vous pouvez filtrer l'onglet "Conformité" du tableau de bord par projet, et afficher ou exporter des rapports sur des résultats spécifiques concernant le CIS et la norme PCI. Ces rapports se basent sur les résultats de Security Health Analytics et sont chargés dans l'onglet "Failles".

Exporter des rapports de conformité

Vous pouvez exporter un rapport au format CSV qui rassemble les résultats des violations pour une analyse comparative de conformité spécifique. Pour générer un rapport, procédez comme suit :

  1. Accédez à l'onglet Conformité de Security Command Center dans Cloud Console.
    Accéder à l'onglet "Conformité"
  2. Cliquez sur Exporter à côté du rapport que vous souhaitez télécharger.
  3. Dans la fenêtre Exporter qui s'affiche, configurez l'exportation :
    1. Sélectionnez le rapport d'analyse comparative que vous souhaitez télécharger.
    2. Sélectionnez la date et l'heure de l'instantané de rapport.
    3. Vous pouvez éventuellement filtrer l'exportation par projet.
  4. Lorsque vous avez terminé de configurer l'exportation, cliquez sur Exporter, puis sélectionnez l'emplacement où vous souhaitez enregistrer le rapport au format CSV.

Les exportations de rapports de conformité incluent les éléments suivants :

  • Les projets concernés
  • La date du rapport
  • Les résultats concernés par le rapport
  • Le nombre de ressources analysées
  • Le nombre de ressources qui ne respectent pas le contrôle spécifique

Pour en savoir plus sur les résultats de l'analyse de l'état de la sécurité et sur le mappage entre des détecteurs de sécurité compatibles et des normes de conformité, consultez la section Résultats des failles.

Éléments

L'onglet Éléments fournit un affichage détaillé de toutes les ressources Google Cloud, appelées éléments, de votre organisation. L'onglet "Éléments" vous permet d'afficher les éléments de l'ensemble de votre organisation ou de filtrer les éléments par projet, par type d'élément ou par type de modification. Pour afficher les détails d'un élément spécifique, tels que ses attributs, les propriétés de la ressource et les résultats associés, cliquez sur le nom de l'élément dans la colonne resourceProperties.name.

Les éléments sont analysés automatiquement deux fois par jour. Vous pouvez également lancer une analyse manuelle d'éléments en cliquant sur Analyser à nouveau dans l'onglet "Éléments". La valeur updateTime des résultats peut varier pour une analyse automatique ou manuelle donnée. Cette variance est généralement inférieure à 10 minutes.

La fraîcheur de l'inventaire des éléments dépend de la découverte et de l'indexation de la source des éléments :

  • L'actualisation est généralement inférieure à une minute pour les éléments préexistants.
  • Les éléments qui n'ont pas été détectés et indexés lors d'une analyse quotidienne ou manuelle apparaissent dans l'inventaire des éléments après leur découverte et leur indexation.

Utiliser l'onglet "Éléments"

L'onglet "Éléments" propose des filtres intégrés et personnalisables qui vous permettent d'afficher une liste filtrée d'éléments.

Afficher les éléments par projet

Par défaut, tous les éléments sont affichés dans la hiérarchie des organisations et des projets. Pour afficher les éléments associés à une ressource spécifique, sélectionnez Projet à côté de Afficher par. Sélectionnez ensuite l'organisation ou le projet que vous souhaitez examiner.

Affichage par type d'élément

Pour afficher les éléments regroupés par type de ressource dans l'onglet "Éléments", cliquez sur Type d'élément. Les éléments sont maintenant regroupés dans les catégories "Applications", "Buckets", "Projets" et "Services". Les types d'éléments suivants sont actuellement acceptés :

  • Resource Manager
    • Organisation
    • Projet
  • App Engine
    • Application
    • Service
    • Version
  • Compute Engine
    • Adresse
    • Autoscaler
    • BackendBucket
    • BackendService
    • BillingAccount
    • Disque
    • Pare-feu
    • ForwardingRule
    • Adresse globale
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • Image
    • Instance
    • InstanceGroup
    • InstanceGroupManager
    • InstanceTemplate
    • Rattachement de l'interconnexion
    • Licence
    • Réseau
    • Groupes de points de terminaison du réseau
    • RegionBackendService
    • Disque régional
    • Règles de ressources
    • Routage
    • SecurityPolicy
    • Snapshot
    • SslCertificate
    • Sous-réseau
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetInstance
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VPNVLAN
    • VpnTunnel
  • Cloud DNS
    • Zone gérée
    • Règle
  • IAM
    • ServiceAccount
    • Clé de compte de service
  • Cloud Spanner
    • Base de données
    • Instance
  • Cloud Storage
    • Bucket
  • Google Kubernetes Engine
    • Cluster
  • Container Registry
    • Image
  • Cloud Logging
    • LogMetric
  • BigQuery
    • Ensemble de données
  • Cloud Key Management Service
    • CryptoKey
    • CryptoKeyVersion
    • ImportJob
    • KeyRing
  • Dataproc
    • Cluster
  • Dataflow
    • Tâche
  • Cloud SQL
    • Instance

Pour afficher des ressources individuelles pour un type d'élément spécifique, sélectionnez le type d'élément à examiner dans la liste Type d'élément. Pour afficher les détails d'un élément spécifique, cliquez sur son nom. Pour afficher tous les projets Google Cloud de votre organisation, filtrez la liste des éléments à l'aide de securityCenterProperties.resourceType:resourcemanager.Project.

Afficher par éléments modifiés

Dans l'onglet "Éléments", Éléments modifiés affiche tous les éléments actifs pendant la période que vous sélectionnez. Tous les éléments ajoutés pendant cette période sont également regroupés dans la catégorie Ajoutés. Pour modifier la période d'affichage des résultats, cliquez sur la liste déroulante située à côté d'Éléments modifiés.

Remarque:Les tableaux de l'onglet Éléments ne peuvent pas être triés. Pour affiner les résultats ou localiser des enregistrements pour des éléments spécifiques, appliquez des filtres.

Afficher par stratégie IAM

L'onglet "Éléments" affiche les stratégies IAM associées aux éléments de la colonne iamPolicy.policy_blob. Pour afficher la colonne iamPolicy, cliquez sur Options d'affichage des colonnes, puis saisissez iamPolicy

Pour afficher les détails de la stratégie IAM pour un élément spécifique, cliquez sur Afficher à côté de l'élément. Les stratégies IAM s'affichent également dans le panneau de détails des éléments lorsque vous cliquez sur le nom de l'élément dans la colonne resourceProperties.name.

Configurer l'onglet "Éléments"

Vous pouvez contrôler certains des éléments qui s'affichent dans l'onglet "Éléments".

Colonnes

Par défaut, l'onglet "Éléments" comprend les colonnes suivantes :

  • Nom de l'élément : resourceProperties.name
  • Nom de la ressource : name
  • Type d'élément : securityCenterProperties.resourceType
  • Propriétaire de l'élément : securityCenterProperties.resourceOwners
  • Toute marque ajoutée à l'élément : securityMarks.marks

Vous pouvez masquer toutes les colonnes à l'exception de resourceProperties.name, et sélectionner d'autres colonnes de détails d'éléments à afficher :

  1. Pour sélectionner les colonnes d'éléments que vous souhaitez afficher, cliquez sur Options d'affichage des colonnes.
  2. Dans le menu qui s'affiche, sélectionnez les colonnes que vous voulez afficher.
  3. Pour masquer une colonne, cliquez sur son nom pour décocher la case située à côté de ce nom.

Pour enregistrer vos sélections de colonnes, cliquez sur Mémoriser les colonnes. Les sélections de colonnes s'appliquent à toutes les vues de l'onglet Éléments. Lorsque vous sélectionnez des colonnes, l'URL de Cloud Console est mise à jour. Vous pouvez donc partager le lien vers une vue personnalisée.

Les sélections de colonnes sont conservées la prochaine fois que vous consultez le tableau de bord, et si vous modifiez des organisations. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Réinitialiser les colonnes.

Panneaux

Pour contrôler l'espace d'affichage de l'onglet "Éléments", vous pouvez modifier les options suivantes :

  • Masquez le panneau latéral Sécurité de Cloud Console en cliquant sur la flèche vers la gauche. 
  • Redimensionnez les colonnes d'affichage des éléments en faisant glisser la ligne de séparation vers la gauche ou vers la droite.
  • Masquez le panneau latéral Sélectionner un élément en cliquant sur Masquer le panneau d'informations.

Pour modifier la date et l'heure pour lesquelles l'inventaire des éléments affiche les résultats, cliquez sur la liste déroulante "Date et heure", puis sélectionnez la date et l'heure souhaitées.

Trier les éléments

Pour trier les éléments, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

Données

L'onglet Résultats affiche l'inventaire détaillé des résultats pour tous les éléments de votre organisation. L'affichage des résultats vous permet de visualiser les risques de sécurité potentiels pour votre organisation.

La fraîcheur de l'inventaire des éléments dépend des sources de résultats :

  • L'actualisation des résultats du tableau de bord de Security Command Center est généralement inférieure à une minute après l'ingestion à partir de la source des résultats.
  • Les éléments qui n'ont pas été découverts et indexés lors d'une analyse automatique ou manuelle apparaissent généralement dans l'inventaire des résultats dans la minute qui suit leur découverte.

Par défaut, l'onglet "Résultats" n'affiche que les résultats actifs. Pour activer ou désactiver l'affichage des résultats inactifs, cliquez sur le bouton d'activation situé à côté de Afficher seulement les résultats actifs.

Pour afficher les détails d'un résultat spécifique, cliquez sur celui-ci. Le panneau de détails des résultats affiche des attributs tels que l'élément concerné et l'heure de l'événement. Certains types de résultats incluent plus d'attributs. Par exemple, un événement de minage de cryptomonnaie peut inclure les attributs suivants :

  • abuse_target_ips : adresse IP du pool de minage.
  • urls : URL du pool de minage.
  • vm_host_and_names : VM spécifiques qui ont été détectées comme effectuant du minage de cryptomonnaie.
  • vm_ips : adresses IP des VM concernées

Conservation des résultats

Les résultats contiennent une série d'instantanés event_time qui capturent l'état et les propriétés du résultat chaque fois que la faille ou la menace associée est détectée lors des analyses.

Security Command Center stocke les instantanés pendant 13 mois à partir de leur event_time, ou du moment où l'événement s'est produit. Passé ce délai, les instantanés de résultats et leurs données sont supprimés de la base de données Security Command Center et ne peuvent plus être récupérés. Cela se traduit par un nombre d'instantanés moins important dans un résultat, ce qui limite la capacité à afficher l'historique d'un résultat et son évolution dans le temps.

Un résultat persiste dans Security Command Center tant qu'il contient au moins un instantané avec un event_time plus récent que 13 mois. Pour conserver les résultats et toutes leurs données pendant une période plus longue, exportez-les vers un autre emplacement de stockage. Consultez la page Exporter des données Security Command Center pour obtenir des instructions.

Afficher par catégorie de résultat

Par défaut, les résultats sont affichés dans des catégories spécifiques telles que les scripts intersites (XSS) et l'exposition du numéro de carte de crédit ou du numéro de téléphone. Si vous laissez le champ de catégorie vide lorsque vous créez un résultat, celui-ci n'a pas de catégorie dans l'affichage des résultats.

  • Pour afficher les détails d'un type de risque spécifique, sélectionnez Catégorie à côté de Afficher par. Sélectionnez ensuite le type de risque que vous souhaitez examiner.
  • Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur le résultat sous category dans le tableau.

Pour afficher les résultats par catégorie à une date spécifique, utilisez la liste déroulante située au-dessus du tableau.

Afficher par type de source

Une source de résultats est un fournisseur de résultats, tel que Web Security Scanner ou Cloud DLP. Ces sources incluent les éléments suivants :

  • Analyseurs qui fournissent un "échantillon instantané" des résultats à un moment spécifique
  • Systèmes de surveillance qui fournissent un flux d'événements de résultats
  • Enregistreurs qui consignent et fournissent l'historique des événements

Vous pouvez afficher les résultats par source des manières suivantes :

  • Pour afficher le nombre de résultats par type de source, cliquez sur Type de source sous l'onglet Résultats. Une liste présente les résultats groupés.
  • Pour afficher des résultats individuels pour un type de source spécifique, sélectionnez la source que vous souhaitez examiner dans la liste des résultats groupés. La table affiche les résultats correspondant au type de source sélectionné.
  • Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur celui-ci sous category.

Pour afficher les résultats par catégorie à une date spécifique, utilisez la liste déroulante située au-dessus du tableau.

Afficher par résultats modifiés

Pour afficher les résultats nouveaux et actifs, cliquez sur Résultats modifiés sous l'onglet Résultats. Pour inclure les résultats inactifs, vous devez désactiver l'option Afficher seulement les résultats actifs

Tous les résultats sont affichés dans les sous-groupes suivants :

  • Actif (modifié) : les résultats étaient actifs et leurs propriétés ont été modifiées au cours de la période sélectionnée.
  • Actif (aucune modification) : les résultats sont actifs et leurs propriétés n'ont pas été modifiées au cours de la période sélectionnée.
  • Inactif (modifié) : les résultats sont devenus inactifs au cours de la période sélectionnée. Cette valeur est toujours égale à 0 si l'option Afficher seulement les résultats actifs est désactivée, même si des résultats modifiés et inactifs existent.
  • Inactif (aucune modification) : les résultats sont inactifs et leurs propriétés ont été modifiées au cours de la période sélectionnée. Cette valeur est toujours égale à 0 si l'option Afficher seulement les résultats actifs est désactivée, même si des résultats non modifiés et inactifs existent.
  • Nouveau : nouveaux résultats au cours de la période sélectionnée.

L'onglet des résultats s'affiche pour une certaine période, qui peut être comprise entre une heure et "Toute la période". Pour spécifier une période d'affichage des résultats, saisissez une période dans le menu déroulant situé au-dessus du tableau.

Afficher par gravité des résultats

Lorsque vous affichez les résultats par niveau de gravité, les résultats sont regroupés dans les catégories suivantes :

  • Critique :
    • Une faille critique est facilement détectable et peut être exploitée pour exécuter directement du code arbitraire, exfiltrer des données et obtenir des accès et des droits supplémentaires dans les ressources et les workflows cloud. Il peut s'agir, par exemple, d'informations sur l'utilisateur accessibles publiquement et d'un accès SSH public avec des mots de passe peu sécurisés ou aucun mot de passe.
    • Une menace critique parvient à accéder aux données, à les modifier ou à les supprimer, ou encore à exécuter du code non autorisé dans vos ressources existantes.
  • Élevée :
    • Une faille élevée est facile à trouver et pourrait être exploitée conjointement à d'autres failles pour avoir un accès direct permettant d'exécuter du code arbitraire ou d'exfiltrer des données, et pour obtenir des accès et des droits supplémentaires sur les ressources et les charges de travail. Par exemple, une base de données qui présente des mots de passe peu sécurisés ou aucun mot de passe, et qui n'est accessible qu'en interne peut être compromise par un individu ayant accès au réseau interne.
    • Une menace élevée amène la possibilité de créer des ressources de calcul dans un environnement, mais pas celle d'accéder aux données ni d'exécuter de code dans des ressources existantes.
  • Moyenne :
    • Une faille moyenne pourrait être utilisée par un individu pour accéder aux ressources ou aux droits lui permettant d'obtenir à terme un accès et la possibilité d'exfiltrer des données ou d'exécuter du code arbitraire. Par exemple, si un compte de service dispose d'un accès inutile aux projets et qu'un individu y accède, celui-ci pourrait utiliser ce compte de service pour manipuler un projet.
    • Une menace moyenne pourrait avoir un impact organisationnel, mais ne donne pas la possibilité d'accéder aux données ni d'exécuter de code non autorisé.
  • Faible :
    • Une faille faible compromet la détection par une organisation de sécurité des failles ou des menaces actives dans son déploiement, ou empêche l'investigation de l'origine des problèmes de sécurité. Par exemple, un scénario dans lequel la surveillance et les journaux sont désactivés pour les configurations et l'accès aux ressources.
    • Une menace faible a obtenu un accès minimal à un environnement, mais ne peut pas accéder aux données, exécuter du code ni créer de ressources.
  • Non spécifié : le niveau de risque n'est pas spécifié lorsqu'un fournisseur de résultats ne définit pas la valeur de gravité de ses résultats.

Vous pouvez afficher les résultats par gravité des manières suivantes :

  • Pour afficher les résultats regroupés par gravité, sous l'onglet Résultats, cliquez sur Gravité.
  • Pour afficher des résultats individuels pour une gravité spécifique, sélectionnez la gravité de votre choix sous Identifier le niveau de gravité.
  • Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur celui-ci sous category.

Pour afficher les résultats par catégorie à une date spécifique, utilisez la liste déroulante située au-dessus du tableau.

Gérer les résultats

Gérez les marques de sécurité des résultats ou modifiez l'état des résultats à l'aide du menu "Tableau" du tableau de bord Security Command Center.

Gérer les marques de sécurité

Pour ajouter des marques de sécurité aux résultats, procédez comme suit :

  1. Dans le tableau, cochez les cases à côté des noms de catégorie (category) pour un ou plusieurs résultats.
  2. Sélectionnez Définir des marques de sécurité.
  3. Dans la boîte de dialogue Marques de sécurité qui s'affiche, cliquez sur Ajouter une marque.
  4. Identifiez les catégories de résultats en ajoutant des éléments Clé et Valeur.

    Par exemple, si vous souhaitez marquer des résultats faisant partie du même incident, ajoutez une clé "incident-number" et une valeur "1234". La nouvelle marque de sécurité est associée à chaque résultat sous la forme mark.incident-number: 1234.

  5. Pour modifier une marque existante, saisissez du texte dans le champ Valeur.

  6. Pour supprimer des marques, cliquez sur l'icône représentant une corbeille à côté de celles-ci.

  7. Lorsque vous avez terminé d'ajouter des marques, cliquez sur Enregistrer.

Gérer l'état des résultats

Définissez l'état des résultats sur "Actif" ou "Inactif" à l'aide du menu "Tableau" du tableau de bord Security Command Center :

  1. Dans le tableau, cochez les cases à côté des noms de catégorie (category) pour un ou plusieurs résultats.
  2. Sélectionnez Modifier l'état de l'activité, puis Actif ou Inactif dans la liste déroulante. Si les résultats que vous avez sélectionnés sont une combinaison d'éléments actifs et inactifs, l'État affiche la valeur Mixte jusqu'à ce que vous sélectionniez un nouvel état.

Configurer l'affichage des résultats

Vous pouvez contrôler certains des éléments qui s'affichent dans l'onglet "Résultats".

Colonnes

Par défaut, l'onglet des résultats affiche les colonnes suivantes :

  • Type de résultat : category
  • ID d'élément : resourceName
  • Date/heure de la dernière détection du résultat : eventTime
  • Date/heure de la première détection du résultat : createTime
  • Source du résultat : parent
  • Toute marque ajoutée au résultat : securityMarks.marks

Vous pouvez masquer toutes les colonnes à l'exception de category, et sélectionner d'autres colonnes de détails de résultats à afficher :

  1. Pour sélectionner les colonnes de résultats que vous souhaitez afficher, cliquez sur l'icône Options d'affichage des colonnes au-dessus du tableau.
  2. Dans le menu qui s'affiche, sélectionnez les colonnes que vous voulez afficher.
  3. Pour masquer une colonne, cliquez sur son nom.

Pour enregistrer vos sélections de colonnes, cliquez sur Mémoriser les colonnes. Les sélections de colonnes s'appliquent à toutes les vues de l'onglet Résultats. Lorsque vous sélectionnez des colonnes, l'URL de Cloud Console est mise à jour. Vous pouvez donc partager le lien vers une vue personnalisée.

Les sélections de colonnes sont conservées la prochaine fois que vous consultez le tableau de bord, et si vous modifiez des organisations. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Réinitialiser les colonnes.

Panneaux

Pour organiser l'espace d'affichage dédié aux résultats, vous pouvez modifier les options suivantes :

  • Masquez le panneau latéral Sécurité de Cloud Console en cliquant sur la flèche vers la gauche. 
  • Redimensionnez les colonnes d'affichage des éléments en faisant glisser la ligne de séparation vers la gauche ou vers la droite.

Sources

L'onglet Sources contient des fiches récapitulant les éléments et les résultats issus des sources de sécurité que vous avez activées. La fiche de chaque source de sécurité indique certains des résultats de cette source. Vous pouvez cliquer sur le nom de la catégorie de résultats pour afficher tous les résultats de cette catégorie.

Récapitulatif des éléments

La fiche Récapitulatif des éléments affiche le nombre de types d'éléments détectés dans votre organisation lors de la dernière analyse. Cette vue présente les nouveaux éléments, les éléments supprimés et le nombre total d'éléments pour la période que vous spécifiez. Vous pouvez afficher le récapitulatif sous forme de tableau ou de graphique.

  • Pour afficher le récapitulatif pour une période récente, sélectionnez une heure dans la liste déroulante de la fiche Récapitulatif des éléments.
  • Pour afficher l'arborescence de votre organisation, cliquez sur un type d'élément ou sur Afficher tous les éléments en bas de la fiche pour accéder à l'onglet Éléments.
  • Pour afficher les détails d'un élément individuel, sélectionnez l'onglet "Éléments", puis cliquez sur le nom de l'élément concerné.

Récapitulatif des résultats

La fiche Récapitulatif des résultats affiche le nombre de catégories de résultats que fournissent vos sources de sécurité activées.

  • Pour afficher les détails des résultats d'une source spécifique, cliquez sur le nom de la source concernée.
  • Pour afficher les détails de tous les résultats, cliquez sur l'onglet Résultats, qui vous permet de regrouper les résultats ou d'afficher les détails d'un résultat spécifique.

Récapitulatifs des sources

Sous la fiche Récapitulatif des résultats, les fiches apparaissent pour toutes les sources intégrées et tierces que vous avez activées. Chaque fiche indique le nombre de résultats actifs pour cette source.

Explorer

L'onglet Explorer vous présente les fonctionnalités supplémentaires de Security Command Center et les services que vous pouvez y intégrer.

Requêtes Security Command Center

Cette section explique comment exécuter des requêtes courantes pour examiner vos ressources à l'aide de Security Command Center.

Vous ne pouvez sélectionner ces filtres dans le tableau de bord Security Command Center que si votre organisation dispose du type de ressource associé. Si le message d'erreur "Choisissez l'une des clés suggérées" s'affiche, il est possible que votre organisation ne dispose pas de ce type de ressource.

Pour exécuter des requêtes, utilisez la zone de texte Filtrer par dans l'onglet Éléments. Voici quelques requêtes courantes pouvant vous être utiles :

Type de requête Filtrer par
Trouver des ressources accessibles au public iamPolicy.policyBlob:allUsers OU iamPolicy.policyBlob:allAuthenticatedUsers
Rechercher des règles de pare-feu avec le port SSH 22 ouvert depuis n'importe quel réseau resourceProperties.allowed:22 OU resourceProperties.sourceRange:0.0.0.0/0
Rechercher des VM avec des adresses IP publiques resourceProperties.networkInterface:externalIP
Rechercher des propriétaires de ressources en dehors de votre organisation -securityCenterProperties.resourceOwners:@your-domain
Rechercher et surveiller l'état de l'OS dans les VM resourceProperties.disk:licenses
Rechercher des buckets pour lesquels la fonction bucketPolicyOnly est désactivée resourceProperties.iamConfiguration:"\"bucketPolicyOnly\"\:{\"enabled\"\:false"

En savoir plus sur le filtrage des éléments

Étape suivante