Como usar o painel do Security Command Center

Acesse a Security Command Center, configure a exibição e analise seus recursos do Google Cloud. Se o Security Command Center ainda não estiver configurado para sua organização, conclua o guia para configurar o Security Command Center primeiro.

Antes de começar

Para usar o Security Command Center, é necessário ter um papel de gerenciamento de identidade e acesso (IAM) que inclua as permissões apropriadas:

  • O Visualizador administrador da Central de segurança permite que você visualize o Security Command Center.
  • O Editor administrador da Central de segurança permite que você visualize o Security Command Center e faça alterações.

Se as políticas da organização estiverem definidas para restringir identidades por domínio, você precisará fazer login no Console do Cloud em uma conta que esteja em um domínio permitido.

Saiba mais sobre os papéis do Security Command Center.

Como acessar o painel

A página do Security Command Center no Console do Cloud é chamada de painel. Para acessar o painel do Security Command Center:

  1. Acesse a página Security Command Center no Console do Cloud.
    Acessar a página Security Command Center
  2. Selecione a organização que você quer analisar.

O painel do Security Command Center apresenta uma visão geral abrangente de possíveis descobertas de risco à segurança.

Como usar o painel

Quando você acessa o Security Command Center, a guia Visão geral é exibida. A guia fornece um resumo das descobertas mais avaliadas na sua organização, para que você consiga priorizar as correções. É possível definir intervalos de tempo personalizáveis para analisar as descobertas e criar relatórios, além de acessar outras guias do painel.

Para saber mais sobre o que uma guia do painel oferece, clique no nome da guia.

Visão geral

O painel Visão geral mostra o número total de descobertas na sua organização por nível de gravidade. O total inclui as descobertas de todos os serviços integrados e fontes integradas. É possível alterar o intervalo de tempo exibido em todas as áreas desta guia de 1 hora para 6 meses.

  • As Descobertas por gravidade mostram vulnerabilidades ativas e novas ameaças, segmentadas por gravidade. Detalhes sobre os níveis de gravidade estão disponíveis na guia Descobertas.
  • Vulnerabilidades ativas ao longo do tempo por gravidade é uma tela gráfica que mostra alterações em vulnerabilidades.
  • As Novas ameaças ao longo do tempo mostram o número de novas ameaças detectadas por dia. Elas fornecem totais por hora para descobertas.

Outras tabelas exibem descobertas agrupadas por categoria, tipo de recurso e projeto. Nas tabelas, é possível ver o número de vezes que cada vulnerabilidade foi detectada e os recursos mais afetados.

Ameaças

O painel Ameaças ajuda a analisar eventos potencialmente prejudiciais nos recursos do Google Cloud da sua organização.

  • Ameaças por gravidade mostra o número de ameaças em cada nível de gravidade.
  • Ameaças por categoria mostra o número de descobertas em cada categoria em todos os projetos.
  • Ameaças por recurso mostra o número de descobertas de cada recurso na sua organização.

O painel de ameaças exibe resultados para o período especificado na lista suspensa. A lista suspensa tem várias opções entre uma hora e "todo o período", que mostra todas as descobertas desde que o serviço foi ativado. O período selecionado é salvo entre as sessões.

Vulnerabilidades

A guia Vulnerabilidades exibe descobertas e recomendações do Security Health Analytics, incluindo as seguintes colunas:

  • Status: um ícone indica se o detector está ativo e se foi encontrada uma descoberta que precise ser encontrada. Quando você segura o ponteiro sobre o ícone de status, uma dica exibe a data e a hora em que o detector encontrou o resultado ou as informações sobre como validar a recomendação.
  • Última verificação: a data e a hora da última verificação para o detector.
  • Categoria: o tipo da descoberta. Para ver uma lista de possíveis descobertas do Security Health Analytics, consulte Descobertas da análise de integridade de segurança.
  • Recomendação: um resumo de como corrigir a descoberta. Para mais informações, consulte Como corrigir as descobertas do Security Health Analytics.
  • Ativo: o número total de descobertas na categoria.
  • Gravidade: o nível de risco relativo da categoria de descoberta.
  • Comparativos de mercado: o comparativo de mercado de compliance ao qual a categoria de descoberta se aplica, se houver. Para mais informações sobre comparativos de mercado, consulte Descobertas de vulnerabilidades.

Como filtrar descobertas

Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar o Security Command Center com os filtros disponíveis, você consegue se concentrar nas vulnerabilidades mais graves da organização e analisar vulnerabilidades por tipo de recurso, marcação de segurança e muito mais.

Como ver as descobertas do Security Health Analytics por projeto

Para ver as descobertas do Security Health Analytics por projeto na guia Vulnerabilidades:

  1. Em Filtro de projetos, clique em Adicionar um projeto ao filtro de projetos ().
  2. Na caixa de diálogo de pesquisa exibida, selecione o projeto para o qual você quer exibir as descobertas.

A guia Vulnerabilidades exibe uma lista de descobertas para o projeto selecionado.

Como visualizar as descobertas do Security Health Analytics por categoria

Para ver as descobertas do Security Health Analytics por categoria na guia Vulnerabilidades, clique no nome da categoria na coluna Categoria.

A guia Descobertas é carregada e exibe uma lista de descobertas que correspondem à categoria selecionada.

Como visualizar descobertas por tipo de recurso

Para visualizar as descobertas do Security Health Analytics para um tipo de recurso específico, use a guia Descobertas:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.
    Acessar a página "Descobertas"
  2. Ao lado de Ver por, clique em Tipo de fonte e selecione Security Health Analytics.
  3. Na caixa de filtro, digite resourceName: asset-type. Por exemplo, para exibir as descobertas do Security Health Analytics para todos os projetos, insira resourceName: projects.

A lista de descobertas é atualizada para exibir todas as descobertas do tipo de recurso especificado.

Como marcar recursos e descobertas com marcações de segurança

É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.

Como colocar descobertas do Security Health Analytics na lista de permissões usando marcações de segurança

Você pode colocar recursos na lista de permissões do Security Health Analytics para que o detector não crie uma descoberta de segurança para o recurso. Quando você autoriza um recurso, a descoberta é marcada como resolvida quando a próxima verificação é executada. Essa configuração é útil quando você não quer revisar as descobertas de segurança de projetos isolados ou que se enquadram em parâmetros de negócios aceitáveis.

Para colocar um recurso na lista de permissões, adicione uma marcação de segurança allow_finding-type para um tipo de descoberta específico. Por exemplo, no tipo de descoberta SSL_NOT_ENFORCED, use a marcação de segurança allow_ssl_not_enforced:true.

Para ver uma lista completa dos tipos de descoberta, consulte a página Descobertas do . Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança do Security Command Center.

Como visualizar a contagem de descobertas ativa por tipo de descoberta

Para ver as contagens de descobertas ativas por tipo, use o Console do Cloud ou os comandos da ferramenta de linha de comando gcloud.

Console

O painel do Security Health Analytics permite que você visualize uma contagem de descobertas ativas para cada tipo de descoberta.

Para ver os resultados do Security Health Analytics, localize o tipo:

  1. Acesse o Security Command Center no Console do Cloud.
    Acessar o Security Command Center
  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.
  3. Para classificar as descobertas pelo número de descobertas ativas para cada tipo, clique no cabeçalho da coluna Ativas.

gcloud

Para usar a ferramenta gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.

Etapa 1: conseguir o ID da origem

Para concluir esta etapa, consiga o ID da organização e o ID de origem. Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la.

  1. Receba o ID da organização executando gcloud organizations list e anote o número ao lado do nome da organização.
  2. Para receber o ID da origem da análise de integridade de segurança, execute:

    gcloud scc sources describe organizations/your-organization-id
    --source-display-name='Security Health Analytics'

  3. Se solicitado, ative a API Security Command Center e execute o comando anterior para receber o ID da origem do Security Health Analytics novamente.

O comando para receber o ID de origem precisa exibir a saída da seguinte forma:

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

Observe o source-id a ser usado na próxima etapa.

Etapa 2: receber a contagem de descobertas ativas

Use o source-id que você anotou na etapa anterior para filtrar as descobertas do Security Health Analytics. O seguinte comando de ferramenta gcloud retorna uma contagem de descobertas por categoria:

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

É possível definir o tamanho da página em qualquer valor como 1.000. O comando exibe uma saída como a seguinte, com os resultados da sua organização específica:

  groupByResults:
  - count: '1'
    properties:
      category: 2SV_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

Compliance

O painel Conformidade ajuda a analisar o status de violação e os relatórios de exportação de alto nível. Esse painel fornece resumos para o número de detectores associados a cada regime de conformidade monitorado pelo Security Health Analytics.

Nesta seção, você verá como usar os detectores do Security Health Analytics e do Web Security Scanner para monitorar violações em controles de compliance comuns, como os descritos no CIS Google Cloud Computing Foundations Benchmark v1.0.0, Payment Card Industry Data Security Standard (PCI-DSS) v3.2 e muito mais. O Security Health Analytics pode monitorar violações de controles de compliance comuns com base em um mapeamento de melhor esforço fornecido pelo Google. Ele não é um substituto para uma auditoria de compliance, mas pode ser usado para ajudar você a manter o compliance contínua e detectar violações antecipadamente.

O painel de compliance mostra o número de verificações para cada regime que estão em um estado de aviso e em um estado de aprovação:

  • Estado de aviso: há uma ou mais descobertas ativas (violações) associadas a essa verificação.
  • Estado transmitido: não há violações detectadas para a verificação.

É possível filtrar o painel de compliance por projeto e visualizar ou exportar relatórios de descobertas específicas da CIS e do PCI. Esses relatórios são baseados nas descobertas do Security Health Analytics e carregados na guia de vulnerabilidades.

Como exportar relatórios de compliance

É possível exportar um relatório CSV que agrega descobertas de violação para um comparativo de mercado de compliance específico. Para gerar um relatório:

  1. Acesse a guia Compliance do Security Command Center no Console do Cloud.
    Acessar a guia "Compliance"
  2. Clique em Exportar ao lado do relatório que você quer fazer download.
  3. Na janela Exportar, configure a exportação:
    1. Selecione o relatório de comparativo de mercado de que você quer fazer o download.
    2. Selecione a data e a hora do snapshot do relatório.
    3. Como alternativa, filtre a exportação por projeto.
  4. Quando terminar de configurar a exportação, clique em Exportar e selecione o local onde você quer salvar o relatório CSV.

As exportações de relatórios de compliance incluem o seguinte:

  • Projetos no escopo
  • Data do relatório
  • Descobertas no escopo do relatório
  • O número de recursos verificados
  • O número de recursos que violam o controle específico

Para saber mais sobre as descobertas do Security Health Analytics e o mapeamento entre detectores e registros de compliance compatíveis, consulte descobertas de vulnerabilidades.

Recursos

Na guia Recursos, há uma exibição detalhada de todos os recursos do Google Cloud, chamados recursos, na sua organização. A guia "Recursos" permite visualizar recursos de toda a organização ou filtrar recursos em um projeto específico, por tipo de recurso ou por tipo de alteração. Para ver detalhes de um recurso específico, como atributos, propriedades de recursos e descobertas associadas, clique no nome do recurso na coluna resourceProperties.name.

Os recursos são verificados automaticamente duas vezes por dia. Também é possível iniciar uma verificação de recurso manualmente clicando em Verificar novamente na guia de recursos. O valor de updateTime pode variar para os resultados dentro de uma determinada verificação automática ou manual. Essa variância normalmente é inferior a 10 minutos.

A atualização do inventário de recursos depende da descoberta e da indexação da origem do recurso:

  • A atualização costuma levar menos de 1 minuto para recursos preexistentes.
  • Os recursos que não foram descobertos e indexados em uma verificação diária ou manual aparecerão no inventário de recursos depois que o recurso ao qual eles estiverem anexados for descoberto e indexado.

Como usar a guia "Recursos"

Na guia "Recursos", você tem filtros integrados e personalizáveis para visualizar uma lista filtrada de recursos.

Como visualizar recursos por projeto

Por padrão, os recursos são exibidos na hierarquia da organização e do projeto. Para visualizar recursos associados a um recurso específico, ao lado de Visualizar por, selecione Projeto. Em seguida, selecione a organização ou o projeto que você quer revisar.

Visualizar por tipo de recurso

Para visualizar seus recursos agrupados por tipo de recurso na guia de recursos, clique em Tipo de recurso. Os recursos são exibidos em categorias, como aplicativo, intervalo, projeto e serviço. Atualmente, os seguintes tipos de recursos são compatíveis:

  • Resource Manager
    • Organização
    • Projeto
  • App Engine
    • Aplicativo
    • Serviço
    • Versão
  • Compute Engine
    • Address
    • autoescalador;
    • BackendBucket
    • BackendService
    • BillingAccount
    • Disco
    • Firewalls
    • GlobalAddress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • Imagem
    • Instance
    • InstanceGroup
    • InstanceTemplate
    • Licença
    • Rede
    • Rota
    • SecurityPolicy
    • Snapshot
    • SslCertificate
    • Sub-rede
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • Policy
  • IAM
    • ServiceAccount
  • Cloud Spanner
    • Banco de dados
    • Instance
  • Cloud Storage
    • Bucket
  • Google Kubernetes Engine
    • Grupo
  • Container Registry
    • Imagem
  • Cloud Logging
    • LogMetric

Para visualizar recursos individuais de um tipo de recurso específico, na lista Tipo de recurso, selecione o tipo de recurso que você quer revisar. Para visualizar os detalhes de um recurso específico, clique no nome do recurso. Para visualizar todos os projetos do Google Cloud na sua organização, filtre a lista de recursos usando securityCenterProperties.resourceType:resourcemanager.Project.

Como visualizar por recurso alterado

Na guia "Recursos", a opção Recursos alterados exibe todos os recursos ativos durante o período selecionado. Todos os recursos que foram adicionados durante esse período também são agrupados na categoria Adicionada. Para alterar o intervalo de tempo da exibição de resultados, clique na lista suspensa ao lado de Recursos alterados.

Como visualizar por política do IAM

A guia "Recursos" exibe as políticas de IAM para recursos na coluna iamPolicy.policy_blob. Para exibir a coluna iamPolicy, clique em Opções de exibição da coluna e insira iamPolicy.

Para visualizar os detalhes da política de IAM de um recurso específico, clique em Mostrar ao lado do recurso. As políticas do IAM também são exibidas no painel de detalhes do recurso quando você clica no nome do recurso na coluna resourceProperties.name.

Como configurar a guia de recursos

É possível controlar alguns dos elementos que aparecem na guia "Ativos".

Colunas

Por padrão, a guia "Recursos" inclui as seguintes colunas:

  • Nome do recurso: resourceProperties.name
  • Nome do recurso: name
  • Tipo de recurso: securityCenterProperties.resourceType
  • Proprietário do recurso: securityCenterProperties.resourceOwners
  • Todas as marcações adicionadas ao recurso: securityMarks.marks

É possível ocultar qualquer coluna, exceto resourceProperties.name, e selecionar mais colunas de detalhes do recurso para exibir:

  1. Para selecionar as colunas de recurso que você quer exibir, clique em Opções de exibição de coluna.
  2. No menu exibido, selecione as colunas que você quer exibir.
  3. Para ocultar uma coluna, clique no nome dela para limpar a caixa ao lado do nome da coluna.

Para salvar suas seleções de coluna, clique em Lembrar colunas. Suas seleções de coluna se aplicam a todas as visualizações na guia Recursos. Ao selecionar colunas, o URL do Console do Cloud é atualizado para que você consiga compartilhar o link de uma visualização personalizada.

As seleções de coluna são preservadas na próxima vez que você visualizar o painel e se alterar as organizações. Para apagar todas as seleções de colunas personalizadas, clique em Redefinir colunas.

Painéis

Para controlar o espaço na tela da guia de recursos, altere as seguintes opções:

  • Para ocultar o painel lateral Segurança do Console do Cloud, clique na seta para a esquerda.
  • Para redimensionar as colunas de exibição do recurso, arraste a linha de divisão para a esquerda ou para a direita.
  • Para ocultar o painel lateral Selecionar um recurso, clique em Ocultar painel de informações.

Para alterar a data e a hora dos resultados incluídos na exibição de recursos, clique na lista suspensa de data e hora e selecione a data e a hora.

Como classificar recursos

Para classificar os recursos, clique no cabeçalho da coluna do valor que você quer classificar. As colunas são classificadas por ordem numérica e, em seguida, alfabética.

Resultados

A guia Descobertas exibe um inventário detalhado de descobertas para todos os recursos na sua organização. A exibição de descobertas permite ver possíveis riscos de segurança para sua organização.

A atualização do inventário de descobertas depende das origens da descoberta:

  • A atualização da descoberta no painel do Security Command Center costuma levar menos de 1 minuto após a ingestão da origem de descoberta.
  • Os recursos que não foram descobertos e indexados em uma verificação automática ou manual geralmente aparecem no inventário de descobertas 1 minuto após a descoberta.

Por padrão, a guia "Descobertas" exibe apenas as descobertas ativas. Para ativar ou desativar a exibição de descobertas inativas, clique no botão ao lado de Mostrar apenas resultados ativo.

Para ver detalhes sobre uma determinada descoberta, clique nela. O painel de detalhes da descoberta exibe atributos como o recurso afetado e o horário do evento. Alguns tipos de descobertas incluem mais atributos, por exemplo, um evento de criptografia pode incluir:

  • abuse_target_ips: o IP do pool de mineração.
  • urls: o URL do pool de mineração.
  • vm_host_and_names: as VMs específicas descobertas para cryptomineração.
  • vm_ips: os endereços IP das VMs afetadas.

Como visualizar por categoria

Por padrão, as descobertas são exibidas em categorias específicas, como scripts entre sites (XSS) e exposição do número do cartão de crédito ou do número de telefone. Se você deixar o campo de categoria em branco ao criar uma descoberta, ela não terá uma categoria na exibição de descobertas.

  • Para ver detalhes sobre um tipo de risco específico, selecione Categoria ao lado de Visualizar por. Em seguida, selecione o tipo de risco que você quer avaliar.
  • Para visualizar informações detalhadas sobre uma descoberta específica, clique na descoberta em category, na tabela.

Para visualizar as descobertas por categoria em uma data específica, use a lista suspensa de tempo acima da tabela.

Como visualizar por tipo de origem

Uma origem de descoberta é qualquer provedor de descobertas, como o Web Security Scanner ou o Cloud DLP. Essas origens incluem o seguinte:

  • Scanners que fornecem um snapshot de mostra das descobertas em um horário específico.
  • Monitores que fornecem um fluxo de eventos de descobertas.
  • Registros que geram resultados de eventos históricos.

É possível visualizar as descobertas por origem das seguintes maneiras:

  • Para visualizar as contagens de descobertas por tipo de origem, na guia Descobertas, clique em Tipo de origem. Uma lista é preenchida com as descobertas agrupadas.
  • Para visualizar descobertas individuais de um tipo de origem específico, selecione a origem que você quer avaliar na lista de descobertas agrupadas. A tabela exibe descobertas para o tipo de origem selecionado.
  • Para visualizar informações detalhadas sobre uma descoberta específica, clique na descoberta em category.

Para visualizar as descobertas por categoria em uma data específica, use a lista suspensa de tempo acima da tabela.

Como visualizar por descobertas alteradas

Para ver as descobertas novas e ativas, na guia Descobertas, clique em Descobertas alteradas. Para incluir descobertas inativas, desative a opção Mostrar apenas descobertas ativas.

Todas as descobertas são exibidas nos seguintes subgrupos:

  • Ativo (alterado): as descobertas estavam ativas e tiveram as propriedades alteradas durante o período selecionado.
  • Ativo (sem alteração): descobertas que estão ativas e não tiveram propriedades alteradas durante o período selecionado.
  • Inativo (alterado): descobertas que foram alteradas para inativas durante o período selecionado. Esse valor sempre será 0 se a opção Mostrar apenas descobertas ativas estiver desativada, mesmo se houver descobertas alteradas inativas.
  • Inativo (sem alteração): descobertas que estão inativas e que tiveram as propriedades alteradas durante o período selecionado. Esse valor sempre será 0 se a opção Mostrar apenas descobertas ativas estiver desativada, mesmo que haja descobertas inativas inalteradas.
  • Novo: descobertas novas durante o período selecionado.

A guia "Descobertas" é exibida por um período, com várias opções entre uma hora e "Período integral". Para especificar um intervalo de exibição de descobertas, inserindo um intervalo personalizado, use a lista suspensa de tempo acima da tabela.

Como visualizar por gravidade da descoberta

Quando você visualiza as descobertas por Gravidade, elas são agrupadas nas seguintes categorias:

  • Crítica:
    • Uma vulnerabilidade crítica é facilmente detectada e pode ser explorada para resultar na capacidade direta de executar código arbitrário, exfiltrar dados e receber acesso e privilégios adicionais em recursos e fluxos de nuvem. Exemplos incluem dados de usuário acessíveis ao público e acesso SSH público com senhas fracas ou sem acesso.
    • Uma ameaça crítica pode acessar, modificar ou excluir dados ou executar código não autorizado nos recursos atuais.
  • Alta:
    • Uma vulnerabilidade de alto risco é facilmente descoberta e pode ser explorada com outras vulnerabilidades para ter acesso direto à execução de código arbitrário ou exfiltração de dados, além de privilégios e acesso extra a recursos e cargas de trabalho. Por exemplo, um banco de dados que tem senhas fracas ou nenhuma senha e só é acessado internamente pode ser comprometido por um agente que tenha acesso à rede interna.
    • Uma ameaça de alto risco pode criar recursos computacionais em um ambiente, mas não consegue acessar dados nem executar códigos em recursos atuais.
  • Média:
    • Uma vulnerabilidade de risco médio pode permitir que um ator consiga acesso a recursos ou privilégios para ter acesso e a capacidade de exfiltrar dados ou executar códigos arbitrários. Por exemplo, se uma conta de serviço tiver acesso desnecessário a projetos e um agente acessar a conta de serviço, esse agente poderá usar a conta para manipular um projeto.
    • Uma ameaça de risco médio pode causar impacto organizacional, mas pode não acessar dados ou executar código não autorizado.
  • Baixa:
    • Uma vulnerabilidade de baixo risco impede que uma organização de segurança detecte vulnerabilidades ou ameaças ativas na implantação ou impede a investigação da causa raiz dos problemas de segurança. Por exemplo, um cenário em que o monitoramento e os registros são desativados para configurações de recursos e acesso.
    • Uma ameaça de baixo risco tem acesso mínimo a um ambiente, mas não consegue acessar dados, executar código ou criar recursos.
  • Não especificado: a descoberta do nível de risco não é especificada quando um provedor de descoberta não define valores de gravidade para as descobertas.

É possível ver as descobertas por gravidade das seguintes maneiras:

  • Para visualizar as descobertas agrupadas por gravidade, na guia Descobertas, clique em Gravidade.
  • Para visualizar as descobertas individuais de uma gravidade específica, em Descobrir gravidade, selecione a gravidade que você quer revisar.
  • Para visualizar informações detalhadas sobre uma descoberta específica, clique na descoberta em category.

Para visualizar as descobertas por categoria em uma data específica, use a lista suspensa de tempo acima da tabela.

Como gerenciar descobertas

Gerencie marcações de segurança para descobertas ou altere o estado da descoberta usando o menu da tabela no painel do Security Command Center.

Como gerenciar marcações de segurança

Para adicionar marcações de segurança às descobertas:

  1. Na tabela, marque as caixas de seleção ao lado dos nomes de category para uma ou mais descobertas.
  2. Selecione Definir marcações de segurança.
  3. Na caixa de diálogo Marcações de segurança exibida, clique em Adicionar marcação.
  4. Identifique as categorias de localização adicionando itens Chave e Valor.

    Por exemplo, se você quiser marcar descobertas que façam parte do mesmo incidente, adicione uma chave de "número de incidente" e um valor de "1234". A nova marca de segurança é anexada a cada descoberta na forma de mark.incident-number: 1234.

  5. Para editar uma marcação existente, atualize o texto do campo Valor.

  6. Para excluir marcações, clique no ícone de lixeira ao lado da marcação.

  7. Quando terminar de adicionar marcações, clique em Salvar.

Como gerenciar o estado da descoberta

Altere o estado de descoberta para ativo ou inativo usando o menu da tabela no painel do Security Command Center:

  1. Na tabela, marque as caixas de seleção ao lado dos nomes de category para uma ou mais descobertas.
  2. Selecione Alterar estado ativo e Ativo ou Inativo na lista suspensa. Se as descobertas selecionadas forem uma combinação de estados ativos e inativos, o Estado será exibido como misto até que você selecione um novo estado.

Como configurar a visualização de descobertas

É possível controlar alguns dos elementos que aparecem na guia "Descobertas".

Colunas

Por padrão, a guia "Descobertas" exibe as seguintes colunas:

  • Tipo de descoberta: category
  • Código do recurso: resourceName
  • Horário em que a descoberta foi detectada pela última vez: eventTime
  • Horário em que a descoberta foi detectada pela primeira vez: createTime
  • A origem da descoberta: parent
  • Todas as marcas adicionadas à descoberta: securityMarks.marks

É possível ocultar qualquer coluna, exceto category, e selecionar mais colunas de detalhes de descobertas para exibir:

  1. Para selecionar as colunas de descoberta a serem exibidas, clique no ícone Opções de exibição de coluna acima da tabela.
  2. No menu exibido, selecione as colunas que você quer exibir.
  3. Para ocultar uma coluna, clique no nome dela.

Para salvar suas seleções de coluna, clique em Lembrar colunas. Suas seleções de coluna se aplicam a todas as visualizações na guia Descobertas. Ao selecionar colunas, o URL do Console do Cloud é atualizado para que você consiga compartilhar o link de uma visualização personalizada.

As seleções de coluna são preservadas na próxima vez que você visualizar o painel e se alterar as organizações. Para apagar todas as seleções de colunas personalizadas, clique em Redefinir colunas.

Painéis

Para controlar o espaço na tela de descobertas, altere as seguintes opções:

  • Para ocultar o painel lateral Segurança do Console do Cloud, clique na seta para a esquerda.
  • Para redimensionar as colunas de exibição de descobertas, arraste a linha de divisão para a esquerda ou para a direita.

Fontes

A guia Origens contém cartões que fornecem um resumo de recursos e descobertas das origens de segurança ativadas. O card de cada origem de segurança mostra algumas das descobertas dessa origem. Clique no nome da categoria de descoberta para visualizar todas as descobertas dela.

Resumo dos recursos

O cartão Resumo dos recursos exibe uma contagem de cada tipo de recurso na sua organização como a verificação mais recente. A exibição inclui recursos novos, excluídos e totais para o período especificado. É possível ver o resumo como uma tabela ou um gráfico.

  • Para visualizar o resumo de um período de tempo recente, selecione um horário na lista suspensa no card Resumo de recursos.
  • Para visualizar a árvore de hierarquia da sua organização, clique em um tipo de recurso ou Ver todos os recursos na parte inferior do card para alternar para a guia Recursos.
  • Para ver detalhes sobre um recurso individual, selecione a Guia recursos e clique no nome do recurso.

Resumo das descobertas

O cartão Resumo das descobertas exibe uma contagem de cada categoria de descoberta das origens de segurança ativadas.

  • Para visualizar detalhes sobre as descobertas de uma origem específica, clique no nome da origem.
  • Para ver detalhes sobre todas as descobertas, clique na guia Descobertas, na qual é possível agrupar as descobertas ou ver detalhes sobre uma delas.

Resumos de fontes

Abaixo do card Resumo das descobertas, os cards aparecem para todas as fontes integradas e terceirizadas que você ativou. Cada card fornece contagens de descobertas ativas para essa origem.

Explore

Na guia Explorar, é possível ver os recursos adicionais e os serviços disponíveis para integrar o Security Command Center.

Consultas do Security Command Center

Esta seção descreve como executar consultas comuns para revisar seus recursos usando o Security Command Center.

Só é possível selecionar esses filtros no painel do Security Command Center se a organização tiver o tipo de recurso relacionado. Se você receber a mensagem de erro "Escolher uma das chaves sugeridas", talvez sua organização não tenha esse tipo de recurso.

Para executar consultas, use a caixa de texto Filtrar por na guia Recursos. Veja a seguir algumas consultas comuns que podem ser úteis:

Tipo de consulta Filtrar por
Encontre recursos acessíveis ao público iamPolicy.policyBlob:allUsers OU iamPolicy.policyBlob:allAuthenticatedUsers
Encontre regras de firewall com a porta SSH 22 aberta a partir de qualquer rede resourceProperties.allowed:22 OU resourceProperties.sourceRange:0.0.0.0/0
Encontrar VMs com endereços IP públicos resourceProperties.networkInterface:externalIP
Encontrar proprietários de recursos fora da sua organização -securityCenterProperties.resourceOwners:@your-domain
Encontrar e monitorar o estado do SO em VMs resourceProperties.disk:licenses

A seguir