Revisa y administra los resultados en la consola

En esta página, se explica cómo trabajar con los resultados de Security Command Center en la consola de Google Cloud y la consola de operaciones de seguridad.

Un hallazgo es un registro de un problema de seguridad que el Security Command Center crear cuando detectan un problema de seguridad. Los hallazgos se enumeran en el Hallazgos. Puedes hacer clic en un hallazgo para ver sus detalles y su JSON completo. de un conjunto de datos tengan un formato común.

Algunas de las acciones que puedes realizar en la página Hallazgos incluyen la lo siguiente:

  • Resultados de la consulta
  • Inspecciona los resultados
  • Silenciar resultados
  • Agrega marcas de seguridad a los resultados

Para obtener información sobre cómo trabajar con los resultados de manera programática, consulta Bibliotecas cliente de Security Command Center.

Trabaja con los resultados en las consolas de Security Command Center Enterprise

Si eres cliente de Security Command Center Enterprise, puedes trabajar con los hallazgos en dos consolas:

  • Consola de Google Cloud: disponible en todos los niveles de servicio
  • Consola de operaciones de seguridad: disponible solo en el nivel Enterprise

Para obtener más información, consulta Consolas de Security Command Center Enterprise.

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM con los que debes trabajar en la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con los resultados en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.
  8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para las activaciones a nivel de la organización.

    Roles de IAM de la consola de operaciones de seguridad

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con los hallazgos Consola de operaciones de seguridad. Necesitas alguna de las siguientes opciones de IAM roles:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con la IAM.

    Ver resultados

    Para obtener información sobre cómo encontrar la página Hallazgos, haz clic en la pestaña de la la consola de Cloud que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

      Ir a Hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.

    Consola de operaciones de seguridad

    En la consola de Operaciones de seguridad, ve a la página Hallazgos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Ajusta el intervalo de tiempo para ver más resultados

    Puedes ajustar la hora que se usa para tus consultas. El intervalo de tiempo predeterminado es Last 7 days.

    El intervalo de tiempo se basa en el valor del atributo eventTime del hallazgos, que refleja el momento en el que el registro de hallazgos fue la última vez se actualicen.

    Para obtener información sobre cómo ajustar el intervalo de tiempo, haz clic en la pestaña de la consola de Cloud que estás usando.

    Consola de Google Cloud

    En la página Hallazgos en la consola de Google Cloud, configura el Intervalo de tiempo .

    Consola de operaciones de seguridad

    En la parte superior de la lista de hallazgos en Hallazgos de la consola de Operaciones de seguridad, configura el campo Se muestra.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Cómo consultar la disponibilidad

    Por lo general, hay un hallazgo disponible para que lo consultes en Security Command Center menos de un minuto después del servicio genera el hallazgo, lo almacena en los hallazgos de Security Command Center en la base de datos. Los hallazgos de los niveles Premium y Enterprise siguen disponibles para consultas durante al menos 13 meses. Los hallazgos del nivel Estándar permanecen disponibles para al menos 35 días.

    Security Command Center almacena una o más instantáneas de cada resultado. R La instantánea de un hallazgo del nivel Premium o Enterprise se borra en 13 meses. después de la marca de tiempo en el campo eventTime. Si se borran todas las instantáneas de un resultado, el hallazgo ya no se puede consultar ni recuperar.

    Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.

    Busca y visualiza hallazgos específicos

    De forma predeterminada, la página Hallazgos muestra todos los hallazgos activos que no se encuentran en silenciadas y que sean nuevas o se hayan actualizado en los últimos siete días.

    Para ver resultados específicos, edita la consulta de resultados para especificar los valores o atributos que los hallazgos que necesitas ver deben o no debe contener.

    El siguiente ejemplo es la consulta de resultados predeterminada:

    state="ACTIVE"
    AND NOT mute="MUTED"

    Puedes ver la consulta de los resultados actuales en el panel Editor de consultas. Puedes edita la consulta directamente o selecciona filtros predefinidos para crearla. Para para obtener más información, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    En la página Hallazgos de la consola de Google Cloud, puedes hacer lo siguiente: lo siguiente:

    • En el panel Filtros rápidos, selecciona uno o más atributos predefinidos. filtros para agregarlos a una consulta. Usa el panel Filtros rápidos para opciones de filtro de alto nivel de uso general.
    • En Agregar filtro, del panel Editor de consultas, selecciona uno o más de los filtros de atributos para agregarlos a una consulta. Usa el menú Agregar filtro para filtros más detallados y avanzados que se basan en hallazgos de nivel más bajo atributos. Para obtener más información, consulta Edita un resultado. en la consola.
    • Edita la consulta de resultados directamente en la pestaña del editor de texto.
    • En la vista detallada de un hallazgo, en el menú desplegable de un atributo en particular, selecciona un filtro predefinido para ese atributo para agregarlo a una consulta.

    Consola de operaciones de seguridad

    En la página Hallazgos de la consola de operaciones de seguridad, realiza lo siguiente: puedes hacer lo siguiente:

    • En el panel Agregaciones, selecciona uno o más atributos predefinidos. filtros para agregarlos a una consulta. Usa el panel Agregaciones para opciones de filtro de alto nivel de uso general.
    • En , Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos para agregarlos a una consulta. Usa el menú Agregar filtro para filtros más detallados y avanzados que se basan en hallazgos de nivel más bajo atributos. Para obtener más información, consulta Edita un resultado. en la consola.
    • Edita la consulta de los resultados directamente en el panel Editor de consultas.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Ve los detalles de un hallazgo

    Para obtener más información sobre un hallazgo, abre la vista detallada del hallazgo Haz clic en el nombre del hallazgo en la columna Categoría en los hallazgos. en los resultados de la consulta.

    En la vista detallada, puede encontrar información fundamental para comprender un hallazgo, investigar una amenaza o abordar un en la nube.

    La vista detallada de los resultados incluye las siguientes pestañas: selecciona para obtener más información sobre un hallazgo y tomar medidas:

    • La pestaña Resumen, que es la vista predeterminada, destaca información clave. y atributos del hallazgo.
    • En la pestaña Propiedades fuente, puedes ver los atributos de el objeto sourceProperties del hallazgo JSON.
    • La pestaña JSON, en la que puedes ver el formato JSON completo del hallazgo

    Puedes realizar ciertas acciones sobre el hallazgo en la vista detallada, como y encontrar vínculos a información adicional relacionada con la hallazgo.

    Obtén información sobre el hallazgo en la vista detallada

    La vista detallada de un hallazgo destaca información importante sobre el hallazgo que puedes usar para comprender y abordar la seguridad subyacente problema.

    Información en la pestaña Resumen

    La pestaña Resumen proporciona información sobre el hallazgo en los siguientes ejemplos secciones:

    Qué se detectó (o descripción general)

    Detalles sobre el hallazgo que se detectó, como los siguientes:

    • La gravedad del hallazgo
    • El estado del hallazgo, ACTIVE o INACTIVE
    • Cualquier campo clave que esté relacionado con el hallazgo específico
    Vulnerabilidad

    La información del registro de CVE que corresponde al este tipo de vulnerabilidad, si la hay. La sección Vulnerabilidad incluye información del registro de CVE, como la siguiente:

    • ID de CVE
    • Puntuación de CVE
    • Impacto
    • Actividad de explotación
    Exposición al ataque

    El puntuación de exposición a ataques y el momento en que se calculó la puntuación por última vez. Si se hace clic en la puntuación, se abrirá una representación visual del valor alto afectado. recursos y la ruta de ataque asociada.

    Recurso afectado

    Detalles sobre el recurso asociado con el hallazgo, incluido la siguiente información:

    • El nombre completo del recurso afectado
    • El proveedor de servicios en la nube del recurso
    • Los contactos técnicos y de seguridad
    Información del caso

    Detalles sobre el caso asociado con el hallazgo, incluidos la siguiente información.

    • El nombre completo del recurso del sistema externo que está asociado con la buscando
    • El grupo asignado al caso
    • El ID del caso, con el que se vincula al caso en la consola de operaciones de seguridad
    • El estado del caso
    • La hora de actualización en el sistema de administración de casos externo
    • El plazo comprometido para cerrar el caso
    Marcas de seguridad

    Las marcas de seguridad asociados con este hallazgo, si corresponde.

    Próximos pasos

    Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo ciertos servicios, como Estadísticas del estado de la seguridad, y te daremos los próximos pasos.

    Vínculos relacionados

    Enlaces a fuentes clave de información de seguridad fuera de Security Command Center. Solo ciertos servicios, como Event Threat Detection, proporcionar vínculos relacionados.

    Servicio de detección

    Detalles sobre el servicio o la fuente, que detectó el hallazgo

    Información sobre la pestaña Propiedades fuente

    Para algunos hallazgos, el panel de detalles incluye la pestaña Propiedades de la fuente que destaca ciertas propiedades del objeto sourceProperties del objeto buscando JSON.

    Las propiedades fuente difieren para cada hallazgo y para cada servicio que se ejecuta en Security Command Center. No hay garantía de que las propiedades de la fuente estén estandarizadas en todos los servicios. Por este motivo, desaconsejamos el consumo de fuentes propiedades de forma programática. Si deseas que se estandarice una propiedad fuente en todos los servicios, permítenos enviarnos tus comentarios.

    Información de la pestaña JSON

    La pestaña JSON contiene la estructura JSON completa de los hallazgo, lo que puede ser útil cuando investigas un para encontrar o buscar atributos que puedas usar en tus consultas de hallazgos.

    Para copiar el objeto JSON en el portapapeles, haz clic en Copiar.

    La estructura JSON de un hallazgo contiene los siguientes objetos:

    • findings: Son los atributos del resultado. Estos atributos se estandarizaron en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta: Finding.
    • resource: Son los atributos del recurso afectado. Para obtener más información, consulta Resource.
    • sourceProperties: Son las propiedades específicas del servicio del resultado.

    También puedes usar API de ListFindings para enumerar y obtener sus definiciones de JSON.

    Toma medidas en un hallazgo desde la vista detallada

    Puedes realizar diversas acciones en un hallazgo desde su vista de detalles, como silenciar el resultado. Si estás viendo la vista detallada del hallazgo en desde la consola de Google Cloud, también puedes agregar atributos del hallazgo a la consulta de resultados actual.

    Silenciar un hallazgo en la vista detallada

    Desde la vista detallada de un hallazgo, puedes silenciarlo o dejar de silenciarlo. Puedes y crear una regla que silencie todos los resultados futuros, como el resultado actual.

    Para obtener instrucciones completas sobre cómo silenciar un resultado o crear una regla de silenciamiento, consulta Silenciar los resultados en Security Command Center.

    Cómo agregar filtros de atributos a una consulta desde la vista detallada

    En la consola de Google Cloud, en la vista detallada de un hallazgo, puedes agregar filtros para los atributos que se muestran en la búsqueda de resultados actual.

    Obtén información para agregar filtros de atributos a una consulta desde la vista detallada haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
    2. En la vista detallada del hallazgo, busca el atributo que deseas activar el filtro.
    3. Junto al atributo, abre el menú desplegable.
    4. Selecciona un filtro predefinido para el atributo. El el filtro se agrega a la búsqueda de resultados en la página Hallazgos.

    Consola de operaciones de seguridad

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus más detalles.
    2. En la vista detallada del hallazgo, busca el atributo que deseas activar el filtro.
    3. Junto al atributo, abre el menú desplegable.
    4. Selecciona un filtro predefinido para el atributo. El el filtro se agrega a la consulta de hallazgos en la pestaña Hallazgos .

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Ver o copiar nombres de API de atributos en la vista detallada de un hallazgo

    La mayoría de los atributos de resultados que se muestran en la consola de Google Cloud tienen un nombre correspondiente que se usa en la API de Security Command Center.

    Para obtener información sobre cómo ver o copiar nombres de API de atributos en la vista de detalles de un hallazgo, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
    2. En la vista detallada del hallazgo, puedes encontrar y copiar el el nombre de la API correspondiente a cada atributo de hallazgo mostrado.
    Equivalentes de API para encontrar nombres de atributos

    Consola de operaciones de seguridad

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus más detalles.
    2. En la vista detallada del hallazgo, busca el atributo cuyo API equivalente que quieras copiar.
    3. Junto al atributo, abre el menú desplegable.
    4. Haz clic en Copiar equivalente de la API.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Compartir la vista detallada de un hallazgo

    Para compartir la vista detallada de un hallazgo, puedes copiar la URL del detalle ver página para compartir con otros.

    Para obtener información sobre cómo copiar la URL de la vista detallada de un hallazgo, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
    2. Haz clic en Tomar medidas > Copiar vínculo.

    Consola de operaciones de seguridad

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus más detalles.
    2. Haz clic en Copiar. directo.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Enviar comentarios sobre el hallazgo a Google Cloud

    Para obtener información sobre cómo enviar comentarios sobre un resultado, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
    2. Haz clic en Tomar medidas > Enviar comentarios.
    3. Ingresa una descripción de tus comentarios.
    4. Para incluir una captura de pantalla, haz clic en Tomar captura de pantalla.
    5. Haz clic en Enviar.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de operaciones de seguridad.

    Mostrar detalles de otros hallazgos en los resultados de la búsqueda

    Para ver los detalles de los hallazgos que preceden o siguen al hallazgo que que estás viendo, usa al siguiente o botón anterior para ir al resultado siguiente o anterior, sin tener que regresar Página Hallazgos.

    Agrega marcas de seguridad a los resultados

    Una marca de seguridad es una etiqueta de par clave-valor personalizada que puedes usar para anotar un hallazgo, asocia un hallazgo con otros hallazgos que compartan la misma marca de seguridad y resultados de la consulta.

    Si necesitas instrucciones completas para establecer marcas de seguridad en los hallazgos o recursos, consulta Usa marcas de seguridad.

    Silencia los resultados en la consola

    Puedes silenciar y activar el sonido de los resultados en las siguientes vistas:

    • Resultados de la búsqueda de resultados en la página Hallazgos
    • Vista detallada de un hallazgo

    Puedes silenciar hallazgos individuales o crear reglas de silencio que silencian los resultados actuales. y resultados futuros según los filtros que definas.

    Los resultados silenciados están ocultos y silenciados, pero aún puedes verlos agregando el filtro mute="MUTED" a tu búsqueda de resultados. Los resultados silenciados continúan se registre con fines de auditoría y cumplimiento.

    Para obtener instrucciones detalladas sobre cómo silenciar y activar el sonido de los resultados, consulta Silenciar los resultados en Security Command Center.

    Cambiar el estado de un resultado

    Un resultado puede tener uno de dos estados: Active o Inactive.

    Un estado de Active significa que el problema de seguridad identificado por el hallazgo persiste en tu entorno como una amenaza potencial de seguridad en la nube.

    Un estado Inactive significa que se solucionó el problema de seguridad.

    Es posible que quieras cambiar el estado de un hallazgo por varias razones, como cambiar el estado de un resultado a Inactive en cuanto se abordarse, por lo que no tienes que esperar al próximo análisis para cambiar el estado por ti.

    Para obtener información sobre cómo cambiar el estado de un resultado, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

      Ir a Hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.
    3. En el panel Resultados de la búsqueda, selecciona
    4. En la barra de acciones del panel Resultados de la búsqueda, haz clic en Cambia el estado activo. Aparecerá un menú emergente.
    5. En el menú emergente Cambiar estado activo, selecciona Activo. o Inactivo.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de operaciones de seguridad.

    Personaliza la página Hallazgos

    Para controlar el espacio en pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta de hallazgos.

    Ajustar las columnas de los resultados de la consulta

    Puedes agregar o quitar columnas de los resultados de la búsqueda.

    Puedes quitar cualquier columna, excepto Category.

    Los siguientes son ejemplos de columnas que están disponibles:

    • Categoría: Es el nombre del tipo de hallazgo.
    • Gravedad: la gravedad del hallazgo. Para obtener más información encontrar niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.
    • Puntuación de combinación tóxica: Una puntuación de exposición a ataques en un hallazgo de clase Toxic combination.
    • Puntuación de exposición al ataque: la puntuación de exposición a ataques del hallazgo.
    • Hora del evento: Ya sea cuando se detectó el hallazgo por primera vez o cuándo fue la última actualización.
    • Hora de creación: Cuándo se creó el hallazgo en Security Command Center
    • Clase del hallazgo: Es la clase del hallazgo, como THREAT, VULNERABILITY y MISCONFIGURATION.
    • Nombre visible del recurso: el nombre visible del recurso en el que se detectó el problema.
    • Nombre completo del recurso: el nombre completo del recurso en el que ocurrió el problema se detectó.
    • Proveedor de servicios en la nube de recursos: Es el proveedor de servicios en la nube en el que se se aloje el recurso.
    • Ruta del recurso: Es la ruta de acceso al recurso en el que ocurrió el problema. se detectó.
    • Resource type: Es el tipo de recurso en el que se detectó el problema.
    • Marcas de seguridad: Son las marcas de seguridad que se agregan al hallazgo.

    Para obtener información sobre cómo ajustar las columnas de los resultados de la consulta de resultados, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. A la derecha de la barra de acciones Resultados de la búsqueda, haz clic en Columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Haz clic en Aplicar para aplicar los cambios al Panel Resultados de la búsqueda.
    Las selecciones de columnas se conservarán la próxima vez que veas la página Hallazgos. incluso si cambias de proyecto o de organización. Borrar todas las columnas personalizadas de columnas, haz clic en Borrar selecciones de columnas.

    Consola de operaciones de seguridad

    1. En la barra de acciones Hallazgos, haz clic en Administrar columnas Se abrirá el menú Administrar columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Cierra el menú.

    Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

    Cómo ocultar o mostrar los paneles de la página de resultados

    Para obtener información sobre cómo ajustar los paneles de la página Hallazgos, haz clic en la pestaña para la consola que estás usando.

    Consola de Google Cloud

    Para proporcionar más espacio en pantalla para editar consultas o ver los resultados, puede ocultar o mostrar los siguientes paneles:

    • Panel Filtros rápidos
    • Panel Editor de consultas

    Para ocultar un panel, haz clic en el ícono Activar o desactivar panel, o .

    Para mostrar el panel, vuelve a hacer clic en el ícono.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de operaciones de seguridad.

    ¿Qué sigue?