Utiliser les résultats dans la console

Cette page explique comment utiliser les résultats de Security Command Center dans la console Google Cloud et la console Opérations de sécurité.

Un résultat est un enregistrement d'un problème de sécurité créé par les services Security Command Center lorsqu'ils détectent un problème de sécurité. Les résultats sont répertoriés sur la page Résultats. Vous pouvez cliquer sur un résultat pour afficher les détails et le format JSON complet.

Voici quelques-unes des actions que vous pouvez effectuer sur la page Résultats:

  • Résultats de la requête
  • Inspecter les résultats
  • Ignorer les résultats
  • Ajouter des marques de sécurité aux résultats

Pour en savoir plus sur l'utilisation des résultats à l'aide de l'API Security Command Center, consultez la page Accéder à Security Command Center par programmation.

Utiliser les résultats des consoles Security Command Center Enterprise

Si vous êtes un client Security Command Center Enterprise, vous pouvez exploiter les résultats dans deux consoles:

  • Console Google Cloud: disponible pour tous les niveaux de service
  • Console Opérations de sécurité: disponible uniquement au niveau Enterprise

La page Résultats de la console Opérations de sécurité est en version Preview.

Sur cette page, les étapes d'utilisation des deux consoles sont décrites côte à côte dans des onglets distincts.

Pour en savoir plus, consultez la page Consoles Security Command Center Enterprise.

Obtenir les autorisations requises

Cette section répertorie les rôles IAM dont vous avez besoin pour utiliser les résultats de la console.

Rôles IAM de la console Google Cloud

Pour utiliser les résultats dans la console Google Cloud, vous devez disposer des rôles IAM suivants.

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation :

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Vérifier les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

    Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

  4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
  5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

Rôles IAM de la console Opérations de sécurité

Si vous êtes un client Security Command Center Enterprise, vous pouvez exploiter les résultats de la console Security Operations. Vous devez disposer de l'un des rôles IAM suivants:

  • Administrateur SOAR Chronicle (roles/chronicle.soarAdmin)
  • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Pour en savoir plus sur l'attribution du rôle à un utilisateur, consultez la section Mapper et autoriser des utilisateurs à l'aide d'IAM.

Afficher les résultats

Pour en savoir plus sur l'emplacement de la page Résultats, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder aux résultats

  2. Sélectionnez votre projet ou votre organisation Google Cloud.

Console Opérations de sécurité

Dans la console Opérations de sécurité, accédez à la page Résultats. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

Pour en savoir plus sur cette console, consultez Console des opérations de sécurité.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Ajustez la période pour afficher plus de résultats

Vous pouvez ajuster la période utilisée pour vos requêtes. La période par défaut est Last 7 days.

La période est basée sur la valeur de l'attribut eventTime des résultats, qui reflète l'heure à laquelle l'enregistrement de résultat a été mis à jour pour la dernière fois.

Pour savoir comment ajuster la période, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

Sur la page Résultats de la console Google Cloud, définissez le champ Période.

Console Opérations de sécurité

En haut de la liste des résultats de la page Résultats de la console Opérations de sécurité, définissez le champ Affichage.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Déterminer la disponibilité

Vous pouvez généralement interroger un résultat dans Security Command Center moins d'une minute après que le service qui a généré le résultat l'a stocké dans la base de données de résultats de Security Command Center. Les résultats des niveaux Premium et Enterprise restent disponibles pour les requêtes pendant au moins 13 mois. Les résultats du niveau Standard restent disponibles pendant au moins 35 jours.

Security Command Center stocke un ou plusieurs instantanés de chaque résultat. Un instantané d'un résultat du niveau Premium ou Enterprise est supprimé 13 mois après l'horodatage du champ eventTime. Si tous les instantanés d'un résultat sont supprimés, celui-ci ne peut plus être interrogé ni récupéré.

Pour en savoir plus sur la conservation des données dans Security Command Center, consultez la page Conservation des données.

Rechercher et afficher des résultats spécifiques

Par défaut, la page Résultats affiche tous les résultats actifs qui ne sont pas masqués et qui ont été nouveaux ou mis à jour au cours des sept derniers jours.

Pour afficher des résultats spécifiques, modifiez la requête de résultats en spécifiant les valeurs ou les attributs que les résultats que vous devez voir doivent ou ne doivent pas contenir.

L'exemple suivant est la requête de résultats par défaut:

state="ACTIVE"
AND NOT mute="MUTED"

Vous pouvez afficher la requête de résultats actuelle dans le panneau de l'éditeur de requête. Vous pouvez modifier la requête directement ou sélectionner des filtres prédéfinis pour la créer. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

Sur la page Résultats de la console Google Cloud, vous pouvez effectuer les opérations suivantes:

  • Dans le panneau Quick filters (Filtres rapides), sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le panneau Filtres rapides pour afficher les options de filtrage de haut niveau couramment utilisées.
  • Dans le menu Ajouter un filtre du panneau de l'éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur. Pour en savoir plus, consultez la section Modifier une requête de résultat dans la console.
  • Modifiez la requête de résultats directement dans le panneau de l'éditeur de requête.
  • Dans la vue détaillée d'un résultat, dans le menu déroulant d'un attribut particulier, sélectionnez un filtre prédéfini pour cet attribut afin de l'ajouter à une requête.

Console Opérations de sécurité

Sur la page Résultats de la console Opérations de sécurité, vous pouvez effectuer les opérations suivantes:

  • Dans le panneau Agrégations, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le panneau Agrégations pour afficher les options de filtrage de haut niveau couramment utilisées.
  • Dans le menu Ajouter un filtre du panneau Éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour appliquer des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur. Pour en savoir plus, consultez la section Modifier une requête de résultat dans la console.
  • Modifiez la requête de résultats directement dans le panneau de l'éditeur de requête.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Afficher les détails d'un résultat

Pour en savoir plus sur un résultat, ouvrez la vue détaillée du résultat en cliquant sur son nom dans la colonne Category (Catégorie) des résultats de la requête.

Dans la vue détaillée, vous trouverez des informations essentielles pour comprendre un résultat, examiner une menace ou traiter une faille.

La vue détaillée des résultats comprend les onglets suivants que vous pouvez sélectionner pour en savoir plus sur un résultat et effectuer une action:

  • L'onglet Résumé, qui est la vue par défaut, met en évidence les informations et attributs clés concernant le résultat.
  • L'onglet Propriétés sources, où vous pouvez voir les attributs de l'objet sourceProperties du résultat JSON.
  • L'onglet JSON, qui affiche le format JSON complet du résultat

Vous pouvez effectuer certaines actions sur le résultat dans la vue détaillée et trouver des liens vers des informations supplémentaires liées au résultat.

En savoir plus sur le résultat dans la vue détaillée

La vue détaillée d'un résultat met en évidence des informations importantes que vous pouvez utiliser pour comprendre et résoudre le problème de sécurité sous-jacent.

Informations sur l'onglet Résumé

L'onglet Résumé fournit des informations sur le résultat dans les sections suivantes:

Ce qui a été détecté (ou "Aperçu")

Détails sur le résultat qui a été détecté, tels que les suivants:

  • Niveau de gravité du résultat
  • État du résultat, ACTIVE ou INACTIVE
  • Tous les champs clés liés au résultat spécifique
Faille

Informations de l'enregistrement CVE correspondant à la faille, le cas échéant. La section Vulnérabilité inclut des informations de l'enregistrement CVE, telles que:

  • ID de la CVE
  • Score CVE
  • Impact
  • Activité d'exploitation
Exposition au piratage

Le score d'exposition au piratage et l'heure à laquelle il a été calculé pour la dernière fois. En cliquant sur ce score, vous accédez à une représentation visuelle des ressources de forte valeur concernées et du chemin d'attaque associé.

Ressource concernée

Des détails sur la ressource associée au résultat, y compris les informations suivantes:

  • Le nom complet de la ressource concernée
  • Le fournisseur de services cloud de la ressource
  • Les contacts techniques et de sécurité
Informations sur la demande

Les détails de la demande associée au résultat, y compris les informations suivantes.

  • Nom de ressource complet du système externe associé au résultat
  • Groupe affecté à la demande
  • L'ID de la demande, qui renvoie vers la demande dans la console Security Operations
  • État de la demande
  • Date et heure de mise à jour dans le système externe de gestion des demandes
  • Date limite pour clôturer la demande
Marques de sécurité

Marques de sécurité associées à ce résultat, le cas échéant.

Étapes suivantes

Conseils sur les mesures à prendre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, indiquent la marche à suivre.

Liens associés

Liens vers des sources clés d'informations de sécurité en dehors de Security Command Center Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.

Service de détection

Détails concernant le service, ou la source, qui a détecté le résultat.

Informations sur l'onglet Propriétés sources

Pour certains résultats, le panneau des détails inclut un onglet Propriétés sources qui met en évidence certaines propriétés de l'objet sourceProperties du résultat JSON.

Les propriétés sources diffèrent pour chaque résultat et pour chaque service exécuté sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. C'est pourquoi nous vous déconseillons vivement de consommer des propriétés sources de manière programmatique. Si vous souhaitez qu'une propriété source soit standardisée dans tous les services, veuillez nous envoyer vos commentaires.

Informations sur l'onglet JSON

L'onglet JSON contient la structure JSON complète du résultat, qui peut être utile lorsque vous recherchez des attributs que vous pouvez utiliser dans vos requêtes de résultats.

Pour copier l'objet JSON dans votre presse-papiers, cliquez sur Copier.

La structure JSON d'un résultat contient les objets suivants:

  • findings : attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la section Finding.
  • resource : attributs de la ressource concernée. Pour en savoir plus, consultez la section Resource.
  • sourceProperties : propriétés spécifiques au service du résultat.

Vous pouvez également utiliser l'API ListFindings pour répertorier les résultats et obtenir leurs définitions JSON.

Effectuer une action sur un résultat à partir de la vue détaillée

Vous pouvez effectuer diverses actions sur un résultat à partir de sa vue détaillée, en le désactivant, par exemple. Si vous affichez la vue détaillée du résultat dans la console Google Cloud, vous pouvez également ajouter les attributs du résultat à la requête de résultat actuelle.

Ignorer un résultat dans la vue détaillée

Dans la vue détaillée d'un résultat, vous pouvez l'ignorer ou le réactiver. Vous pouvez également créer une règle qui ignore tous les résultats futurs, tels que le résultat actuel.

Pour obtenir des instructions complètes sur la désactivation d'un résultat ou la création d'une règle Ignorer, consultez la page Ignorer des résultats dans Security Command Center.

Ajouter des filtres d'attributs à une requête à partir de la vue détaillée

Dans la vue détaillée d'un résultat de la console Google Cloud, vous pouvez ajouter des filtres pour les attributs affichés à la requête de résultat actuelle.

Pour savoir comment ajouter des filtres d'attributs à une requête à partir de la vue détaillée, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Dans la vue détaillée du résultat, recherchez l'attribut que vous souhaitez filtrer.
  3. À côté de l'attribut, ouvrez le menu déroulant.
  4. Sélectionnez un filtre prédéfini pour l'attribut. Le filtre est ajouté à la requête de résultats sur la page Résultats.

Console Opérations de sécurité

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Dans la vue détaillée du résultat, recherchez l'attribut que vous souhaitez filtrer.
  3. À côté de l'attribut, ouvrez le menu déroulant.
  4. Sélectionnez un filtre prédéfini pour l'attribut. Le filtre est ajouté à la requête de résultats sur la page Résultats.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Afficher ou copier les noms d'API d'attributs dans la vue détaillée d'un résultat

La plupart des attributs de résultat affichés dans la console Google Cloud ont un nom correspondant qui est utilisé dans l'API Security Command Center.

Pour savoir comment afficher ou copier les noms d'API d'attribut dans la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Dans la vue détaillée du résultat, vous pouvez rechercher et copier le nom d'API correspondant à chaque attribut de résultat affiché.
Équivalents d'API des noms d'attributs du résultat

Console Opérations de sécurité

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Dans la vue détaillée du résultat, recherchez l'attribut dont vous souhaitez copier l'équivalent d'API.
  3. À côté de l'attribut, ouvrez le menu déroulant.
  4. Cliquez sur Copier l'équivalent API.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Partager la vue détaillée d'un résultat

Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL de la page correspondante afin de la partager avec d'autres utilisateurs.

Pour savoir comment copier l'URL de la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Cliquez sur Actions à effectuer > Copier le lien.

Console Opérations de sécurité

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Cliquez sur Copier le lien.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Envoyer des commentaires sur le résultat à Google Cloud

Pour savoir comment envoyer des commentaires sur un résultat, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
  2. Cliquez sur Actions à effectuer > Envoyer des commentaires.
  3. Saisissez une description de votre commentaire.
  4. Pour inclure une capture d'écran, cliquez sur Faire une capture d'écran.
  5. Cliquez sur Envoyer.

Console Opérations de sécurité

Cette fonctionnalité n'est pas disponible dans la console Security Operations.

Afficher les détails d'autres résultats dans les résultats de la requête

Pour afficher les détails des résultats qui précèdent ou suivent le résultat que vous consultez, utilisez le bouton Suivant ou précédent pour accéder au résultat suivant ou précédent, sans avoir à revenir à la page Résultats.

Ajouter des marques de sécurité aux résultats

Une marque de sécurité est une étiquette de clé-valeur personnalisée que vous pouvez utiliser pour annoter un résultat, associer un résultat à d'autres résultats partageant la même marque de sécurité et interroger les résultats.

Pour obtenir des instructions complètes sur la définition de marques de sécurité sur les résultats ou les éléments, consultez Utiliser des marques de sécurité.

Ignorer des résultats dans la console

Vous pouvez ignorer et réactiver des résultats à partir des vues suivantes:

  • Résultats de la requête de résultats sur la page Résultats
  • Vue détaillée d'un résultat

Vous pouvez ignorer des résultats individuels ou créer des règles Ignorer les résultats actuels et futurs en fonction de filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les afficher en ajoutant le filtre mute="MUTED" à votre requête de résultats. Les résultats ignorés continuent d'être consignés à des fins d'audit et de conformité.

Pour obtenir des instructions détaillées sur l'activation et la désactivation des résultats, consultez la section Ignorer des résultats dans Security Command Center.

Modifier l'état d'un résultat

Un résultat peut avoir l'un des deux états suivants: Active ou Inactive.

L'état Active signifie que le problème de sécurité identifié par le résultat persiste dans votre environnement en tant que menace ou faille potentielle.

L'état Inactive signifie que le problème de sécurité a été résolu.

Vous pouvez être amené à modifier l'état d'un résultat pour diverses raisons, par exemple pour définir l'état d'un résultat sur Inactive dès qu'il a été traité, afin que vous n'ayez pas à attendre la prochaine analyse pour changer l'état à votre place.

Pour savoir comment modifier l'état d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder aux résultats

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans le panneau Résultats de la requête de résultats, sélectionnez le résultat
  4. Dans la barre d'action du panneau Résultats de la requête de résultat, cliquez sur Modifier l'état actif. Un menu pop-up s'affiche.
  5. Dans le menu pop-up Modifier l'état actif, sélectionnez Actif ou Inactif.

Console Opérations de sécurité

Cette fonctionnalité n'est pas disponible dans la console Security Operations.

Personnaliser la page "Résultats"

Pour contrôler l'espace à l'écran, vous pouvez personnaliser certains des éléments qui apparaissent dans les résultats de la requête.

Ajuster les colonnes de résultats de requête

Vous pouvez ajouter ou supprimer des colonnes dans les résultats de la requête.

Vous pouvez supprimer n'importe quelle colonne, à l'exception de la colonne Category.

Voici des exemples de colonnes disponibles:

  • Catégorie: nom du type de résultat.
  • Gravité: gravité du résultat. Pour en savoir plus sur la recherche des niveaux de gravité, consultez la section Classifications de gravité des résultats.
  • Score d'exposition au piratage: score d'exposition au piratage du résultat.
  • Heure de l'événement: date à laquelle le résultat a été détecté pour la première fois ou à sa dernière mise à jour.
  • Date et heure de création: date et heure de création du résultat dans Security Command Center.
  • Classe du résultat: classe du résultat, telle que THREAT, VULNERABILITY et MISCONFIGURATION.
  • Resource display name (Nom à afficher pour la ressource) : nom à afficher pour la ressource dans laquelle le problème a été détecté.
  • Resource full name (Nom complet de la ressource) : nom complet de la ressource dans laquelle le problème a été détecté.
  • Fournisseur cloud de ressource: fournisseur de services cloud sur lequel la ressource est hébergée.
  • Chemin d'accès à la ressource: chemin d'accès à la ressource dans laquelle le problème a été détecté.
  • Resource type (Type de ressource) : type de ressource dans laquelle le problème a été détecté.
  • Marques de sécurité: toutes les marques de sécurité ajoutées au résultat.

Pour savoir comment ajuster les colonnes des résultats de la requête de résultats, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

  1. À droite de la barre d'action Résultats de la requête de résultats, cliquez sur Colonnes.
  2. Sélectionnez les colonnes que vous souhaitez afficher.
  3. Effacez les sélections des colonnes que vous souhaitez masquer.
  4. Cliquez sur Appliquer pour appliquer les modifications au panneau Résultats de la requête de résultats.
Les sélections de colonnes sont conservées la prochaine fois que vous afficherez la page Résultats, même si vous changez de projet ou d'organisation. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Clear column selection (Effacer les sélections de colonnes).

Console Opérations de sécurité

  1. Dans la barre d'action Résultats, cliquez sur Gérer les colonnes.
  2. Sélectionnez les colonnes que vous souhaitez afficher.
  3. Effacez les sélections des colonnes que vous souhaitez masquer.

Cette fonctionnalité est en version preview et n'est disponible que pour les clients Security Command Center Enterprise.

Masquer ou afficher les panneaux de la page "Résultats"

Pour plus d'informations sur l'ajustement des panneaux de la page Résultats, cliquez sur l'onglet de la console que vous utilisez.

Console Google Cloud

Pour disposer de plus d'espace à l'écran afin de modifier des requêtes ou d'afficher des résultats, vous pouvez masquer ou afficher les panneaux suivants:

  • Panneau Filtres rapides
  • Panneau de l'éditeur de requête

Pour masquer un panneau, cliquez sur l'icône Activer/Désactiver le panneau ( ou ).

Pour afficher le panneau, cliquez à nouveau sur l'icône.

Console Opérations de sécurité

Cette fonctionnalité n'est pas disponible dans la console Security Operations.

Étapes suivantes