Trabaja con los resultados en la consola

En esta página, se explica cómo trabajar con los resultados de Security Command Center en la consola de Google Cloud y en la consola de operaciones de seguridad.

Un hallazgo es un registro de un problema de seguridad que los servicios de Security Command Center crean cuando detectan un problema de seguridad. Los hallazgos se enumeran en la página Hallazgos. Puedes hacer clic en un hallazgo para ver sus detalles y el formato JSON completo.

Algunas de las acciones que puedes realizar en la página Hallazgos incluyen las siguientes:

  • Resultados de la consulta
  • Inspecciona los resultados
  • Silenciar resultados
  • Agrega marcas de seguridad a los resultados

Para obtener información sobre cómo trabajar con los resultados mediante la API de Security Command Center, consulta Accede a Security Command Center de manera programática.

Trabaja con los resultados en las consolas de Security Command Center Enterprise

Si eres cliente de Security Command Center Enterprise, puedes trabajar con los resultados en dos consolas:

  • Consola de Google Cloud: disponible en todos los niveles de servicio
  • Consola de operaciones de seguridad: disponible solo en el nivel Enterprise

La página Hallazgos en la consola de operaciones de seguridad está en vista previa.

En esta página, los pasos para trabajar con las dos consolas se describen uno al lado del otro en pestañas separadas.

Para obtener más información, consulta Consolas de Security Command Center Enterprise.

Obtén los permisos necesarios

En esta sección, se enumeran las funciones de IAM que necesitas para trabajar con los resultados en la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con los resultados en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Asegúrate de tener los siguientes roles en la organización:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

    Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

  4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Si quieres obtener más información sobre las funciones y los permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

Roles de IAM de la consola de operaciones de seguridad

Si eres cliente de Security Command Center Enterprise, puedes trabajar con los hallazgos en la consola de operaciones de seguridad. Necesitas alguna de las siguientes funciones de IAM:

  • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

Para obtener información sobre cómo otorgar la función a un usuario, consulta Asigna y autoriza usuarios con IAM.

Ver resultados

Para obtener información sobre cómo ubicar la página Hallazgos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

    Ir a Hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.

Consola de operaciones de seguridad

En la consola de Operaciones de seguridad, ve a la página Hallazgos. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Ajusta el intervalo de tiempo para ver más resultados

Puedes ajustar el intervalo de tiempo que se usa para tus consultas. El intervalo de tiempo predeterminado es Last 7 days.

El intervalo de tiempo se basa en el valor del atributo eventTime de los resultados, que refleja la hora a la que se actualizó por última vez el registro de resultados.

Si deseas obtener información para ajustar el intervalo de tiempo, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

En la página Hallazgos de la consola de Google Cloud, configura el campo de Intervalo de tiempo.

Consola de operaciones de seguridad

En la parte superior de la lista de hallazgos en la página Hallazgos de la consola de operaciones de seguridad, configura el campo Se muestra.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Cómo consultar la disponibilidad

Por lo general, un resultado está disponible para que lo consultes en Security Command Center menos de un minuto después de que el servicio que lo genera lo almacena en la base de datos de hallazgos de Security Command Center. Los hallazgos de los niveles Premium y Enterprise permanecen disponibles para su consulta durante al menos 13 meses. Los hallazgos del nivel Estándar permanecen disponibles durante al menos 35 días.

Security Command Center almacena una o más instantáneas de cada resultado. Una instantánea de un hallazgo de nivel Premium o Enterprise se borra 13 meses después de la marca de tiempo en el campo eventTime. Si se borran todas las instantáneas de un resultado, este ya no se puede consultar ni recuperar.

Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.

Busca y visualiza hallazgos específicos

De forma predeterminada, la página Hallazgos muestra todos los resultados activos que no están silenciados y que son nuevos o se actualizaron en los últimos siete días.

Para ver resultados específicos, edita la consulta de resultados a fin de especificar los valores o atributos que los resultados que necesitas ver deben o no contener.

El siguiente ejemplo es la consulta de resultados predeterminada:

state="ACTIVE"
AND NOT mute="MUTED"

Puedes ver la consulta de los resultados actuales en el panel Editor de consultas. Puedes editar la consulta directamente o seleccionar filtros predefinidos para compilar la consulta. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

En la página Hallazgos en la consola de Google Cloud, puedes hacer lo siguiente:

  • En el panel Filtros rápidos, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta. Usa el panel Filtros rápidos para ver las opciones de filtro de alto nivel de uso general.
  • En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basan en atributos de resultados de nivel inferior. Para obtener más información, revisa Edita una consulta de resultados en la consola.
  • Edita la consulta de resultados directamente en el panel Editor de consultas.
  • En la vista de detalles de un hallazgo, en el menú desplegable de un atributo en particular, selecciona un filtro predefinido para ese atributo a fin de agregarlo a una consulta.

Consola de operaciones de seguridad

En la página Hallazgos de la consola de operaciones de seguridad, puedes hacer lo siguiente:

  • En el panel Agregaciones, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta. Usa el panel Agregaciones para ver las opciones de filtro de alto nivel y de uso general.
  • En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basen en atributos de resultados de nivel inferior. Para obtener más información, revisa Edita una consulta de resultados en la consola.
  • Edita la consulta de los resultados directamente en el panel Editor de consultas.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Ve los detalles de un hallazgo

Para obtener más información sobre un resultado, abre la vista detallada haciendo clic en su nombre en la columna Category, en los resultados de la consulta.

En la vista de detalles, puedes encontrar información fundamental para comprender un hallazgo, investigar una amenaza o abordar una vulnerabilidad.

La vista de detalles de los hallazgos incluye las siguientes pestañas que puedes seleccionar para obtener más información sobre un hallazgo y tomar medidas:

  • La pestaña Resumen (Summary), que es la vista predeterminada, destaca información clave y atributos sobre el hallazgo.
  • La pestaña Propiedades fuente, en la que puedes ver los atributos del objeto sourceProperties del hallazgo JSON
  • La pestaña JSON, en la que puedes ver el formato JSON completo del hallazgo

Puedes realizar ciertas acciones sobre el hallazgo en la vista de detalles, además de buscar vínculos a información adicional relacionada con el hallazgo.

Obtén información sobre el hallazgo en la vista detallada

La vista detallada de un hallazgo destaca información importante sobre este que puedes usar para comprender y abordar el problema de seguridad subyacente.

Información en la pestaña Resumen

En la pestaña Resumen (Summary), se proporciona información sobre el hallazgo en las siguientes secciones:

Qué se detectó (o descripción general)

Detalles sobre el hallazgo que se detectó, como los siguientes:

  • La gravedad del hallazgo
  • El estado del hallazgo, ACTIVE o INACTIVE
  • Cualquier campo clave que esté relacionado con el hallazgo específico
Vulnerabilidad

Información del registro de CVE que corresponde a la vulnerabilidad, si corresponde En la sección Vulnerabilidad, se incluye información del registro de CVE, como la siguiente:

  • ID de CVE
  • Puntuación de CVE
  • Impacto
  • Actividad de explotación
Exposición al ataque

Indica la puntuación de exposición a ataques y la hora en la que se calculó la puntuación por última vez. Si haces clic en la puntuación, se abrirá una representación visual de los recursos de alto valor afectados y la ruta de ataque asociada.

Recurso afectado

Detalles sobre el recurso asociado con el hallazgo, incluida la siguiente información:

  • El nombre completo del recurso afectado
  • El proveedor de servicios en la nube del recurso
  • Los contactos técnicos y de seguridad
Información del caso

Detalles sobre el caso asociado con el hallazgo, incluida la siguiente información.

  • El nombre completo del recurso del sistema externo asociado con el resultado
  • El grupo asignado al caso
  • El ID del caso, con el que se vincula al caso en la consola de operaciones de seguridad
  • El estado del caso
  • La hora de actualización en el sistema de administración de casos externo
  • El plazo comprometido para cerrar el caso
Marcas de seguridad

Las marcas de seguridad asociadas con este hallazgo, si las hay.

Próximos pasos

Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo ciertos servicios, como Security Health Analytics, proporcionan los pasos siguientes.

Vínculos relacionados

Vínculos a fuentes clave de información de seguridad fuera de Security Command Center. Solo algunos servicios, como Event Threat Detection, proporcionan vínculos relacionados.

Servicio de detección

Detalles sobre el servicio o la fuente, que detectó el hallazgo

Información sobre la pestaña Propiedades fuente

Para algunos hallazgos, el panel de detalles incluye una pestaña de Propiedades fuente que destaca ciertas propiedades del objeto sourceProperties del JSON de resultados.

Las propiedades fuente difieren para cada resultado y para cada servicio que se ejecuta en Security Command Center. No hay garantía de que las propiedades de la fuente estén estandarizadas en todos los servicios. Por este motivo, no recomendamos que consumas propiedades fuente de manera programática. Si deseas que una propiedad fuente se estandarice en todos los servicios, envía tus comentarios.

Información de la pestaña JSON

La pestaña JSON contiene la estructura JSON completa del hallazgo, lo que puede ser útil cuando investigas un hallazgo o buscas atributos que puedes usar en tus consultas de resultados.

Para copiar el objeto JSON en el portapapeles, haz clic en Copiar.

La estructura JSON de un hallazgo contiene los siguientes objetos:

  • findings: Son los atributos del resultado. Estos atributos se estandarizaron en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta: Finding.
  • resource: Son los atributos del recurso afectado. Para obtener más información, consulta Resource.
  • sourceProperties: Son las propiedades específicas del servicio del resultado.

También puedes usar la API de ListFindings para enumerar los hallazgos y obtener sus definiciones de JSON.

Toma medidas en un hallazgo desde la vista detallada

Puedes realizar varias acciones en un resultado desde su vista de detalles, como silenciarlo. Si ves la vista de detalles del hallazgo en la consola de Google Cloud, también puedes agregar atributos del hallazgo a la consulta de resultados actual.

Silenciar un hallazgo en la vista detallada

Desde la vista detallada de un hallazgo, puedes silenciarlo o dejar de silenciarlo. También puedes crear una regla que silencie todos los resultados futuros, como el resultado actual.

Si deseas obtener instrucciones completas para silenciar un resultado o crear una regla de silenciamiento, consulta Silencia los resultados en Security Command Center.

Cómo agregar filtros de atributos a una consulta desde la vista detallada

En la consola de Google Cloud, en la vista detallada de un resultado, puedes agregar filtros para los atributos que se muestran a la consulta de resultados actual.

Para obtener información sobre cómo agregar filtros de atributos a una consulta desde la vista de detalles, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. En la vista detallada del hallazgo, busca el atributo que deseas filtrar.
  3. Junto al atributo, abre el menú desplegable.
  4. Selecciona un filtro predefinido para el atributo. El filtro se agrega a la consulta de resultados en la página Hallazgos.

Consola de operaciones de seguridad

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. En la vista detallada del hallazgo, busca el atributo que deseas filtrar.
  3. Junto al atributo, abre el menú desplegable.
  4. Selecciona un filtro predefinido para el atributo. El filtro se agrega a la consulta de resultados en la página Hallazgos.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Ver o copiar nombres de API de atributos en la vista detallada de un hallazgo

La mayoría de los atributos de hallazgos que se muestran en la consola de Google Cloud tienen un nombre correspondiente que se usa en la API de Security Command Center.

Para obtener información sobre cómo ver o copiar nombres de API de atributos en la vista detallada de un resultado, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. En la vista de detalles del hallazgo, puedes encontrar y copiar el nombre de la API correspondiente de cada atributo del hallazgo que se muestra.
Equivalentes de API para encontrar nombres de atributos

Consola de operaciones de seguridad

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. En la vista detallada del hallazgo, busca el atributo cuyo equivalente de la API deseas copiar.
  3. Junto al atributo, abre el menú desplegable.
  4. Haz clic en Copiar equivalente de la API.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Compartir la vista detallada de un hallazgo

Para compartir la vista detallada de un hallazgo, puedes copiar la URL de la página de vista detallada y compartirla con otras personas.

Para obtener información sobre cómo copiar la URL de la vista detallada de un hallazgo, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. Haz clic en Tomar medidas > Copiar vínculo.

Consola de operaciones de seguridad

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. Haz clic en Copiar vínculo.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Enviar comentarios sobre el hallazgo a Google Cloud

Para obtener información sobre cómo enviar comentarios sobre un resultado, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la página Hallazgos, haz clic en el hallazgo para ver sus detalles.
  2. Haz clic en Tomar medidas > Enviar comentarios.
  3. Ingresa una descripción de tus comentarios.
  4. Para incluir una captura de pantalla, haz clic en Tomar captura de pantalla.
  5. Haz clic en Enviar.

Consola de operaciones de seguridad

Esta función no está disponible en la consola de operaciones de seguridad.

Mostrar detalles de otros hallazgos en los resultados de la búsqueda

Para ver los detalles de los resultados que anteceden o siguen al resultado que estás viendo, usa el botón siguiente o anterior para ir al resultado siguiente o anterior, sin tener que volver a la página Hallazgos.

Agrega marcas de seguridad a los resultados

Una marca de seguridad es una etiqueta de par clave-valor personalizada que puedes usar para anotar un resultado, asociar un resultado con otros que compartan la misma marca de seguridad y con resultados de consultas.

Si quieres obtener instrucciones completas para configurar marcas de seguridad en los resultados o recursos, consulta Usa marcas de seguridad.

Silencia los resultados en la consola

Puedes silenciar y activar el sonido de los resultados en las siguientes vistas:

  • Resultados de la búsqueda de resultados en la página Hallazgos
  • Vista detallada de un hallazgo

Puedes silenciar resultados individuales o crear reglas de silenciamiento que silencien los resultados actuales y futuros según los filtros que definas.

Los resultados silenciados están ocultos y silenciados, pero aún puedes verlos si agregas el filtro mute="MUTED" a tu consulta de resultados. Los hallazgos silenciados se siguen registrando con fines de auditoría y cumplimiento.

Para obtener instrucciones detalladas sobre cómo silenciar y activar el sonido de los resultados, consulta Silencia los resultados en Security Command Center.

Cambiar el estado de un resultado

Un resultado puede tener uno de dos estados: Active o Inactive.

Un estado de Active significa que el problema de seguridad identificado por el hallazgo persiste en tu entorno como una amenaza o vulnerabilidad potencial.

Un estado Inactive significa que se solucionó el problema de seguridad.

Es posible que quieras cambiar el estado de un resultado por varias razones, como cambiar el estado de un resultado a Inactive en cuanto se aborde, de modo que no tengas que esperar al siguiente análisis para cambiar el estado por ti.

Para obtener información sobre cómo cambiar el estado de un resultado, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

    Ir a Hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En el panel Resultados de la búsqueda, selecciona
  4. En la barra de acciones del panel Resultados de la búsqueda, haz clic en Cambiar estado activo. Aparecerá un menú emergente.
  5. En el menú emergente Cambiar estado activo, selecciona Activo o Inactivo.

Consola de operaciones de seguridad

Esta función no está disponible en la consola de operaciones de seguridad.

Personaliza la página Hallazgos

Para controlar el espacio en pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta de resultados.

Ajustar las columnas de los resultados de la consulta

Puedes agregar o quitar columnas de los resultados de la búsqueda.

Puedes quitar cualquier columna, excepto Category.

Los siguientes son ejemplos de columnas que están disponibles:

  • Categoría: Es el nombre del tipo de hallazgo.
  • Gravedad: la gravedad del hallazgo. Para obtener más información sobre cómo encontrar niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.
  • Puntuación de exposición a ataques: la puntuación de exposición a ataques del hallazgo.
  • Hora del evento: Ya sea cuando se detectó el resultado por primera vez o cuando se actualizó por última vez.
  • Hora de creación: Cuándo se creó el hallazgo en Security Command Center
  • Clase del hallazgo: Es la clase del hallazgo, como THREAT, VULNERABILITY y MISCONFIGURATION.
  • Nombre visible del recurso: El nombre visible del recurso en el que se detectó el problema.
  • Nombre completo del recurso: El nombre completo del recurso en el que se detectó el problema.
  • Proveedor de servicios en la nube de recursos: Es el proveedor de servicios en la nube en el que se aloja el recurso.
  • Ruta del recurso: Es la ruta de acceso al recurso en el que se detectó el problema.
  • Resource type: Es el tipo de recurso en el que se detectó el problema.
  • Marcas de seguridad: Son las marcas de seguridad que se agregan al hallazgo.

Para obtener información sobre cómo ajustar las columnas de los resultados de la consulta de resultados, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. A la derecha de la barra de acciones Resultados de la consulta de resultados, haz clic en Columnas.
  2. Selecciona las columnas que deseas mostrar.
  3. Borra las selecciones de las columnas que deseas ocultar.
  4. Haz clic en Aplicar para aplicar los cambios en el panel Resultados de la búsqueda.
Las selecciones de columnas se conservarán la próxima vez que veas la página Resultados, incluso si cambias de proyecto o de organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.

Consola de operaciones de seguridad

  1. En la barra de acciones Hallazgos, haz clic en Administrar columnas.
  2. Selecciona las columnas que deseas mostrar.
  3. Borra las selecciones de las columnas que deseas ocultar.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Cómo ocultar o mostrar los paneles de la página de resultados

Para obtener información sobre cómo ajustar los paneles de la página Hallazgos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

Si quieres proporcionar más espacio en pantalla para editar consultas o ver los resultados, puedes ocultar o mostrar los siguientes paneles:

  • Panel Filtros rápidos
  • Panel Editor de consultas

Para ocultar un panel, haz clic en el ícono Activar o desactivar panel, o .

Para mostrar el panel, vuelve a hacer clic en el ícono.

Consola de operaciones de seguridad

Esta función no está disponible en la consola de operaciones de seguridad.

¿Qué sigue?