Trabalhar com as descobertas no console

Esta página explica como trabalhar com as descobertas do Security Command Center na Console do Google Cloud e do console de operações de segurança.

Uma descoberta é um registro de um problema de segurança que os serviços do Security Command Center que criam quando detectam um problema de segurança. As descobertas estão listadas Descobertas. Você pode clicar em uma descoberta para ver os detalhes e o JSON completo .

Algumas das ações que você pode realizar na página Descobertas incluem as seguintes:

  • Consultar descobertas
  • Inspecionar descobertas
  • Silenciar descobertas
  • Adicionar marcações de segurança às descobertas

Para informações sobre como trabalhar com as descobertas usando a API Security Command Center, consulte Como acessar o Security Command Center de maneira programática.

Como trabalhar com descobertas nos consoles do Security Command Center Enterprise

Se você é um cliente do Security Command Center Enterprise, pode trabalhar com as descobertas em dois consoles:

  • Console do Google Cloud: disponível em todos os níveis de serviço
  • Console de operações de segurança: disponível apenas no nível Enterprise

A página Descobertas na O console de operações de segurança está em pré-lançamento.

Nesta página, as etapas para trabalhar com os dois consoles são descritas lado a lado em guias separadas.

Para mais informações, consulte Security Command Center Enterprise consoles.

Conseguir as permissões necessárias

Nesta seção, listamos os papéis do IAM com que você precisa trabalhar descobertas no console.

Papéis do IAM no console do Google Cloud

Para trabalhar com as descobertas no console do Google Cloud, você precisa dos papéis do IAM a seguir.

Verifique se você tem os seguintes papéis na organização:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Verificar os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM
  2. Selecionar uma organização.

  3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

    Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

  4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acesse o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos participantes, digite seu endereço de e-mail.
  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Save.

Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

Papéis do IAM do console de Operações de segurança

Se você é um cliente do Security Command Center Enterprise, pode trabalhar com as descobertas no console de operações de segurança. Você precisa de uma das seguintes opções do IAM papéis:

  • Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)
  • Gerenciador de ameaças do Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gerenciador de vulnerabilidades do Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Para informações sobre como conceder o papel a um usuário, consulte Mapeie e autorize usuários usando o IAM.

Ver descobertas

Para informações sobre como localizar a página Descobertas, clique na guia do console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acessar "Descobertas"

  2. Selecione a organização ou o projeto do Google Cloud.

Console de operações de segurança

No console de Operações de Segurança, acesse a página Descobertas. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

Para mais informações, consulte Console de operações de segurança.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Ajuste o período para ver mais descobertas

Você pode ajustar o horário o intervalo de endereços usado nas consultas. O período padrão é Last 7 days.

O intervalo de tempo é baseado no valor do atributo eventTime das descobertas, que reflete o horário em que o registro da descoberta foi atualizado pela última vez.

Para obter informações sobre como ajustar o período, clique na guia do console que está usando.

Console do Google Cloud

Na página Descobertas No console do Google Cloud, defina o intervalo .

Console de operações de segurança

No topo da lista de descobertas em Descobertas no console de Operações de Segurança, defina o campo Mostrando.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Disponibilidade da descoberta

Uma descoberta geralmente fica disponível para consulta no Security Command Center menos de um minuto após ser gerada e armazenada no banco de dados de descobertas do Security Command Center por um serviço específico a essa finalidade. As descobertas dos níveis Premium e Enterprise continuam disponíveis para consulta por pelo menos 13 meses. As descobertas de nível Standard permanecem disponíveis para por pelo menos 35 dias.

O Security Command Center armazena um ou mais snapshots de cada descoberta. Um resumo de uma descoberta no nível Premium ou Enterprise é excluído após 13 meses após o carimbo de data/hora no campo eventTime. Se todos os snapshots de uma descoberta forem excluídos, ela não poderá mais ser consultada ou recuperada.

Para saber mais sobre a retenção de dados do Security Command Center, consulte Retenção de dados.

Encontrar e ver descobertas específicas

Por padrão, a página Descobertas exibe todas as descobertas ativas que não estão silenciados e que são novos ou atualizados nos últimos sete dias.

Para ver descobertas específicas, edite a consulta de descobertas para determinar os valores ou atributos que as descobertas precisam conter ou não.

O exemplo a seguir é a consulta de descobertas padrão:

state="ACTIVE"
AND NOT mute="MUTED"

Você pode ver as descobertas atuais no painel Editor de consultas. Você pode edite a consulta diretamente ou selecione filtros predefinidos para criá-la. Para mais informações, clique na guia do console que está usando.

Console do Google Cloud

Na página Descobertas no console do Google Cloud, é possível fazer o seguintes:

  • No painel Filtros rápidos, selecione um ou mais atributos predefinidos. filtros para adicioná-las a uma consulta. Use o painel Filtros rápidos para: as opções de filtro de alto nível mais usadas.
  • No botão Adicionar filtro do painel Editor de consultas, selecione uma ou mais das opções predefinidas filtros de atributos para adicioná-los a uma consulta. Use o menu Adicionar filtro para filtros mais granulares e avançados baseados em descobertas de nível mais baixo atributos. Para mais informações, acesse Editar uma consulta de descobertas na console do Cloud.
  • Edite a consulta de descobertas diretamente em editor.
  • Na visualização de detalhes de uma descoberta, no menu suspenso para um atributo específico, selecione um filtro predefinido para esse atributo para adicioná-lo a uma consulta.

Console de operações de segurança

Na página Descobertas do console de operações de segurança, faça o seguinte:

  • No painel Agregações, selecione um ou mais atributos predefinidos. filtros para adicioná-las a uma consulta. Use o painel Agregações para as opções de filtro de alto nível mais usadas.
  • Em Adicionar filtro do painel Editor de consultas, selecione uma ou mais das opções predefinidas filtros de atributos para adicioná-los a uma consulta. Use o menu Adicionar filtro para filtros mais granulares e avançados baseados em descobertas de nível mais baixo atributos. Para mais informações, acesse Editar uma consulta de descobertas na console do Cloud.
  • Edite a consulta de descobertas diretamente no painel Editor de consultas.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Ver os detalhes de uma descoberta

Para saber mais sobre uma descoberta, abra a visualização detalhada dela clicando no nome da descoberta na coluna Categoria das descobertas. resultados da consulta.

Na visualização detalhada, é possível encontrar informações essenciais para entender uma descoberta, investigar uma ameaça ou resolver uma vulnerabilidade.

A visualização detalhada de descobertas inclui as seguintes guias que podem ser selecionadas para dar mais informações sobre uma descoberta e executar uma ação:

  • A guia Resumo, que é a visualização padrão, destaca as principais informações e atributos da descoberta.
  • A guia Propriedades de origem, onde é possível ver os atributos do objeto sourceProperties do JSON da descoberta.
  • A guia JSON, onde é possível ver o formato JSON completo da descoberta.

Você pode executar determinadas ações na descoberta quando na visualização de detalhes, bem como encontrar links para informações adicionais relacionadas à descoberta.

Saiba mais sobre a descoberta na visualização de detalhes

A visualização detalhada de uma descoberta destaca informações importantes sobre ela que podem ser usadas para entender e resolver o problema de segurança.

Informações sobre a guia Resumo

A guia Resumo fornece informações sobre a descoberta nas seguintes seções:

O que foi detectado (ou visão geral)

Detalhes sobre a descoberta detectada, como os seguintes:

  • Gravidade da descoberta
  • O estado de descoberta, ACTIVE ou INACTIVE
  • Todos os campos-chave relacionados à descoberta específica
Vulnerabilidade

Informações do registro CVE que correspondem à a vulnerabilidade, se houver. Seção Vulnerabilidade inclui informações do registro da CVE, como:

  • ID da CVE
  • Pontuação de CVE
  • Impacto
  • Atividade de exploração
Exposição a ataques

A pontuação de exposição a ataques e a hora em que a pontuação foi calculada pela última vez. Clicar na pontuação abre uma representação visual dos recursos afetados de alto valor e o caminho de ataque associado.

Recurso afetado

Detalhes sobre o recurso associado à descoberta, incluindo as seguintes informações:

  • O nome completo do recurso afetado
  • O provedor de serviços em nuvem do recurso
  • Os contatos técnicos e de segurança
Informações do caso

Detalhes sobre o caso associado à descoberta, incluindo as seguintes informações.

  • O nome completo do recurso do sistema externo que está associado ao encontrando
  • O grupo atribuído ao caso
  • O ID do caso, que o vincula ao caso no console do Security Operations
  • O status do caso
  • O horário da atualização no sistema externo de gerenciamento de casos
  • O prazo do compromisso para encerrar o caso
Marcações de segurança

As marcações de segurança associadas a essa descoberta, se houver.

Próximas etapas

Orientações sobre o que você pode fazer para corrigir o problema detectado. Apenas determinados serviços, como a Análise de integridade da segurança, fornecem as próximas etapas.

Links relacionados

Links para as principais fontes de informações de segurança fora do Security Command Center. Somente determinados serviços, como o Event Threat Detection, fornecem links relacionados.

Serviço de detecção

Detalhes sobre o serviço ou a origem que detectaram a descoberta.

Informações sobre a guia Propriedades de origem

Para algumas descobertas, o painel de detalhes inclui uma guia Propriedades de origem que destaca determinadas propriedades do objeto sourceProperties do JSON de descoberta.

As propriedades de origem são diferentes para cada descoberta e para cada serviço executado no Security Command Center. Não há garantia de que as propriedades de origem sejam padronizadas em todos os serviços. Por esse motivo, não recomendamos o consumo programático de propriedades de origem. Se você quiser que uma propriedade de origem seja padronizada em todos os serviços, envie seu feedback.

Informações na guia JSON

A guia JSON contém a estrutura JSON completa do encontrar, o que pode ser útil quando você está investigando um encontrar ou procurar atributos que podem ser usados nas consultas de descobertas.

Para copiar o objeto JSON para a área de transferência, clique em Copiar.

A estrutura JSON de uma descoberta contém estes objetos:

  • findings: os atributos da descoberta. Esses atributos são padronizados em todos os serviços incorporados e integrados, também conhecidos como fontes de segurança. Veja mais informações em Finding.
  • resource: os atributos do recurso afetado. Para mais informações, consulte Resource.
  • sourceProperties: as propriedades específicas do serviço da descoberta.

Você também pode usar a API ListFindings para listar descobertas e ver as definições JSON delas.

Executar ações em uma descoberta na visualização de detalhes

É possível realizar várias ações em uma descoberta na visualização de detalhes dela. como silenciar a descoberta. Se você estiver na visualização de detalhes da descoberta console do Google Cloud, também é possível adicionar atributos, desde a descoberta até a consulta de descobertas atual.

Silenciar uma descoberta na visualização de detalhes

Na visualização de detalhes de uma descoberta, você pode desativar ou ativar o som dela. Você pode criar uma regra que silencia todas as descobertas futuras, como a atual.

Para instruções completas sobre como silenciar uma descoberta ou criar uma regra de silenciamento, consulte Desativar som das descobertas no Security Command Center.

Adicionar filtros de atributos a uma consulta na visualização de detalhes

No console do Google Cloud, na visualização detalhada de uma descoberta, é possível adicionar filtra os atributos exibidos para a consulta de descobertas atual.

Para mais informações sobre como adicionar filtros de atributos a uma consulta a partir dos detalhes clique na guia do console que está usando.

Console do Google Cloud

  1. Na página Descobertas, clique na descoberta para ver os detalhes.
  2. Na visualização de detalhes da descoberta, encontre o atributo que você quer com o filtro ativado.
  3. Ao lado do atributo, abra o menu suspenso.
  4. Selecione um filtro predefinido para o atributo. O é adicionado à consulta de descobertas na página Descobertas.

Console de operações de segurança

  1. Na página Descobertas, clique na descoberta para ver o detalhes.
  2. Na visualização de detalhes da descoberta, encontre o atributo que você quer com o filtro ativado.
  3. Ao lado do atributo, abra o menu suspenso.
  4. Selecione um filtro predefinido para o atributo. O é adicionado à consulta de descobertas em Descobertas página.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Conferir ou copiar nomes de APIs de atributos na visualização de detalhes de uma descoberta

A maioria dos atributos de descoberta exibidos no console do Google Cloud têm um nome correspondente usado na API Security Command Center.

Para informações sobre como conferir ou copiar nomes de APIs de atributos na visualização de detalhes de uma descoberta, clique na guia do console que você está usando.

Console do Google Cloud

  1. Na página Descobertas, clique na descoberta para ver os detalhes.
  2. Na visualização de detalhes da descoberta, é possível encontrar e copiar o nome da API correspondente de cada atributo de descoberta exibido.
Equivalentes de API dos nomes de atributos de descoberta

Console de operações de segurança

  1. Na página Descobertas, clique na descoberta para ver o detalhes.
  2. Na visualização detalhada da descoberta, encontre o atributo com o equivalente na API que você quer copiar.
  3. Ao lado do atributo, abra o menu suspenso.
  4. Clique em Copiar equivalente da API.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Compartilhar a visualização detalhada de uma descoberta

Para compartilhar a visualização detalhada de uma descoberta com outras pessoas, copie o URL da página de detalhes.

Para informações sobre como copiar o URL da visualização de detalhes de uma descoberta, clique em na guia do console que está usando.

Console do Google Cloud

  1. Na página Descobertas, clique na descoberta para ver os detalhes.
  2. Clique em Ação necessária > Copiar link.

Console de operações de segurança

  1. Na página Descobertas, clique na descoberta para ver o detalhes.
  2. Clique em Copiar link.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Enviar feedback sobre a descoberta para o Google Cloud

Para informações sobre como enviar feedback sobre uma descoberta, clique na guia console que está usando.

Console do Google Cloud

  1. Na página Descobertas, clique na descoberta para ver os detalhes.
  2. Clique em Realizar ação > Enviar feedback.
  3. Insira uma descrição para seu feedback.
  4. Para incluir uma captura de tela, clique em Capturar tela.
  5. Clique em Enviar.

Console de operações de segurança

Este recurso não está disponível no console de Operações de Segurança.

Exibir detalhes de outras descobertas nos resultados da consulta de descobertas

Para ver os detalhes das descobertas que precedem ou seguem as que que você está visualizando, use o próximo ou botão anterior disponível para a próxima descoberta ou para a anterior, sem precisar voltar Descobertas.

Adicionar marcações de segurança às descobertas

Uma marca de segurança é um rótulo de chave-valor personalizado que você pode usar para anotar uma descoberta, associar uma descoberta a outras descobertas que compartilham a mesma marcações de segurança e consultar descobertas.

Para instruções completas sobre como definir marcações de segurança em descobertas ou recursos, consulte Como usar marcações de segurança.

Silenciar descobertas no console

É possível silenciar e ativar o som das descobertas nas seguintes visualizações:

  • Resultados da consulta de descobertas na página Descobertas
  • Visualização detalhada de uma descoberta

É possível desativar o som de descobertas individuais ou criar regras para silenciar as descobertas atuais e futuras com base nos filtros definidos por você.

As descobertas silenciadas ficam ocultas e silenciadas, mas ainda é possível visualizá-las adicionando o filtro mute="MUTED" à consulta de descobertas. As descobertas silenciadas continuam a ser registradas, para fins de auditoria e conformidade.

Para instruções detalhadas sobre como desativar e ativar o som de descobertas, consulte Desativar som de descobertas no Security Command Center.

Mudar o estado de uma descoberta

Uma descoberta pode ter um dos dois estados: Active ou Inactive.

Um estado Active significa que o problema de segurança identificado pela descoberta persiste no ambiente como uma possível ameaça ou vulnerabilidade.

Um estado Inactive significa que o problema de segurança foi resolvido.

Você pode querer mudar o estado de uma descoberta por vários motivos, como a mudança para o estado Inactive assim que o problema identificado pela descoberta for resolvido. Desse modo, não será necessário aguardar a próxima verificação mudar o estado para você.

Para informações sobre como alterar o estado de uma descoberta, clique na guia console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acessar "Descobertas"

  2. Selecione a organização ou o projeto do Google Cloud.
  3. No painel Resultados da consulta de descobertas, selecione a descoberta
  4. Na barra de ações do painel Resultados da consulta de descobertas, clique em Mudar o estado ativo. Um menu pop-up será exibido.
  5. No menu pop-up Alterar estado ativo, selecione Ativo ou Inativo.

Console de operações de segurança

Este recurso não está disponível no console de Operações de Segurança.

Personalizar a página "Descobertas"

Para controlar o espaço na tela, personalize alguns dos elementos que aparecem os resultados da consulta de descobertas.

Ajustar as colunas dos resultados da consulta

É possível adicionar ou remover colunas dos resultados da consulta de descobertas.

É possível remover qualquer coluna, exceto a de Categoria.

Veja a seguir exemplos de colunas disponíveis:

  • Categoria: o nome do tipo de descoberta.
  • Gravidade: a gravidade da descoberta. Para mais informações sobre como encontrar níveis de gravidade, consulte Classificações de gravidade para descobertas.
  • Pontuação de combinação tóxica: é uma pontuação de exposição a ataques. em uma descoberta de classe Toxic combination.
  • Pontuação de exposição a ataques: é a pontuação de exposição a ataques. da descoberta.
  • Horário do evento: quando a descoberta foi detectada pela primeira vez ou quando foi atualizada pela última vez.
  • Horário de criação: quando a descoberta foi criada no Security Command Center.
  • Classe da descoberta: indica uma classe, como THREAT, VULNERABILITY e MISCONFIGURATION.
  • Nome de exibição do recurso: identifica em que recurso o problema foi detectado.
  • Nome completo do recurso: nome completo do recurso onde o problema foi detectado.
  • Provedor de nuvem de recursos: o provedor de serviços de nuvem em que o recurso está hospedado.
  • Caminho do recurso: direciona para o recurso onde o problema foi detectado.
  • Tipo de recurso: tipo de recurso onde o problema foi detectado.
  • Marcações de segurança: todas as marcações de segurança adicionadas à descoberta.

Para informações sobre como ajustar as colunas dos resultados da consulta de descobertas, clique na guia do console que está usando.

Console do Google Cloud

  1. À direita da barra de ações Resultados da consulta de descobertas, clique em Colunas.
  2. Selecione as colunas que você quer mostrar.
  3. Limpe as seleções das colunas que você quer ocultar.
  4. Clique em Aplicar para aplicar as alterações Painel Resultados da consulta de descobertas.
. As seleções de coluna serão preservadas na próxima vez que você visualizar a página Descobertas, mesmo se mudar de projeto ou organização. Para limpar todas as seleções de colunas personalizadas, clique em Limpar seleções de colunas.

Console de operações de segurança

  1. Na barra de ações Descobertas, clique em Gerenciar colunas.
  2. Selecione as colunas que você quer mostrar.
  3. Limpe as seleções das colunas que você quer ocultar.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Ocultar ou exibir painéis da página de descobertas

Para ver informações sobre como ajustar os painéis da página Descobertas, clique na guia do console que você está usando.

Console do Google Cloud

Para ter mais espaço na tela para editar consultas ou conferir descobertas, pode ocultar ou exibir os seguintes painéis:

  • Painel Filtros rápidos
  • Painel do Editor de consultas

Para ocultar um painel, clique no ícone Alternar painel, ou .

Para exibir o painel, clique no ícone novamente.

Console de operações de segurança

Este recurso não está disponível no console de Operações de Segurança.

A seguir