Cette page explique comment utiliser les résultats de la page Résultats de Security Command Center dans la console Google Cloud. Un résultat est un enregistrement d'un problème de sécurité que les services Security Command Center créent lorsqu'ils détectent un problème de sécurité.
Voici quelques-unes des actions que vous pouvez effectuer sur la page des résultats:
- Résultats de la requête
- Inspecter les résultats
- Ignorer les résultats
- Ajouter des marques de sécurité aux résultats
Les résultats sont répertoriés dans le panneau Résultats de la requête de résultat de la page Résultats. Vous pouvez cliquer sur un résultat pour afficher ses détails et son format JSON complet.
Pour en savoir plus sur l'utilisation des résultats à l'aide de l'API Security Command Center, consultez la page Accéder à Security Command Center par programmation.
Rôles IAM pour Security Command Center
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.
Afficher les résultats dans la console Google Cloud
Par défaut, le panneau Résultats de la requête de résultat de la page Résultats affiche tous les résultats actifs qui ne sont pas ignorés, et qui ont été nouveaux ou mis à jour au cours des sept derniers jours.
Pour afficher des résultats spécifiques, modifiez la requête de résultats en spécifiant les valeurs ou les attributs que les résultats que vous devez voir doivent ou ne doivent pas contenir.
L'exemple suivant est la requête de résultat par défaut:
state="ACTIVE" AND NOT mute="MUTED"
Vous pouvez afficher la requête de résultat actuelle dans le champ Aperçu de la requête de la page Résultats.
Ajustez la période pour afficher plus de résultats
Vous pouvez ajuster la période utilisée pour vos requêtes dans le champ Time range (Période) situé à droite dans la barre d'action de l'éditeur de requête.
La période par défaut est Last 7 days.
La période est basée sur la valeur de l'attribut eventTime des résultats, qui reflète l'heure à laquelle l'enregistrement de résultat a été mis à jour pour la dernière fois.
Déterminer la disponibilité
Vous pouvez généralement interroger un résultat dans Security Command Center moins d'une minute après que le service qui a généré le résultat l'a stocké dans la base de données de résultats de Security Command Center. Les résultats des niveaux Premium et Enterprise restent disponibles pour les requêtes pendant au moins 13 mois. Les résultats du niveau Standard restent disponibles pendant au moins 35 jours.
Security Command Center stocke un ou plusieurs instantanés de chaque résultat. Un instantané d'un résultat du niveau Premium ou Enterprise est supprimé 13 mois après l'horodatage du champ eventTime. Si tous les instantanés d'un résultat sont supprimés, celui-ci ne peut plus être interrogé ni récupéré.
Pour en savoir plus sur la conservation des données dans Security Command Center, consultez la page Conservation des données.
Rechercher et afficher des résultats spécifiques
Vous pouvez rechercher et afficher des résultats spécifiques ou des groupes de résultats en modifiant la requête de résultats sur la page Résultats. Vous pouvez modifier la requête comme suit:
- Dans le panneau Quick filters (Filtres rapides), sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête.
- Dans le menu Ajouter un filtre du panneau de l'éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête.
- Modifiez la requête de résultats directement dans le panneau de l'éditeur de requête.
- Dans le panneau des détails d'un résultat, dans le menu déroulant d'un attribut particulier, sélectionnez un filtre prédéfini pour cet attribut afin de l'ajouter à une requête.
La sélection d'un filtre prédéfini ajoute automatiquement le filtre à la requête.
Utilisez le panneau Filtres rapides pour afficher les options de filtrage générales communément utilisées. Utilisez le menu Ajouter un filtre pour des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur.
Pour en savoir plus sur la création et la modification de requêtes de résultat dans la console, consultez Modifier une requête de résultat dans la console Google Cloud.
Afficher les détails d'un résultat
Pour en savoir plus sur un résultat, ouvrez la vue détaillée du résultat en cliquant sur son nom dans la colonne Category du panneau Résultats de la requête de résultat.
Dans la vue détaillée, vous trouverez des informations essentielles pour comprendre un résultat, examiner une menace ou traiter une faille.
La vue détaillée des résultats comprend les onglets suivants que vous pouvez sélectionner pour en savoir plus sur un résultat et effectuer une action:
- L'onglet Résumé, qui est la vue par défaut, met en évidence les informations et attributs clés concernant le résultat.
- L'onglet Propriétés sources, où vous pouvez voir les attributs de l'objet
sourcePropertiesdu résultat JSON. - L'onglet JSON, qui affiche le format JSON complet du résultat
Vous pouvez effectuer certaines actions sur le résultat dans la vue détaillée et trouver des liens vers des informations supplémentaires liées au résultat.
En savoir plus sur le résultat dans la vue détaillée
La vue détaillée d'un résultat met en évidence des informations importantes que vous pouvez utiliser pour comprendre et résoudre le problème de sécurité sous-jacent.
Informations sur l'onglet Résumé
L'onglet Résumé fournit des informations sur le résultat dans les sections suivantes:
- Risque détecté
Détails sur le résultat qui a été détecté, tels que les suivants:
- Niveau de gravité du résultat
- État du résultat,
ACTIVEouINACTIVE - Tous les champs clés liés au résultat spécifique
- Faille
Informations de l'enregistrement CVE correspondant à la faille, le cas échéant. La section Vulnérabilité inclut des informations de l'enregistrement CVE, telles que:
- ID de la CVE
- Score CVE
- Impact
- Activité d'exploitation
- Exposition au piratage
Le score d'exposition au piratage et l'heure à laquelle il a été calculé pour la dernière fois. En cliquant sur ce score, vous accédez à une représentation visuelle des ressources de forte valeur concernées et du chemin d'attaque associé.
- Ressource concernée
Des détails sur la ressource associée au résultat, y compris les informations suivantes:
- Le nom complet de la ressource concernée
- Le fournisseur de services cloud de la ressource
- Les contacts techniques et de sécurité
- Marques de sécurité
Marques de sécurité associées à ce résultat, le cas échéant.
- Étapes suivantes
Conseils sur les mesures à prendre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, indiquent la marche à suivre.
- Liens associés
Liens vers des sources clés d'informations de sécurité en dehors de Security Command Center Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.
- Service de détection
Détails concernant le service, ou la source, qui a détecté le résultat.
Informations sur l'onglet Propriétés sources
Pour certains résultats, le panneau des détails inclut un onglet Propriétés sources qui met en évidence certaines propriétés de l'objet sourceProperties du résultat JSON.
Les propriétés sources diffèrent pour chaque résultat et pour chaque service exécuté sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. C'est pourquoi nous vous déconseillons vivement de consommer des propriétés sources de manière programmatique. Si vous souhaitez qu'une propriété source soit standardisée dans tous les services, veuillez nous envoyer vos commentaires.
Informations sur l'onglet JSON
L'onglet JSON contient la structure JSON complète du résultat actuellement sélectionné, qui peut être utile lorsque vous recherchez des attributs que vous pouvez utiliser dans vos requêtes de résultat.
Pour copier l'objet JSON dans votre presse-papiers, cliquez sur Copier.
La structure JSON d'un résultat contient les objets suivants:
findings: attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la sectionFinding.resource: attributs de la ressource concernée. Pour en savoir plus, consultez la sectionResource.sourceProperties: propriétés spécifiques au service du résultat.
Vous pouvez également utiliser l'API ListFindings pour répertorier les résultats et obtenir leurs définitions JSON.
Effectuer une action sur un résultat à partir de la vue détaillée
Vous pouvez effectuer diverses actions sur un résultat à partir de sa vue détaillée, par exemple ignorer le résultat ou ajouter des attributs du résultat à la requête de résultat actuelle.
Ignorer un résultat dans la vue détaillée
Dans la vue détaillée Effectuer une action d'un résultat, vous pouvez désactiver ou réactiver le résultat, ou créer une règle qui ignore tous les résultats futurs, tels que le résultat actuel.
Pour obtenir des instructions complètes sur la désactivation d'un résultat ou la création d'une règle Ignorer, consultez la page Ignorer des résultats dans Security Command Center.
Ajouter des filtres d'attributs à une requête à partir de la vue détaillée
À partir de la vue détaillée d'un résultat, vous pouvez ajouter des filtres pour les attributs affichés à la requête de résultats actuelle.
Pour obtenir des instructions, consultez Ajouter des filtres d'attributs à partir de la vue détaillée d'un résultat.
Afficher les noms d'API d'attribut dans la vue détaillée d'un résultat
La plupart des attributs de résultat affichés dans la console Google Cloud ont un nom correspondant qui est utilisé dans l'API Security Command Center. Dans la vue détaillée d'un résultat, vous pouvez rechercher et copier le nom d'API correspondant aux attributs de résultat affichés.
Partager la vue détaillée d'un résultat
Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL de la page correspondante afin de la partager avec d'autres utilisateurs.
Pour copier l'URL de la vue détaillée dans le presse-papiers, dans le menu Take action (Effectuer une action), cliquez sur Copy link (Copier le lien).
Envoyer des commentaires sur le résultat à Google Cloud
Pour envoyer des commentaires à Google Cloud, ouvrez le menu Effectuer une action, puis cliquez sur Envoyer des commentaires.
L'outil d'envoi de commentaires vous permet de faire une capture d'écran et de l'inclure.
Les sections suivantes décrivent les onglets Résumé, Propriétés sources et JSON.
Afficher les détails d'autres résultats dans le panneau Résultats de la requête de résultat
Pour afficher les détails des résultats qui précèdent ou suivent le résultat que vous consultez actuellement, utilisez le bouton Suivant ou précédent pour accéder au résultat suivant ou précédent, sans avoir à revenir à la page Résultats.
Ajouter des marques de sécurité aux résultats dans la console Google Cloud
Vous pouvez ajouter des marques de sécurité aux résultats, les modifier ou les supprimer des résultats dans le panneau Résultats de la requête de résultats.
Une marque de sécurité est une étiquette clé-valeur personnalisée que vous pouvez utiliser pour annoter un résultat, associer un résultat à d'autres résultats partageant la même marque de sécurité et interroger les résultats.
Pour créer, modifier ou supprimer des marques de sécurité dans la console Google Cloud, cliquez sur Définir des marques de sécurité dans la barre d'action du panneau Résultats de la requête de résultat.
Pour obtenir des instructions complètes sur la définition de marques de sécurité sur les résultats ou les éléments, consultez Utiliser des marques de sécurité.
Ignorer des résultats dans la console Google Cloud
Vous pouvez ignorer et réactiver des résultats sur la page Résultats en utilisant les options Ignorer dans la barre d'action Résultats de la requête de résultats ou en cliquant sur Effectuer une action dans le panneau des détails d'un résultat.
Vous pouvez ignorer des résultats individuels ou créer des règles Ignorer les résultats actuels et futurs en fonction de filtres que vous définissez.
Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les afficher en ajoutant le filtre mute="MUTED" à votre requête de résultat. Les résultats ignorés continuent d'être consignés à des fins d'audit et de conformité.
Vous pouvez consulter les règles Ignorer actuellement définies dans l'onglet Règles Ignorer des paramètres de Security Command Center.
Pour obtenir des instructions détaillées sur l'activation et la désactivation des résultats, consultez la section Ignorer des résultats dans Security Command Center.
Modifier l'état d'un résultat
Un résultat peut avoir l'un des deux états suivants: Active ou Inactive.
L'état Active signifie que le problème de sécurité identifié par le résultat persiste dans votre environnement en tant que menace ou faille potentielle.
L'état Inactive signifie que le problème de sécurité a été résolu.
Vous pouvez être amené à modifier l'état d'un résultat pour diverses raisons, par exemple pour définir l'état d'un résultat sur Inactive dès qu'il a été traité, afin que vous n'ayez pas à attendre la prochaine analyse pour changer l'état à votre place.
Pour modifier l'état d'un résultat dans la console Google Cloud:
Accédez à la vue Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Dans le panneau Résultats de la requête de résultats, sélectionnez le résultat.
Dans la barre d'action du panneau Résultats de la requête de résultat, cliquez sur Modifier l'état actif. Un menu pop-up s'affiche.
Dans le menu pop-up Modifier l'état actif, sélectionnez Actif ou Inactif.
Configurer la page "Résultats"
Vous pouvez contrôler certains des éléments qui apparaissent sur la page Résultats.
Ajuster les colonnes de résultats de requête
Vous pouvez ajouter ou supprimer des colonnes dans le panneau Résultats de la requête de résultat.
Vous pouvez supprimer n'importe quelle colonne, à l'exception de la colonne Category.
Par défaut, le panneau Finding query results (Trouver les résultats de la requête) affiche les colonnes suivantes, mais vous devrez peut-être faire défiler la page vers la droite pour les voir:
- Catégorie: nom du type de résultat.
- Gravité: gravité du résultat. Pour en savoir plus sur la recherche des niveaux de gravité, consultez la section Classifications de gravité des résultats.
- Score d'exposition au piratage: score d'exposition au piratage du résultat.
- Heure de l'événement: date à laquelle le résultat a été détecté pour la première fois ou à sa dernière mise à jour.
- Date et heure de création: date et heure de création du résultat dans Security Command Center.
- Resource display name (Nom à afficher pour la ressource) : nom à afficher pour la ressource dans laquelle le problème a été détecté.
- Resource full name (Nom complet de la ressource) : nom complet de la ressource dans laquelle le problème a été détecté.
- Fournisseur cloud de ressource: fournisseur de services cloud sur lequel la ressource est hébergée.
- Chemin d'accès à la ressource: chemin d'accès à la ressource dans laquelle le problème a été détecté.
- Resource type (Type de ressource) : type de ressource dans laquelle le problème a été détecté.
- Marques de sécurité: toutes les marques de sécurité ajoutées au résultat.
- Classe du résultat: classe du résultat, telle que
THREAT,VULNERABILITYetMISCONFIGURATION.
Pour sélectionner les colonnes de résultats à afficher, procédez comme suit:
- À droite de la barre d'action Résultats de la requête de résultat, cliquez sur view_column Colonnes.
- Dans le menu qui s'affiche, sélectionnez les colonnes que vous souhaitez afficher.
- Pour masquer une colonne, désélectionnez son nom.
- Cliquez sur Appliquer pour appliquer les modifications au panneau Résultats de la requête de résultats.
Les sélections de colonnes sont conservées la prochaine fois que vous consulterez la page Résultats, même si vous changez de projet ou d'organisation. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Clear column selection (Effacer les sélections de colonnes).
Ajuster les panneaux de la page "Résultats"
Pour disposer de plus d'espace à l'écran afin de modifier des requêtes ou d'afficher des résultats, vous pouvez réduire et développer les panneaux suivants:
- Panneau Filtres rapides
- Panneau de l'éditeur de requête
Pour réduire un panneau, cliquez sur l'icône Activer/Désactiver le panneau, first_page ou first_page.
Pour développer le panneau, cliquez à nouveau sur l'icône.
Envoyer des commentaires à l'équipe Security Command Center
Nous cherchons en permanence à améliorer notre service. Vos commentaires nous permettront d'améliorer nos produits et d'offrir une meilleure expérience à tous les utilisateurs de Security Command Center.
Pour envoyer vos commentaires, procédez comme suit :
Accédez à la vue Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Cliquez sur Options, puis sélectionnez Envoyer des commentaires.
Étapes suivantes
- En savoir plus sur les services de détection
- Découvrez comment utiliser des marques de sécurité.
- Découvrez comment configurer les services Security Command Center.
- Découvrez comment créer un filtre de résultats à l'aide de l'API Security Command Center.