Utilizzo dei risultati nella console

Questa pagina spiega come utilizzare i risultati di Security Command Center nella console Google Cloud e in Security Operations Console.

Un risultato è un record di un problema di sicurezza creato dai servizi Security Command Center quando rilevano un problema di sicurezza. I risultati sono elencati nella pagina Risultati. Puoi fare clic su un risultato per visualizzarne i dettagli e il formato JSON completo.

Alcune delle azioni che puoi eseguire nella pagina Risultati includono:

  • Risultati della query
  • Ispeziona risultati
  • Disattiva risultati
  • Aggiungi contrassegni di sicurezza ai risultati

Per informazioni sull'utilizzo dei risultati utilizzando l'API Security Command Center, vedi Accesso a Security Command Center in modo programmatico.

Utilizzo dei risultati nelle console di Security Command Center Enterprise

Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:

  • Console Google Cloud: disponibile in tutti i livelli di servizio
  • Security Operations Console: disponibile solo nel livello Enterprise

La pagina Risultati della Security Operations Console è in anteprima.

In questa pagina, i passaggi per lavorare con le due console sono descritti uno accanto all'altro in schede separate.

Per ulteriori informazioni, vedi Console Security Command Center Enterprise.

Ottieni le autorizzazioni richieste

Questa sezione elenca i ruoli IAM necessari per lavorare con i risultati nella console.

Ruoli IAM della console Google Cloud

Per utilizzare i risultati nella console Google Cloud, devi disporre dei seguenti ruoli IAM.

Assicurati di disporre dei seguenti ruoli nell'organizzazione:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Verifica i ruoli

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.

  3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

    Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

  4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

Concedi i ruoli

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.
  4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
  5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
  7. Fai clic su Salva.

Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

Ruoli IAM di Security Operations Console

Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati nella Security Operations Console. Devi disporre di uno dei seguenti ruoli IAM:

  • Amministratore Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Gestore delle vulnerabilità SOAR di Chronicle (roles/chronicle.soarVulnerabilityManager)

Per informazioni sulla concessione del ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

Visualizza risultati

Per informazioni sull'individuazione della pagina Risultati, fai clic sulla scheda per la console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

Console operativa di sicurezza

In Security Operations Console, vai alla pagina Risultati. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.

Per ulteriori informazioni su questa console, vedi Console Security Operations.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Modifica l'intervallo di tempo per visualizzare altri risultati

Puoi regolare l'intervallo di tempo utilizzato per le query. L'intervallo di tempo predefinito è Last 7 days.

L'intervallo di tempo si basa sul valore dell'attributo eventTime dei risultati, che riflette l'ora in cui il record del risultato è stato aggiornato per l'ultima volta.

Per informazioni su come modificare l'intervallo di tempo, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

Nella pagina Risultati della console Google Cloud, imposta il campo Intervallo di tempo.

Console operativa di sicurezza

Nella parte superiore dell'elenco dei risultati nella pagina Risultati della Security Operations Console, imposta il campo Visualizzazione.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Ricerca della disponibilità in corso...

In genere, un risultato diventa disponibile su cui eseguire query in Security Command Center meno di un minuto dopo che il servizio che lo ha generato lo archivia nel database dei risultati di Security Command Center. I risultati dei livelli Premium ed Enterprise rimangono disponibili per l'esecuzione di query per almeno 13 mesi. I risultati del livello Standard rimangono disponibili per almeno 35 giorni.

Security Command Center archivia uno o più snapshot di ogni risultato. Uno snapshot di un risultato di livello Premium o Enterprise viene eliminato 13 mesi dopo il timestamp nel campo eventTime. Se tutti gli snapshot di un risultato vengono eliminati, non è più possibile eseguire query o recuperare il risultato.

Per saperne di più sulla conservazione dei dati di Security Command Center, consulta Conservazione dei dati.

Trovare e visualizzare risultati specifici

Per impostazione predefinita, la pagina Risultati mostra tutti i risultati attivi che non sono disattivati e che sono nuovi o aggiornati negli ultimi sette giorni.

Per visualizzare risultati specifici, modifica la query dei risultati per specificare i valori o gli attributi che i risultati che devi visualizzare devono o non devono contenere.

L'esempio seguente è la query predefinita sui risultati:

state="ACTIVE"
AND NOT mute="MUTED"

Puoi visualizzare la query dei risultati corrente nel riquadro Editor di query. Puoi modificare direttamente la query o selezionare filtri predefiniti per crearla. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

Nella pagina Risultati della console Google Cloud, puoi eseguire queste operazioni:

  • Nel riquadro Filtri rapidi, seleziona uno o più filtri di attributi predefiniti per aggiungerli a una query. Utilizza il riquadro Filtri rapidi per visualizzare le opzioni di filtro di alto livello più utilizzate.
  • Nel menu Aggiungi filtro del riquadro Editor query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per utilizzare filtri più granulari e avanzati basati su attributi dei risultati di livello inferiore. Per ulteriori informazioni, consulta Modificare una query dei risultati nella console.
  • Modifica la query dei risultati direttamente nel riquadro Editor di query.
  • Nella visualizzazione dettagliata di un risultato, dal menu a discesa di un determinato attributo, seleziona un filtro predefinito per l'attributo in questione per aggiungerlo a una query.

Console operativa di sicurezza

Nella pagina Risultati della Security Operations Console, puoi eseguire queste operazioni:

  • Nel riquadro Aggregazioni, seleziona uno o più filtri di attributi predefiniti per aggiungerli a una query. Utilizza il riquadro Aggregazioni per le opzioni di filtro di alto livello più utilizzate.
  • Nel menu Aggiungi filtro del riquadro Editor query, , seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi dei risultati di livello inferiore. Per ulteriori informazioni, consulta Modificare una query dei risultati nella console.
  • Modifica la query dei risultati direttamente nel riquadro Editor di query.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Visualizzare i dettagli di un risultato

Per scoprire di più su un risultato, apri la visualizzazione dettagliata del risultato facendo clic sul suo nome nella colonna Categoria nei risultati della query dei risultati.

Nella visualizzazione dei dettagli puoi trovare le informazioni fondamentali per comprendere un risultato, analizzare una minaccia o risolvere una vulnerabilità.

La visualizzazione dettagliata dei risultati include le seguenti schede che puoi selezionare per scoprire di più su un risultato e intervenire:

  • La scheda Riepilogo, che è la visualizzazione predefinita, evidenzia attributi e informazioni chiave relativi al risultato.
  • La scheda Proprietà sorgente, in cui puoi visualizzare gli attributi dell'oggetto sourceProperties del file JSON dei risultati.
  • La scheda JSON, dove puoi visualizzare il formato JSON completo del risultato.

Puoi eseguire determinate azioni sul risultato nella visualizzazione dei dettagli, nonché trovare link a ulteriori informazioni correlate al risultato.

Scopri di più sul risultato nella visualizzazione dei dettagli

La visualizzazione dettagliata di un risultato evidenzia informazioni importanti relative al risultato che puoi utilizzare per comprendere e risolvere il problema di sicurezza sottostante.

Informazioni sulla scheda Riepilogo

La scheda Riepilogo fornisce informazioni sul risultato nelle seguenti sezioni:

Che cosa è stato rilevato (o Panoramica)

Dettagli sul risultato rilevato, ad esempio:

  • Gravità del risultato
  • Lo stato del risultato, ACTIVE o INACTIVE
  • Tutti i campi chiave correlati al risultato specifico
Vulnerabilità

Informazioni dal record CVE che corrispondono all'eventuale vulnerabilità. La sezione Vulnerabilità include informazioni provenienti dal record CVE, ad esempio:

  • ID CVE
  • Punteggio CVE
  • Impatto
  • Attività di exploit
Esposizione all'attacco

Il punteggio di esposizione agli attacchi e l'ora in cui è stato calcolato l'ultima volta. Se fai clic sul punteggio, si apre una rappresentazione visiva delle risorse di alto valore interessate e del percorso di attacco associato.

Risorsa interessata

Dettagli sulla risorsa associata al risultato, tra cui le seguenti informazioni:

  • Il nome completo della risorsa interessata
  • Il provider di servizi cloud della risorsa
  • I contatti tecnici e di sicurezza
Informazioni sulla richiesta

Dettagli sulla richiesta associata al risultato, tra cui le seguenti informazioni.

  • Il nome completo della risorsa del sistema esterno associato al file
  • Il gruppo assegnato alla richiesta
  • L'ID richiesta, che si collega alla richiesta nella Security Operations Console
  • Lo stato della richiesta
  • L'ora di aggiornamento nel sistema di gestione delle richieste esterno
  • La scadenza impegnata per la chiusura della richiesta
Contrassegni di sicurezza

Gli eventuali contrassegni di sicurezza associati a questo risultato.

Passaggi successivi

Indicazioni su cosa fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, forniscono i passaggi successivi.

Link correlati

Link alle principali fonti di informazioni sulla sicurezza al di fuori di Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono i link correlati.

Servizio di rilevamento

Dettagli sul servizio, o fonte, che ha rilevato il risultato.

Informazioni sulla scheda Proprietà sorgente

Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà sorgente che evidenzia determinate proprietà dall'oggetto sourceProperties del JSON risultato.

Le proprietà di origine sono diverse per ogni risultato e per ogni servizio eseguito su Security Command Center. Non vi è alcuna garanzia che le proprietà sorgente siano standardizzate in tutti i servizi. Per questo motivo, sconsigliamo vivamente di utilizzare le proprietà sorgente in modo programmatico. Se vuoi che una proprietà sorgente sia standardizzata per tutti i servizi, comunicacelo inviando il tuo feedback.

Informazioni sulla scheda JSON

La scheda JSON contiene la struttura JSON completa dei risultati, che può essere utile quando indaghi o cerchi attributi da utilizzare nelle query dei risultati.

Per copiare l'oggetto JSON negli appunti, fai clic su Copia.

La struttura JSON di un risultato contiene i seguenti oggetti:

  • findings: attributi del risultato. Questi attributi sono standardizzati in tutti i servizi integrati e integrati (noti anche come origini di sicurezza). Per maggiori informazioni, vedi Finding.
  • resource: gli attributi della risorsa interessata. Per maggiori informazioni, vedi Resource.
  • sourceProperties: le proprietà del risultato specifiche per il servizio.

Puoi anche utilizzare l'API ListFindings per elencare i risultati e ricevere le relative definizioni JSON.

Eseguire azioni su un risultato dalla visualizzazione dei dettagli

Puoi eseguire una serie di azioni su un risultato dalla relativa visualizzazione dei dettagli, ad esempio disattivarne l'audio. Se stai visualizzando la visualizzazione dei dettagli del risultato nella console Google Cloud, puoi anche aggiungere attributi del risultato alla query dei risultati corrente.

Disattivare un risultato nella visualizzazione dei dettagli

Dalla visualizzazione dei dettagli di un risultato, puoi disattivare o riattivare l'audio del risultato. Puoi anche creare una regola che disattivi tutti i risultati futuri come quello attuale.

Per le istruzioni complete per la disattivazione di un risultato o la creazione di una regola di disattivazione, consulta Disattiva risultati in Security Command Center.

Aggiungere filtri degli attributi a una query dalla visualizzazione dei dettagli

Nella visualizzazione dei dettagli di un risultato della console Google Cloud, puoi aggiungere filtri per gli attributi visualizzati alla query dei risultati corrente.

Per informazioni su come aggiungere filtri degli attributi a una query dalla visualizzazione dei dettagli, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
  2. Nella visualizzazione dei dettagli del risultato, trova l'attributo in base a cui vuoi applicare il filtro.
  3. Accanto all'attributo, apri il menu a discesa.
  4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query dei risultati nella pagina Risultati.

Console operativa di sicurezza

  1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
  2. Nella visualizzazione dei dettagli del risultato, trova l'attributo in base a cui vuoi applicare il filtro.
  3. Accanto all'attributo, apri il menu a discesa.
  4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query dei risultati nella pagina Risultati.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Visualizza o copia i nomi delle API degli attributi nella visualizzazione dettagliata di un risultato

La maggior parte degli attributi dei risultati visualizzati nella console Google Cloud ha un nome corrispondente utilizzato nell'API Security Command Center.

Per informazioni su come visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dei dettagli di un risultato, fai clic sulla scheda della console in uso.

Console Google Cloud

  1. Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
  2. Nella visualizzazione dei dettagli del risultato, puoi trovare e copiare il nome dell'API corrispondente di ogni attributo del risultato visualizzato.
Equivalenti API dei nomi degli attributi dei risultati

Console operativa di sicurezza

  1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
  2. Nella visualizzazione dettagliata del risultato, trova l'attributo di cui vuoi copiare l'equivalente API.
  3. Accanto all'attributo, apri il menu a discesa.
  4. Fai clic su Copia equivalente API.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Condividere la visualizzazione dettagliata di un risultato

Per condividere la visualizzazione dei dettagli di un risultato, puoi copiare l'URL della pagina della visualizzazione dei dettagli per condividerlo con altri utenti.

Per informazioni su come copiare l'URL della visualizzazione dettagliata di un risultato, fai clic sulla scheda per la console che stai utilizzando.

Console Google Cloud

  1. Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
  2. Fai clic su Intervieni > Copia link.

Console operativa di sicurezza

  1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
  2. Fai clic su Copia link.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Invia feedback sul risultato a Google Cloud

Per informazioni su come inviare feedback su un risultato, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella pagina Risultati, fai clic sul risultato per visualizzare i relativi dettagli.
  2. Fai clic su Intervieni > Invia feedback.
  3. Inserisci una descrizione del feedback.
  4. Per includere uno screenshot, fai clic su Acquisisci screenshot.
  5. Fai clic su Invia.

Console operativa di sicurezza

Questa funzionalità non è disponibile in Security Operations Console.

Visualizza i dettagli di altri risultati nei risultati della query sui risultati

Per vedere i dettagli dei risultati che precedono o seguono il risultato che stai visualizzando, utilizza il pulsante successivo o precedente per passare al risultato successivo o precedente, senza dover tornare alla pagina Risultati.

Aggiungi contrassegni di sicurezza ai risultati

Un marchio di sicurezza è un'etichetta personalizzata di una coppia chiave-valore che puoi utilizzare per annotare un risultato, associarlo ad altri risultati che condividono lo stesso contrassegno di sicurezza e ottenere risultati delle query.

Per istruzioni complete sull'impostazione dei contrassegni di sicurezza sui risultati o sugli asset, consulta Utilizzare i contrassegni di sicurezza.

Disattivazione dei risultati nella console

Puoi disattivare e riattivare i risultati nelle seguenti visualizzazioni:

  • Risultati della query sui risultati nella pagina Risultati
  • Visualizzazione dettagliata di un risultato

Puoi disattivare singoli risultati o creare regole di disattivazione che disattivano quelli attuali e futuri in base ai filtri che definisci.

I risultati disattivati vengono nascosti e silenziati, ma puoi comunque visualizzarli aggiungendo il filtro mute="MUTED" alla query dei risultati. I risultati disattivati continuano a essere registrati a scopo di controllo e conformità.

Per istruzioni dettagliate su come disattivare e riattivare i risultati, consulta Disattivare i risultati in Security Command Center.

Modificare lo stato di un risultato

Un risultato può avere uno di due stati: Active o Inactive.

Lo stato Active indica che il problema di sicurezza identificato dal risultato persiste nel tuo ambiente come potenziale minaccia o vulnerabilità.

Lo stato Inactive indica che il problema di sicurezza è stato risolto.

Potresti voler modificare lo stato di un risultato per diversi motivi, ad esempio modificare lo stato di un risultato in Inactive appena viene risolto, in modo da non dover attendere la successiva scansione per modificare lo stato al posto tuo.

Per informazioni su come modificare lo stato di un risultato, fai clic sulla scheda della console in uso.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nel riquadro Risultati query dei risultati, seleziona il risultato
  4. Nella barra delle azioni del riquadro Risultati della query dei risultati, fai clic su Modifica stato attivo. Viene visualizzato un menu popup.
  5. Nel menu popup Modifica stato attivo, seleziona Attivo o Non attivo.

Console operativa di sicurezza

Questa funzionalità non è disponibile in Security Operations Console.

Personalizzare la pagina Risultati

Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi che vengono visualizzati nei risultati della query dei risultati.

Modifica le colonne dei risultati della query

Puoi aggiungere o rimuovere colonne dai risultati della query sui risultati.

Puoi rimuovere qualsiasi colonna tranne Categoria.

Di seguito sono riportati alcuni esempi di colonne disponibili:

  • Categoria: il nome del tipo di risultato.
  • Gravità: la gravità del risultato. Per ulteriori informazioni sull'individuazione dei livelli di gravità, consulta Classificazioni della gravità per i risultati.
  • Punteggio di esposizione agli attacchi: il punteggio di esposizione all'attacco del risultato.
  • Ora evento: la data in cui il risultato è stato rilevato per la prima volta o quando è stato aggiornato l'ultima volta.
  • Data/ora creazione: data di creazione del risultato in Security Command Center.
  • Classe del risultato: la classe del risultato, ad esempio THREAT, VULNERABILITY e MISCONFIGURATION.
  • Nome visualizzato della risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
  • Nome completo della risorsa: il nome completo della risorsa in cui è stato rilevato il problema.
  • Cloud provider di risorse: il provider di servizi cloud su cui è ospitata la risorsa.
  • Percorso della risorsa: il percorso della risorsa in cui è stato rilevato il problema.
  • Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
  • Contrassegni di sicurezza: tutti i contrassegni di sicurezza aggiunti al risultato.

Per informazioni su come modificare le colonne dei risultati della query sui risultati, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. A destra della barra delle azioni Risultati della query dei risultati, fai clic su Colonne.
  2. Seleziona le colonne da visualizzare.
  3. Annulla le selezioni per le colonne che vuoi nascondere.
  4. Fai clic su Applica per applicare le modifiche al riquadro Risultati della query dei risultati.
La selezione delle colonne verrà conservata alla successiva visualizzazione della pagina Risultati, anche se modifichi progetti o organizzazioni. Per cancellare tutte le selezioni di colonne personalizzate, fai clic su Cancella selezioni colonne.

Console operativa di sicurezza

  1. Nella barra delle azioni Risultati, fai clic su Gestisci colonne.
  2. Seleziona le colonne da visualizzare.
  3. Annulla le selezioni per le colonne che vuoi nascondere.

Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Nascondi o visualizza i riquadri della pagina dei risultati

Per informazioni su come modificare i riquadri della pagina Risultati, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

Per offrire più spazio sullo schermo per la modifica delle query o la visualizzazione dei risultati, puoi nascondere o visualizzare i seguenti riquadri:

  • Riquadro Filtri rapidi
  • Riquadro dell'editor di query

Per nascondere un riquadro, fai clic sull'icona Attiva/disattiva riquadro o .

Per visualizzare il riquadro, fai nuovamente clic sull'icona.

Console operativa di sicurezza

Questa funzionalità non è disponibile in Security Operations Console.

Passaggi successivi