Utiliser les résultats dans la console

Cette page explique comment utiliser les résultats de Security Command Center dans les la console Google Cloud et la console Opérations de sécurité.

Un résultat est un enregistrement d'un problème de sécurité que les services Security Command Center créent lorsqu'ils détectent un problème de sécurité. Les résultats sont listés dans le Résultats Vous pouvez cliquer sur un résultat pour afficher ses détails et le fichier JSON complet .

Voici quelques-unes des actions que vous pouvez effectuer sur la page Résultats : suivantes:

• Résultats de la requête
• Inspecter les résultats
• Ignorer les résultats
• Ajouter des marques de sécurité aux résultats

En savoir plus sur l'utilisation des résultats à l'aide de Security Command Center consultez la page Accéder à Security Command Center par programmation.

Utiliser les résultats des consoles Security Command Center Enterprise

Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser les résultats dans deux consoles:

• Console Google Cloud: disponible pour tous les niveaux de service
• Console Opérations de sécurité: disponible uniquement au niveau Enterprise

La page Résultats du La console Opérations de sécurité est en version preview.

Cette page décrit la procédure à suivre pour utiliser les deux consoles. côte à côte dans des onglets distincts.

Pour en savoir plus, consultez la page Security Command Center Enterprise consoles.

Obtenir les autorisations requises

Cette section répertorie les rôles IAM que vous devez utiliser dans la console.

Rôles IAM de la console Google Cloud

Pour utiliser les résultats dans la console Google Cloud, vous devez disposer des rôles IAM suivants.

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation :

• Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Security Center Findings Editor (roles/securitycenter.findingsEditor)

Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

Rôles IAM de la console Opérations de sécurité

Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser les résultats dans la Console Opérations de sécurité. Vous devez disposer de l'un des rôles IAM suivants : rôles:

• Administrateur SOAR Chronicle (roles/chronicle.soarAdmin)
• Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
• Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Pour en savoir plus sur l'attribution du rôle à un utilisateur, consultez Mappez et autorisez les utilisateurs à l'aide d'IAM.

Afficher les résultats

Pour plus d'informations sur l'emplacement de la page Résultats, cliquez sur l'onglet correspondant de la console Google Cloud que vous utilisez.

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

Ajustez la période pour afficher plus de résultats

Vous pouvez régler l'heure utilisée pour vos requêtes. La période par défaut est Last 7 days.

La période est basée sur la valeur de l'attribut eventTime de des résultats, qui reflète l'heure à laquelle l'enregistrement des résultats a été mis à jour.

Pour plus d'informations sur la façon de régler la période, cliquez sur l'onglet correspondant de la console Google Cloud que vous utilisez.

Déterminer la disponibilité

Vous pouvez généralement interroger un résultat Security Command Center moins d'une minute après le service génère le résultat et le stocke dans les résultats Security Command Center base de données. Les résultats des niveaux Premium et Enterprise restent disponibles pour pendant au moins 13 mois. Les résultats du niveau Standard restent disponibles pour pendant au moins 35 jours.

Security Command Center stocke un ou plusieurs instantanés de chaque résultat. A l'instantané d'un résultat du niveau Premium ou Enterprise est supprimé au bout de 13 mois après le code temporel dans le champ eventTime. Si tous les instantanés d'un résultat sont supprimés, le résultat ne peut plus être interrogé ni récupéré.

Pour en savoir plus sur la conservation des données dans Security Command Center, consultez Conservation des données.

Rechercher et afficher des résultats spécifiques

Par défaut, la page Résultats affiche tous les résultats actifs qui ne sont pas ignorés et qui ont été nouveaux ou modifiés au cours des sept derniers jours.

Pour afficher des résultats spécifiques, modifiez la requête de résultats pour spécifier Les valeurs ou attributs que les résultats que vous devez afficher doivent ou ne doit pas contenir.

L'exemple suivant est la requête de résultats par défaut:

state="ACTIVE"
AND NOT mute="MUTED"

Vous pouvez afficher la requête de résultats actuelle dans le panneau de l'éditeur de requête. Vous pouvez modifiez-la directement ou sélectionnez des filtres prédéfinis pour créer la requête. Pour plus d'informations, cliquez sur l'onglet de la console que vous utilisez.

Afficher les détails d'un résultat

Pour en savoir plus sur un résultat, ouvrez la vue détaillée du résultat en cliquant sur le nom du résultat dans la colonne Catégorie des résultats ; les résultats de la requête.

Dans la vue détaillée, vous trouverez des informations essentielles pour la compréhension d’un résultat, l’examen d’une menace ou le traitement d’une la faille de sécurité.

La vue détaillée des résultats comprend les onglets suivants, que vous pouvez Sélectionnez cette option pour en savoir plus sur un résultat et effectuer une action:

• L'onglet Synthèse (vue par défaut) présente des informations clés. et des attributs sur le résultat.
• L'onglet Propriétés sources, où vous pouvez voir les attributs de L'objet sourceProperties du résultat JSON.
• L'onglet JSON, qui affiche le format JSON complet du résultat

Dans la vue détaillée, vous pouvez effectuer certaines actions sur le résultat : ainsi que des liens vers des informations supplémentaires trouver.

En savoir plus sur le résultat dans la vue détaillée

La vue détaillée d'un résultat met en évidence des informations importantes sur le pour comprendre et gérer les failles de sécurité sous-jacentes problème.

Informations sur l'onglet Résumé

L'onglet Résumé fournit des informations sur les résultats suivants : sections:

Ce qui a été détecté (ou "Aperçu")

Détails sur le résultat qui a été détecté, tels que les suivants:

• Niveau de gravité du résultat
• État du résultat, ACTIVE ou INACTIVE
• Tous les champs clés liés au résultat spécifique

Faille

Informations de l'enregistrement CVE correspondant à la faille de sécurité, le cas échéant. Section Vulnérabilité inclut des informations de l'enregistrement CVE, telles que:

• ID de la CVE
• Score CVE
• Impact
• Activité d'exploitation

Exposition au piratage

Le score d'exposition au piratage et l'heure à laquelle le score a été calculé pour la dernière fois. En cliquant sur le score, vous accédez à une représentation visuelle de la valeur élevée concernée. et le chemin d'attaque associé.

Ressource concernée

Les détails de la ressource associée au résultat, y compris les informations suivantes:

• Le nom complet de la ressource concernée
• Le fournisseur de services cloud de la ressource
• Les contacts techniques et de sécurité

Informations sur la demande

Les détails de la demande associée au résultat, y compris les informations suivantes.

• Nom de ressource complet du système externe associé au recherche
• Groupe affecté à la demande
• L'ID de la demande, qui renvoie vers la demande dans la console Security Operations
• État de la demande
• Date et heure de mise à jour dans le système externe de gestion des demandes
• Date limite pour clôturer la demande

Marques de sécurité

Les marques de sécurité associés à ce résultat, le cas échéant.

Étapes suivantes

Conseils sur les mesures à prendre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, indiquer les prochaines étapes.

Liens associés

Liens vers des sources clés d'informations sur la sécurité en dehors de Security Command Center. Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.

Service de détection

Détails concernant le service, ou la source, qui a détecté le résultat.

Informations sur l'onglet Propriétés sources

Pour certains résultats, le panneau des détails inclut un onglet Propriétés sources. qui met en évidence certaines propriétés de l'objet sourceProperties de pour trouver JSON.

Les propriétés sources diffèrent pour chaque résultat et chaque service s'exécute sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. C'est pourquoi nous vous déconseillons vivement de manière programmatique. Si vous souhaitez qu'une propriété source soit standardisée dans tous les services, laissez-nous envoyez-nous vos commentaires.

Informations sur l'onglet JSON

L'onglet JSON contient la structure JSON complète du ce qui peut être utile lorsque vous examinez trouver ou rechercher des attributs que vous pouvez utiliser dans vos requêtes de résultats.

Pour copier l'objet JSON dans votre presse-papiers, cliquez sur content_copy Copier.

La structure JSON d'un résultat contient les objets suivants:

• findings : attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la section Finding.
• resource : attributs de la ressource concernée. Pour en savoir plus, consultez la section Resource.
• sourceProperties : propriétés spécifiques au service du résultat.

Vous pouvez également utiliser l'API ListFindings. pour répertorier les résultats et obtenir leurs définitions JSON.

Effectuer une action sur un résultat à partir de la vue détaillée

Vous pouvez effectuer diverses actions sur un résultat à partir de la vue détaillée du résultat, comme couper le son du résultat. Si vous consultez la vue détaillée du résultat dans la console Google Cloud, vous pouvez aussi ajouter du résultat à la requête de résultats actuelle.

Ignorer un résultat dans la vue détaillée

Dans la vue détaillée d'un résultat, vous pouvez l'ignorer ou le réactiver. Vous pouvez créer également une règle qui masque tous les résultats futurs, tels que le résultat actuel.

Pour obtenir des instructions complètes sur la désactivation d'un résultat ou la création d'une règle Ignorer, consultez la section Ignorer des résultats dans Security Command Center.

Ajouter des filtres d'attributs à une requête à partir de la vue détaillée

Dans la vue détaillée d'un résultat de la console Google Cloud, vous pouvez ajouter filtres pour les attributs affichés dans la requête de résultats actuelle.

Pour savoir comment ajouter des filtres d'attributs à une requête cliquez sur l'onglet de la console que vous utilisez.

Afficher ou copier les noms d'API d'attributs dans la vue détaillée d'un résultat

La plupart des attributs de résultat affichés dans la console Google Cloud ont un nom correspondant qui est utilisé dans l'API Security Command Center.

Pour savoir comment afficher ou copier les noms d'API d'attributs dans la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

console Google Cloud

1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
2. Dans la vue détaillée du résultat, vous pouvez rechercher et copier le le nom d'API correspondant à chaque attribut de résultat affiché.

Console Opérations de sécurité

1. Sur la page Résultats, cliquez sur le résultat pour afficher ses plus de détails.
2. Dans la vue détaillée du résultat, trouvez l'attribut dont l'équivalent API que vous souhaitez copier.
3. À côté de l'attribut, ouvrez le menu déroulant.
4. Cliquez sur Copier l'équivalent API.

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Partager la vue détaillée d'un résultat

Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL du résultat afficher la page pour la partager avec d'autres utilisateurs.

Pour savoir comment copier l'URL de la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

Envoyer des commentaires sur le résultat à Google Cloud

Pour plus d'informations sur l'envoi de commentaires à propos d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

Afficher les détails d'autres résultats dans les résultats de la requête

Pour consulter les détails des résultats qui précèdent ou suivent le constat que vous consultez, utilisez la navigate_next suivant ou Plus que navigate_before bouton précédent au résultat suivant ou précédent, sans avoir à revenir Résultats

Ajouter des marques de sécurité aux résultats

Une marque de sécurité est une étiquette clé-valeur personnalisée que vous pouvez utiliser pour annoter un résultat, l'associer à d'autres résultats qui partagent la même marque de sécurité et les mêmes résultats de requête.

Pour obtenir des instructions complètes sur le paramétrage des marques de sécurité sur les résultats ou éléments, consultez la section Utiliser des marques de sécurité.

Ignorer des résultats dans la console

Vous pouvez ignorer et réactiver des résultats à partir des vues suivantes:

• Résultats de la requête de résultats sur la page Résultats
• Vue détaillée d'un résultat

Vous pouvez ignorer des résultats individuels ou créer des règles Ignorer et les résultats futurs en fonction des filtres que vous définissez.

Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les consulter en ajoutant le filtre mute="MUTED" à votre requête de résultats. Les résultats ignorés continuent à des fins d'audit et de conformité.

Pour obtenir des instructions détaillées sur la façon d'ignorer et de réactiver des résultats, consultez Ignorez des résultats dans Security Command Center.

Modifier l'état d'un résultat

Un résultat peut avoir l'un des deux états suivants: Active ou Inactive.

L'état Active signifie que le problème de sécurité identifié par le résultat persiste dans votre environnement en tant que menace potentielle ou la faille de sécurité.

L'état Inactive signifie que le problème de sécurité a été résolu.

Vous pouvez vouloir modifier l’état d’un résultat pour diverses raisons, par exemple définir l'état d'un résultat sur Inactive dès qu'il est Il n'est donc pas nécessaire d'attendre la prochaine analyse pour modifier l'état pour vous.

Pour plus d’informations sur la façon de modifier l’état d’un résultat, cliquez sur l’onglet pour la console que vous utilisez.

Personnaliser la page "Résultats"

Pour contrôler l'espace à l'écran, vous pouvez personnaliser certains des éléments qui apparaissent sur les résultats de la requête.

Ajuster les colonnes de résultats de requête

Vous pouvez ajouter ou supprimer des colonnes dans les résultats de la requête.

Vous pouvez supprimer n'importe quelle colonne, à l'exception de la colonne Category.

Voici des exemples de colonnes disponibles:

• Catégorie: nom du type de résultat.
• Gravité: gravité du résultat. Pour en savoir plus sur les niveaux de gravité des résultats, consultez la section Classifications des résultats par niveau de gravité.
• Score de combinaison toxique: score d'exposition au piratage. sur un résultat de classe Toxic combination.
• Score d'exposition au piratage: le score d'exposition au piratage du résultat.
• Heure de l'événement: date à laquelle le résultat a été détecté pour la première fois ou la date de sa dernière mise à jour.
• Date et heure de création: date et heure de création du résultat dans Security Command Center.
• Classe du résultat: classe du résultat, telle que THREAT, VULNERABILITY et MISCONFIGURATION.
• Nom à afficher pour la ressource: il s'agit du nom à afficher pour la ressource dans laquelle le problème a été détecté.
• Nom complet de la ressource: nom complet de la ressource dans laquelle le problème a été détectée.
• Fournisseur de services cloud de ressources: fournisseur de services cloud sur lequel ressource est hébergée.
• Chemin d'accès à la ressource: chemin d'accès à la ressource dans laquelle le problème a été détecté a été détectée.
• Resource type (Type de ressource) : type de ressource dans laquelle le problème a été détecté.
• Marques de sécurité: toutes les marques de sécurité ajoutées au résultat.

Pour savoir comment ajuster les colonnes des résultats de la requête de résultats, cliquez sur l'onglet de la console que vous utilisez.

Masquer ou afficher les panneaux de la page "Résultats"

Pour savoir comment ajuster les panneaux de la page Résultats, cliquez sur l'onglet pour la console que vous utilisez.

Étape suivante

• En savoir plus sur les services de détection
• Découvrez comment utiliser des marques de sécurité.
• Découvrez comment configurer les services Security Command Center.
• Découvrez comment créer un filtre de résultats à l'aide de l'API Security Command Center.