Utilizzo dei risultati nella console Google Cloud

In questa pagina viene spiegato come utilizzare i risultati nella pagina Risultati di Security Command Center nella console Google Cloud. Un risultato è un record di un problema di sicurezza creato dai servizi Security Command Center quando rilevano un problema di sicurezza.

Ecco alcune delle azioni che puoi eseguire nella pagina dei risultati:

• Risultati delle query
• Ispeziona risultati
• Disattiva risultati
• Aggiungi contrassegni di sicurezza ai risultati

I risultati sono elencati nel riquadro Risultati delle query dei risultati della pagina Risultati. Puoi fare clic su un risultato per vederne i dettagli, oltre al suo formato JSON completo.

Per informazioni sull'utilizzo dei risultati mediante l'API Security Command Center, consulta Accesso a Security Command Center in modo programmatico.

Ruoli IAM per Security Command Center

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Visualizza i risultati nella console Google Cloud

Per impostazione predefinita, nel riquadro Risultati delle query dei risultati della pagina Risultati vengono visualizzati tutti i risultati attivi non disattivati e nuovi o aggiornati negli ultimi sette giorni.

Per visualizzare risultati specifici, modifica la query dei risultati in modo da specificare i valori o gli attributi che i risultati che devi visualizzare devono o non devono contenere.

L'esempio seguente è la query di ricerca predefinita:

state="ACTIVE"
AND NOT mute="MUTED"

Puoi visualizzare la query sui risultati corrente nel campo Anteprima query della pagina Risultati.

Modifica l'intervallo di tempo per visualizzare più risultati

Puoi modificare l'intervallo di tempo utilizzato per le query nel campo Intervallo di tempo a destra nella barra delle azioni dell'Editor query. L'intervallo di tempo predefinito è Last 7 days.

L'intervallo di tempo si basa sul valore dell'attributo eventTime dei risultati, che riflette la data e l'ora dell'ultimo aggiornamento del record dei risultati.

Disponibilità dei risultati

In genere, un risultato diventa disponibile per la query in Security Command Center meno di un minuto dopo che il servizio che genera il risultato lo archivia nel database dei risultati di Security Command Center. I risultati rimangono disponibili per le query per almeno 13 mesi.

Security Command Center archivia uno o più snapshot di ogni risultato. Un'istantanea di un risultato viene eliminata 13 mesi dopo il timestamp nel campo eventTime. Se tutti gli snapshot di un risultato vengono eliminati, non sarà più possibile eseguire query o recuperare il risultato.

Per maggiori informazioni sulla conservazione dei dati di Security Command Center, consulta Conservazione dei dati.

Trovare e visualizzare risultati specifici

Puoi trovare e visualizzare risultati specifici o gruppi di risultati modificando la query sui risultati nella pagina Risultati. Puoi modificare la query nei seguenti modi:

• Nel riquadro Filtri rapidi, seleziona uno o più filtri di attributi predefiniti per aggiungerli a una query.
• Nel menu Aggiungi filtro del riquadro Editor query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query.
• Modifica la query sui risultati direttamente nel riquadro Editor query.
• Nel riquadro dei dettagli di un risultato, seleziona un filtro predefinito per un determinato attributo nel menu a discesa per aggiungerlo a una query.

La selezione di un filtro predefinito lo aggiunge automaticamente alla query.

Utilizza il riquadro Filtri rapidi per le opzioni di filtro di alto livello di uso comune. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi dei risultati di livello inferiore.

Per ulteriori informazioni sulla creazione e sulla modifica delle query sui risultati nella console, consulta Modificare una query sui risultati nella console Google Cloud.

Visualizzare i dettagli di un risultato

Per scoprire di più su un risultato, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria nel riquadro Risultati query dei risultati.

Nella visualizzazione dei dettagli, puoi trovare le informazioni fondamentali per comprendere un risultato, indagare su una minaccia o risolvere una vulnerabilità.

La visualizzazione dei dettagli dei risultati include le seguenti schede che puoi selezionare per scoprire di più su un risultato e intervenire:

• La scheda Riepilogo, che è la visualizzazione predefinita, evidenzia le informazioni e gli attributi chiave relativi al risultato.
• La scheda Proprietà sorgente, in cui puoi visualizzare gli attributi dell'oggetto sourceProperties del codice JSON del risultato.
• La scheda JSON, dove puoi visualizzare il formato JSON completo del risultato.

Puoi eseguire determinate azioni sul risultato nella visualizzazione dei dettagli, nonché trovare link a informazioni aggiuntive correlate al risultato.

Scopri di più sul risultato nella visualizzazione dei dettagli

La visualizzazione dettagliata di un risultato evidenzia informazioni importanti che puoi utilizzare per comprendere e risolvere il problema di sicurezza sottostante.

Informazioni sulla scheda Riepilogo

La scheda Riepilogo fornisce informazioni sul risultato nelle seguenti sezioni:

Che cosa è stato rilevato

Dettagli sul risultato rilevato, ad esempio i seguenti:

• Un riepilogo creato con l'IA^Anteprima
• La gravità del risultato
• Lo stato del risultato, ACTIVE o INACTIVE
• Tutti i campi chiave correlati al risultato specifico

Vulnerabilità

Informazioni del record CVE che corrispondono all'eventuale vulnerabilità. La sezione Vulnerabilità include informazioni tratte dal record CVE, come:

• ID CVE
• Punteggio CVE
• Impatto
• Attività di sfruttamento

Esposizione all'attacco

Il punteggio di esposizione agli attacchi e il momento in cui è stato calcolato l'ultima volta. Se fai clic sul punteggio, si apre una rappresentazione visiva delle risorse di alto valore interessate e del percorso di attacco associato.

Risorsa interessata

Dettagli sulla risorsa associata al risultato, inclusi i contatti tecnici e per la sicurezza. Questa sezione contiene anche un menu che consente di visualizzare i dettagli della risorsa.

Contrassegni di sicurezza

Gli eventuali contrassegni di sicurezza associati a questo risultato.

Passaggi successivi

Indicazioni su cosa fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, forniscono i passaggi successivi.

Link correlati

Link alle origini principali delle informazioni sulla sicurezza al di fuori di Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono i link correlati.

Servizio di rilevamento

Dettagli sul servizio, o sulla fonte, che ha rilevato il risultato.

Informazioni sulla scheda Proprietà sorgente

Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà sorgente che evidenzia alcune proprietà dell'oggetto sourceProperties del codice JSON di rilevamento.

Le proprietà sorgente sono diverse per ogni risultato e servizio eseguito su Security Command Center. Non vi è alcuna garanzia che le proprietà sorgente siano standardizzate per tutti i servizi. Per questo motivo, sconsigliamo vivamente di utilizzare le proprietà sorgente in modo programmatico. Se vuoi che una proprietà sorgente sia standardizzata per tutti i servizi, comunicacelo inviandoci un feedback.

Informazioni nella scheda JSON

La scheda JSON contiene la struttura JSON completa del risultato attualmente selezionato, che può essere utile quando stai esaminando un risultato o cerchi attributi che puoi utilizzare nelle query dei risultati.

Per copiare l'oggetto JSON negli appunti, fai clic su content_copy Copia.

La struttura JSON di un risultato contiene i seguenti oggetti:

• findings: gli attributi del risultato. Questi attributi sono standardizzati per tutti i servizi integrati e integrati (chiamati anche origini di sicurezza). Per maggiori informazioni, consulta Finding.
• resource: gli attributi della risorsa interessata. Per maggiori informazioni, consulta Resource.
• sourceProperties: le proprietà del risultato specifiche per il servizio.

Puoi anche utilizzare l'API ListFindings per elencare i risultati e visualizzare le relative definizioni JSON.

Eseguire azioni su un risultato dalla visualizzazione dei dettagli

Puoi eseguire una serie di azioni su un risultato dalla relativa visualizzazione dei dettagli, ad esempio disattivare il risultato o aggiungere attributi del risultato alla query del risultato corrente.

Disattivare un risultato nella visualizzazione dei dettagli

Dal menu Passa all'azione nella visualizzazione dettagliata di un risultato, puoi disattivare o riattivare il risultato oppure creare una regola che disattivi l'audio di tutti i risultati futuri come il risultato attuale.

Per istruzioni complete su come disattivare un risultato o creare una regola di disattivazione, consulta Disattivare i risultati in Security Command Center.

Aggiungere filtri di attributi a una query dalla visualizzazione dei dettagli

Dalla visualizzazione dei dettagli di un risultato, puoi aggiungere filtri per gli attributi visualizzati alla query dei risultati attuale.

Per istruzioni, consulta Aggiungere filtri degli attributi dalla visualizzazione dei dettagli di un risultato.

Visualizza i nomi delle API degli attributi nella visualizzazione dei dettagli di un risultato

La maggior parte degli attributi dei risultati visualizzati nella console Google Cloud ha un nome corrispondente utilizzato nell'API Security Command Center. Nella visualizzazione dei dettagli di un risultato, puoi trovare e copiare il nome dell'API corrispondente degli attributi dei risultati visualizzati.

Condividere la visualizzazione dei dettagli di un risultato

Per condividere la visualizzazione dei dettagli di un risultato, puoi copiare l'URL della pagina della visualizzazione dei dettagli per condividerlo con gli altri.

Per copiare l'URL della visualizzazione dettagliata negli appunti, fai clic su Copia link nel menu Esegui un'azione.

Invia feedback sul risultato a Google Cloud

Per inviare feedback a Google Cloud, apri il menu Passa all'azione e fai clic su Invia feedback.

Lo strumento di feedback ti consente di acquisire e includere uno screenshot.

Le seguenti sezioni descrivono le schede Riepilogo, Proprietà sorgente e JSON.

Visualizza i dettagli di altri risultati nel riquadro Risultati della query dei risultati

Per visualizzare i dettagli dei risultati che precedono o seguono il risultato visualizzato al momento, utilizza il pulsante Avanti navigate_next o Indietro navigate_before per andare al risultato successivo o precedente, senza dover tornare alla pagina Risultati.

Aggiungi contrassegni di sicurezza ai risultati nella console Google Cloud

Puoi aggiungere contrassegni di sicurezza ai risultati, modificare i contrassegni di sicurezza o rimuoverli dai risultati nel riquadro Risultati della query dei risultati.

Un contrassegno di sicurezza è un'etichetta chiave-valore personalizzata che puoi utilizzare per annotare un risultato, associare un risultato ad altri risultati che condividono lo stesso marchio di sicurezza ed eseguire query sui risultati.

Per creare, modificare o rimuovere i contrassegni di sicurezza nella console Google Cloud, fai clic su Imposta contrassegni di sicurezza nella barra delle azioni del riquadro Risultati della query dei risultati.

Per istruzioni complete sull'impostazione dei contrassegni di sicurezza sui risultati o sugli asset, consulta Utilizzare i contrassegni di sicurezza.

Disattivazione dei risultati nella console Google Cloud

Puoi disattivare e riattivare i risultati nella pagina Risultati utilizzando le Opzioni di disattivazione nella barra di azione Risultati della query dei risultati o facendo clic su Esegui azione nel riquadro dei dettagli di un risultato.

Puoi disattivare singoli risultati o creare regole di disattivazione che disattivano i risultati attuali e futuri in base ai filtri che definisci.

I risultati con audio disattivato vengono nascosti e silenziati, ma puoi comunque visualizzarli aggiungendo il filtro mute="MUTED" alla query dei risultati. I risultati con audio disattivato continuano a essere registrati per scopi di controllo e conformità.

Puoi visualizzare le regole di disattivazione attualmente definite nella scheda Regole di disattivazione delle impostazioni di Security Command Center.

Per istruzioni dettagliate su come disattivare e riattivare l'audio dei risultati, consulta Disattivare i risultati in Security Command Center.

Modificare lo stato di un risultato

Un risultato può avere uno dei due seguenti stati: Active o Inactive.

Lo stato Active indica che il problema di sicurezza identificato dal risultato persiste nel tuo ambiente come potenziale minaccia o vulnerabilità.

Lo stato Inactive indica che il problema di sicurezza è stato risolto.

Potresti voler modificare lo stato di un risultato per diversi motivi. Ad esempio, puoi modificare lo stato di un risultato in Inactive non appena viene indirizzato, in modo da non dover attendere la scansione successiva per cambiarlo automaticamente.

Per modificare lo stato di un risultato nella console Google Cloud:

1. Vai alla vista Risultati in Security Command Center.

   Vai a Risultati

2. Se necessario, seleziona l'organizzazione o il progetto Google Cloud.

   

3. Nel riquadro Risultati delle query dei risultati, seleziona il risultato.

4. Nella barra delle azioni del riquadro Risultati query dei risultati, fai clic su Modifica stato attivo. Viene visualizzato un menu popup.

5. Nel menu popup Modifica stato attivo, seleziona Attivo o Non attivo.

Configurare la pagina Risultati

Puoi controllare alcuni degli elementi visualizzati nella pagina Risultati.

Modifica le colonne dei risultati delle query

Puoi aggiungere o rimuovere colonne dal riquadro Risultati delle query dei risultati.

Puoi rimuovere qualsiasi colonna tranne Categoria.

Per impostazione predefinita, il riquadro Ricerca dei risultati delle query mostra le seguenti colonne, ma potrebbe essere necessario scorrere verso destra per visualizzarle:

• Categoria: il nome del tipo di risultato.
• Gravità: la gravità del risultato. Per saperne di più su come individuare i livelli di gravità, consulta Classificazioni della gravità per i risultati.
• Punteggio di esposizione agli attacchi: il punteggio di esposizione agli attacchi del risultato.
• Ora evento: quando il risultato è stato rilevato per la prima volta o quando è stato aggiornato l'ultima volta.
• Data/ora creazione: data di creazione del risultato in Security Command Center.
• Nome visualizzato della risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
• Nome completo della risorsa: il nome completo della risorsa in cui è stato rilevato il problema.
• Percorso risorsa: il percorso della risorsa in cui è stato rilevato il problema.
• Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
• Contrassegni di sicurezza: tutti i contrassegni di sicurezza aggiunti al risultato.
• Ricerca classe: la classe del risultato, ad esempio THREAT, VULNERABILITY e MISCONFIGURATION.

Per selezionare le colonne dei risultati da visualizzare, svolgi i seguenti passaggi:

1. A destra della barra delle azioni Risultati query di ricerca, fai clic su view_column Colonne.
2. Nel menu che appare, seleziona le colonne da visualizzare.
3. Per nascondere una colonna, deseleziona il suo nome.
4. Fai clic su Applica per applicare le modifiche al riquadro Risultati delle query dei risultati.

Le selezioni delle colonne vengono mantenute la volta successiva che visualizzi la pagina Risultati, anche se cambi progetti o organizzazioni. Per cancellare tutte le selezioni di colonne personalizzate, fai clic su Cancella selezioni colonne.

Modificare i riquadri della pagina Risultati

Per offrire più spazio sullo schermo per la modifica delle query o la visualizzazione dei risultati, puoi comprimere ed espandere i seguenti riquadri:

• Il riquadro Filtri rapidi.
• Il riquadro Editor query.

Per comprimere un riquadro, fai clic sull'icona Attiva/disattiva riquadro first_page o first_page.

Per espandere il riquadro, fai di nuovo clic sull'icona.

Invia feedback al team di Security Command Center

Siamo sempre alla ricerca di modi per migliorare il nostro servizio. Il tuo feedback ci aiuterà a migliorare i nostri prodotti e a creare un'esperienza migliore per tutti gli utenti di Security Command Center.

Per inviare feedback, svolgi i seguenti passaggi:

1. Vai alla vista Risultati in Security Command Center.

   Vai a Risultati

2. Se necessario, seleziona l'organizzazione o il progetto Google Cloud.

   

3. Fai clic su Opzioni e seleziona Invia feedback.

Passaggi successivi

• Scopri di più sulle origini di sicurezza.
• Scopri come utilizzare i contrassegni di sicurezza.
• Scopri come configurare Security Command Center.
• Scopri come creare un filtro dei risultati utilizzando l'API Security Command Center.