本页面介绍了如何在 Google Cloud 控制台的 Security Command Center 发现结果页面上处理发现结果。发现结果是 Security Command Center 服务在检测到安全问题时创建的安全问题记录。
您可以在发现结果页面上执行的一些操作包括:
- 查询发现结果
- 检查发现结果
- 忽略发现的结果
- 将安全标记添加到发现结果
发现结果列在发现结果页面的发现结果的查询结果面板中。您可以点击某个发现结果,查看其详情及其完整的 JSON 格式。
如需了解如何使用 Security Command Center API 处理发现结果,请参阅以编程方式访问 Security Command Center。
Security Command Center 的 IAM 角色
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
在 Google Cloud 控制台中查看发现结果
默认情况下,发现结果页面的发现结果的查询结果面板会显示未忽略的所有有效发现结果,以及过去七天内新增或更新的所有有效发现结果。
如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性。
以下示例是默认发现结果查询:
state="ACTIVE" AND NOT mute="MUTED"
您可以在发现结果页面的查询预览字段中查看当前的发现结果查询。
调整时间范围以查看更多发现结果
您可以在查询编辑器操作栏右侧的时间范围字段中调整用于查询的时间范围。
默认时间范围是 Last 7 days。
时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。
发现结果可用性
在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中心中进行查询。发现结果至少可保留 13 个月以供查询。
Security Command Center 会存储每个发现结果的一个或多个快照。在 eventTime 字段中的时间戳的 13 个月后,系统会删除发现结果的快照。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。
如需详细了解 Security Command Center 数据保留,请参阅数据保留。
查找和查看特定发现结果
如需查找和查看特定发现结果或发现结果组,您可以在发现结果页面上修改发现结果查询。您可以通过以下方式修改查询:
- 在快速过滤条件面板中,选择一个或多个预定义属性过滤条件,将其添加到查询。
- 在查询编辑器面板的添加过滤条件菜单中,选择一个或多个预定义属性过滤条件,将其添加到查询。
- 直接在查询编辑器面板中修改发现结果查询。
- 在发现结果的详细信息面板上,从特定属性的下拉菜单中选择该属性的预定义过滤条件,将其添加到查询。
选择预定义过滤条件会自动将该过滤条件添加到查询。
使用快速过滤条件面板可查看常用的高级过滤条件选项。使用添加过滤条件菜单可获取基于较低级别发现结果属性的更精细和高级的过滤条件。
如需详细了解如何在控制台中创建和修改发现结果查询,请参阅在 Google Cloud 控制台中修改发现结果查询。
查看发现结果的详细信息
如需详细了解发现结果,请通过在发现结果的查询结果面板的类别列中点击该发现结果名称,打开该发现结果的详细视图。
在详情视图中,您可以找到对于理解发现结果、调查威胁或解决漏洞至关重要的信息。
发现结果的详细信息视图包含以下标签页,您可以选择这些标签页来详细了解发现结果并采取行动:
- 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
- 来源属性标签页,您可以在其中查看发现结果 JSON 的
sourceProperties对象的属性。 - JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。
您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。
在详细信息视图中了解发现结果
发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。
摘要标签页上的信息
摘要标签页的以下部分提供了有关此发现结果的信息:
- 检测到的内容
有关检测到的发现结果的详细信息,如下所示:
- 漏洞
与漏洞对应的 CVE 记录中的信息(如果有)。漏洞部分包含 CVE 记录中的信息,例如:
- CVE ID
- CVE 评分
- 影响
- 漏洞利用攻击活动
- 攻击风险
攻击风险得分以及上次计算得分的时间。点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。
- 受影响的资源
与发现结果相关的资源的详细信息,包括技术和安全联系人。本部分还包含一个菜单,供您查看资源的详细信息。
- 安全标记
与发现结果关联的安全标记(如果有)。
- 后续步骤
有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。
- 相关链接
指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。
- 检测服务
检测到发现结果的服务或来源的详细信息。
来源属性标签页上的信息
对于某些发现结果,详细信息面板包含一个来源属性标签页,其中突出显示了查找结果 JSON 的 sourceProperties 对象中的特定属性。
对于在 Security Command Center 上运行的每个发现结果和每项服务,来源属性各不相同。无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈。
JSON 标签页上的信息
JSON 标签页包含当前所选发现结果的完整 JSON 结构,这对于在调查发现结果或查找可在发现结果查询中使用的属性时非常有用。
如需将 JSON 对象复制到剪贴板,请点击 复制。
发现结果的 JSON 结构包含以下对象:
findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅Finding。resource:受影响资源的特性。如需了解详情,请参阅Resource。sourceProperties:发现结果的服务特定属性。
您还可以使用 ListFindings API 列出发现结果以及获取其 JSON 定义。
对详细信息视图中的发现结果执行操作
您可以在发现结果的详细信息视图中对发现结果执行各种操作,例如忽略发现结果或将发现结果中的属性添加到当前发现结果查询。
在详细信息视图中忽略发现结果
从发现结果的详细信息视图的执行操作菜单中,您可以忽略或取消忽略该发现结果,或者创建一个规则来忽略所有未来的发现结果,例如当前的发现结果。
如需全面了解如何忽略发现结果或创建忽略规则,请参阅在 Security Command Center 中忽略发现结果。
从详细信息视图中将特性过滤条件添加到查询
从发现结果的详细信息视图中,您可以向当前发现结果查询添加所显示特性的过滤条件。
如需了解相关说明,请参阅从发现结果的详细信息视图中添加特性过滤条件。
在发现结果的详细信息视图中查看特性 API 名称
Google Cloud 控制台中显示的大多数发现结果属性都有一个在 Security Command Center API 中使用的相应名称。在发现结果的详细信息视图中,您可以找到并复制所显示发现结果特性的相应 API 名称。
共享发现结果的详细信息视图
如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。
如需将详细信息视图网址复制到剪贴板中,请在执行操作菜单中,点击复制链接。
向 Google Cloud 发送有关发现结果的反馈
如需向 Google Cloud 发送反馈,请打开执行操作菜单,然后点击发送反馈。
借助反馈工具,您可以捕获并添加屏幕截图。
以下部分介绍了摘要、来源属性和 JSON 标签页。
在发现结果的查询结果面板中显示其他发现结果的详细信息
如需详细了解当前正在查看的发现结果之前或之后的发现结果,请使用 下一个或 上一个按钮转至下一个或上一个发现结果,而无需返回发现结果页面。
在 Google Cloud 控制台中为发现结果添加安全标记
您可以向发现结果添加安全标记,修改安全标记,或从发现结果查询结果面板的发现结果中移除安全标记。
安全标记是一个自定义键值对标签,可用于为发现结果添加注释,将发现结果与共享相同安全标记的其他发现结果相关联,以及查询发现结果。
如需在 Google Cloud 控制台中创建、修改或移除安全标记,请在发现结果的查询结果面板的操作栏中,点击设置安全标记。
如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记。
在 Google Cloud 控制台中忽略发现结果
如需在发现结果页面上忽略和取消忽略发现结果,您可以使用发现结果的查询结果操作栏中的忽略选项,或点击发现结果详细信息面板中的执行操作。
您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。
已忽略的发现结果会予以隐藏和抑制,但您仍然可以通过向发现结果查询添加 mute="MUTED" 过滤条件来查看这些发现结果。系统会继续记录已忽略的发现结果,供审核和合规之用。
您可以在 Security Command Center 设置的忽略规则标签页上查看当前定义的忽略规则。
如需详细了解如何忽略发现结果和取消忽略发现结果,请参阅在 Security Command Center 中忽略发现结果。
更改发现结果的状态
发现结果可能具有以下两种状态之一:Active 或 Inactive。
状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。
状态 Inactive 表示安全问题已解决。
您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。
如需在 Google Cloud 控制台中更改发现结果的状态,请执行以下操作:
转至 Security Command Center 中的发现结果视图。
如有必要,请选择您的 Google Cloud 项目或组织。
在发现结果查询结果面板中,选择发现结果。
在发现结果的查询结果面板的操作栏中,点击更改有效状态。系统会显示一个弹出式菜单。
在更改有效状态弹出式菜单中,选择有效或无效。
配置“发现结果”页面
您可以控制发现结果页面上显示的部分元素。
调整查询结果的列
您可以在发现结果的查询结果面板中添加或移除列。
您可以移除除类别之外的任何列。
默认情况下,发现结果查询结果面板显示以下列,但您可能需要向下滚动才能看到这些列:
- 类别:发现结果类型的名称。
- 严重级别:发现结果的严重级别。如需详细了解发现结果严重级别,请参阅发现结果的严重程度分类。
- 攻击风险得分:发现结果的攻击风险得分。
- 事件时间:首次检测到发现结果时或上次更新发现结果时。
- 创建时间:在 Security Command Center 中创建发现结果时。
- 资源显示名称:检测到问题的资源的显示名称。
- 资源全名:检测到问题的资源的完整名称。
- 资源路径:检测到问题的资源的路径。
- 资源类型:检测到问题的资源类型。
- 安全标记:为发现结果添加的任何安全标记。
- 发现结果类别:发现结果的类别,例如
THREAT、VULNERABILITY和MISCONFIGURATION。
如需选择要显示的发现结果列,请完成以下步骤:
- 在发现结果的查询结果操作栏的右侧,点击 view_column 列。
- 在显示的菜单中,选择您要显示的列。
- 如需隐藏列,请取消选择该列的名称。
- 点击应用,将更改应用于发现结果查询结果面板。
即使您更改项目或组织,在下次查看发现结果页面时,列选择也会保留。如需清除所有自定义列选择,请点击清除列选择。
调整“发现结果”页面面板
如需为修改查询或查看发现结果提供更多屏幕空间,您可以收起和展开以下面板:
- 快捷过滤条件面板。
- 查询编辑器面板。
如需收起面板,请点击切换面板图标、first_page 或 first_page。
如需展开面板,请再次点击该图标。
向 Security Command Center 团队发送反馈
我们一直在寻找改进服务的方法。您的反馈将帮助我们改进产品,并为所有 Security Command Center 用户创造更好的体验。
如需发送反馈,请按以下步骤操作:
转至 Security Command Center 中的发现结果视图。
如有必要,请选择您的 Google Cloud 项目或组织。
点击选项,然后选择发送反馈。
后续步骤
- 了解安全来源。
- 了解如何使用安全标记。
- 了解如何配置 Security Command Center。
- 了解如何使用 Security Command Center API 构建发现结果过滤条件。