在控制台中处理发现结果

本页面介绍了如何在 Cloud 控制台中处理 Security Command Center 发现结果, Google Cloud 控制台和安全运维控制台。

发现结果是 Security Command Center 服务的安全问题记录 在检测到安全问题时创建的。发现结果会列在 发现结果页面。您可以点击发现结果以查看其详细信息和完整的 JSON 格式。

您可以在发现结果页面上执行的部分操作包括: 以下:

  • 查询发现结果
  • 检查发现结果
  • 忽略发现的结果
  • 将安全标记添加到发现结果

有关使用 Security Command Center 处理发现结果的信息 API 部分,请参阅以编程方式访问 Security Command Center

在 Security Command Center Enterprise 控制台中处理发现结果

如果您是 Security Command Center Enterprise 客户,则可以处理发现结果 两个控制台中:

  • Google Cloud 控制台:适用于所有服务层级
  • Security Operations 控制台:仅在 Enterprise 层级中提供

发现结果页面 Security Operations 控制台为预览版。

本页面将介绍使用这两种控制台的步骤 并排显示两个标签页

有关详情,请参阅 Security Command Center Enterprise 控制台

获取所需的权限

本部分列出了您需要使用的 IAM 角色 控制台中显示的发现结果

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中处理发现结果,您需要以下 IAM 角色。

确保您拥有组织的以下一个或多个角色:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

检查角色

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM
  2. 选择组织。

  3. 主账号列中,找到您的电子邮件地址所在的行。

    如果您的电子邮件地址不在此列,则表示您没有任何角色。

  4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

授予角色

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的电子邮件地址。
  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

如需详细了解 Security Command Center 角色和权限,请参阅 用于组织级激活的 IAM

Security Operations 控制台 IAM 角色

如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台。您需要使用以下任一 IAM 角色:

  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR 漏洞管理器 (roles/chronicle.soarVulnerabilityManager)

如需了解如何向用户授予角色,请参阅 使用 IAM 映射用户并向其授权

查看发现结果

如需了解如何查找发现结果页面,请点击 您使用的控制台

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    <ph type="x-smartling-placeholder"></ph> 前往“发现结果”

  2. 选择您的 Google Cloud 项目或组织。

Security Operations 控制台

在 Security Operations 控制台中,转到发现结果页面。 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

如需详细了解此控制台,请参阅安全操作控制台

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

调整时间范围以查看更多发现结果

您可以调整时间 查询使用的范围默认时间范围是 Last 7 days

时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。

要了解如何调整时间范围,请点击 您使用的控制台

Google Cloud 控制台

发现结果页面上 在 Google Cloud 控制台中,设置时间范围 字段

Security Operations 控制台

位于发现结果的发现结果列表顶部 页面上,设置显示字段。

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

发现结果可用性

在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中心中进行查询。专业版和企业层级的发现结果仍然可供 至少查询过 13 个月对于以下项目,标准层级发现结果仍然可用 至少 35 天。

Security Command Center 会存储每个发现结果的一个或多个快照。答 高级或企业层级发现结果快照在 13 个月内被删除 在时间戳之后 (在 eventTime 字段中)。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。

如需详细了解 Security Command Center 数据保留,请参阅数据保留

查找和查看特定发现结果

默认情况下,发现结果页面会显示所有未 是新增的或过去 7 天内更新的,它们都已忽略。

如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性

以下示例是默认的发现结果查询:

state="ACTIVE"
AND NOT mute="MUTED"

您可以在查询编辑器面板中查看当前的发现结果查询。您可以 您可以直接修改查询,也可以选择预定义的过滤条件来构建查询。对于 请点击您所用控制台对应的标签页。

Google Cloud 控制台

在 Google Cloud 控制台的发现结果页面上,您可以执行以下操作: 以下:

  • 快速过滤条件面板中,选择一个或多个预定义属性 过滤条件以将其添加到查询中。使用快速过滤条件面板 常用的高级过滤器选项。
  • 添加过滤条件查询编辑器面板的菜单中,选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用添加过滤条件菜单: 基于较低级别发现结果的更精细的高级过滤器 属性。如需了解详情,请参阅在 Google Cloud 控制台中修改发现结果查询 控制台
  • 直接在查询中修改发现结果查询 编辑器面板。
  • 在发现结果的详情视图中,使用下拉菜单 菜单,请为该属性选择预定义过滤器 即可将其添加到查询中。

Security Operations 控制台

在 Security Operations 控制台的发现结果页面上, 您可以执行以下操作:

  • Aggregations 面板中,选择一个或多个预定义属性 过滤条件以将其添加到查询中。使用 Aggregations 面板执行以下操作: 常用的高级过滤器选项。
  • 添加过滤条件查询编辑器面板的菜单中选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用 添加过滤条件菜单: 基于较低级别发现结果的更精细的高级过滤器 属性。如需了解详情,请参阅在 Google Cloud 控制台中修改发现结果查询 控制台
  • 直接在查询编辑器面板中修改发现结果查询。

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

查看发现结果的详细信息

如需详细了解发现结果,请打开发现结果的详细视图 点击发现结果中类别列中的发现结果名称 查询结果。

在详细信息视图中,您可以找到 了解发现结果、调查威胁,或解决 漏洞

发现结果的详情视图包含以下标签页, 选择即可详细了解发现结果并采取行动:

  • 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
  • 来源属性标签页,您可以在其中查看发现结果 JSON 的 sourceProperties 对象的属性。
  • JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。

您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。

在详细信息视图中了解发现结果

发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。

摘要标签页上的信息

摘要标签页在以下部分中提供有关发现结果的信息 部分:

检测到的内容(或概览)

有关检测到的发现结果的详细信息,如下所示:

  • 发现结果严重程度
  • 发现结果状态:ACTIVEINACTIVE
  • 与特定发现结果相关的任何关键字段
漏洞

与以下各项对应的 CVE 记录中的信息: (如果有)。漏洞部分 包含 CVE 记录中的信息,例如:

  • CVE ID
  • CVE 得分
  • 影响
  • 漏洞利用攻击活动
攻击风险

攻击风险得分 以及上次计算得分的时间。 点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。

受影响的资源

与发现结果关联的资源的详细信息,包括 以下信息:

  • 受影响资源的全名
  • 资源的云服务提供商
  • 技术和安全联系人
支持请求信息

与发现结果相关的支持请求的详细信息,包括 以下信息。

  • 与 正在查找
  • 分配给支持请求的群组
  • 支持请求 ID,链接到 Security Operations 控制台中的支持请求
  • 支持请求的状态
  • 外部案例管理系统中的更新时间
  • 关闭支持请求的承诺截止期限
安全标记

与发现结果关联的安全标记(如果有)。

后续步骤

有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。

相关链接

指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。

检测服务

检测到发现结果的服务或来源的详细信息。

来源属性标签页上的信息

对于某些发现结果,详细信息面板会包含来源属性标签页 的 sourceProperties 对象中突出显示了 查找 JSON。

对于每个发现结果以及执行相应检查的每项服务,来源属性各不相同 在 Security Command Center 上运行 无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈

JSON 标签页上的信息

JSON 标签包含完整的 JSON 结构, 这在调查问题时非常有用 查找或查询可在发现结果查询中使用的属性。

如需将 JSON 对象复制到剪贴板,请点击 复制

发现结果的 JSON 结构包含以下对象:

  • findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅 Finding
  • resource:受影响资源的特性。如需了解详情,请参阅 Resource
  • sourceProperties:发现结果的服务特定属性。

您还可以使用 ListFindings API 列出发现结果以及获取其 JSON 定义。

对详细信息视图中的发现结果执行操作

您可以在发现结果的详情视图中对发现结果执行各种操作, 例如忽略发现结果。如果您在以下位置查看发现结果的详情视图: 使用 Google Cloud 控制台 当前发现结果查询的特征。

在详细信息视图中忽略发现结果

在发现结果的详情视图中,您可以将该发现结果静音或取消静音。您可以 还创建了一条规则,以忽略所有未来的发现结果,例如当前发现结果。

如需全面了解如何忽略发现结果或创建忽略规则,请参阅在 Security Command Center 中忽略发现结果

从详细信息视图中将特性过滤条件添加到查询

在 Google Cloud 控制台中,您可以在发现结果的详情视图中添加 当前发现结果查询的所显示属性的过滤条件。

有关如何从详细信息页面向查询添加属性过滤条件的信息 视图中,点击您所使用的控制台所对应的标签页。

Google Cloud 控制台

  1. 发现结果页面上,点击发现结果以查看其详细信息。
  2. 在发现结果的详情视图中,找到所需的属性 过滤器。
  3. 打开属性旁边的下拉菜单。
  4. 为属性选择预定义的过滤条件。通过 过滤条件会添加到发现结果页面上的发现结果查询中。

Security Operations 控制台

  1. 发现结果页面上,点击发现结果以查看其 。
  2. 在发现结果的详情视图中,找到所需的属性 过滤器。
  3. 打开属性旁边的下拉菜单。
  4. 为属性选择预定义的过滤条件。通过 过滤条件已添加到针对发现结果的发现结果查询中 页面。

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

在发现结果的详情视图中查看或复制属性 API 名称

Google Cloud 控制台中显示的大多数发现结果属性 具有 Security Command Center API 中使用的相应名称。

了解如何在详细视图中查看或复制属性 API 名称 点击您正在使用的控制台对应的标签页。

Google Cloud 控制台

  1. 发现结果页面上,点击发现结果以查看其详细信息。
  2. 在发现结果的详情视图中,您可以查找并复制 显示的每个发现结果属性的对应 API 名称。
发现结果特性名称的 API 等效项

Security Operations 控制台

  1. 发现结果页面上,点击发现结果以查看其 。
  2. 在发现结果的详情视图中,找到与其 API 等效的属性 文件。
  3. 打开属性旁边的下拉菜单。
  4. 点击复制 API 等效项

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

共享发现结果的详细信息视图

如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。

如需了解如何复制发现结果详情视图的网址,请点击 当前所用控制台对应的标签页

Google Cloud 控制台

  1. 发现结果页面上,点击发现结果以查看其详细信息。
  2. 依次点击执行操作 &gt; 复制链接

Security Operations 控制台

  1. 发现结果页面上,点击发现结果以查看其 。
  2. 点击 复制 链接

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

向 Google Cloud 发送有关发现结果的反馈

要了解如何发送有关发现结果的反馈,请点击 您使用的控制台

Google Cloud 控制台

  1. 发现结果页面上,点击发现结果以查看其详细信息。
  2. 依次点击采取措施 &gt; 发送反馈
  3. 输入有关您的反馈的说明。
  4. 要添加屏幕截图,请点击截取屏幕截图
  5. 点击发送

Security Operations 控制台

Security Operations 控制台中不提供此功能。

在发现结果查询结果中显示其他发现结果的详细信息

为了更详细地了解 请使用 下一个或 还有 个按钮可执行 而不必返回 发现结果页面。

将安全标记添加到发现结果

安全标记是一种自定义键值对标签,您可以使用 为发现结果添加注释,将发现结果与其他具有共同特征的发现结果相关联 相同的安全标记,并查询发现结果。

如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记

在控制台中忽略发现结果

您可以在以下视图中忽略和取消忽略发现结果:

  • 发现结果页面上的发现结果查询结果
  • 发现结果的详情视图

您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。

已忽略的发现结果会被隐藏和静音,但您仍然可以通过添加 将 mute="MUTED" 过滤条件添加到您的发现结果查询中。系统会继续记录已忽略的发现结果,供审核和合规之用。

如需详细了解如何忽略和取消忽略发现结果,请参阅 在 Security Command Center 中忽略发现结果

更改发现结果的状态

发现结果可以具有以下两种状态之一:ActiveInactive

状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。

状态 Inactive 表示安全问题已解决。

您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。

如需了解如何更改发现结果状态,请点击 您使用的控制台

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    <ph type="x-smartling-placeholder"></ph> 前往“发现结果”

  2. 选择您的 Google Cloud 项目或组织。
  3. 发现结果查询结果面板中,选择相应发现结果
  4. 发现结果查询结果面板的操作栏中,点击 更改活跃状态。系统会显示一个弹出式菜单。
  5. 更改活跃状态弹出式菜单中,选择活跃无效

Security Operations 控制台

Security Operations 控制台中不提供此功能。

自定义“发现结果”页面

要控制屏幕空间,你可以自定义某些 发现结果查询结果。

调整查询结果的列

您可以在发现结果查询结果中添加或移除列。

您可以移除除类别之外的任何列。

以下是可用列的示例:

  • 类别:发现结果类型的名称。
  • 严重级别:发现结果的严重级别。如需详细了解发现结果严重级别,请参阅发现结果的严重程度分类
  • 恶意组合得分攻击风险得分 一个 Toxic combination 类发现结果。
  • 攻击风险得分攻击风险得分 结果。
  • 事件时间:首次检测到发现结果时或上次更新发现结果时。
  • 创建时间:在 Security Command Center 中创建发现结果时。
  • 发现结果类别:发现结果的类别,例如 THREATVULNERABILITYMISCONFIGURATION
  • 资源显示名称:检测到问题的资源的显示名称。
  • 资源全名:出现问题的资源的全名 。
  • 资源云提供商: 资源。
  • 资源路径:指向出现问题的资源的路径 。
  • Resource type:检测到问题的资源类型。
  • 安全标记:为发现结果添加的任何安全标记。

如需了解如何调整发现结果查询结果列, 点击您当前使用的控制台所对应的标签页。

Google Cloud 控制台

  1. 发现结果查询结果操作栏的右侧,点击
  2. 选择要显示的列。
  3. 清除您要隐藏的列的选择。
  4. 点击应用,将更改应用到 发现结果查询结果面板。
当您下次查看发现结果页面时,系统会保留对列的选择, 即便您更换了项目或组织。清除所有自定义列 点击清除列选择

Security Operations 控制台

  1. 发现结果操作栏中,点击 管理列
  2. 选择要显示的列。
  3. 清除您要隐藏的列的选择。

此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

隐藏或显示“发现结果页面”面板

如需了解如何调整发现结果页面面板,请点击相应标签页 访问该控制台

Google Cloud 控制台

如需提供更多屏幕空间来修改查询或查看发现结果,您需要 可以隐藏或显示以下面板:

  • 快速过滤条件面板
  • 查询编辑器面板

如需隐藏某个面板,请点击切换面板图标

要显示该面板,请再次点击该图标。

Security Operations 控制台

Security Operations 控制台中不提供此功能。

后续步骤