Auf dieser Seite wird erläutert, wie Sie mit Ergebnissen auf der Security Command Center-Seite Ergebnisse in der Google Cloud Console arbeiten. Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, das die Security Command Center-Dienste erstellen, wenn sie ein Sicherheitsproblem erkennen.
Auf der Ergebnisseite können Sie unter anderem Folgendes tun:
- Abfrageergebnisse
- Ergebnisse prüfen
- Ergebnisse ausblenden
- Sicherheitsmarkierungen zu Ergebnissen hinzufügen
Die Ergebnisse werden auf der Seite Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage aufgelistet. Sie können auf ein Ergebnis klicken, um die Details sowie das vollständige JSON-Format aufzurufen.
Informationen zum Arbeiten mit Ergebnissen mithilfe der Security Command Center API finden Sie unter Programmgesteuerter Zugriff auf Security Command Center.
IAM-Rollen für Security Command Center
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ihre Fähigkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf der Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Ergebnisse in der Google Cloud Console ansehen
Standardmäßig werden im Bereich Ergebnisse der Ergebnisabfrage auf der Seite Ergebnisse alle aktiven Ergebnisse angezeigt, die nicht ausgeblendet sind und die in den letzten sieben Tagen entweder neu sind oder aktualisiert wurden.
Wenn Sie bestimmte Ergebnisse sehen möchten, bearbeiten Sie die Ergebnisabfrage, um die Werte oder Attribute anzugeben, die die benötigten Ergebnisse enthalten dürfen oder nicht.
Das folgende Beispiel ist die standardmäßige Ergebnisabfrage:
state="ACTIVE" AND NOT mute="MUTED"
Die aktuelle Ergebnisabfrage wird auf der Seite Ergebnisse im Feld Abfragevorschau angezeigt.
Passen Sie den Zeitraum an, um weitere Ergebnisse anzusehen
Sie können den für Ihre Abfragen verwendeten Zeitraum im Feld Time range (Zeitraum) rechts in der Aktionsleiste des Abfrageeditors anpassen.
Der Standardzeitraum ist Last 7 days.
Der Zeitraum basiert auf dem Wert des Attributs eventTime der Ergebnisse, der den Zeitpunkt angibt, zu dem der Ergebnisdatensatz zuletzt aktualisiert wurde.
Verfügbarkeit wird gesucht
Ein Ergebnis steht in der Regel weniger als eine Minute nach dem Generieren des Ergebnisses in Security Command Center zur Verfügung und speichert es in der Ergebnisdatenbank von Security Command Center. Ergebnisse der Premium- und Enterprise-Stufe sind mindestens 13 Monate lang für Abfragen verfügbar. Ergebnisse der Standardstufe bleiben mindestens 35 Tage lang verfügbar.
Security Command Center speichert einen oder mehrere Snapshots jedes Ergebnisses. Ein Snapshot eines Ergebnisses der Premium- oder Enterprise-Stufe wird 13 Monate nach dem Zeitstempel im Feld eventTime gelöscht. Wenn alle Snapshots für ein Ergebnis gelöscht werden, kann das Ergebnis nicht mehr abgefragt oder wiederhergestellt werden.
Weitere Informationen zur Datenaufbewahrung in Security Command Center finden Sie unter Datenaufbewahrung.
Bestimmte Ergebnisse suchen und ansehen
Sie können bestimmte Ergebnisse oder Ergebnisgruppen suchen und anzeigen lassen, indem Sie die Ergebnisabfrage auf der Seite Ergebnisse bearbeiten. Sie können die Abfrage so bearbeiten:
- Wählen Sie im Bereich Schnellfilter einen oder mehrere vordefinierte Attributfilter aus, um sie einer Abfrage hinzuzufügen.
- Wählen Sie im Menü Filter hinzufügen des Bereichs Abfrageeditor einen oder mehrere der vordefinierten Attributfilter aus, um sie einer Abfrage hinzuzufügen.
- Bearbeiten Sie die Ergebnisabfrage direkt im Feld Abfrageeditor.
- Wählen Sie im Detailbereich eines Ergebnisses im Drop-down-Menü für ein bestimmtes Attribut einen vordefinierten Filter für dieses Attribut aus, um es einer Abfrage hinzuzufügen.
Wenn Sie einen vordefinierten Filter auswählen, wird er automatisch der Abfrage hinzugefügt.
Im Bereich Schnellfilter finden Sie häufig verwendete allgemeine Filteroptionen. Über das Menü Filter hinzufügen können Sie detailliertere und erweiterte Filter verwenden, die auf untergeordneten Ergebnisattributen basieren.
Weitere Informationen zum Erstellen und Bearbeiten von Ergebnisabfragen in der Console finden Sie unter Ergebnisabfrage in der Google Cloud Console bearbeiten.
Details eines Ergebnisses ansehen
Wenn Sie weitere Informationen zu einem Ergebnis erhalten möchten, öffnen Sie die Detailansicht des Ergebnisses. Klicken Sie dazu im Bereich Ergebnisabfragen in der Spalte Kategorie auf den Namen des Ergebnisses.
Die Detailansicht enthält Informationen, die wichtig sind, um ein Ergebnis zu verstehen, eine Bedrohung zu untersuchen oder eine Sicherheitslücke zu beheben.
Die Detailansicht für Ergebnisse enthält die folgenden Tabs, die Sie auswählen können, um mehr über ein Ergebnis zu erfahren und Maßnahmen zu ergreifen:
- Der Tab Zusammenfassung, das die Standardansicht ist, hebt wichtige Informationen und Attribute zum Ergebnis hervor.
- Auf dem Tab Quellattribute finden Sie die Attribute des
sourceProperties-Objekts der Ergebnis-JSON-Datei. - Tab JSON: Hier sehen Sie das vollständige JSON-Format des Ergebnisses.
In der Detailansicht können Sie bestimmte Aktionen für das Ergebnis ausführen und Links zu zusätzlichen Informationen finden, die sich auf das Ergebnis beziehen.
Weitere Informationen zum Ergebnis finden Sie in der Detailansicht
Die Detailansicht eines Ergebnisses hebt wichtige Informationen zu dem Ergebnis hervor, mit denen Sie das zugrunde liegende Sicherheitsproblem verstehen und beheben können.
Informationen zum Tab Zusammenfassung
Der Tab Zusammenfassung enthält Informationen zum Ergebnis in den folgenden Abschnitten:
- Was erkannt wurde
Details zum gefundenen Ergebnis, z. B.:
- Der Schweregrad des Ergebnisses
- Ergebnisstatus,
ACTIVEoderINACTIVE - Alle wichtigen Felder, die sich auf das jeweilige Ergebnis beziehen
- Sicherheitslücke
Informationen aus dem CVE-Eintrag, die der Sicherheitslücke entsprechen, falls vorhanden. Der Abschnitt Sicherheitslücken enthält z. B. folgende Informationen aus dem CVE-Eintrag:
- CVE-ID
- CVE-Wert
- Auswirkungen
- Ausnutzungsaktivitäten
- Angriffsrisiko
Die Angriffsbewertung und der Zeitpunkt, zu dem der Wert zuletzt berechnet wurde. Wenn Sie auf die Bewertung klicken, wird eine visuelle Darstellung der betroffenen hochwertigen Ressourcen und des zugehörigen Angriffspfads geöffnet.
- Betroffene Ressource
Details zur Ressource, die mit dem Ergebnis verknüpft ist, einschließlich der folgenden Informationen:
- Vollständiger Name der betroffenen Ressource
- Der Cloud-Dienstanbieter der Ressource
- Die technischen und Sicherheitskontakte
- Sicherheitsmarkierungen
Die Sicherheitsmarkierungen, die mit diesem Ergebnis verknüpft sind, falls vorhanden.
- Weitere Informationen
Hier erfahren Sie, was Sie tun können, um das erkannte Problem zu beheben. Nur bestimmte Dienste wie Security Health Analytics geben die nächsten Schritte an.
- Weitere Informationen
Links zu wichtigen Quellen von Sicherheitsinformationen außerhalb von Security Command Center. Nur bestimmte Dienste wie Event Threat Detection stellen entsprechende Links bereit.
- Erkennungsdienst
Details zum Dienst oder zur Quelle, der bzw. die das Ergebnis erkannt hat
Informationen zum Tab Quell-Properties
Bei einigen Ergebnissen enthält der Detailbereich den Tab Quelleigenschaften, auf dem bestimmte Eigenschaften des sourceProperties-Objekts der Ergebnis-JSON-Datei hervorgehoben sind.
Quellattribute unterscheiden sich für jedes Ergebnis und jeden Dienst, der in Security Command Center ausgeführt wird. Es gibt keine Garantie, dass Quellattribute für alle Dienste standardisiert sind. Aus diesem Grund raten wir dringend davon ab, Quell-Properties programmatisch zu nutzen. Wenn eine Quell-Property für alle Dienste standardisiert werden soll, senden Sie uns Ihr Feedback.
Informationen zum Tab JSON
Der Tab JSON enthält die vollständige JSON-Struktur des derzeit ausgewählten Ergebnisses. Dies kann beim Untersuchen eines Ergebnisses oder Nachschlagen von Attributen nützlich sein, die Sie in Ihren Ergebnisabfragen verwenden können.
Klicken Sie auf Kopieren, um das JSON-Objekt in die Zwischenablage zu kopieren.
Die JSON-Struktur eines Ergebnisses enthält die folgenden Objekte:
findings: Die Attribute des Ergebnisses. Diese Attribute sind in allen integrierten und integrierten Diensten standardisiert (auch als Sicherheitsquellen bezeichnet). Weitere Informationen finden Sie unter:Finding.resource: Die Attribute der betroffenen Ressource. Weitere Informationen finden Sie unterResource.sourceProperties: Die dienstspezifischen Attribute des Ergebnisses.
Sie können auch die ListFindings API verwenden, um Ergebnisse aufzulisten und ihre JSON-Definitionen abzurufen.
Aktionen für ein Ergebnis in der Detailansicht ausführen
In der Detailansicht des Ergebnisses können Sie verschiedene Aktionen für ein Ergebnis ausführen. Beispielsweise können Sie das Ergebnis ausblenden oder der aktuellen Ergebnisabfrage Attribute aus dem Ergebnis hinzufügen.
Ergebnis in der Detailansicht ausblenden
In der Detailansicht eines Ergebnisses über das Menü Maßnahmen ausführen können Sie das Ergebnis ausblenden oder die Ausblendung aufheben oder eine Regel erstellen, die alle zukünftigen Ergebnisse (z. B. das aktuelle Ergebnis) ausblendet.
Eine vollständige Anleitung zum Ausblenden eines Ergebnisses oder zum Erstellen einer Ausblendungsregel finden Sie unter Ergebnisse in Security Command Center ausblenden.
Einer Abfrage Attributfilter aus der Detailansicht hinzufügen
In der Detailansicht eines Ergebnisses können Sie der aktuellen Ergebnisabfrage Filter für die angezeigten Attribute hinzufügen.
Eine Anleitung finden Sie unter Attributfilter aus der Detailansicht eines Ergebnisses hinzufügen.
Attribut-API-Namen in der Detailansicht eines Ergebnisses ansehen
Die meisten Ergebnisattribute, die in der Google Cloud Console angezeigt werden, haben einen entsprechenden Namen, der in der Security Command Center API verwendet wird. In der Detailansicht eines Ergebnisses können Sie den entsprechenden API-Namen der angezeigten Ergebnisattribute suchen und kopieren.
Detailansicht eines Ergebnisses teilen
Wenn Sie die Detailansicht eines Ergebnisses freigeben möchten, können Sie die URL der Detailseite der Seite kopieren und mit anderen teilen.
Um die URL der Detailansicht in die Zwischenablage zu kopieren, klicken Sie im Menü Maßnahmen ergreifen auf Link kopieren.
Feedback zum Ergebnis an Google Cloud senden
Wenn Sie Feedback an Google Cloud senden möchten, öffnen Sie das Menü Maßnahmen ergreifen und klicken Sie auf Feedback geben.
Mit dem Feedback-Tool können Sie Screenshots aufnehmen und anhängen.
In den folgenden Abschnitten werden die Tabs Zusammenfassung, Quellattribute und JSON beschrieben.
Details anderer Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage anzeigen
Wenn Sie die Details der Ergebnisse aufrufen möchten, die dem Ergebnis, das Sie sich gerade ansehen, oder danach folgen, verwenden Sie die Schaltfläche „Weiter“ oder „Zurück“, um zum nächsten oder vorherigen Ergebnis zu wechseln, ohne zur Seite Ergebnisse zurückzukehren.
Sicherheitsmarkierungen in der Google Cloud Console zu Ergebnissen hinzufügen
Sie können Sicherheitsmarkierungen zu Ergebnissen hinzufügen, die Sicherheitsmarkierungen bearbeiten oder sie im Bereich Ergebnisse der Ergebnisabfrage entfernen.
Ein Sicherheitskennzeichen ist ein benutzerdefiniertes Schlüssel/Wert-Paar-Label, mit dem Sie ein Ergebnis mit Anmerkungen versehen, ein Ergebnis mit anderen Ergebnissen mit derselben Sicherheitsmarkierung verknüpfen und Abfrageergebnisse abrufen können.
Klicken Sie zum Erstellen, Bearbeiten oder Entfernen von Sicherheitsmarkierungen in der Google Cloud Console in der Aktionsleiste des Bereichs Ergebnisse der Ergebnisabfrage auf Sicherheitsmarkierungen festlegen.
Eine vollständige Anleitung zum Festlegen von Sicherheitsmarkierungen für Ergebnisse oder Assets finden Sie unter Sicherheitsmarkierungen verwenden.
Ergebnisse in der Google Cloud Console ausblenden
Auf der Seite Ergebnisse können Sie Ergebnisse ausblenden bzw. die Ausblendung aufheben. Verwenden Sie dazu entweder die Optionen zum Ausblenden in der Aktionsleiste Ergebnisse der Ergebnisabfrage oder klicken Sie im Detailbereich eines Ergebnisses auf Maßnahme ergreifen.
Sie können einzelne Ergebnisse ausblenden oder Ausblendungsregeln erstellen, die aktuelle und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern ausblenden.
Ausgeblendete Ergebnisse werden ausgeblendet und stummgeschaltet, können aber weiterhin angezeigt werden, wenn Sie Ihrer Ergebnisabfrage den Filter mute="MUTED" hinzufügen. Ausgeblendete Ergebnisse werden zu Audit- und Compliance-Zwecken weiterhin protokolliert.
Die aktuell definierten Ausblendungsregeln finden Sie in den Security Command Center-Einstellungen auf dem Tab Ausblendungsregeln.
Eine ausführliche Anleitung zum Ausblenden und Aufheben der Ausblendung von Ergebnissen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Status eines Ergebnisses ändern
Ein Ergebnis kann einen von zwei Zuständen haben: Active oder Inactive.
Der Status Active bedeutet, dass das durch das Ergebnis identifizierte Sicherheitsproblem in Ihrer Umgebung als potenzielle Bedrohung oder Sicherheitslücke bestehen bleibt.
Der Status Inactive bedeutet, dass das Sicherheitsproblem behoben wurde.
Sie können den Status eines Ergebnisses aus verschiedenen Gründen ändern, z. B. um den Status eines Ergebnisses in Inactive zu ändern, sobald es behoben wurde, damit Sie nicht auf den nächsten Scan warten müssen, um den Status für Sie zu ändern.
So ändern Sie den Status eines Ergebnisses in der Google Cloud Console:
Rufen Sie in Security Command Center die Ansicht Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Bereich Ergebnisse der Ergebnisabfrage das Ergebnis aus.
Klicken Sie in der Aktionsleiste des Bereichs Ergebnisse der Ergebnisabfrage auf Aktiven Status ändern. Ein Pop-up-Menü wird angezeigt.
Wählen Sie im Pop-up-Menü Aktiven Status ändern entweder Aktiv oder Inaktiv aus.
Seite „Ergebnisse“ konfigurieren
Sie können einige der Elemente anpassen, die auf der Seite Ergebnisse angezeigt werden.
Spalten der Abfrageergebnisse anpassen
Sie können Spalten im Bereich Ergebnisse der Ergebnisabfrage hinzufügen oder entfernen.
Sie können jede Spalte außer Category entfernen.
Standardmäßig werden im Bereich Abfrageergebnisse finden die folgenden Spalten angezeigt. Sie müssen jedoch möglicherweise nach rechts scrollen, um sie zu sehen:
- Kategorie: Der Name des Ergebnistyps.
- Schweregrad: Der Schweregrad des Ergebnisses. Weitere Informationen zum Ermitteln von Schweregraden finden Sie unter Schweregradklassifizierungen für Ergebnisse.
- Angriffsbewertung: Der Angriffsrisikowert des Ergebnisses.
- Ereigniszeit: Dies ist der Zeitpunkt, an dem das Ergebnis zum ersten Mal erkannt oder zuletzt aktualisiert wurde.
- Erstellungszeit: Der Zeitpunkt, zu dem das Ergebnis in Security Command Center erstellt wurde.
- Anzeigename der Ressource: Der Anzeigename der Ressource, in der das Problem festgestellt wurde.
- Vollständiger Name der Ressource: Vollständiger Name der Ressource, in der das Problem festgestellt wurde.
- Cloud-Anbieter der Ressource: Der Cloud-Dienstanbieter, bei dem die Ressource gehostet wird.
- Ressourcenpfad: Der Pfad zu der Ressource, in der das Problem festgestellt wurde.
- Ressourcentyp: der Ressourcentyp, in dem das Problem festgestellt wurde.
- Sicherheitsmarkierungen: Alle Sicherheitsmarkierungen, die dem Ergebnis hinzugefügt werden.
- Ergebnisklasse: Die Klasse des Ergebnisses, z. B.
THREAT,VULNERABILITYundMISCONFIGURATION.
Führen Sie die folgenden Schritte aus, um die Ergebnisspalten auszuwählen, die Sie anzeigen möchten:
- Klicken Sie rechts in der Aktionsleiste Ergebnisse der Ergebnisabfrage auf view_column Spalten.
- Wählen Sie im angezeigten Menü die Spalten aus, die angezeigt werden sollen.
- Wenn Sie eine Spalte ausblenden möchten, heben Sie die Auswahl des Spaltennamens auf.
- Klicken Sie auf Übernehmen, um die Änderungen auf den Bereich Ergebnisse der Ergebnisabfrage anzuwenden.
Die Spaltenauswahl wird beim nächsten Aufrufen der Seite Ergebnisse beibehalten, auch wenn Sie Projekte oder Organisationen ändern. Klicken Sie auf Spaltenauswahl löschen, um die gesamte Auswahl für benutzerdefinierte Spalten zu löschen.
Steuerfelder der Ergebnisseite anpassen
Wenn Sie mehr Platz auf dem Bildschirm zum Bearbeiten von Abfragen oder zum Anzeigen von Ergebnissen schaffen möchten, können Sie die folgenden Bereiche minimieren und maximieren:
- Im Bereich Schnellfilter.
- Bereich Abfrageeditor
Klicken Sie zum Minimieren eines Steuerfelds auf das Symbol für Bedienfeld ein-/ausblenden first_page oder first_page.
Klicken Sie noch einmal auf das Symbol, um den Bereich zu maximieren.
Feedback an das Security Command Center-Team senden
Wir arbeiten kontinuierlich daran, unseren Service zu verbessern. Ihr Feedback hilft uns, unsere Produkte und Dienste für alle Security Command Center-Nutzer zu verbessern.
So senden Sie Feedback:
Rufen Sie in Security Command Center die Ansicht Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Optionen und wählen Sie Feedback senden aus.
Nächste Schritte
- Erkennungsdienste
- Weitere Informationen zur Verwendung von Sicherheitsmarkierungen.
- Security Command Center-Dienste konfigurieren
- Ergebnisfilter mit der Security Command Center API erstellen