En esta página, se explica cómo trabajar con los resultados en la página Hallazgos de Security Command Center en la consola de Google Cloud. Un hallazgo es un registro de un problema de seguridad que crean los servicios de Security Command Center cuando detectan un problema de seguridad.
Algunas de las acciones que puedes realizar en la página de resultados incluyen las siguientes:
- Resultados de la consulta
- Inspecciona los resultados
- Silenciar resultados
- Agrega marcas de seguridad a los resultados
Los resultados se enumeran en el panel Resultados de la búsqueda de la página Hallazgos. Puedes hacer clic en un resultado para ver sus detalles, así como su formato JSON completo.
Para obtener información sobre cómo trabajar con los resultados mediante la API de Security Command Center, consulta Accede a Security Command Center de manera programática.
Roles de IAM para Security Command Center
Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Ve los resultados en la consola de Google Cloud
De forma predeterminada, el panel Resultados de la búsqueda de la página Hallazgos muestra todos los resultados activos que no están silenciados y que son nuevos o actualizados en los últimos siete días.
Para ver resultados específicos, edita la consulta de resultados a fin de especificar los valores o atributos que los resultados que necesitas ver deben o no contener.
El siguiente ejemplo es la búsqueda predeterminada:
state="ACTIVE" AND NOT mute="MUTED"
Puedes ver la búsqueda actual en el campo Vista previa de la consulta de la página Hallazgos.
Ajusta el intervalo de tiempo para ver más resultados
Puedes ajustar el intervalo de tiempo que se usa para tus consultas en el campo Intervalo de tiempo a la derecha en la barra de acciones del Editor de consultas.
El intervalo de tiempo predeterminado es Last 7 days.
El intervalo de tiempo se basa en el valor del atributo eventTime de los resultados, que refleja la hora a la que se actualizó por última vez el registro de resultados.
Cómo consultar la disponibilidad
Por lo general, un resultado está disponible para que lo consultes en Security Command Center menos de un minuto después de que el servicio que lo genera lo almacena en la base de datos de hallazgos de Security Command Center. Los hallazgos de los niveles Premium y Enterprise permanecen disponibles para su consulta durante al menos 13 meses. Los hallazgos del nivel Estándar permanecen disponibles durante al menos 35 días.
Security Command Center almacena una o más instantáneas de cada resultado. Una instantánea de un hallazgo de nivel Premium o Enterprise se borra 13 meses después de la marca de tiempo en el campo eventTime. Si se borran todas las instantáneas de un resultado, este ya no se puede consultar ni recuperar.
Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.
Busca y visualiza hallazgos específicos
Puedes encontrar y ver resultados o grupos de resultados específicos si editas la consulta de resultados en la página Hallazgos. Puedes editar la consulta de las siguientes maneras:
- En el panel Filtros rápidos, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta.
- En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta.
- Edita la consulta de resultados directamente en el panel Editor de consultas.
- En el panel de detalles de un hallazgo, en el menú desplegable de un atributo en particular, selecciona un filtro predefinido para que ese atributo lo agregue a una consulta.
Cuando seleccionas un filtro predefinido, se agrega el filtro a la consulta de forma automática.
Usa el panel Filtros rápidos para ver las opciones de filtro generales y de uso frecuente. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basan en atributos de resultados de menor nivel.
Para obtener más información sobre cómo crear y editar consultas de resultados en la consola, revisa Edita una consulta de resultados en la consola de Google Cloud.
Ve los detalles de un hallazgo
Para obtener más información sobre un hallazgo, abre la vista detallada haciendo clic en el nombre del hallazgo, en la columna Categoría del panel Resultados de la búsqueda.
En la vista de detalles, puedes encontrar información fundamental para comprender un hallazgo, investigar una amenaza o abordar una vulnerabilidad.
La vista de detalles de los hallazgos incluye las siguientes pestañas que puedes seleccionar para obtener más información sobre un hallazgo y tomar medidas:
- La pestaña Resumen (Summary), que es la vista predeterminada, destaca información clave y atributos sobre el hallazgo.
- La pestaña Propiedades fuente, en la que puedes ver los atributos del objeto
sourcePropertiesdel hallazgo JSON - La pestaña JSON, en la que puedes ver el formato JSON completo del hallazgo
Puedes realizar ciertas acciones sobre el hallazgo en la vista de detalles, además de buscar vínculos a información adicional relacionada con el hallazgo.
Obtén información sobre el hallazgo en la vista detallada
La vista detallada de un hallazgo destaca información importante sobre este que puedes usar para comprender y abordar el problema de seguridad subyacente.
Información en la pestaña Resumen
En la pestaña Resumen (Summary), se proporciona información sobre el hallazgo en las siguientes secciones:
- Qué se detectó
Detalles sobre el hallazgo que se detectó, como los siguientes:
- La gravedad del hallazgo
- El estado del hallazgo,
ACTIVEoINACTIVE - Cualquier campo clave que esté relacionado con el hallazgo específico
- Vulnerabilidad
Información del registro de CVE que corresponde a la vulnerabilidad, si corresponde En la sección Vulnerabilidad, se incluye información del registro de CVE, como la siguiente:
- ID de CVE
- Puntuación de CVE
- Impacto
- Actividad de explotación
- Exposición al ataque
Indica la puntuación de exposición a ataques y la hora en la que se calculó la puntuación por última vez. Si haces clic en la puntuación, se abrirá una representación visual de los recursos de alto valor afectados y la ruta de ataque asociada.
- Recurso afectado
Detalles sobre el recurso asociado con el hallazgo, incluida la siguiente información:
- El nombre completo del recurso afectado
- El proveedor de servicios en la nube del recurso
- Los contactos técnicos y de seguridad
- Marcas de seguridad
Las marcas de seguridad asociadas con este hallazgo, si las hay.
- Próximos pasos
Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo ciertos servicios, como Security Health Analytics, proporcionan los pasos siguientes.
- Vínculos relacionados
Vínculos a fuentes clave de información de seguridad fuera de Security Command Center. Solo algunos servicios, como Event Threat Detection, proporcionan vínculos relacionados.
- Servicio de detección
Detalles sobre el servicio o la fuente, que detectó el hallazgo
Información sobre la pestaña Propiedades fuente
Para algunos hallazgos, el panel de detalles incluye una pestaña de Propiedades fuente que destaca ciertas propiedades del objeto sourceProperties del JSON de resultados.
Las propiedades fuente difieren para cada resultado y para cada servicio que se ejecuta en Security Command Center. No hay garantía de que las propiedades de la fuente estén estandarizadas en todos los servicios. Por este motivo, no recomendamos que consumas propiedades fuente de manera programática. Si deseas que una propiedad fuente se estandarice en todos los servicios, envía tus comentarios.
Información de la pestaña JSON
La pestaña JSON contiene la estructura JSON completa del resultado seleccionado actualmente, lo que puede ser útil cuando investigas un hallazgo o buscas atributos que puedes usar en tus consultas de resultados.
Para copiar el objeto JSON en el portapapeles, haz clic en Copiar.
La estructura JSON de un hallazgo contiene los siguientes objetos:
findings: Son los atributos del resultado. Estos atributos se estandarizaron en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta:Finding.resource: Son los atributos del recurso afectado. Para obtener más información, consultaResource.sourceProperties: Son las propiedades específicas del servicio del resultado.
También puedes usar la API de ListFindings para enumerar los hallazgos y obtener sus definiciones de JSON.
Toma medidas en un hallazgo desde la vista detallada
Puedes realizar varias acciones en un resultado desde su vista de detalles, como silenciarlo o agregar atributos a la consulta actual.
Silenciar un hallazgo en la vista detallada
Desde el menú Actuar en la vista detallada de un resultado, puedes silenciarlo o dejar de silenciarlo, o crear una regla que silencie todos los resultados futuros, como el resultado actual.
Si deseas obtener instrucciones completas para silenciar un resultado o crear una regla de silenciamiento, consulta Silencia los resultados en Security Command Center.
Cómo agregar filtros de atributos a una consulta desde la vista detallada
Desde la vista detallada de un resultado, puedes agregar filtros para los atributos que se muestran a la consulta de resultados actual.
Para obtener instrucciones, consulta Agrega filtros de atributo desde la vista de detalles de un resultado.
Ver nombres de API de atributos en la vista detallada de un resultado
La mayoría de los atributos de hallazgos que se muestran en la consola de Google Cloud tienen un nombre correspondiente que se usa en la API de Security Command Center. En la vista de detalles de un hallazgo, puedes encontrar y copiar el nombre de la API correspondiente de los atributos del hallazgo que se muestran.
Compartir la vista detallada de un hallazgo
Para compartir la vista detallada de un hallazgo, puedes copiar la URL de la página de vista detallada y compartirla con otras personas.
Para copiar la URL de la vista de detalles en el portapapeles, en el menú Actuar, haz clic en Copiar vínculo.
Enviar comentarios sobre el hallazgo a Google Cloud
Para enviar comentarios a Google Cloud, abre el menú Realizar acciones y haz clic en Enviar comentarios.
La herramienta de comentarios te permite tomar capturas de pantalla y también incluirlas.
En las siguientes secciones, se describen las pestañas Resumen, Propiedades fuente y JSON.
Muestra detalles de otros hallazgos en el panel Resultados de la búsqueda.
Si deseas ver los detalles de los resultados que anteceden o siguen al resultado que estás viendo, usa el botón siguiente o anterior para ir al resultado siguiente o anterior, sin tener que volver a la página Hallazgos.
Agregar marcas de seguridad a los hallazgos en la consola de Google Cloud
Puedes agregar marcas de seguridad a los hallazgos, editarlas o quitarlas de los resultados del panel Resultados de la búsqueda.
Una marca de seguridad es una etiqueta de par clave-valor personalizada que puedes usar para anotar un resultado, asociar un resultado con otros resultados que compartan la misma marca de seguridad y resultados de consultas.
Para crear, editar o quitar marcas de seguridad en la consola de Google Cloud, en la barra de acciones del panel Resultados de la búsqueda, haz clic en Establecer marcas de seguridad.
Si quieres obtener instrucciones completas para configurar marcas de seguridad en los resultados o recursos, consulta Usa marcas de seguridad.
Silencia los resultados en la consola de Google Cloud
Puedes silenciar y activar el sonido de los resultados en la página Hallazgos con las Opciones de silencio en la barra de acciones de los resultados de la consulta de resultados o haciendo clic en Tomar acción en el panel de detalles de un resultado.
Puedes silenciar resultados individuales o crear reglas de silenciamiento que silencien los resultados actuales y futuros según los filtros que definas.
Los resultados silenciados están ocultos y silenciados, pero aún puedes verlos si agregas el filtro mute="MUTED" a tu búsqueda. Los hallazgos silenciados se siguen registrando con fines de auditoría y cumplimiento.
Puedes ver las reglas de silencio definidas actualmente en la pestaña Reglas de silencio de la configuración de Security Command Center.
Para obtener instrucciones detalladas sobre cómo silenciar y activar el sonido de los resultados, consulta Silencia los resultados en Security Command Center.
Cambiar el estado de un resultado
Un resultado puede tener uno de dos estados: Active o Inactive.
Un estado de Active significa que el problema de seguridad identificado por el hallazgo persiste en tu entorno como una amenaza o vulnerabilidad potencial.
Un estado Inactive significa que se solucionó el problema de seguridad.
Es posible que quieras cambiar el estado de un resultado por varias razones, como cambiar el estado de un resultado a Inactive en cuanto se aborde, de modo que no tengas que esperar al siguiente análisis para cambiar el estado por ti.
Para cambiar el estado de un resultado en la consola de Google Cloud, sigue estos pasos:
Ve a la vista Hallazgos en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En el panel Resultados de la búsqueda, selecciona el hallazgo.
En la barra de acciones del panel Resultados de la búsqueda, haz clic en Cambiar estado activo. Aparecerá un menú emergente.
En el menú emergente Cambiar estado activo, selecciona Activo o Inactivo.
Configura la página Hallazgos
Puedes controlar algunos de los elementos que aparecen en la página Hallazgos.
Ajustar las columnas de los resultados de la consulta
Puedes agregar o quitar columnas desde el panel Resultados de la búsqueda.
Puedes quitar cualquier columna, excepto Category.
De forma predeterminada, el panel Resultados de la búsqueda muestra las siguientes columnas, pero es posible que debas desplazarte hacia la derecha para verlas:
- Categoría: Es el nombre del tipo de hallazgo.
- Gravedad: la gravedad del hallazgo. Para obtener más información sobre cómo encontrar niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.
- Puntuación de exposición a ataques: la puntuación de exposición a ataques del hallazgo.
- Hora del evento: Ya sea cuando se detectó el resultado por primera vez o cuando se actualizó por última vez.
- Hora de creación: Cuándo se creó el hallazgo en Security Command Center
- Nombre visible del recurso: El nombre visible del recurso en el que se detectó el problema.
- Nombre completo del recurso: El nombre completo del recurso en el que se detectó el problema.
- Proveedor de servicios en la nube de recursos: Es el proveedor de servicios en la nube en el que se aloja el recurso.
- Ruta del recurso: Es la ruta de acceso al recurso en el que se detectó el problema.
- Resource type: Es el tipo de recurso en el que se detectó el problema.
- Marcas de seguridad: Son las marcas de seguridad que se agregan al hallazgo.
- Clase del hallazgo: Es la clase del hallazgo, como
THREAT,VULNERABILITYyMISCONFIGURATION.
Para seleccionar las columnas de resultados que deseas mostrar, completa los siguientes pasos:
- A la derecha de la barra de acciones Resultados de la consulta de resultados, haz clic en view_column Columnas.
- En el menú que aparece, selecciona las columnas que deseas mostrar.
- Para ocultar una columna, anula la selección del nombre de la columna.
- Haz clic en Aplicar para aplicar los cambios en el panel Resultados de la búsqueda.
Las selecciones de columna se conservarán la próxima vez que veas la página Hallazgos, incluso si cambias de proyecto o de organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.
Ajusta los paneles de la página de resultados
Si quieres proporcionar más espacio en pantalla para editar consultas o ver los resultados, puedes contraer y expandir los siguientes paneles:
- El panel Filtros rápidos.
- El panel Editor de consultas.
Para contraer un panel, haz clic en el ícono Activar o desactivar panel, first_page o first_page.
Para expandir el panel, vuelve a hacer clic en el ícono.
Envía comentarios al equipo de Security Command Center
Siempre estamos buscando maneras de mejorar nuestro servicio. Tus comentarios nos ayudarán a mejorar nuestros productos y crear una mejor experiencia para todos los usuarios de Security Command Center.
Para enviar comentarios, sigue estos pasos:
Ve a la vista Hallazgos en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Haz clic en Opciones y selecciona Enviar comentarios.
¿Qué sigue?
- Obtén más información sobre los servicios de detección.
- Aprende a usar las marcas de seguridad.
- Obtén más información para configurar los servicios de Security Command Center.
- Obtén información para formar un filtro de resultados con la API de Security Command Center.