Revisa y administra los resultados en la consola

En esta página, se explica cómo trabajar con los resultados de Security Command Center en la consola de Google Cloud y la consola de Security Operations.

Un hallazgo es un registro de un problema de seguridad que los servicios de Security Command Center crean cuando detectan un problema de seguridad. Los resultados se enumeran en la página Resultados. Puedes hacer clic en un hallazgo para ver sus detalles y el formato JSON completo.

Estas son algunas de las acciones que puedes realizar en la página Resultados:

  • Cómo consultar los resultados
  • Inspecciona los resultados
  • Silenciar resultados
  • Agrega marcas de seguridad a los resultados

Para obtener información sobre cómo trabajar con los resultados de forma programática, consulta Bibliotecas cliente de Security Command Center.

Trabaja con los resultados en las consolas de Security Command Center Enterprise

Si eres cliente de Security Command Center Enterprise, puedes trabajar con los resultados en dos consolas:

  • Consola de Google Cloud: Disponible en todos los niveles de servicio
  • Consola de operaciones de seguridad: Disponible solo en el nivel Enterprise

Para obtener más información, consulta Consolas de Security Command Center Enterprise.

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM que necesitas para trabajar con los resultados en la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con los resultados en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de IAM de la consola de Security Operations

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con los resultados en la consola de Security Operations. Necesitas uno de los siguientes roles de IAM:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Administrador de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con IAM.

    Ver resultados

    Para obtener información sobre cómo encontrar la página Resultados, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

      Ir a hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.

    Consola de operaciones de seguridad

    En la consola de Security Operations, ve a la página Resultados. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

    Ajusta el período para ver más resultados

    Puedes ajustar el intervalo de tiempo que se usa para tus consultas. El intervalo de tiempo predeterminado es Last 7 days.

    El intervalo de tiempo se basa en el valor del atributo eventTime de los hallazgos, que refleja la hora en la que se actualizó por última vez el registro del hallazgo.

    Para obtener información sobre cómo ajustar el intervalo de tiempo, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    En la página Resultados de la consola de Google Cloud, configura el campo de intervalo de tiempo.

    Consola de operaciones de seguridad

    En la parte superior de la lista de resultados en la página Resultados de la consola de Security Operations, configura el campo Mostrar.

    Cómo encontrar disponibilidad

    Por lo general, un resultado está disponible para que lo consultes en Security Command Center menos de un minuto después de que el servicio que lo genera lo almacena en la base de datos de resultados de Security Command Center. Los resultados de los niveles Premium y Enterprise permanecen disponibles para consultas durante al menos 13 meses. Los resultados del nivel estándar permanecen disponibles durante al menos 35 días.

    Security Command Center almacena una o más instantáneas de cada resultado. Una instantánea de un resultado del nivel Premium o Enterprise se borra 13 meses después de la marca de tiempo en el campo eventTime. Si se borran todas las instantáneas de un hallazgo, este ya no se puede consultar ni recuperar.

    Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.

    Cómo encontrar y ver hallazgos específicos

    De forma predeterminada, la página Resultados muestra todos los resultados activos que no están silenciados y que son nuevos o se actualizaron en los últimos siete días.

    Para ver resultados específicos, edita la búsqueda de resultados para especificar los valores o atributos que deben o no contener los resultados que necesitas ver.

    El siguiente ejemplo es la consulta de resultados predeterminada:

    state="ACTIVE"
AND NOT mute="MUTED"

    Puedes ver la consulta de resultados actual en el panel Editor de consultas. Puedes editar la consulta directamente o seleccionar filtros predefinidos para crearla. Para obtener más información, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    En la página Resultados de la consola de Google Cloud, puedes hacer lo siguiente:

    • En el panel Filtros rápidos, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta. Usa el panel Filtros rápidos para ver las opciones de filtro de alto nivel que se usan con mayor frecuencia.
    • En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basen en atributos de resultados de nivel inferior. Para obtener más información, consulta Cómo editar una consulta de resultados en la consola.
    • Edita la consulta de resultados directamente en el panel Editor de consultas.
    • En la vista de detalles de un hallazgo, en el menú desplegable de un atributo en particular, selecciona un filtro predefinido para ese atributo para agregarlo a una consulta.

    Consola de operaciones de seguridad

    En la página Resultados de la consola de Security Operations, puedes hacer lo siguiente:

    • En el panel Agrupaciones, selecciona uno o más filtros de atributos predefinidos para agregarlos a una consulta. Usa el panel Agregaciones para ver las opciones de filtro de alto nivel que se usan con mayor frecuencia.
    • En el menú Agregar filtro del panel Editor de consultas, selecciona uno o más de los filtros de atributos predefinidos para agregarlos a una consulta. Usa el menú Agregar filtro para obtener filtros más detallados y avanzados que se basen en atributos de resultados de nivel inferior. Para obtener más información, consulta Cómo editar una consulta de resultados en la consola.
    • Edita la consulta de resultados directamente en el panel Editor de consultas.

    Cómo ver los detalles de un resultado

    Para obtener más información sobre un resultado, haz clic en su nombre en la columna Categoría de los resultados de la consulta de resultados para abrir su vista detallada.

    En la vista de detalles, puedes encontrar información fundamental para comprender un hallazgo, investigar una amenaza o abordar una vulnerabilidad.

    La vista de detalles de los hallazgos incluye las siguientes pestañas que puedes seleccionar para obtener más información sobre un hallazgo y tomar una medida:

    • En la pestaña Resumen, que es la vista predeterminada, se destacan información y atributos clave sobre el hallazgo.
    • La pestaña Source properties, en la que puedes ver los atributos del objeto sourceProperties del JSON del hallazgo
    • La pestaña JSON, en la que puedes ver el formato JSON completo del hallazgo

    Puedes realizar ciertas acciones en el hallazgo en la vista de detalles, así como encontrar vínculos a información adicional relacionada con el hallazgo.

    Más información sobre el hallazgo en la vista de detalles

    La vista de detalles de un hallazgo destaca información importante sobre el hallazgo que puedes usar para comprender y abordar el problema de seguridad subyacente.

    Información de la pestaña Resumen

    La pestaña Resumen proporciona información sobre el hallazgo en las siguientes secciones:

    Qué se detectó (o Resumen)

    Detalles sobre el resultado detectado, como los siguientes:

    • La gravedad del resultado
    • El estado del hallazgo, ACTIVE o INACTIVE
    • Cualquier campo clave que esté relacionado con el hallazgo específico
    Vulnerabilidad

    Información del registro de CVE que corresponde a la vulnerabilidad, si la hay La sección Vulnerabilidad incluye información del registro de CVE, como la siguiente:

    • ID de CVE
    • Puntuación de CVE
    • Impacto
    • Actividad de explotación
    Exposición al ataque

    La puntuación de exposición al ataque y la hora en la que se calculó por última vez Si haces clic en la puntuación, se abrirá una representación visual de los recursos de alto valor afectados y la ruta de ataque asociada.

    Recurso afectado

    Detalles sobre el recurso asociado con el resultado, incluida la siguiente información:

    • El nombre completo del recurso afectado
    • El proveedor de servicios en la nube del recurso
    • Los contactos técnicos y de seguridad
    Información del caso

    Detalles sobre el caso asociado con el resultado, incluida la siguiente información

    • Es el nombre completo del recurso del sistema externo que está asociado con el hallazgo.
    • El grupo asignado al caso
    • El ID del caso, que lo vincula a la consola de Security Operations
    • El estado del caso
    • La hora de actualización en el sistema externo de administración de casos
    • La fecha límite comprometida para cerrar el caso
    Marcas de seguridad

    Las marcas de seguridad asociadas con este hallazgo, si corresponde

    Próximos pasos

    Orientación sobre lo que puedes hacer para solucionar el problema detectado Solo algunos servicios, como las estadísticas del estado de la seguridad, proporcionan los próximos pasos.

    Vínculos relacionados

    Vínculos a fuentes clave de información de seguridad fuera de Security Command Center. Solo algunos servicios, como Event Threat Detection, proporcionan vínculos relacionados.

    Servicio de detección

    Detalles sobre el servicio o la fuente que detectó el resultado

    Información de la pestaña Propiedades de origen

    En algunos resultados, el panel de detalles incluye una pestaña Source properties que destaca ciertas propiedades del objeto sourceProperties del JSON del resultado.

    Las propiedades de la fuente difieren para cada resultado y para cada servicio que se ejecuta en Security Command Center. No hay garantía de que las propiedades de la fuente estén estandarizadas en todos los servicios. Por este motivo, no recomendamos que consumas propiedades de la fuente de manera programática. Si quieres que una propiedad fuente se estandarice en todos los servicios, comunícate con nosotros.

    Información de la pestaña JSON

    La pestaña JSON contiene la estructura JSON completa del resultado, lo que puede ser útil cuando investigas un resultado o buscas atributos que puedes usar en tus consultas.

    Para copiar el objeto JSON en el portapapeles, haz clic en Copiar.

    La estructura JSON de un hallazgo contiene los siguientes objetos:

    • findings: Son los atributos del resultado. Estos atributos se estandarizaron en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta: Finding.
    • resource: Son los atributos del recurso afectado. Para obtener más información, consulta Resource.
    • sourceProperties: Son las propiedades específicas del servicio del resultado.

    También puedes usar la API de ListFindings para enumerar los resultados y obtener sus definiciones JSON.

    Cómo tomar medidas en un hallazgo desde la vista de detalles

    Puedes realizar varias acciones en un hallazgo desde la vista de detalles, como silenciarlo. Si estás viendo la vista de detalles del hallazgo en la consola de Google Cloud, también puedes agregar atributos del hallazgo a la consulta de hallazgos actual.

    Cómo silenciar un resultado en la vista de detalles

    En la vista de detalles de un resultado, puedes silenciarlo o dejar de silenciarlo. También puedes crear una regla que silencie todos los resultados futuros como el actual.

    Para obtener instrucciones completas para silenciar un resultado o crear una regla de silenciamiento, consulta Silencia resultados en Security Command Center.

    Cómo agregar filtros de atributos a una consulta desde la vista de detalles

    En la consola de Google Cloud, en la vista de detalles de un hallazgo, puedes agregar filtros para los atributos que se muestran a la consulta de hallazgos actual.

    Para obtener información sobre cómo agregar filtros de atributos a una consulta desde la vista de detalles, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. En la vista de detalles del resultado, busca el atributo que deseas filtrar.
    3. Junto al atributo, abre el menú desplegable.
    4. Selecciona un filtro predefinido para el atributo. El filtro se agrega a la consulta de resultados en la página Resultados.

    Consola de operaciones de seguridad

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. En la vista de detalles del resultado, busca el atributo que deseas filtrar.
    3. Junto al atributo, abre el menú desplegable.
    4. Selecciona un filtro predefinido para el atributo. El filtro se agrega a la consulta de resultados en la página Resultados.

    Cómo ver o copiar los nombres de las APIs de los atributos en la vista de detalles de un hallazgo

    La mayoría de los atributos de resultados que se muestran en la consola de Google Cloud tienen un nombre correspondiente que se usa en la API de Security Command Center.

    Si deseas obtener información para ver o copiar los nombres de las APIs de los atributos en la vista de detalles de un hallazgo, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.

    2. En la vista de detalles del hallazgo, puedes encontrar y copiar el nombre de la API correspondiente de cada atributo que se muestra.

      El nombre de API equivalente para cada atributo se indica en la misma fila que el atributo. Todos los nombres de las APIs se encuentran en la última columna. Por ejemplo, para el atributo State, el nombre de la API equivalente es state.

    Consola de operaciones de seguridad

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. En la vista de detalles del hallazgo, busca el atributo cuyo equivalente de API deseas copiar.
    3. Junto al atributo, abre el menú desplegable.
    4. Haz clic en Copiar equivalente de la API.

    Cómo compartir la vista de detalles de un hallazgo

    Para compartir la vista de detalles de un hallazgo, puedes copiar la URL de la página de vista de detalles para compartirla con otras personas.

    Para obtener información sobre cómo copiar la URL de la vista de detalles de un resultado, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Tomar medidas > Copiar vínculo.

    Consola de operaciones de seguridad

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Copiar vínculo.

    Envía comentarios sobre el hallazgo a Google Cloud

    Para obtener información sobre cómo enviar comentarios sobre un hallazgo, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Tomar medidas > Enviar comentarios.
    3. Ingresa una descripción de tus comentarios.
    4. Para incluir una captura de pantalla, haz clic en Tomar captura de pantalla.
    5. Haz clic en Enviar.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de Security Operations.

    Cómo mostrar detalles de otros hallazgos en los resultados de la consulta de hallazgos

    Para ver los detalles de los resultados que preceden o siguen al que estás viendo, usa el botón siguiente o anterior para ir al resultado siguiente o anterior, sin tener que volver a la página Resultados.

    Agrega marcas de seguridad a los resultados

    Una marca de seguridad es una etiqueta de par clave-valor personalizada que puedes usar para anotar un hallazgo, asociarlo con otros que comparten la misma marca de seguridad y consultarlos.

    Para obtener instrucciones completas sobre cómo configurar marcas de seguridad en hallazgos o activos, consulta Cómo usar marcas de seguridad.

    Cómo silenciar resultados en la consola

    Puedes silenciar y activar los resultados desde las siguientes vistas:

    • Resultados de la búsqueda de hallazgos en la página Hallazgos
    • Vista de detalles de un hallazgo

    Puedes silenciar resultados individuales o crear reglas de silenciamiento que silencian los resultados actuales y futuros según los filtros que definas.

    Los resultados silenciados se ocultan y silencian, pero puedes verlos si agregas el filtro mute="MUTED" a tu consulta de resultados. Los resultados silenciados se siguen registrando con fines de auditoría y cumplimiento.

    Para obtener instrucciones detalladas sobre cómo silenciar y activar los resultados, consulta Silencia resultados en Security Command Center.

    Cambia el estado de un hallazgo

    Un hallazgo puede tener uno de dos estados: Active o Inactive.

    Un estado de Active significa que el problema de seguridad que identifica el hallazgo persiste en tu entorno como una posible amenaza o vulnerabilidad.

    Un estado Inactive significa que se abordó el problema de seguridad.

    Es posible que desees cambiar el estado de un hallazgo por varios motivos, como cambiar el estado de un hallazgo a Inactive en cuanto se aborde, de modo que no tengas que esperar a que el siguiente análisis cambie el estado por ti.

    Para obtener información sobre cómo cambiar el estado de un hallazgo, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

      Ir a hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.
    3. En el panel Resultados de la búsqueda, selecciona el hallazgo.
    4. En la barra de acciones del panel Resultados de la búsqueda de resultados, haz clic en Cambiar el estado activo. Aparecerá un menú emergente.
    5. En el menú emergente Cambiar el estado activo, selecciona Activo o Inactivo.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de Security Operations.

    Personaliza la página Resultados

    Para controlar el espacio de pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la búsqueda de resultados.

    Oculta o muestra columnas en los resultados de la búsqueda de conclusiones

    En los resultados de la consulta de resultados, puedes ocultar cualquier columna, excepto Categoría.

    Los siguientes son ejemplos de columnas disponibles:

    • Categoría: Es el nombre del tipo de resultado.
    • Gravedad: Es la gravedad del hallazgo. Para obtener más información sobre cómo encontrar niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.
    • Puntuación de combinación tóxica: Una puntuación de exposición a ataques en un hallazgo de clase Toxic combination.
    • Puntuación de exposición al ataque: Es la puntuación de exposición al ataque del hallazgo.
    • Hora del evento: Es el momento en que se detectó el hallazgo por primera vez o cuando se actualizó por última vez.
    • Hora de creación: Es la hora en que se creó el hallazgo en Security Command Center.
    • Clase del hallazgo: Es la clase del hallazgo, como THREAT, VULNERABILITY y MISCONFIGURATION.
    • Nombre visible del recurso: Es el nombre visible del recurso en el que se detectó el problema.
    • Nombre completo del recurso: Es el nombre completo del recurso en el que se detectó el problema.
    • Proveedor de servicios en la nube del recurso: Es el proveedor de servicios en la nube en el que se aloja el recurso.
    • Ruta de acceso al recurso: Es la ruta de acceso al recurso en el que se detectó el problema.
    • Tipo de recurso: Es el tipo de recurso en el que se detectó el problema.
    • Marcas de seguridad: Son las marcas de seguridad que se agregan al hallazgo.

    Para obtener información sobre cómo ocultar o mostrar las columnas en los resultados de la consulta de hallazgos, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. A la derecha de la barra de acciones Resultados de la consulta de resultados, haz clic en Columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Haz clic en Aplicar para aplicar los cambios al panel Resultados de la búsqueda de hallazgos.

    Las selecciones de columnas se conservan la próxima vez que veas la página Resultados, incluso si cambias de proyecto o organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.

    Consola de operaciones de seguridad

    1. En la barra de acciones Resultados, haz clic en Administrar columnas. Se abrirá el menú Administrar columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Cierra el menú.

    Tus selecciones de columnas se aplican solo a la pestaña o ventana actual. La configuración de las columnas se restablecerá la próxima vez que accedas a la consola de Security Operations.

    Oculta o muestra los paneles de la página de resultados

    Para aumentar el espacio de pantalla para editar consultas o ver resultados, puedes ocultar o mostrar paneles. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    Puedes ocultar o mostrar los siguientes paneles:

    • Panel de filtros rápidos
    • Panel Editor de consultas

    Para ocultar un panel, haz clic en el ícono Toggle panel, o .

    Para mostrar el panel, vuelve a hacer clic en el ícono.

    Consola de operaciones de seguridad

    • Para ocultar el panel lateral Agrupaciones, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar el panel lateral Aggregations, haz clic en chevron_right Open sidebar.
    • Para ocultar el panel Editor de consultas, haz clic en keyboard_arrow_up Cerrar editor de consultas.
    • Para mostrar el panel Editor de consultas, haz clic en keyboard_arrow_down Abrir editor de consultas.

    ¿Qué sigue?