Nesta página, explicamos como trabalhar com as descobertas do Security Command Center no console do Google Cloud e no console de operações de segurança.
Uma descoberta é um registro de um problema de segurança que os serviços do Security Command Center criam quando detectam um problema de segurança. As descobertas são listadas na página Descobertas. Clique em uma descoberta para conferir os detalhes e o formato JSON completo dela.
Algumas das ações que você pode realizar na página Descobertas incluem:
- Consultar descobertas
- Inspecionar descobertas
- Silenciar descobertas
- Adicionar marcações de segurança às descobertas
Para informações sobre como trabalhar com as descobertas de maneira programática, consulte Bibliotecas de cliente do Security Command Center.
Trabalhar com as descobertas nos consoles do Security Command Center Enterprise
Se você for cliente do Security Command Center Enterprise, poderá trabalhar com as descobertas em dois consoles:
- Console do Google Cloud: disponível em todos os níveis de serviço
- Console de operações de segurança: disponível apenas no nível Enterprise
Para mais informações, consulte Consoles do Security Command Center Enterprise.
Conseguir as permissões necessárias
Esta seção lista os papéis do IAM necessários para trabalhar com os resultados no console.
Papéis do IAM no console do Google Cloud
Para trabalhar com as descobertas no console do Google Cloud, você precisa dos seguintes papéis do IAM.
Make sure that you have the following role or roles on the organization:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer
) - Security Center Findings Editor (
roles/securitycenter.findingsEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Acessar o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
-
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Salvar.
- Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin
) - Gerenciador de ameaças do Chronicle SOAR (
roles/chronicle.soarThreatManager
) - Gerenciador de vulnerabilidades do Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager
) - No console do Google Cloud, acesse a página Descobertas do Security Command Center.
- Selecione a organização ou o projeto do Google Cloud.
- No painel Filtros rápidos, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta. Use o painel Filtros rápidos para conferir as opções de filtro de alto nível usadas com frequência.
- No menu Adicionar filtro do painel Editor de consultas, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta. Use o menu Adicionar filtro para conferir filtros mais granulares e avançados baseados em atributos de descoberta de nível inferior. Para mais informações, consulte Editar uma consulta de descobertas no console.
- Edite a consulta de descobertas diretamente no painel Editor de consultas.
- Na visualização detalhada de uma descoberta, no menu suspenso de um atributo específico, selecione um filtro predefinido para esse atributo e adicione-o a uma consulta.
- No painel Agregações, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta. Use o painel Agregações para conferir as opções de filtro de alto nível mais usadas.
- No menu Editar uma consulta de descobertas no console. Adicionar filtro do painel Editor de consultas, selecione um ou mais filtros de atributos predefinidos para adicioná-los a uma consulta. Use o menu Adicionar filtro do para conferir filtros mais granulares e avançados baseados em atributos de descoberta de nível inferior. Para mais informações, consulte
- Edite a consulta de descobertas diretamente no painel Editor de consultas.
- A guia Resumo, que é a visualização padrão, destaca as principais informações e atributos da descoberta.
- A guia Propriedades de origem, onde é possível ver os atributos do
objeto
sourceProperties
do JSON da descoberta. - A guia JSON, onde é possível ver o formato JSON completo da descoberta.
- O que foi detectado (ou "Visão geral")
Detalhes sobre a descoberta detectada, como os seguintes:
- Gravidade da descoberta
- O estado de descoberta,
ACTIVE
ouINACTIVE
- Todos os campos-chave relacionados à descoberta específica
- Vulnerabilidade
Informações do registro do CVE que correspondem à vulnerabilidade, se houver. A seção Vulnerabilidade inclui informações do registro de CVE, como:
- ID da CVE
- Pontuação de CVE
- Impacto
- Atividade de exploração
- Exposição a ataques
A pontuação de exposição a ataques e o horário em que a pontuação foi calculada pela última vez. Clicar na pontuação abre uma representação visual dos recursos afetados de alto valor e o caminho de ataque associado.
- Recurso afetado
Detalhes sobre o recurso associado à descoberta, incluindo as seguintes informações:
- O nome completo do recurso afetado
- O provedor de serviços de nuvem do recurso
- Os contatos técnicos e de segurança
- Informações do caso
Detalhes sobre o caso associado à descoberta, incluindo as seguintes informações.
- O nome completo do recurso do sistema externo associado à descoberta
- O grupo atribuído ao caso
- O ID do caso, que vincula o caso ao console de Operações de segurança
- O status do caso
- O tempo de atualização no sistema externo de gerenciamento de casos
- O prazo de encerramento do caso
- Marcações de segurança
As marcações de segurança associadas a essa descoberta, se houver.
- Próximas etapas
Orientações sobre o que você pode fazer para corrigir o problema detectado. Apenas determinados serviços, como a Análise de integridade da segurança, fornecem as próximas etapas.
- Links relacionados
Links para as principais fontes de informações de segurança fora do Security Command Center. Somente determinados serviços, como o Event Threat Detection, fornecem links relacionados.
- Serviço de detecção
Detalhes sobre o serviço ou a origem que detectaram a descoberta.
findings
: os atributos da descoberta. Esses atributos são padronizados em todos os serviços incorporados e integrados, também conhecidos como fontes de segurança. Veja mais informações emFinding
.resource
: os atributos do recurso afetado. Para mais informações, consulteResource
.sourceProperties
: as propriedades específicas do serviço da descoberta.- Na página Descobertas, clique na descoberta para conferir os detalhes dela.
- Na visualização detalhada da descoberta, encontre o atributo que você quer filtrar.
- Ao lado do atributo, abra o menu suspenso.
- Selecione um filtro predefinido para o atributo. O filtro é adicionado à consulta de descobertas na página Descobertas.
- Na página Descobertas, clique na descoberta para conferir os detalhes.
- Na visualização detalhada da descoberta, encontre o atributo que você quer filtrar.
- Ao lado do atributo, abra o menu suspenso.
- Selecione um filtro predefinido para o atributo. O filtro é adicionado à consulta de descobertas na página Descobertas.
- Na página Descobertas, clique na descoberta para conferir os detalhes dela.
-
Na visualização detalhada da descoberta, é possível encontrar e copiar o nome da API correspondente de cada atributo exibido.
O nome da API equivalente para cada atributo é listado na mesma linha do atributo. Todos os nomes de API estão na última coluna. Por exemplo, para o atributo Estado, o nome da API equivalente é
state
. - Na página Descobertas, clique na descoberta para conferir os detalhes.
- Na visualização detalhada da descoberta, encontre o atributo que tem o equivalente de API que você quer copiar.
- Ao lado do atributo, abra o menu suspenso.
- Clique em Copiar equivalente da API.
- Na página Descobertas, clique na descoberta para conferir os detalhes dela.
- Clique em Tomar uma ação > Copiar link.
- Na página Descobertas, clique na descoberta para conferir os detalhes dela.
- Clique em Copiar link.
- Na página Descobertas, clique na descoberta para conferir os detalhes dela.
- Clique em Tomar uma ação > Enviar feedback.
- Insira uma descrição do seu feedback.
- Para incluir uma captura de tela, clique em Fazer captura de tela.
- Clique em Enviar.
- Resultados da consulta de descobertas na página Descobertas
- Visualização detalhada de uma descoberta
- No console do Google Cloud, acesse a página Descobertas do Security Command Center.
- Selecione a organização ou o projeto do Google Cloud.
- No painel Resultados da consulta de descobertas, selecione a descoberta
- Na barra de ações do painel Resultados da consulta de descobertas, clique em Alterar o estado ativo. Um menu pop-up será exibido.
- No menu pop-up Alterar estado ativo, selecione Ativo ou Inativo.
- Categoria: o nome do tipo de descoberta.
- Gravidade: a gravidade da descoberta. Para mais informações sobre como encontrar níveis de gravidade, consulte Classificações de gravidade para descobertas.
- Pontuação de combinação tóxica: uma
pontuação de exposição a ataques
em uma descoberta de classe
Toxic combination
. - Pontuação de exposição a ataques: a pontuação de exposição a ataques da descoberta.
- Horário do evento: quando a descoberta foi detectada pela primeira vez ou quando foi atualizada pela última vez.
- Horário de criação: quando a descoberta foi criada no Security Command Center.
- Classe da descoberta: indica uma classe, como
THREAT
,VULNERABILITY
eMISCONFIGURATION
. - Nome de exibição do recurso: identifica em que recurso o problema foi detectado.
- Nome completo do recurso: nome completo do recurso onde o problema foi detectado.
- Provedor de nuvem de recursos: o provedor de serviços em nuvem em que o recurso está hospedado.
- Caminho do recurso: direciona para o recurso onde o problema foi detectado.
- Tipo de recurso: tipo de recurso onde o problema foi detectado.
- Marcações de segurança: todas as marcações de segurança adicionadas à descoberta.
- À direita da barra de ações Resultados da consulta de descobertas, clique em view_column Colunas.
- Selecione as colunas que você quer exibir.
- Limpe as seleções das colunas que você quer ocultar.
- Clique em Aplicar para aplicar as mudanças no painel Resultados da consulta de descobertas.
- Na barra de ações Descobertas, clique em view_column Gerenciar colunas. O menu Gerenciar colunas é aberto.
- Selecione as colunas que você quer exibir.
- Limpe as seleções das colunas que você quer ocultar.
- Feche o menu.
- Painel Filtros rápidos
- Painel Editor de consultas
- Para ocultar o painel lateral Agregações, clique em chevron_left Fechar barra lateral.
- Para mostrar o painel lateral Agregações, clique em chevron_right Abrir barra lateral.
- Para ocultar o painel Editor de consultas, clique em keyboard_arrow_up Fechar editor de consultas.
- Para mostrar o painel Editor de consultas, clique em keyboard_arrow_down Abrir editor de consultas.
- Saiba mais sobre os serviços de detecção.
- Saiba como usar marcações de segurança.
- Saiba como configurar os serviços do Security Command Center.
- Saiba como criar um filtro de descobertas usando a API Security Command Center.
Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.
Papéis do IAM no console da Segurança operacional
Se você for cliente do Security Command Center Enterprise, poderá trabalhar com as descobertas no console do Security Operations. Você precisa ter um dos seguintes papéis do IAM:
Para saber como conceder a função a um usuário, consulte Mapear e autorizar usuários usando o IAM.
Ver descobertas
Para informações sobre como localizar a página Descobertas, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
No console de operações de segurança, acesse a página Descobertas.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Substitua CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.
Para mais informações sobre esse console, consulte Console de operações de segurança.
Ajuste o período para ver mais descobertas
É possível ajustar o período usado para as consultas. O intervalo de tempo padrão é Last 7 days
.
O intervalo de tempo é baseado no valor do atributo eventTime
das descobertas, que reflete o horário em que o registro da descoberta foi atualizado pela última vez.
Para saber como ajustar o período, clique na guia do console que você está usando.
Console do Google Cloud
Na página Descobertas do console do Google Cloud, defina o campo Período.
Console de operações de segurança
Na parte de cima da lista de descobertas na página Descobertas do console de operações de segurança, defina o campo Mostrando.
Disponibilidade da descoberta
Uma descoberta geralmente fica disponível para consulta no Security Command Center menos de um minuto após ser gerada e armazenada no banco de dados de descobertas do Security Command Center por um serviço específico a essa finalidade. As descobertas dos níveis Premium e Enterprise permanecem disponíveis para consulta por pelo menos 13 meses. As descobertas do nível padrão permanecem disponíveis por pelo menos 35 dias.
O Security Command Center armazena um ou mais snapshots de cada descoberta. Um snapshot de uma descoberta do nível Premium ou Enterprise é excluído 13 meses após o carimbo de data/hora no campo eventTime
. Se todos os snapshots de uma descoberta forem excluídos, ela não poderá mais ser consultada ou recuperada.
Para saber mais sobre a retenção de dados do Security Command Center, consulte Retenção de dados.
Encontrar e ver descobertas específicas
Por padrão, a página Descobertas mostra todas as descobertas ativas que não foram silenciadas e que são novas ou atualizadas nos últimos sete dias.
Para ver descobertas específicas, edite a consulta de descobertas para determinar os valores ou atributos que as descobertas precisam conter ou não.
O exemplo a seguir é a consulta de descobertas padrão:
state="ACTIVE" AND NOT mute="MUTED"
É possível conferir a consulta de descobertas atual no painel Editor de consultas. Você pode editar a consulta diretamente ou selecionar filtros predefinidos para criá-la. Para mais informações, clique na guia do console que você está usando.
Console do Google Cloud
Na página Descobertas do console do Google Cloud, é possível fazer o seguinte:
Console de operações de segurança
Na página Descobertas do console de operações de segurança, é possível fazer o seguinte:
Ver os detalhes de uma descoberta
Para saber mais sobre uma descoberta, abra a visualização detalhada dela clicando no nome da descoberta na coluna Categoria nos resultados da consulta de descobertas.
Na visualização detalhada, é possível encontrar informações essenciais para entender uma descoberta, investigar uma ameaça ou resolver uma vulnerabilidade.
A visualização detalhada de descobertas inclui as seguintes guias que podem ser selecionadas para dar mais informações sobre uma descoberta e executar uma ação:
Você pode executar determinadas ações na descoberta quando na visualização de detalhes, bem como encontrar links para informações adicionais relacionadas à descoberta.
Saiba mais sobre a descoberta na visualização de detalhes
A visualização detalhada de uma descoberta destaca informações importantes sobre ela que podem ser usadas para entender e resolver o problema de segurança.
Informações sobre a guia Resumo
A guia Resumo fornece informações sobre a descoberta nas seguintes seções:
Informações sobre a guia Propriedades de origem
Para algumas descobertas, o painel de detalhes inclui uma guia Propriedades de origem
que destaca determinadas propriedades do objeto sourceProperties
do
JSON de descoberta.
As propriedades de origem são diferentes para cada descoberta e para cada serviço executado no Security Command Center. Não há garantia de que as propriedades de origem sejam padronizadas em todos os serviços. Por esse motivo, não recomendamos o consumo programático de propriedades de origem. Se você quiser que uma propriedade de origem seja padronizada em todos os serviços, envie seu feedback.
Informações na guia JSON
A guia JSON contém a estrutura JSON completa da descoberta, o que pode ser útil ao investigar uma descoberta ou procurar atributos que podem ser usados nas suas consultas de descoberta.
Para copiar o objeto JSON para a área de transferência, clique em
Copiar.A estrutura JSON de uma descoberta contém estes objetos:
Você também pode usar a
API ListFindings
para listar
descobertas e conferir as definições JSON delas.
Executar ações em uma descoberta na visualização de detalhes
É possível realizar várias ações em uma descoberta, como desativar o aviso sonoro, na visualização de detalhes dela. Se você estiver visualizando a visualização detalhada da descoberta no console do Google Cloud, também poderá adicionar atributos dela à consulta de descobertas atual.
Silenciar uma descoberta na visualização de detalhes
Na visualização detalhada de uma descoberta, é possível ativar ou desativar o som. Também é possível criar uma regra que silencia todas as descobertas futuras, da mesma forma que a descoberta atual.
Para instruções completas sobre como silenciar uma descoberta ou criar uma regra de silenciamento, consulte Desativar som das descobertas no Security Command Center.
Adicionar filtros de atributos a uma consulta na visualização de detalhes
No console do Google Cloud, na visualização de detalhes de uma descoberta, adicione filtros para os atributos exibidos na consulta de descobertas atual.
Para saber como adicionar filtros de atributos a uma consulta na visualização de detalhes, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
Conferir ou copiar nomes de APIs de atributos na visualização detalhada de uma descoberta
A maioria dos atributos de descoberta exibidos no console do Google Cloud tem um nome correspondente usado na API Security Command Center.
Para saber como visualizar ou copiar nomes de APIs de atributos na visualização detalhada de uma descoberta, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
Compartilhar a visualização detalhada de uma descoberta
Para compartilhar a visualização detalhada de uma descoberta com outras pessoas, copie o URL da página de detalhes.
Para saber como copiar o URL da visualização detalhada de uma descoberta, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
Enviar feedback sobre a descoberta para o Google Cloud
Para saber como enviar feedback sobre uma descoberta, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
Esse recurso não está disponível no console de operações de segurança.
Mostrar detalhes de outras descobertas nos resultados da consulta de descobertas
Para conferir os detalhes das descobertas que precedem ou sucedem a que está sendo visualizada, use o botão de avanço
ou de retrocesso para ir à descoberta seguinte ou anterior sem precisar voltar à página Descobertas.Adicionar marcações de segurança às descobertas
Uma marcação de segurança é um identificador de chave-valor personalizado que pode ser usado para anotar uma descoberta, associá-la a outras que compartilham a mesma marcações de segurança e consultar descobertas.
Para instruções completas sobre como definir marcações de segurança em descobertas ou recursos, consulte Como usar marcações de segurança.
Silenciar descobertas no console
É possível ativar e desativar as descobertas nas seguintes visualizações:
É possível desativar o som de descobertas individuais ou criar regras para silenciar as descobertas atuais e futuras com base nos filtros definidos por você.
As descobertas silenciadas ficam ocultas e silenciadas, mas ainda é possível acessá-las se o filtro mute="MUTED"
for adicionado a uma consulta. As descobertas silenciadas continuam
a ser registradas, para fins de auditoria e conformidade.
Para instruções detalhadas sobre como desativar e ativar o som de descobertas, consulte Desativar som de descobertas no Security Command Center.
Mudar o estado de uma descoberta
Uma descoberta pode ter um dos dois estados: Active
ou Inactive
.
Um estado Active
significa que o problema de segurança identificado pela
descoberta persiste no ambiente como uma possível ameaça ou
vulnerabilidade.
Um estado Inactive
significa que o problema de segurança foi resolvido.
Você pode querer mudar o estado de uma descoberta por vários motivos,
como a mudança para o estado Inactive
assim que o problema identificado pela descoberta for
resolvido. Desse modo, não será necessário aguardar a próxima verificação mudar
o estado para você.
Para saber como mudar o estado de uma descoberta, clique na guia do console que você está usando.
Console do Google Cloud
Console de operações de segurança
Esse recurso não está disponível no console de operações de segurança.
Personalizar a página "Descobertas"
Para controlar o espaço na tela, é possível personalizar alguns dos elementos que aparecem nos resultados da consulta de descobertas.
Ocultar ou mostrar colunas nos resultados da consulta de descobertas
Nos resultados da consulta de descobertas, é possível ocultar qualquer coluna, exceto Categoria.
Confira a seguir exemplos de colunas disponíveis:
Para saber como ocultar ou mostrar as colunas nos resultados da consulta de descobertas, clique na guia do console que você está usando.
Console do Google Cloud
As seleções de coluna são preservadas na próxima vez que você visualizar a página Descobertas, mesmo que altere projetos ou organizações. Para limpar todas as seleções de colunas personalizadas, clique em Limpar seleções de colunas.
Console de operações de segurança
As seleções de coluna se aplicam apenas à guia ou janela atual. As configurações da coluna são redefinidas na próxima vez que você fizer login no console de operações de segurança.
Ocultar ou mostrar painéis da página de descobertas
Para aumentar o espaço na tela para editar consultas ou conferir descobertas, você pode esconder ou mostrar painéis. Para mais informações, clique na guia do console que você está usando.
Console do Google Cloud
Você pode ocultar ou mostrar os seguintes painéis:
Para ocultar um painel, clique no ícone Alternar painel, first_page ou first_page.
Para mostrar o painel, clique no ícone novamente.