在控制台中查看和管理发现结果

本页面介绍了如何在 Cloud 控制台中处理 Security Command Center 发现结果, Google Cloud 控制台和安全运维控制台。

发现结果是 Security Command Center 服务在检测到安全问题时创建的安全问题记录。发现结果列在发现结果页面中。您可以点击某个发现结果,查看其详细信息和完整 JSON 格式。

您可以在发现结果页面上执行的部分操作包括: 以下:

  • 查询发现结果
  • 检查发现结果
  • 忽略发现的结果
  • 将安全标记添加到发现结果

如需了解如何以编程方式处理发现结果,请参阅 Security Command Center 客户端库

在 Security Command Center Enterprise 控制台中处理发现结果

如果您是 Security Command Center Enterprise 客户,则可以处理发现结果 两个控制台中:

  • Google Cloud 控制台:适用于所有服务层级
  • Security Operations 控制台:仅在企业版中提供

如需了解详情,请参阅 Security Command Center Enterprise 控制台

获取所需的权限

本部分列出了您需要具备的 IAM 角色,才能在控制台中处理发现结果。

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中处理发现结果,您需要以下 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存

    8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中处理发现结果。您需要拥有以下任一 IAM 角色:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR 漏洞管理器 (roles/chronicle.soarVulnerabilityManager)

    如需了解如何向用户授予角色,请参阅 使用 IAM 映射用户并向其授权

    查看发现结果

    如需了解如何查找发现结果页面,请点击 您使用的控制台

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”页面

    2. 选择您的 Google Cloud 项目或组织。

    Security Operations 控制台

    在 Security Operations 控制台中,转到发现结果页面。 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    如需详细了解此控制台,请参阅安全操作控制台

    调整时间范围以查看更多发现

    您可以调整用于查询的时间范围。默认时间范围是 Last 7 days

    时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。

    如需了解如何调整时间范围,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    发现结果页面上 在 Google Cloud 控制台中,设置时间范围 字段

    安全运维控制台

    位于发现结果的发现结果列表顶部 页面上,设置显示字段。

    发现结果可用性

    在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中心中进行查询。Premium 和企业版级别的发现结果至少可保留 13 个月以供查询。标准层级的发现结果至少可保留 35 天。

    Security Command Center 会存储每个发现结果的一个或多个快照。在 eventTime 字段中的时间戳的 13 个月后,系统会删除 Premium 或企业版层级发现结果的快照。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。

    如需详细了解 Security Command Center 数据保留,请参阅数据保留

    查找和查看具体发现结果

    默认情况下,发现结果页面会显示所有未 是新增的或过去 7 天内更新的

    如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性

    以下示例是默认的发现结果查询:

    state="ACTIVE"
AND NOT mute="MUTED"

    您可以在查询编辑器面板中查看当前的发现结果查询。您可以直接修改查询,也可以选择预定义的过滤条件来构建查询。对于 请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    在 Google Cloud 控制台的发现结果页面上,您可以执行以下操作: 以下:

    • 快速过滤条件面板中,选择一个或多个预定义属性 过滤条件以将其添加到查询中。使用快速过滤条件面板可查看常用的高级过滤条件选项。
    • 添加过滤条件查询编辑器面板的菜单中,选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用添加过滤条件菜单可获取基于较低级别发现结果属性的更精细和高级的过滤条件。如需了解详情,请参阅在控制台中修改发现结果查询
    • 直接在查询中修改发现结果查询 编辑器面板。
    • 在发现结果的详细信息视图中,从特定属性的下拉菜单中选择该属性的预定义过滤条件,将其添加到查询。

    Security Operations 控制台

    在安全运营控制台中的发现结果页面上,您可以执行以下操作:

    • Aggregations 面板中,选择一个或多个预定义属性 过滤条件以将其添加到查询中。使用汇总面板可查看常用的高级过滤条件选项。
    • 添加过滤条件查询编辑器面板的菜单中选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用 添加过滤条件菜单: 基于较低级别发现结果的更精细的高级过滤器 属性。如需了解详情,请参阅在控制台中修改发现结果查询
    • 直接在查询编辑器面板中修改发现结果查询。

    查看发现结果的详细信息

    如需详细了解发现结果,请打开发现结果的详细视图 点击发现结果中类别列中的发现结果名称 查询结果。

    在详细信息视图中,您可以找到 了解发现结果、调查威胁,或解决 漏洞

    发现结果的详细视图包含以下标签页,您可以选择这些标签页详细了解发现结果并采取措施:

    • 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
    • 来源属性标签页,您可以在其中查看发现结果 JSON 的 sourceProperties 对象的属性。
    • JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。

    您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。

    在详细信息视图中了解发现结果

    发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。

    摘要标签页上的信息

    摘要标签页在以下部分中提供有关发现结果的信息 部分:

    检测到的内容(或“概览”)

    有关检测到的发现结果的详细信息,如下所示:

    • 发现结果严重程度
    • 发现结果状态:ACTIVEINACTIVE
    • 与特定发现结果相关的任何关键字段
    漏洞

    与以下各项对应的 CVE 记录中的信息: (如果有)。漏洞部分包含 CVE 记录中的信息,例如:

    • CVE ID
    • CVE 评分
    • 影响
    • 漏洞利用攻击活动
    攻击风险

    通过 攻击风险得分 以及上次计算得分的时间。 点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。

    受影响的资源

    与发现结果关联的资源的详细信息,包括 以下信息:

    • 受影响资源的完整名称
    • 资源的云服务提供商
    • 技术和安全联系人
    支持请求信息

    与发现结果相关的支持请求的详细信息,包括以下信息。

    • 与发现结果关联的外部系统的完整资源名称
    • 分配给支持请求的群组
    • 支持请求 ID,链接到 Security Operations 控制台中的支持请求
    • 支持请求的状态
    • 外部支持请求管理系统中的更新时间
    • 关闭支持请求的承诺截止期限
    安全标记

    与发现结果关联的安全标记(如果有)。

    后续步骤

    有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。

    相关链接

    指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。

    检测服务

    检测到发现结果的服务或来源的详细信息。

    来源属性标签页上的信息

    对于某些发现结果,详细信息面板会包含来源属性标签页 的 sourceProperties 对象中突出显示了 查找 JSON。

    对于每个发现结果以及执行相应检查的每项服务,来源属性各不相同 在 Security Command Center 上运行 无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈

    JSON 标签页上的信息

    JSON 标签包含完整的 JSON 结构, 这在调查问题时非常有用 查找或查询可在发现结果查询中使用的属性。

    如需将 JSON 对象复制到剪贴板,请点击 复制

    发现的 JSON 结构包含以下对象:

    • findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅 Finding
    • resource:受影响资源的特性。如需了解详情,请参阅 Resource
    • sourceProperties:发现结果的服务特定属性。

    您还可以使用 ListFindings API:用于列出 并获取其 JSON 定义。

    对详细信息视图中的发现结果执行操作

    您可以在发现结果的详细信息视图中对发现结果执行各种操作,例如忽略发现结果。如果您在以下位置查看发现结果的详情视图: 使用 Google Cloud 控制台 当前发现结果查询的特征。

    在详细信息视图中忽略发现结果

    在发现结果的详情视图中,您可以将该发现结果静音或取消静音。您还可以创建一个规则来忽略所有未来的发现结果,例如当前的发现结果。

    如需全面了解如何忽略发现结果或创建忽略规则,请参阅在 Security Command Center 中忽略发现结果

    从详细信息视图中将特性过滤条件添加到查询

    在 Google Cloud 控制台中,您可以在发现结果的详细信息视图中,向当前发现结果查询添加所显示属性的过滤条件。

    如需了解如何从详细信息视图中将属性过滤条件添加到查询,请点击您所用控制台的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在相应发现结果的详情视图中,找到要过滤的属性。
    3. 打开属性旁边的下拉菜单。
    4. 为该属性选择一个预定义过滤条件。系统会将过滤条件添加到发现结果页面上的发现结果查询中。

    Security Operations 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在发现结果的详情视图中,找到所需的属性 过滤器。
    3. 打开属性旁边的下拉菜单。
    4. 为属性选择预定义的过滤条件。通过 过滤条件已添加到针对发现结果的发现结果查询中 页面。

    在发现结果的详细信息视图中查看或复制特性 API 名称

    Google Cloud 控制台中显示的大多数发现结果属性都有一个在 Security Command Center API 中使用的相应名称。

    了解如何在详细视图中查看或复制属性 API 名称 点击您正在使用的控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。

    2. 在发现结果的详细信息视图中,您可以找到并复制所显示的每个属性的相应 API 名称。

      每个属性的等效 API 名称会与该属性列在同一行中。所有 API 名称都位于最后一列中。例如,对于 State 属性,等效的 API 名称为 state

    安全运维控制台

    1. 发现结果页面上,点击发现结果以查看其 。
    2. 在发现结果的详情视图中,找到与其 API 等效的属性 文件。
    3. 在该属性旁边,打开下拉菜单。
    4. 点击复制 API 等效项

    共享发现结果的详细信息视图

    如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。

    如需了解如何复制发现结果详情视图的网址,请点击 当前所用控制台对应的标签页

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 依次点击执行操作 > 复制链接

    安全运维控制台

    1. 发现结果页面上,点击发现结果以查看其 。
    2. 点击 复制链接

    向 Google Cloud 发送有关发现结果的反馈

    要了解如何发送有关发现结果的反馈,请点击 您使用的控制台

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 依次点击采取行动 > 发送反馈
    3. 输入反馈说明。
    4. 要添加屏幕截图,请点击截取屏幕截图
    5. 点击发送

    安全运维控制台

    Security Operations 控制台中不提供此功能。

    在发现结果查询结果中显示其他发现结果的详细信息

    如需详细了解您正在查看的发现结果之前或之后的发现结果,请使用 下一个或 上一个按钮转至下一个或上一个发现结果,而无需返回发现结果页面。

    将安全标记添加到发现结果

    安全标记是一个自定义键值对标签,可用于为发现结果添加注释,将发现结果与共享相同安全标记的其他发现结果相关联,以及查询发现结果。

    如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记

    在控制台中忽略发现结果

    您可以在以下视图中忽略和取消忽略发现结果:

    • 发现结果页面上的发现结果查询结果
    • 发现结果的详情视图

    您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。

    已忽略的发现结果会被隐藏和静音,但您仍然可以通过添加 将 mute="MUTED" 过滤条件添加到您的发现结果查询中。系统会继续记录已忽略的发现结果,供审核和合规之用。

    如需详细了解如何忽略和取消忽略发现结果,请参阅在 Security Command Center 中忽略发现结果

    更改发现结果的状态

    发现结果可以是以下两种状态之一:ActiveInactive

    状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。

    状态 Inactive 表示安全问题已解决。

    您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。

    如需了解如何更改发现结果的状态,请点击 您使用的控制台

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”页面

    2. 选择您的 Google Cloud 项目或组织。
    3. 发现结果查询结果面板中,选择相应发现结果
    4. 发现结果查询结果面板的操作栏中,点击 更改活跃状态。系统会显示一个弹出式菜单。
    5. 更改活跃状态弹出式菜单中,选择活跃无效

    Security Operations 控制台

    安全运营控制台中不提供此功能。

    自定义“发现结果”页面

    要控制屏幕空间,你可以自定义某些 发现结果查询结果。

    在发现结果查询结果中隐藏或显示列

    在发现结果的查询结果中,您可以隐藏除类别之外的任何列。

    以下是可用列的示例:

    • 类别:发现结果类型的名称。
    • 严重级别:发现结果的严重级别。如需详细了解 查找严重级别,请参见 发现结果的严重程度分类
    • 不良组合得分攻击风险得分 一个 Toxic combination 类发现结果。
    • 攻击风险得分攻击风险得分 结果。
    • 事件时间:首次检测到发现结果时或上次更新发现结果时。
    • 创建时间:在 Security Command Center 中创建发现结果时。
    • 发现结果类别:发现结果的类别,例如 THREATVULNERABILITYMISCONFIGURATION
    • 资源显示名称:检测到问题的资源的显示名称。
    • 资源全名:出现问题的资源的全名 。
    • 资源云提供商: 资源。
    • 资源路径:指向出现问题的资源的路径 。
    • Resource type:检测到问题的资源类型。
    • 安全标记:为发现结果添加的任何安全标记。

    如需了解如何隐藏或显示发现结果查询结果中的列,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果的查询结果操作栏的右侧,点击
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 点击应用,将更改应用到 发现结果查询结果面板。

    当您下次查看发现结果时,系统会保留对列所做的选择 页面,即使您更改了项目或组织。如需清除所有自定义列选择,请点击清除列选择

    安全运维控制台

    1. 发现操作栏中,点击 管理列。系统随即会打开管理列菜单。
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 关闭菜单。

    您选择的列仅适用于当前的标签页或窗口。您的列 设置会在您下次登录 Security Operations 控制台时重置。

    隐藏或显示“发现结果页面”面板

    如需为修改查询或查看发现结果增加屏幕空间,您可以隐藏或显示面板。有关详情,请点击 资源。

    Google Cloud 控制台

    您可以隐藏或显示以下面板:

    • 快速过滤条件面板
    • 查询编辑器面板

    如需隐藏某个面板,请点击切换面板图标

    如需显示该面板,请再次点击该图标。

    安全运维控制台

    • 如需隐藏汇总侧边栏,请点击 chevron_left Close sidebar
    • 要显示 聚合侧边栏中,点击 chevron_right 打开边栏
    • 如需隐藏查询编辑器面板,请点击 keyboard_arrow_up Close query editor(关闭查询编辑器)。
    • 要显示“查询编辑器”面板,请点击 键盘_arrow_down 打开查询编辑器

    后续步骤