Examiner et gérer les résultats dans la console

Cette page explique comment utiliser les résultats de Security Command Center dans les la console Google Cloud et la console Opérations de sécurité.

Un résultat est un enregistrement d'un problème de sécurité créé par les services Security Command Center lorsqu'ils en détectent un. Les résultats sont listés sur la page Résultats. Vous pouvez cliquer sur un résultat pour afficher ses détails et le fichier JSON complet .

Voici quelques-unes des actions que vous pouvez effectuer sur la page Résultats : suivantes:

  • Résultats de la requête
  • Inspecter les résultats
  • Ignorer les résultats
  • Ajouter des marques de sécurité aux résultats

Pour en savoir plus sur l'utilisation des résultats de manière programmatique, consultez la section Bibliothèques clientes Security Command Center.

Utiliser les résultats des consoles Security Command Center Enterprise

Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser les résultats dans deux consoles:

  • Console Google Cloud: disponible pour tous les niveaux de service
  • Console Security Operations : disponible uniquement dans le niveau Enterprise

Pour en savoir plus, consultez Consoles Security Command Center Enterprise.

Obtenir les autorisations requises

Cette section répertorie les rôles IAM que vous devez utiliser dans la console.

Rôles IAM de la console Google Cloud

Pour utiliser les résultats dans la console Google Cloud, vous avez besoin des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

    Rôles IAM de la console Security Operations

    Si vous êtes client Security Command Center Enterprise, vous pouvez utiliser les résultats dans la console Security Operations. Vous devez disposer de l'un des rôles IAM suivants : rôles:

    • Administrateur SOAR Chronicle (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour en savoir plus sur l'attribution du rôle à un utilisateur, consultez Mappez et autorisez les utilisateurs à l'aide d'IAM.

    Afficher les résultats

    Pour plus d'informations sur l'emplacement de la page Résultats, cliquez sur l'onglet correspondant de la console Google Cloud que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet ou votre organisation Google Cloud.

    Console Security Operations

    Dans la console Security Operations, accédez à la page Résultats. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    Pour en savoir plus sur cette console, consultez la page Console de gestion des opérations de sécurité.

    Ajuster la période pour afficher plus de résultats

    Vous pouvez ajuster la période utilisée pour vos requêtes. La période par défaut est Last 7 days.

    La période est basée sur la valeur de l'attribut eventTime de des résultats, qui reflète l'heure à laquelle l'enregistrement des résultats a été mis à jour.

    Pour savoir comment ajuster la période, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    Sur la page Résultats de la console Google Cloud, définissez le champ Plage temporelle.

    Console Opérations de sécurité

    En haut de la liste des résultats sur la page Résultats de la console Security Operations, définissez le champ Affichage.

    Trouver la disponibilité

    Vous pouvez généralement interroger un résultat Security Command Center moins d'une minute après le service génère le résultat et le stocke dans les résultats Security Command Center base de données. Les résultats des niveaux Premium et Enterprise restent disponibles pour les requêtes pendant au moins 13 mois. Les résultats du niveau standard restent disponibles pendant au moins 35 jours.

    Security Command Center stocke un ou plusieurs instantanés de chaque résultat. A l'instantané d'un résultat du niveau Premium ou Enterprise est supprimé au bout de 13 mois après le code temporel dans le champ eventTime. Si tous les instantanés d'une anomalie sont supprimés, l'anomalie ne peut plus être interrogée ni récupérée.

    Pour en savoir plus sur la conservation des données dans Security Command Center, consultez Conservation des données.

    Rechercher et afficher des résultats spécifiques

    Par défaut, la page Résultats affiche tous les résultats actifs qui ne sont pas ignorés et qui ont été nouveaux ou modifiés au cours des sept derniers jours.

    Pour afficher des résultats spécifiques, modifiez la requête de résultats pour spécifier Les valeurs ou attributs que les résultats que vous devez afficher doivent ou ne doit pas contenir.

    L'exemple suivant est la requête de résultats par défaut :

    state="ACTIVE"
AND NOT mute="MUTED"

    Vous pouvez consulter la requête de résultats actuelle dans le panneau Éditeur de requête. Vous pouvez modifier la requête directement ou sélectionner des filtres prédéfinis pour la créer. Pour plus d'informations, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    Sur la page Résultats de la console Google Cloud, vous pouvez effectuer les opérations suivantes :

    • Dans le panneau Filtres rapides, sélectionnez un ou plusieurs attributs prédéfinis. des filtres pour les ajouter à une requête. Utilisez le panneau Filtres rapides pour les options de filtrage de haut niveau couramment utilisées.
    • Dans Ajouter un filtre, du panneau de l'éditeur de requête, sélectionnez une ou plusieurs des des filtres d'attributs pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour obtenir des filtres plus précis et avancés basés sur des attributs de résultats de niveau inférieur. Pour en savoir plus, consultez la section Modifier une requête de résultats dans la console.
    • Modifiez la requête de résultats directement dans Query dans le panneau de configuration.
    • Dans la vue détaillée d'un résultat, à partir du menu déroulant d'un attribut spécifique, sélectionnez un filtre prédéfini pour cet attribut pour l'ajouter à une requête.

    Console Security Operations

    Sur la page Résultats de la console Opérations de sécurité, vous pouvez effectuer les opérations suivantes:

    • Dans le panneau Agrégations, sélectionnez un ou plusieurs attributs prédéfinis. des filtres pour les ajouter à une requête. Utilisez le panneau Agrégations pour accéder aux options de filtrage générales couramment utilisées.
    • Dans le menu Ajouter un filtre du panneau Éditeur de requête, sélectionnez un ou plusieurs des filtres d'attribut prédéfinis pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour : des filtres plus précis et avancés, basés sur des résultats de niveau inférieur . Pour en savoir plus, consultez la section Modifier une requête de résultats dans la console.
    • Modifiez la requête de résultats directement dans le panneau de l'éditeur de requête.

    Afficher les détails d'un résultat

    Pour en savoir plus sur un résultat, ouvrez la vue détaillée en cliquant sur son nom dans la colonne Catégorie des résultats de la requête de résultats.

    Dans la vue détaillée, vous trouverez des informations essentielles pour comprendre un résultat, examiner une menace ou résoudre une faille.

    La vue détaillée des résultats inclut les onglets suivants, que vous pouvez sélectionner pour en savoir plus sur un résultat et prendre les mesures nécessaires :

    • L'onglet Récapitulatif, qui est la vue par défaut, met en évidence les informations et attributs clés concernant le résultat.
    • L'onglet Propriétés sources, où vous pouvez voir les attributs de L'objet sourceProperties du résultat JSON.
    • L'onglet JSON, qui affiche le format JSON complet du résultat.

    Vous pouvez effectuer certaines actions sur le résultat dans la vue détaillée. ainsi que des liens vers des informations supplémentaires trouver.

    En savoir plus sur le résultat dans la vue détaillée

    La vue détaillée d'un résultat met en évidence des informations importantes sur le pour comprendre et gérer les failles de sécurité sous-jacentes problème.

    Informations sur l'onglet Résumé

    L'onglet Résumé fournit des informations sur les résultats suivants : sections:

    Risque détecté (ou "Aperçu")

    Détails sur le résultat détecté, par exemple :

    • Niveau de gravité du résultat
    • État du résultat, ACTIVE ou INACTIVE
    • Tous les champs clés associés au résultat spécifique
    Faille

    Informations de l'enregistrement CVE correspondant à la faille de sécurité, le cas échéant. Section Vulnérabilité comprend des informations de l'enregistrement CVE, telles que:

    • ID de la CVE
    • Score CVE
    • Impact
    • Activité d'exploitation
    Exposition au piratage

    La score d'exposition aux attaques et l'heure à laquelle le score a été calculé pour la dernière fois. Cliquez sur le score pour afficher une représentation visuelle des ressources à forte valeur concernées et du chemin d'attaque associé.

    Ressource concernée

    Les détails de la ressource associée au résultat, y compris les informations suivantes:

    • Le nom complet de la ressource concernée
    • Le fournisseur de services cloud de la ressource
    • Les contacts techniques et de sécurité
    Informations sur la demande

    Détails sur l'affaire associée au résultat, y compris les informations suivantes :

    • Nom complet de la ressource du système externe associé au résultat
    • Groupe attribué à la demande
    • Numéro de demande, qui permet d'accéder à la demande dans la console Security Operations
    • État de la demande
    • L'heure de mise à jour dans le système externe de gestion des demandes
    • Date limite pour clôturer la demande
    Marques de sécurité

    Les marques de sécurité associés à ce résultat, le cas échéant.

    Étapes suivantes

    Conseils sur la marche à suivre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, fournissent des étapes suivantes.

    Liens associés

    Liens vers les principales sources d'informations sur la sécurité en dehors de Security Command Center. Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.

    Service de détection

    Détails sur le service ou la source qui a détecté le résultat.

    Informations sur l'onglet Propriétés sources

    Pour certains résultats, le panneau des détails inclut un onglet Propriétés sources. qui met en évidence certaines propriétés de l'objet sourceProperties de pour trouver JSON.

    Les propriétés sources diffèrent pour chaque résultat et pour chaque service qui s'exécute sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. Pour cette raison, nous déconseillons fortement de consommer les propriétés sources de manière automatisée. Si vous souhaitez qu'une propriété source soit standardisée sur tous les services, n'hésitez pas à nous envoyer vos commentaires.

    Informations sur l'onglet JSON

    L'onglet JSON contient la structure JSON complète du ce qui peut être utile lorsque vous étudiez trouver ou rechercher des attributs que vous pouvez utiliser dans vos requêtes de résultats.

    Pour copier l'objet JSON dans votre presse-papiers, cliquez sur Copier.

    La structure JSON d'un résultat contient les objets suivants:

    • findings : attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la section Finding.
    • resource : attributs de la ressource concernée. Pour en savoir plus, consultez la section Resource.
    • sourceProperties : propriétés spécifiques au service du résultat.

    Vous pouvez également utiliser API ListFindings à répertorier et obtenir leurs définitions JSON.

    Effectuer une action sur un résultat à partir de la vue détaillée

    Vous pouvez effectuer diverses actions sur un résultat à partir de la vue détaillée du résultat, comme couper le son du résultat. Si vous consultez la vue détaillée du résultat dans la console Google Cloud, vous pouvez aussi ajouter du résultat à la requête de résultats actuelle.

    Ignorer un résultat dans la vue détaillée

    Dans la vue détaillée d'un résultat, vous pouvez l'ignorer ou l'ignorer à nouveau. Vous pouvez également créer une règle qui ignore tous les résultats futurs semblables au résultat actuel.

    Pour obtenir des instructions complètes sur le masquage d'un résultat ou la création d'une règle de masquage, consultez la section Ignorer les résultats dans Security Command Center.

    Ajouter des filtres d'attributs à une requête à partir de la vue détaillée

    Dans la vue détaillée d'un résultat de la console Google Cloud, vous pouvez ajouter des filtres pour les attributs affichés dans la requête de résultats actuelle.

    Pour savoir comment ajouter des filtres d'attributs à une requête cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses informations détaillées.
    2. Dans la vue détaillée du résultat, recherchez l'attribut sur lequel vous souhaitez filtrer les données.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Sélectionnez un filtre prédéfini pour l'attribut. Le filtre est ajouté à la requête de résultats sur la page Résultats.

    Console Security Operations

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses plus de détails.
    2. Dans la vue détaillée du résultat, recherchez l'attribut que vous souhaitez appliquer le filtre.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Sélectionnez un filtre prédéfini pour l'attribut. La est ajouté à la requête de résultats de la page Findings .

    Afficher ou copier les noms d'API des attributs dans la vue détaillée d'un résultat

    La plupart des attributs de résultat affichés dans la console Google Cloud ont un nom correspondant utilisé dans l'API Security Command Center.

    Pour savoir comment afficher ou copier les noms d'API d'attributs dans la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.

    2. Dans la vue détaillée du résultat, vous pouvez trouver et copier le nom d'API correspondant à chaque attribut affiché.

      Le nom d'API équivalent pour chaque attribut est indiqué sur la même ligne que l'attribut. Tous les noms d'API se trouvent dans la dernière colonne. Par exemple, pour le champ State, le nom d'API équivalent est state.

    Console Opérations de sécurité

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses informations détaillées.
    2. Dans la vue détaillée du résultat, trouvez l'attribut dont l'équivalent API que vous souhaitez copier.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Cliquez sur Copier l'équivalent API.

    Partager la vue détaillée d'un résultat

    Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL du résultat afficher la page pour la partager avec d'autres utilisateurs.

    Pour savoir comment copier l'URL de la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Actions à effectuer > Copier le lien.

    Console Opérations de sécurité

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Copier le lien.

    Envoyer des commentaires sur le résultat à Google Cloud

    Pour savoir comment envoyer des commentaires sur une découverte, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Prendre une mesure > Envoyer des commentaires.
    3. Saisissez une description de votre commentaire.
    4. Pour inclure une capture d'écran, cliquez sur Faire une capture d'écran.
    5. Cliquez sur Envoyer.

    Console Opérations de sécurité

    Cette fonctionnalité n'est pas disponible dans la console Security Operations.

    Afficher les détails d'autres résultats dans les résultats de la requête

    Pour afficher les détails des résultats qui précèdent ou suivent celui que vous consultez, utilisez le bouton suivant  ou le bouton précédent  pour accéder au résultat suivant ou précédent, sans avoir à revenir à la page Résultats.

    Ajouter des marques de sécurité aux résultats

    Une marque de sécurité est une étiquette clé-valeur personnalisée que vous pouvez utiliser pour annoter un résultat, l'associer à d'autres résultats qui partagent la même marque de sécurité et les mêmes résultats de requête.

    Pour obtenir des instructions complètes sur la définition de marques de sécurité sur les résultats ou les éléments, consultez la page Utiliser des marques de sécurité.

    Ignorer des résultats dans la console

    Vous pouvez ignorer et réactiver des résultats à partir des vues suivantes:

    • Résultats de la requête de résultat sur la page Résultats
    • Vue détaillée d'un résultat

    Vous pouvez ignorer des résultats individuels ou créer des règles Ignorer et les résultats futurs en fonction des filtres que vous définissez.

    Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les consulter en ajoutant le filtre mute="MUTED" à votre requête de résultats. Les résultats ignorés continuent d'être enregistrés à des fins d'audit et de conformité.

    Pour obtenir des instructions détaillées sur la façon d'ignorer et de réactiver des résultats, consultez Ignorez des résultats dans Security Command Center.

    Modifier l'état d'un résultat

    Une anomalie peut avoir l'un des deux états suivants : Active ou Inactive.

    L'état Active signifie que le problème de sécurité identifié par si le résultat persiste dans votre environnement en tant que menace la faille.

    L'état Inactive signifie que le problème de sécurité a été résolu.

    Vous pouvez modifier l'état d'un résultat pour diverses raisons, par exemple pour définir son état sur Inactive dès qu'il est résolu, afin de ne pas avoir à attendre la prochaine analyse pour que l'état soit modifié.

    Pour plus d’informations sur la façon de modifier l’état d’un résultat, cliquez sur l’onglet pour la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet ou votre organisation Google Cloud.
    3. Dans le panneau Résultats de la requête de résultats, sélectionnez le résultat
    4. Dans la barre d'action du panneau Résultats de la requête de résultats, cliquez sur Modifier l'état de l'activité. Un menu pop-up s'affiche.
    5. Dans le menu déroulant Modifier l'état de l'activité, sélectionnez Actif ou Inactif.

    Console Security Operations

    Cette fonctionnalité n'est pas disponible dans la console Security Operations.

    Personnaliser la page "Résultats"

    Pour contrôler l'espace à l'écran, vous pouvez personnaliser certains des éléments qui apparaissent sur les résultats de la requête.

    Masquer ou afficher des colonnes dans les résultats de la requête

    Dans les résultats de la requête de résultats, vous pouvez masquer n'importe quelle colonne, à l'exception de Category (Catégorie).

    Voici des exemples de colonnes disponibles :

    • Catégorie : nom du type de résultat.
    • Severity (Gravité) : gravité du résultat. Pour en savoir plus sur les niveaux de gravité des résultats, consultez la section Classement des résultats par niveau de gravité.
    • Score de combinaison toxique: un score d'exposition aux attaques sur un résultat de classe Toxic combination.
    • Niveau d'exposition aux attaques : score d'exposition aux attaques du résultat.
    • Heure de l'événement : date et heure de la première détection du résultat ou de sa dernière mise à jour.
    • Date et heure de création: date et heure de création du résultat dans Security Command Center.
    • Classe du résultat: classe du résultat, telle que THREAT, VULNERABILITY et MISCONFIGURATION.
    • Nom à afficher pour la ressource: il s'agit du nom à afficher pour la ressource dans laquelle le problème a été détecté.
    • Nom complet de la ressource : nom complet de la ressource dans laquelle le problème a été détecté.
    • Fournisseur de services cloud de ressources: fournisseur de services cloud sur lequel ressource est hébergée.
    • Chemin d'accès à la ressource: chemin d'accès à la ressource dans laquelle le problème a été détecté a été détectée.
    • Type de ressource : type de ressource dans laquelle le problème a été détecté.
    • Marques de sécurité : marques de sécurité ajoutées au résultat.

    Pour savoir comment masquer ou afficher les colonnes dans la requête de résultats des résultats, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. À droite de la barre d'action Résultats de la requête de résultats, cliquez sur Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Décochez les colonnes que vous souhaitez masquer.
    4. Cliquez sur Appliquer pour appliquer les modifications Panneau Résultats de la requête

    Les sélections de colonnes sont conservées la prochaine fois que vous consultez la page Résultats, même si vous modifiez des projets ou des organisations. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Effacer les sélections de colonnes.

    Console Opérations de sécurité

    1. Dans la barre d'action Résultats, cliquez sur  Gérer les colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Effacez les sélections des colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Les colonnes que vous sélectionnez ne s'appliquent qu'à l'onglet ou à la fenêtre actifs. Votre colonne seront réinitialisés la prochaine fois que vous vous connecterez à la console Opérations de sécurité.

    Masquer ou afficher les panneaux de la page "Résultats"

    Pour agrandir l'espace à l'écran afin de pouvoir modifier des requêtes ou afficher des résultats, vous pouvez masquer ou afficher des panneaux. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    Vous pouvez masquer ou afficher les panneaux suivants :

    • Panneau Filtres rapides
    • Panneau de l'éditeur de requête

    Pour masquer un panneau, cliquez sur l'icône Activer/Désactiver le panneau ( ou ).

    Pour afficher le panneau, cliquez à nouveau sur l'icône.

    Console Opérations de sécurité

    • Pour masquer Dans le panneau latéral Agrégations, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher le panneau latéral Agrégations, cliquez sur chevron_right Ouvrir la barre latérale.
    • Pour masquer le panneau de l'éditeur de requête, cliquez sur clavier_arrow_up Fermer l'éditeur de requête.
    • Pour afficher le panneau de l'éditeur de requête, cliquez sur clavier_arrow_down Ouvrir l'éditeur de requête

    Étape suivante