Inspecciona los recursos que supervisa Security Command Center

En esta página, se describe cómo ver, consultar e inspeccionar los recursos de la nube para mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a amenazas.

En Security Command Center, algunas de las acciones que puedes realizar en los recursos incluyen las siguientes:

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM que necesitas para trabajar con los activos en la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con recursos en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.
  8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de IAM de la consola de Security Operations

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con los recursos en la consola de Security Operations. Necesitas cualquiera de los siguientes roles de IAM:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Administrador de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con IAM.

    Lista de recursos en Security Command Center

    Los activos se muestran en los resultados de la consulta de la página Recursos en la consola de Google Cloud y, para los clientes de Security Command Center Enterprise, en la página Recursos de la consola de Security Operations.

    Si Security Command Center está activado a nivel de la organización, puedes ver los recursos de toda tu organización o puedes filtrar los recursos por proyectos, tipos de recursos y ubicación específicos.

    Si Security Command Center está activado a nivel del proyecto, puedes filtrar los recursos por tipo de recurso y ubicación en la consola de Google Cloud.

    Cloud Asset Inventory proporciona la lista de recursos. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista en cuestión de minutos después de que se crean, modifican o quitan los recursos en tu entorno de Google Cloud.

    Para obtener más información sobre Cloud Asset Inventory, consulta Introducción a Cloud Asset Inventory.

    Cómo trabajar con activos en las consolas de Security Command Center Enterprise

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en dos consolas:

    • Página Recursos de la consola de Google Cloud: Disponible en todos los niveles de servicio
    • Página Recursos de la consola de Security Operations: Disponible solo en el nivel Enterprise

    La página Recursos en la consola de Security Operations está en versión preliminar.

    En esta página, los pasos para trabajar con recursos en las dos consolas se describen en paralelo en pestañas separadas.

    Para obtener más información, consulta Consolas de Security Command Center Enterprise.

    Ver todos los recursos

    Para obtener información sobre cómo ver tus recursos, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. Selecciona tu organización o proyecto de Google Cloud.

    Consola de operaciones de seguridad

    En la consola de Security Operations, ve a la página Recursos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
    

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

    Ordena los recursos

    Para ordenar los recursos, haz clic en el encabezado de la columna correspondiente al valor que deseas ordenar. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

    Busca recursos

    De forma predeterminada, todos los recursos de la organización se muestran en los resultados de la consulta. Para buscar recursos específicos en Security Command Center, puedes usar filtros rápidos o especificar filtros personalizados.

    Realiza una búsqueda de alto nivel con filtros rápidos

    Para realizar una búsqueda de alto nivel de tus activos, puedes usar los filtros rápidos. Por ejemplo, puedes buscar por proyecto, tipo de recurso o ubicación. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. En el panel Filtros rápidos, selecciona uno o más filtros de atributos para agregarlos a una consulta.

    Consola de operaciones de seguridad

    1. En la consola de Security Operations, ve a la página Recursos.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Para filtrar recursos de Google Cloud, haz clic en Recursos de Google Cloud.
    3. Para filtrar recursos de Amazon Web Services (AWS), haz clic en Recursos de AWS.
    4. Para filtrar recursos que tengan valores de atributos específicos, sigue estos pasos:
      1. En el panel Filtros, haz clic en un valor de atributo y, luego, en Mostrar solo. La consulta se actualiza según corresponda.
      2. Para agregar otro valor de atributo a la consulta, haz clic en el valor del atributo y, luego, en y mostrar solo.
      3. Para quitar un valor de atributo de la consulta, haz clic en el valor del atributo y, luego, en No mostrar solo.
    5. Para copiar un valor de atributo, haz clic en el valor del atributo y, luego, en Copiar.

    Cómo editar consultas de recursos

    Para obtener información sobre cómo editar consultas de activos, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Consulta de activos.
    3. Edita la consulta de alguna de las siguientes maneras:
      • En la subpestaña Biblioteca de consultas, selecciona una consulta precompilada. Haz clic en Aplicar. La consulta del panel Editar consulta se actualiza según corresponda.
      • En el panel Seleccionar tabla, haz clic en el tipo de recurso sobre el que deseas realizar la consulta. En la subpestaña Esquema, busca el atributo que deseas agregar a la consulta. El atributo se agrega al panel Editar consulta.
      • Edita la consulta directamente en el panel Editar consulta.
    4. Haz clic en Ejecutar. Los resultados de la consulta se actualizan según corresponda.

    Consola de operaciones de seguridad

    1. En la consola de Security Operations, ve a la página Recursos.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Para filtrar recursos de Google Cloud, haz clic en Recursos de Google Cloud.
    3. Para filtrar recursos de Amazon Web Services (AWS), haz clic en Recursos de AWS.
    4. Haz clic en Agregar filtro. Aparecerá el diálogo Filtros. Este diálogo te permite elegir atributos y valores de recursos compatibles.
    5. En Filtro, selecciona un atributo para filtrar.
    6. Establece la opción de evaluación del filtro y el valor del atributo. Las opciones de evaluación disponibles varían según el atributo que hayas seleccionado.
      • Para filtrar recursos que tengan un valor de atributo específico, selecciona Mostrar solo. En la lista Valor, selecciona el valor del atributo.
      • Para filtrar recursos que tengan un valor de atributo que contenga una cadena específica, selecciona Contiene. En el campo Valor, ingresa la cadena.

        La opción de evaluación Contiene sigue la sintaxis de consulta del operador de concordancia parcial de texto. Convierte tu término de búsqueda en uno o más tokens, usa caracteres especiales como delimitadores y requiere que coincida un token completo. Para hacer coincidir solo una parte de un token, usa un asterisco (*) como indicador de coincidencia de prefijo de token.

      • Para filtrar recursos según una marca de tiempo, selecciona Antes o Después. En el campo Valor, ingresa la marca de tiempo.
    7. Para agregar otro filtro, sigue estos pasos:
      1. Haga clic en Agregar filtro.
      2. Establece el atributo, la opción de evaluación y el valor del atributo.
      3. Establece la relación lógica entre los filtros. En Operador lógico, selecciona AND o OR.
    8. Haz clic en Aplicar. Se actualiza el editor de consultas y los resultados de la consulta se filtran según corresponda.

    Cómo inspeccionar los detalles de los recursos

    En esta sección, se describe cómo puedes obtener más información sobre los detalles de un activo en particular.

    Consulta los detalles de alto nivel

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo y se mostrará un resumen de sus detalles.

    Cómo ver todos los detalles de un recurso

    Para ver todos los detalles de un activo, incluidos los metadatos de bajo nivel, sigue estos pasos:

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Metadatos completos. Todos los nombres y valores de las propiedades del activo se muestran en una estructura de árbol.
    4. Para buscar un nombre o valor de propiedad en particular en el árbol, ingresa el nombre o el valor en el filtro.
    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Resultados. Se muestran todos los hallazgos relacionados con el activo.

    Cómo ver los cambios en un recurso

    Puedes comparar instantáneas de los metadatos de un activo para ver qué cambió.

    Para obtener información sobre cómo ver los cambios en un activo a lo largo del tiempo, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. Busca el activo.
    3. En la lista de recursos del panel de resultados, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    4. En el panel de detalles del activo, haz clic en la pestaña Historial de cambios.
    5. En la pestaña Historial de cambios, selecciona una Hora de inicio y una Hora de finalización.
    6. En la lista Seleccionar un registro para comparar de la izquierda, selecciona una instantánea.
    7. En la lista Seleccionar un registro para comparar de la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Se destacan los cambios entre las dos instantáneas.

    Consola de operaciones de seguridad

    1. En la consola de Security Operations, ve a la página Recursos.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Busca el activo.
    3. En la lista de recursos del panel de resultados, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    4. En el panel de detalles del activo, haz clic en la pestaña Historial de cambios.
    5. En la lista Comparar de la izquierda, selecciona una instantánea.
    6. En la lista Comparar de la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Los cambios entre las dos instantáneas se destacan.

    Cómo ver las políticas de IAM asociadas con un recurso

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Políticas de IAM. Se muestran las políticas de IAM asociadas con el activo.

    Cómo ver el conjunto de recursos de alto valor

    Puedes ver los recursos de alto valor que Risk Engine incluyó en las últimas simulaciones de rutas de ataque. También puedes ver las puntuaciones de exposición a los ataques que calculó Risk Engine para cada recurso. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Haz clic en la pestaña secundaria del proveedor de servicios en la nube que deseas ver:
      • Para ver los recursos de Google Cloud de alto valor, haz clic en Google. Para ver los detalles de un recurso, haz clic en su nombre.
      • Para ver los recursos de alto valor de Amazon Web Services (AWS), haz clic en AWS.
      • Para ver los recursos de Microsoft Azure de alto valor, haz clic en Azure.
    4. Para ver los detalles de la simulación de la ruta de ataque del recurso, haz clic en la puntuación de exposición a ataques del recurso. Si deseas obtener información para interpretar las rutas de ataque, consulta Rutas de ataque.

    Consola de operaciones de seguridad

    En la consola de Security Operations, puedes ver el conjunto de recursos de alto valor, pero no puedes ver los detalles de la simulación de rutas de ataque de los recursos. Para ver los detalles de la simulación de la ruta de ataque, usa la consola de Google Cloud.

    Para ver el conjunto de recursos de alto valor en la consola de Security Operations, sigue estos pasos:

    1. En la consola de Security Operations, ve a la página Recursos.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Haz clic en la pestaña secundaria del proveedor de servicios en la nube que deseas ver:
      • Para ver los recursos de Google Cloud de alto valor, haz clic en Recursos de Google Cloud.
      • Para ver los recursos de alto valor de Amazon Web Services (AWS), haz clic en Recursos de AWS.
    4. Para ver los detalles de un recurso, haz clic en su nombre visible.

    Filtrar los recursos por su marca de tiempo de Creación o Última actualización

    Para obtener información sobre cómo filtrar los recursos por marca de tiempo, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    Puedes filtrar o ordenar los activos en el panel de resultados de la página Recursos según sus marcas de tiempo Creado y Última actualización.

    Para crear un filtro basado en la marca de tiempo Creada, la marca de tiempo Última actualización o ambas, sigue estos pasos:

    1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

      Ir a recursos

    2. En la parte superior del panel de resultados de la página Recursos, coloca el cursor en el campo Filtrar. Se abrirá un menú de filtros.
    3. Desplázate hasta la sección Create time o Update time y selecciona una de las opciones de filtro basado en el tiempo. Por ejemplo, Update time after. Se agrega un filtro al campo Filtro.
    4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY y presiona Intro en el teclado.

    Los recursos del panel de resultados se actualizan para mostrar solo los que coinciden con tu filtro.

    Consola de operaciones de seguridad

    Esta función no está disponible en la consola de Security Operations.

    Personaliza la página de resultados de la consulta de recursos

    Para controlar el espacio de pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta.

    Cómo ocultar o mostrar columnas

    Para obtener información sobre cómo ocultar o mostrar columnas en los resultados de la consulta, haz clic en la pestaña de la consola que estás usando.

    Consola de Google Cloud

    1. En la parte superior del panel de resultados, haz clic en view_column Columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Haz clic en Aplicar para aplicar los cambios a los resultados de la consulta.

    Consola de operaciones de seguridad

    1. En la parte superior del panel de resultados, haz clic en view_column Open column selector. Se abrirá el menú Administrar columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Cierra el menú.

    Oculta o cambia el tamaño del panel de filtros rápidos

    Para aumentar el espacio de pantalla de los resultados de la búsqueda, puedes ocultar o cambiar el tamaño de los paneles. Para obtener más información, haz clic en la pestaña de la consola que usas.

    Consola de Google Cloud

    • Para ocultar el panel lateral Filtros rápidos, haz clic en la flecha hacia la izquierda first_page.
    • Para mostrar el panel lateral Filtros rápidos, haz clic en la flecha hacia la derecha last_page.
    • Para cambiar el tamaño de las columnas de visualización, arrastra la línea divisoria hacia la izquierda o la derecha.

    Consola de operaciones de seguridad

    • Para ocultar el panel lateral Filtros, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar el panel lateral Filtros, haz clic en chevron_right Abrir barra lateral.

    ¿Qué sigue?