Ispeziona le risorse

Questa pagina descrive come utilizzare le risorse cloud per i seguenti scopi: migliorando la security posture, risolvendo i problemi di sicurezza e rispondendo in modo proattivo.

In Security Command Center, alcune delle azioni che puoi eseguire sulle risorse includono: le seguenti:

Ottieni le autorizzazioni richieste

Questa sezione elenca i ruoli IAM con cui devi lavorare risorse nella console.

Ruoli IAM della console Google Cloud

Per utilizzare le risorse nella console Google Cloud, devi disporre dei seguenti ruoli IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
  7. Fai clic su Salva.

Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, vedi IAM per attivazioni a livello di organizzazione.

Ruoli IAM della console Security Operations

Se sei un cliente di Security Command Center Enterprise, puoi utilizzare le risorse nella Security Operations Console. È necessaria una delle seguenti ruoli IAM:

  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

La pagina delle risorse

Le risorse sono elencate nei risultati della query della pagina Asset nella console Google Cloud e, per i clienti di Security Command Center Enterprise, nella pagina Risorse nella console Security Operations.

Se Security Command Center è attivato a livello di organizzazione, puoi visualizzare le risorse per l'intera organizzazione o filtrare e le risorse in base a progetti, tipi di risorse e località specifici.

Se Security Command Center è attivato a livello di progetto, puoi filtrare le risorse in base al tipo e alla posizione nella console Google Cloud.

L'elenco delle risorse è fornito da Cloud Asset Inventory. Nella maggior parte dei casi, Cloud Asset Inventory aggiorna l'elenco entro pochi minuti dalla creazione, dalla modifica o dalla rimozione delle risorse nel tuo ambiente Google Cloud.

Per saperne di più su Cloud Asset Inventory, consulta Introduzione a Cloud Asset Inventory.

Utilizzare le risorse nelle console di Security Command Center Enterprise

Se sei cliente di Security Command Center Enterprise, puoi utilizzare le risorse in due console:

  • Pagina Asset della console Google Cloud: disponibile in tutti i livelli di servizio
  • Pagina Risorse della console Security Operations: disponibile solo nel livello Enterprise

La pagina Risorse nella console Security Operations è in anteprima.

In questa pagina, i passaggi per lavorare con le risorse nelle due console sono descritti affiancati in schede separate.

Per ulteriori informazioni, vedi Console Security Command Center Enterprise.

Visualizza tutte le risorse

Per informazioni su come visualizzare le risorse, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

Console operativa di sicurezza

Nella console Security Operations, vai alla pagina Risorse. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

Per ulteriori informazioni su questa console, vedi Console Security Operations.

Ordinare le risorse

Per ordinare le risorse, fai clic sull'intestazione della colonna del valore in base al quale vuoi ordinare. Le colonne sono ordinate in ordine numerico e poi alfabetico.

Cerca risorse

Per impostazione predefinita, tutte le risorse nell'organizzazione visualizzato nei risultati della query sulle risorse. Per cercare risorse specifiche in Security Command Center, puoi utilizzare i filtri rapidi o specificare filtri personalizzati.

Esegui una ricerca generale utilizzando i filtri rapidi

Per eseguire una ricerca generale delle tue risorse, puoi utilizzare le filtri corretti. Ad esempio, puoi cercare per progetto, tipo di risorsa o località. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Nel riquadro Filtri rapidi, seleziona uno o più filtri degli attributi per aggiungerli a una query.

Console Security Operations

  1. Nella Security Operations Console, vai alla pagina Risorse. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Per filtrare in base alle risorse Google Cloud, fai clic su Google Cloud Google Cloud.
  3. Per filtrare in base alle risorse Amazon Web Services (AWS), fai clic su Risorse AWS.
  4. Per filtrare in base alle risorse che hanno valori degli attributi specifici, segui questi passaggi:
    1. Nel riquadro Filtri, fai clic su una il valore dell'attributo e fai clic su Mostra solo. La query viene aggiornata di conseguenza.
    2. Per aggiungere un altro valore dell'attributo alla query, fai clic sul valore dell'attributo e poi su e mostra solo.
    3. Per rimuovere un valore dell'attributo dalla query, fai clic sul valore dell'attributo e fai clic su Non mostrare solo.
  5. Per copiare un valore dell'attributo, fai clic sul valore dell'attributo e poi su Copia.

Modificare le query sulle risorse

Per informazioni su come modificare le query sulle risorse, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Fai clic sulla scheda Query sugli asset.
  3. Modifica la query in uno dei seguenti modi:
    • Nella scheda secondaria Libreria query, seleziona una query predefinita. Fai clic su Applica. La query nel riquadro Modifica query viene aggiornata di conseguenza.
    • Nel riquadro Seleziona tabella, fai clic sul tipo di risorsa su cui vuoi eseguire la query. Nella scheda secondaria Schema, trova l'attributo che da aggiungere alla query. L'attributo viene aggiunto al riquadro Modifica query.
    • Modifica la query direttamente nel riquadro Modifica query.
  4. Fai clic su Esegui. I risultati della query vengono aggiornati di conseguenza.

Console Security Operations

  1. Nella console Security Operations, vai alla pagina Risorse. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Per filtrare in base alle risorse Google Cloud, fai clic su Google Cloud Google Cloud.
  3. Per filtrare in base alle risorse Amazon Web Services (AWS), fai clic su Risorse AWS.
  4. Fai clic su Aggiungi filtro. I filtri . Questa finestra di dialogo ti consente di scegliere gli attributi e i valori delle risorse supportati.
  5. In Filtro, seleziona un attributo in base al quale applicare il filtro.
  6. Imposta l'opzione di valutazione del filtro e il valore dell'attributo. Le opzioni di valutazione disponibili variano in base all'attributo selezionato.
    • Per filtrare le risorse in base a un valore dell'attributo specifico, seleziona Mostra solo. Nell'elenco Valore, seleziona il valore dell'attributo.
    • Per filtrare le risorse che hanno un valore dell'attributo contenente un stringa specifica, seleziona Contiene. Nel campo Valore, inserisci la stringa.

      L'opzione di valutazione Contiene segue la sintassi della query per testo operatore di corrispondenza parziale. Converte il termine di ricerca in uno o più utilizzando caratteri speciali come delimitatori e richiede un token intero perché corrispondano. Per trovare la corrispondenza solo di una parte di un token, utilizza un asterisco (*) come token indicatore di corrispondenza del prefisso.

    • Per filtrare le risorse in base a un timestamp, seleziona Prima o Dopo: Nel campo Valore, inserisci il timestamp.
  7. Per aggiungere un altro filtro:
    1. Fai clic su Aggiungi filtro.
    2. Impostare l'attributo, l'opzione di valutazione e l'attributo valore.
    3. Imposta la relazione logica tra i filtri. Per Logical operatore, seleziona AND o OR.
  8. Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query vengano filtrati di conseguenza.

Ispeziona i dettagli delle risorse

Questa sezione descrive come scoprire di più sui dettagli di una determinata risorsa.

Visualizza i dettagli generali

  1. Cerca la risorsa.
  2. Nei risultati della query, fai clic sul nome della risorsa. Il riquadro dei dettagli per la risorsa si apre e mostra un riepilogo dei suoi dettagli.

Visualizzare i dettagli completi di una risorsa

Per visualizzare tutti i dettagli di una risorsa, inclusi i metadati di basso livello, segui questi passaggi:

  1. Cerca la risorsa.
  2. Nei risultati della query, fai clic sul nome della risorsa. Il riquadro dei dettagli per apre la risorsa.
  3. Fai clic sulla scheda Metadati completi. Tutti i nomi e i valori delle proprietà di risorse sono visualizzate in una struttura ad albero.
  4. Per cercare il nome o il valore di una determinata proprietà nella struttura ad albero, inserisci il nome o un valore nel filtro.
  1. Cerca la risorsa.
  2. Nei risultati della query, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
  3. Fai clic sulla scheda Risultati. Vengono visualizzati tutti i risultati relativi alla risorsa.

Visualizzare le modifiche apportate a una risorsa

Puoi confrontare gli istantanei dei metadati di una risorsa per vedere cosa è cambiato.

Per informazioni su come visualizzare le modifiche apportate a una risorsa nel tempo, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Cerca la risorsa.
  3. Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
  4. Nel riquadro dei dettagli della risorsa, fai clic sulla scheda Cronologia delle modifiche.
  5. Nella scheda Cronologia delle modifiche, seleziona sia un'ora di inizio che un'opzione Ora di fine.
  6. Nell'elenco Seleziona un record da confrontare a sinistra, seleziona un istantanea.
  7. Nell'elenco Seleziona un record da confrontare a destra, seleziona un snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra le due istantanee sono evidenziate.

Console operativa di sicurezza

  1. Nella console Security Operations, vai alla pagina Risorse. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.

  2. Cerca la risorsa.
  3. Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome del risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
  4. Nel riquadro dei dettagli della risorsa, fai clic su Cronologia delle modifiche. .
  5. Nell'elenco Confronta a sinistra, seleziona una senza dover creare uno snapshot.
  6. Nell'elenco Confronta a destra, seleziona un snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra le due istantanee sono evidenziate.

Visualizza i criteri IAM associati a una risorsa

  1. Cerca la risorsa.
  2. Nei risultati della query, fai clic sul nome della risorsa. Il riquadro dei dettagli per apre la risorsa.
  3. Fai clic sulla scheda Criteri IAM. I criteri IAM associati con la risorsa, vengono visualizzate.

Visualizza il set di risorse di alto valore

Puoi visualizzare i valori di alto valore che Risk Engine ha incluso nell'ultimo percorso di attacco simulazioni. Puoi anche visualizzare i punteggi di esposizione agli attacchi calcolati da Risk Engine per ogni risorsa. Per maggiori informazioni informazioni, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Fai clic sulla scheda Set di risorse di alto valore.
  3. Fai clic sulla sottoscheda del fornitore cloud che vuoi visualizzare:
    • Per visualizzare le risorse Google Cloud di alto valore, fai clic su Google. A visualizzare i dettagli di una risorsa e fare clic sul suo nome.
    • Per visualizzare le risorse Amazon Web Services (AWS) di alto valore, fai clic su AWS.
    • Per visualizzare le risorse di Microsoft Azure di alto valore, fai clic su Azure.
  4. Per visualizzare i dettagli della simulazione del percorso di attacco per la risorsa, fai clic sul punteggio di esposizione agli attacchi della risorsa. Per informazioni su come interpretare i percorsi di attacco, vedi Attacco di base.

Console Security Operations

Nella console Security Operations puoi visualizzare il set di risorse di alto valore, ma non i dettagli della simulazione del percorso di attacco delle risorse. Per visualizzare i dettagli della simulazione del percorso di attacco, utilizza la console Google Cloud .

Per visualizzare il set di risorse di alto valore in Security Operations Console, segui questi passaggi:

  1. Nella console Security Operations, vai alla pagina Risorse. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Fai clic sulla scheda Set di risorse di alto valore.
  3. Fai clic sulla sottoscheda del fornitore cloud che vuoi visualizzare:
    • Per visualizzare le risorse Google Cloud di alto valore, fai clic su Risorse Google Cloud.
    • Per visualizzare le risorse Amazon Web Services (AWS) di alto valore, fai clic su Risorse AWS.
  4. Per visualizzare i dettagli di una risorsa, fai clic sul relativo nome visualizzato.

Filtrare le risorse in base al timestamp Creato o Ultimo aggiornamento

Per informazioni su come filtrare le risorse per timestamp, fai clic sulla scheda la console che stai utilizzando.

Console Google Cloud

Puoi filtrare o ordinare le risorse nel riquadro dei risultati della pagina Asset in base ai timestamp Creato e Ultimo aggiornamento.

A un filtro basato sul timestamp Created (Creato), Ultimo aggiornamento timestamp, o entrambi, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

    Vai ad Asset

  2. Nella parte superiore del riquadro dei risultati della pagina Risorse, posiziona il cursore nel campo Filtro. Viene visualizzato un menu di filtri.
  3. Scorri fino alla sezione Data creazione o Data aggiornamento e seleziona una delle opzioni di filtro in base al tempo. Ad esempio, Update time after. Viene aggiunto un filtro al campo Filtro.
  4. Nel campo del filtro, digita una data nel formato MM/DD/YYYY. e premi Invio sulla tastiera.

Le risorse nel riquadro dei risultati vengono aggiornate in modo da mostrare solo le risorse che corrispondono al filtro.

Console operativa di sicurezza

Questa funzionalità non è disponibile nella console Security Operations.

Personalizza la pagina delle risorse

Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati i risultati della query.

Nascondi o visualizza colonne

Per informazioni su come nascondere o visualizzare le colonne nei risultati della query, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  1. Nella parte superiore del riquadro dei risultati, fai clic su view_column Colonne.
  2. Seleziona le colonne da visualizzare.
  3. Deseleziona le colonne che vuoi nascondere.
  4. Fai clic su Applica per applicare le modifiche ai risultati della query.

Console Security Operations

  1. Nella parte superiore del riquadro dei risultati, fai clic su view_column Apri selettore di colonne. Viene visualizzato il menu Gestisci colonne.
  2. Seleziona le colonne da visualizzare.
  3. Annulla le selezioni per le colonne che vuoi nascondere.
  4. Chiudi il menu.

Nascondi o ridimensiona il riquadro dei filtri rapidi

Per aumentare lo spazio sullo schermo per i risultati della query, puoi nascondere o ridimensionare i riquadri. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

Console Google Cloud

  • Per nascondere il riquadro laterale Filtri rapidi, fai clic sul pulsante a sinistra Freccia first_page.
  • Per visualizzare il riquadro laterale Filtri rapidi, fai clic sulla freccia rivolta verso destra last_page.
  • Per ridimensionare le colonne visualizzate, trascina la linea di demarcazione verso sinistra o a destra.

Console operativa di sicurezza

  • Per nascondere Nel riquadro laterale Filtri, fai clic su chevron_left Chiudi barra laterale.
  • Per visualizzare i Nel riquadro laterale Filtri, fai clic su chevron_right Apri barra laterale.

Passaggi successivi