检查 Security Command Center 监控的资产

本页介绍了如何查看、查询和检查云资产,以便改善安全状况、修复安全问题和应对威胁。

在 Security Command Center 中,您可以对资产执行的部分操作包括:

获取所需权限

本部分列出了您需要拥有哪些 IAM 角色才能在控制台中处理资源。

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中使用素材资源,您需要具备以下 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    进入 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。
  8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中处理资产。您需要拥有以下任一 IAM 角色:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

    Security Command Center 中的资产列表

    资产会列在 Google Cloud 控制台的资产页面中的查询结果中,对于 Security Command Center Enterprise 客户,还会列在 Security Operations 控制台的资源页面中。

    如果 Security Command Center 在组织级层激活,则可以查看整个组织的资产,也可以按特定项目、资源类型和位置过滤资产。

    如果 Security Command Center 在项目级层激活,则您可以在 Google Cloud 控制台中按资源类型和位置过滤资产。

    资产列表由 Cloud Asset Inventory 提供。在大多数情况下,Cloud Asset Inventory 会在 Google Cloud 环境中创建、修改或移除资产后的几分钟内更新此列表。

    如需详细了解 Cloud Asset Inventory,请参阅 Cloud Asset Inventory 简介

    在 Security Command Center Enterprise 控制台中处理资产

    如果您是 Security Command Center Enterprise 客户,则可以在两个控制台中处理资产:

    • Google Cloud 控制台的资产页面:适用于所有服务层级
    • 安全运营控制台的资源页面:仅在企业版中提供

    Security Operations 控制台中的资源页面处于预览版阶段。

    在本页面上,两个控制台中处理资源的步骤分别在单独的标签页中并排介绍。

    如需了解详情,请参阅 Security Command Center Enterprise 控制台

    查看所有资产

    如需了解如何查看您的资源,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 选择您的 Google Cloud 项目或组织。

    安全运维控制台

    在安全运营控制台中,前往资源页面。

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    如需详细了解此控制台,请参阅安全运营控制台

    对素材资源进行排序

    如需对资源排序,请点击排序所要依据的值的列标题。列先按数字排序,然后按字母顺序排序。

    搜索资产

    默认情况下,组织中的所有资产都会显示在查询结果中。如需在 Security Command Center 中搜索特定资产,您可以使用快速过滤条件或指定自定义过滤条件。

    使用快速过滤条件执行高级搜索

    如需对资产执行概要搜索,您可以使用快捷过滤条件。例如,您可以按项目、资源类型或位置进行搜索。 如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 快速过滤条件面板中,选择一个或多个属性过滤条件,将其添加到查询。

    安全运维控制台

    1. 在安全运营控制台中,前往资源页面。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 如需过滤出 Google Cloud 资源,请点击 Google Cloud 资源
    3. 如需过滤出 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 如需过滤出具有特定属性值的资源,请按以下步骤操作:
      1. 过滤条件面板中,点击某个属性值,然后点击仅显示。系统会相应地更新查询。
      2. 如需向查询添加其他属性值,请点击相应属性值,然后点击并仅显示
      3. 如需从查询中移除属性值,请点击该属性值,然后点击不仅显示
    5. 如需复制属性值,请点击属性值,然后点击复制

    修改素材资源查询

    如需了解如何修改素材资源查询,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 点击素材资源查询标签页。
    3. 通过以下任一方式修改查询:
      • 查询库子标签页中,选择一个预构建的查询。点击应用修改查询面板中的查询会相应更新。
      • 选择表格面板中,点击要查询的素材资源类型。在架构子标签页中,找到要添加到查询中的属性。该属性会添加到修改查询窗格中。
      • 直接在修改查询面板中修改查询。
    4. 点击运行。查询结果会相应更新。

    安全运维控制台

    1. 在安全运营控制台中,前往资源页面。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 如需过滤出 Google Cloud 资源,请点击 Google Cloud 资源
    3. 如需过滤出 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 点击 添加过滤条件。系统随即会显示过滤条件对话框。您可以通过此对话框选择受支持的资源属性和值。
    5. 对于过滤条件,请选择要用于过滤的属性。
    6. 设置过滤条件评估选项和属性值。可用的评估选项因您选择的属性而异。
      • 如需过滤出具有特定属性值的资源,请选择仅显示。在列表中,选择属性值。
      • 如需过滤出属性值包含特定字符串的资源,请选择包含。在字段中,输入字符串。

        包含评估选项遵循文本部分匹配运算符的查询语法。它会使用特殊字符作为分隔符,将您的搜索字词转换为一个或多个令牌,并且需要整个令牌匹配。如需仅匹配令牌的一部分,请使用星号 (*) 作为令牌前缀匹配指示器

      • 如需按时间戳过滤资源,请选择之前之后。在字段中,输入时间戳。
    7. 如需添加其他过滤条件,请按以下步骤操作:
      1. 点击添加过滤条件
      2. 设置属性、评估选项和属性值。
      3. 设置过滤条件之间的逻辑关系。对于逻辑运算符,请选择 ANDOR
    8. 点击应用。查询编辑器会更新,并且查询结果会相应地进行过滤。

    检查素材资源详情

    本部分介绍了如何详细了解特定素材资源。

    查看概要详细信息

    1. 搜索相应资产
    2. 在查询结果中,点击相应资产的名称。系统会打开该资产的详细信息面板,并显示其详细信息摘要。

    查看资产的完整详情

    如需查看资源的所有详细信息(包括低级元数据),请按以下步骤操作:

    1. 搜索相应资产
    2. 在查询结果中,点击相应资产的名称。系统会打开资产的详细信息面板。
    3. 点击完整元数据标签页。资源的所有属性名称和值均以树状结构显示。
    4. 如需在树中搜索特定的媒体资源名称或值,请在过滤条件中输入相应名称或值。
    1. 搜索相应资产
    2. 在查询结果中,点击相应资产的名称。系统会打开资产的详细信息面板。
    3. 点击发现结果标签页。系统会显示与相应资产相关的所有发现结果。

    查看资产的变化

    您可以比较资产元数据的快照,以查看发生的变化。

    如需了解如何查看随时间资产的变化情况,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 搜索相应资产
    3. 在结果面板的资产列表中,点击该资产的名称。系统会打开资产的详细信息面板。
    4. 在资产的详细信息面板中,点击更改历史记录标签页。
    5. 更改历史记录标签页上,选择开始时间结束时间
    6. 在左侧的选择要进行比较的记录列表中,选择一个快照。
    7. 在右侧的选择要进行比较的记录列表中,选择要与选择的第一个快照进行比较的快照。系统会突出显示两个快照之间的变化。

    安全运维控制台

    1. 在安全运营控制台中,前往资源页面。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 搜索相应资产
    3. 在结果面板的资产列表中,点击该资产的名称。系统会打开资产的详细信息面板。
    4. 在资产的详细信息面板中,点击更改历史记录标签页。
    5. 在左侧的比较列表中,选择一个快照。
    6. 在右侧的比较列表中,选择要与您选择的第一个快照进行比较的快照。系统会突出显示两个快照之间的变化。

    查看与资产关联的 IAM 政策

    1. 搜索相应资产
    2. 在查询结果中,点击相应资产的名称。系统会打开资产的详细信息面板。
    3. 点击 IAM 政策标签页。系统会显示与资源关联的 IAM 政策。

    查看高价值资源集

    您可以查看风险引擎在上次攻击路径模拟中包含的高价值资源。您还可以查看风险引擎为每个资源计算的攻击风险得分。如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 点击高价值资源集标签页。
    3. 点击要查看的云服务提供商对应的子标签页:
      • 如需查看高价值 Google Cloud 资源,请点击 Google。如需查看资源的详细信息,请点击其资源名称。
      • 如需查看高价值 Amazon Web Services (AWS) 资源,请点击 AWS
      • 如需查看高价值的 Microsoft Azure 资源,请点击 Azure
    4. 如需查看资源的攻击路径模拟详情,请点击相应资源的攻击风险得分。如需了解如何解读攻击路径,请参阅攻击路径

    安全运维控制台

    在安全运营控制台中,您可以查看高价值资源集,但无法查看资源的攻击路径模拟详细信息。如需查看攻击路径模拟详情,请改用 Google Cloud 控制台。

    如需在安全运营控制台中查看高价值资源集,请按以下步骤操作:

    1. 在安全运营控制台中,前往资源页面。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 点击高价值资源集标签页。
    3. 点击要查看的云服务提供商对应的子标签页:
      • 如需查看高价值 Google Cloud 资源,请点击 Google Cloud 资源
      • 如需查看高价值 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 如需查看资源的详细信息,请点击其资源显示名称。

    按创建时间戳或上次更新时间戳过滤资产

    如需了解如何按时间戳过滤素材资源,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    您可以按创建时间戳和上次更新时间戳对资产页面的结果面板中的资产进行过滤或排序。

    如需根据创建时间戳和/或上次更新时间戳进行过滤,请按以下步骤操作:

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 资产页面上的结果面板顶部,将光标置于过滤条件字段中。系统随即会打开一个过滤条件菜单。
    3. 滚动到创建时间更新时间部分,然后选择一个基于时间的过滤条件选项。例如 Update time after。系统会将过滤条件添加到过滤条件字段中。
    4. 在过滤条件字段中,采用 MM/DD/YYYY 格式输入日期,然后按键盘上的 Enter 键。

    结果面板中的资产会更新,仅显示与您的过滤条件匹配的资产。

    安全运维控制台

    安全运营控制台中不提供此功能。

    自定义素材资源查询结果页面

    如需控制屏幕空间,您可以自定义查询结果中显示的部分元素。

    隐藏或显示列

    如需了解如何在查询结果中隐藏或显示列,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 在结果面板顶部,依次点击 view_column Columns(列)。
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 点击应用,将更改应用于查询结果。

    安全运维控制台

    1. 在结果面板顶部,依次点击 view_column 打开列选择器。系统随即会打开管理列菜单。
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 关闭菜单。

    隐藏或调整“快速过滤条件”面板的大小

    如需为查询结果增加屏幕空间,您可以隐藏或调整面板的大小。如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    • 如需隐藏快速过滤条件侧边栏,请点击向左箭头 first_page
    • 如需显示快速过滤条件侧边栏,请点击向右箭头 last_page
    • 如需调整显示列的大小,请向左或向右拖动分界线。

    安全运维控制台

    • 如需隐藏过滤条件侧边栏,请点击 chevron_left 关闭边栏
    • 如需显示过滤条件侧边栏,请点击chevron_right 打开边栏

    后续步骤