Auf dieser Seite wird beschrieben, wie Sie mit Cloud-Ressourcen arbeiten, um Ihre Sicherheitsposition zu verbessern, Sicherheitsprobleme zu beheben und auf Bedrohungen zu reagieren.
Im Security Command Center können Sie unter anderem folgende Aktionen auf Ressourcen ausführen:
- Alle Ressourcen ansehen
- Nach Ressourcen suchen
- Ressourcendetails prüfen
- Ressourcen mit hohem Wert ansehen
Erforderliche Berechtigungen einholen
In diesem Abschnitt sind die IAM-Rollen aufgeführt, mit denen Sie arbeiten müssen in der Konsole.
IAM-Rollen der Google Cloud Console
Um mit Ressourcen in der Google Cloud Console arbeiten zu können, benötigen Sie die folgenden IAM-Rollen.
Make sure that you have the following role or roles on the organization:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM aufrufen - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
- Chronicle SOAR-Administrator (
roles/chronicle.soarAdmin
) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager
) - Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager
) - Seite Assets in der Google Cloud Console: verfügbar in allen Dienststufen
- Seite Ressourcen der Security Operations Console: nur in der Enterprise-Stufe verfügbar
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Wählen Sie im Bereich Schnellfilter einen oder mehrere Attributfilter aus, um sie einer Abfrage hinzuzufügen.
-
Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Klicken Sie auf Google Cloud, um nach Google Cloud-Ressourcen zu filtern. Ressourcen
- Klicken Sie auf AWS, um nach Amazon Web Services-Ressourcen (AWS) zu filtern. Ressourcen
- Um nach Ressourcen mit bestimmten Attributwerten zu filtern,
führen Sie folgende Schritte aus:
- Klicken Sie im Bereich Filter auf einen Attributwert und dann auf Nur anzeigen. Die Abfrage wird aktualisiert entsprechend anpassen.
- Wenn Sie der Abfrage einen weiteren Attributwert hinzufügen möchten, klicken Sie auf den Attributwert und dann auf und nur anzeigen.
- Wenn Sie einen Attributwert aus der Abfrage entfernen möchten, klicken Sie auf den Attributwert und dann auf Nur nicht anzeigen.
- Um einen Attributwert zu kopieren, klicken Sie auf den Attributwert und dann auf Kopieren:
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Klicken Sie auf den Tab Asset-Abfrage.
- Sie haben folgende Möglichkeiten, die Abfrage zu bearbeiten:
- Wählen Sie auf dem Unter-Tab Abfragebibliothek eine vordefinierte Abfrage aus. Klicken Sie auf Übernehmen. Die Abfrage im Bereich Abfrage bearbeiten entsprechend aktualisiert.
- Klicken Sie im Bereich Tabelle auswählen auf den Ressourcentyp, für den Sie eine Abfrage ausführen möchten. Suchen Sie auf dem Unter-Tab Schema nach dem Attribut, die Sie der Abfrage hinzufügen möchten. Das Attribut wird dem Feld Abfrage bearbeiten .
- Bearbeiten Sie die Abfrage direkt im Bereich Abfrage bearbeiten.
- Klicken Sie auf Ausführen. Die Abfrageergebnisse werden entsprechend aktualisiert.
-
Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Klicken Sie auf Google Cloud, um nach Google Cloud-Ressourcen zu filtern. Ressourcen
- Wenn Sie nach Amazon Web Services-Ressourcen (AWS) filtern möchten, klicken Sie auf AWS-Ressourcen.
- Klicken Sie auf Filter hinzufügen. Das Dialogfeld Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ressourcenattribute und Werte.
- Wählen Sie unter Filter ein Attribut aus, nach dem gefiltert werden soll.
- Legen Sie die Filterauswertungsoption und den Attributwert fest. Die verfügbaren Bewertungsoptionen variieren je nach ausgewähltem Attribut.
- Um nach Ressourcen mit einem bestimmten Attributwert zu filtern, wählen Sie Nur anzeigen: Wählen Sie in der Liste Wert den Attributwert aus.
- Wenn Sie nach Ressourcen filtern möchten, deren Attributwert einen bestimmten String enthält, wählen Sie Enthält aus. Geben Sie in das Feld Value (Wert)
die Zeichenfolge.
Die Auswertungsoption Enthält folgt der Abfragesyntax für den Text Operator "Teilweise Übereinstimmung". Dabei wird der Suchbegriff in ein oder mehrere Tokens umgewandelt, wobei Sonderzeichen als Trennzeichen verwendet werden. Es muss ein ganzes Token übereinstimmen. Sternchen verwenden, um nur einen Teil eines Tokens abzugleichen (
*
) als Token Präfix-Übereinstimmungsanzeige. - Um Ressourcen anhand eines Zeitstempels zu filtern, wählen Sie Vor oder Nachher: Geben Sie im Feld Wert den Zeitstempel ein.
- So fügen Sie einen weiteren Filter hinzu:
- Klicken Sie auf Filter hinzufügen.
- Legen Sie das Attribut, die Bewertungsoption und den Attributwert fest.
- Legen Sie die logische Beziehung zwischen den Filtern fest. Wählen Sie für Logischer Operator
AND
oderOR
aus.
- Klicken Sie auf Anwenden. Der Abfrageeditor wird aktualisiert und die Abfrageergebnisse werden entsprechend gefiltert.
- Suchen Sie nach der Ressource.
- Klicken Sie in den Abfrageergebnissen auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet und zeigt eine Zusammenfassung der Details an.
- Suchen Sie nach der Ressource.
- Klicken Sie in den Abfrageergebnissen auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
- Klicken Sie auf den Tab Vollständige Metadaten. Alle Eigenschaftsnamen und -werte der Ressource in einer Baumstruktur angezeigt.
- Um nach einem bestimmten Eigenschaftsnamen oder -wert in der Baumstruktur zu suchen, geben Sie den Namen oder einen Wert im Filter angeben.
- Suchen Sie nach der Ressource.
- Klicken Sie in den Abfrageergebnissen auf den Namen der Ressource. Der Detailbereich für wird die Ressource geöffnet.
- Klicken Sie auf den Tab Ergebnisse. Alle Ergebnisse, die sich auf die Ressource beziehen, werden angezeigt.
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Suchen Sie nach der Ressource.
- Klicken Sie in der Ressourcenliste im Bereich „Ergebnisse“ auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
- Klicken Sie im Detailbereich der Ressource auf den Änderungsverlauf. .
- Wählen Sie auf dem Tab Änderungsverlauf sowohl einen Beginn als auch einen Ende:
- Wählen Sie links aus der Liste Wählen Sie einen Eintrag zum Vergleichen aus aus. Snapshot.
- Wählen Sie rechts in der Liste Eintrag für Vergleich auswählen einen Snapshot aus, den Sie mit dem ersten ausgewählten Snapshot vergleichen möchten. Die Änderungen zwischen den beiden Snapshots.
-
Rufen Sie in der Security Operations Console die Seite Ressourcen auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Suchen Sie nach der Ressource.
- Klicken Sie in der Ressourcenliste im Bereich „Ergebnisse“ auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
- Klicken Sie im Detailbereich der Ressource auf den Änderungsverlauf. .
- Wählen Sie links in der Liste Vergleichen einen Snapshot aus.
- Wählen Sie rechts in der Liste Vergleichen einen Snapshot aus, den Sie mit dem ersten ausgewählten Snapshot vergleichen möchten. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.
- Suchen Sie nach der Ressource.
- Klicken Sie in den Abfrageergebnissen auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
- Klicken Sie auf den Tab IAM-Richtlinien. Die mit der Ressource verknüpften IAM-Richtlinien werden angezeigt.
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
- Klicken Sie auf den Untertab des Cloudanbieters, dessen Daten Sie sich ansehen möchten:
- Klicken Sie auf Google, um hochwertige Google Cloud-Ressourcen aufzurufen. Bis Um die Details einer Ressource anzuzeigen, klicken Sie auf den Ressourcennamen.
- Klicken Sie auf AWS, um sich wertvolle Ressourcen zu Amazon Web Services (AWS) anzusehen.
- Klicken Sie auf Azure, um sich wertvolle Microsoft Azure-Ressourcen anzusehen.
- So rufen Sie die Details zur Angriffspfadsimulation für die Ressource auf: auf die Angriffsrisikobewertung der Ressource. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.
-
Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
- Klicken Sie auf den Unter-Tab für den gewünschten Cloud-Anbieter:
- Klicken Sie auf Google Cloud, um hochwertige Google Cloud-Ressourcen anzusehen. Ressourcen
- Zum Anzeigen hochwertiger AWS-Ressourcen (Amazon Web Services) klicken Sie auf AWS-Ressourcen
- Klicken Sie auf den Anzeigenamen einer Ressource, um die Details aufzurufen.
- Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
- Bewege den Mauszeiger oben im Bereich „Ergebnisse“ auf der Seite Assets in das Feld Filter. Ein Menü mit Filtern wird geöffnet.
- Scrollen Sie zum Bereich Erstellungszeit oder Aktualisierungszeit und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel:
Update time after
. Dem Feld Filter wird ein Filter hinzugefügt. - Geben Sie in das Filterfeld ein Datum im Format
MM/DD/YYYY
ein und drücken Sie die Eingabetaste. - Klicken Sie oben im Ergebnisbereich auf view_column Spalten:
- Wählen Sie die Spalten aus, die angezeigt werden sollen.
- Heben Sie die Auswahl der Spalten auf, die Sie ausblenden möchten.
- Klicken Sie auf Übernehmen, um die Änderungen auf die Abfrageergebnisse anzuwenden.
- Klicken Sie oben im Ergebnisbereich auf view_column Spaltenauswahl öffnen Das Menü Spalten verwalten wird geöffnet.
- Wählen Sie die Spalten aus, die angezeigt werden sollen.
- Heben Sie die Auswahl der Spalten auf, die Sie ausblenden möchten.
- Schließen Sie das Menü.
- Wenn Sie die Seitenleiste Schnellfilter ausblenden möchten, klicken Sie links auf Pfeil first_page.
- Klicken Sie auf den Rechtspfeil last_page, um die Seitenleiste Schnellfilter aufzurufen.
- Wenn Sie die Größe der Anzeigespalten ändern möchten, ziehen Sie die Trennlinie nach links oder rechts.
- Wenn Sie die Seitenleiste Filter ausblenden möchten, klicken Sie auf chevron_left Seitenleiste schließen.
- Zum Anzeigen der Klicken Sie in der Seitenleiste Filter auf chevron_right Seitenleiste öffnen.
- Ressourcen und Ergebnisse annotieren mit Sicherheitsmarkierungen.
Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene
IAM-Rollen für die Security Operations Console
Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie Ressourcen in der Security Operations Console verwenden. Sie benötigen eine der folgenden IAM-Rollen:
Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren
Die Seite „Ressourcen“
Ressourcen werden in den Abfrageergebnissen auf der Seite Assets in der Google Cloud Console und – für Security Command Center Enterprise Seite Ressourcen im Security Operations Console.
Wenn Security Command Center aktiviert ist, Organisationsebene, können Sie die Ressourcen für Ihre gesamte Organisation Ressourcen nach bestimmten Projekten, Ressourcentypen und Standorten aufgeschlüsselt.
Wenn Security Command Center auf Projektebene aktiviert ist, können Sie Ressourcen in der Google Cloud Console nach Ressourcentyp und Standort filtern.
Die Liste der Ressourcen wird von Cloud Asset Inventory bereitgestellt. In den meisten Fällen Cloud Asset Inventory aktualisiert die Liste innerhalb weniger Minuten nach der Ressourcenerstellung. die in Ihrer Google Cloud-Umgebung geändert oder entfernt wurden.
Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.
Mit Ressourcen in den Security Command Center Enterprise-Konsolen arbeiten
Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie Ressourcen in zwei Konsolen verwenden:
Die Seite Ressourcen in der Security Operations Console befindet sich in der Vorabversion.
Die Schritte auf dieser Seite für die Arbeit mit Ressourcen in den beiden Konsolen sind: Seite an Seite auf separaten Tabs beschrieben.
Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.
Alle Ressourcen ansehen
Klicken Sie auf den Tab der von Ihnen verwendeten Console, um Informationen zum Ansehen Ihrer Ressourcen aufzurufen.
Google Cloud Console
Security Operations Console
Rufen Sie in der Security Operations Console die Seite Ressourcen auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Ersetzen Sie CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung.
Weitere Informationen zu dieser Konsole finden Sie unter Security Operations-Konsole.
Ressourcen sortieren
Klicken Sie zum Sortieren von Ressourcen auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. von. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.
Nach Ressourcen suchen
Standardmäßig werden in den Ergebnissen der Ressourcenabfrage alle Ressourcen in der Organisation angezeigt. Wenn Sie im Security Command Center nach bestimmten Ressourcen suchen möchten, können Sie Schnellfilter verwenden oder benutzerdefinierte Filter angeben.
Mit Schnellfiltern eine allgemeine Suche durchführen
Mit Schnellfiltern können Sie eine allgemeine Suche in Ihren Ressourcen durchführen. Sie können beispielsweise nach Projekt, Ressourcentyp oder Standort suchen. Klicken Sie auf den Tab der Console, die Sie verwenden, um weitere Informationen zu erhalten.
Google Cloud Console
Security Operations Console
Ressourcenabfragen bearbeiten
Klicken Sie auf den Tab der von Ihnen verwendeten Console, um Informationen zum Bearbeiten von Ressourcenabfragen aufzurufen.
Google Cloud Console
Security Operations-Konsole
Ressourcendetails prüfen
In diesem Abschnitt wird beschrieben, wie Sie weitere Informationen zu einer bestimmten Ressource erhalten.
Allgemeine Details ansehen
Alle Details einer Ressource ansehen
Wenn Sie alle Details zu einer Ressource, einschließlich untergeordneter Metadaten, ansehen möchten, gehen Sie so vor: Schritte:
Ergebnisse zu einer Ressource ansehen
Änderungen an einer Ressource ansehen
Sie können Snapshots der Metadaten einer Ressource vergleichen, um was sich geändert hat.
Um zu erfahren, wie Sie die Änderungen an einer Ressource im Zeitverlauf sehen, klicken Sie auf für die Console, die Sie verwenden.
Google Cloud Console
Security Operations-Konsole
Mit einer Ressource verknüpfte IAM-Richtlinien aufrufen
Satz hochwertiger Ressourcen aufrufen
Sie können die umsatzstarken Ressourcen die Risk Engine im letzten Angriffspfad Simulationen. Du kannst dir auch die Angriffsbelastung Ergebnisse die Risk Engine für jede Ressource berechnet hat. Klicken Sie auf den Tab der Console, die Sie verwenden, um weitere Informationen zu erhalten.
Google Cloud Console
Security Operations-Konsole
In der Security Operations Console können Sie sich die Gruppe Ihrer hochwertigen Ressourcen ansehen, aber nicht die Details der Angriffspfadsimulation der Ressourcen. Zum Ansehen Details zur Angriffspfadsimulation, verwenden Sie die Google Cloud Console .
So rufen Sie den Satz hochwertiger Ressourcen in der Security Operations-Konsole auf: diese Schritte:
Ressourcen nach dem Zeitstempel „Erstellt“ oder „Zuletzt aktualisiert“ filtern
Informationen zum Filtern von Ressourcen nach Zeitstempel finden Sie auf dem Tab für die Sie verwenden.
Google Cloud Console
Sie können die Ressourcen im Ergebnisbereich der Assets nach dem Zeitstempel Erstellt und Zuletzt aktualisiert
So erstellen Sie einen Filter, der auf dem Zeitstempel Erstellt, dem Zeitstempel Zuletzt aktualisiert oder auf beiden basiert:
Die Ressourcen im Bereich „Ergebnisse“ werden aktualisiert und es werden nur noch die Ressourcen angezeigt, die Ihrem Filter entsprechen.
Security Operations-Konsole
Diese Funktion ist in der Security Operations-Konsole nicht verfügbar.
Ressourcenseite anpassen
Sie können einige der Elemente in den Abfrageergebnissen anpassen, um den Bildschirmbereich zu steuern.
Spalten ein- oder ausblenden
Informationen zum Ein- oder Ausblenden von Spalten in den Abfrageergebnissen klicken Sie auf den Tab für die Console, die Sie verwenden.
Google Cloud Console
Security Operations-Konsole
Bereich für Schnellfilter ausblenden oder Größe anpassen
Sie können Steuerfelder ausblenden oder ihre Größe anpassen, um den Platz auf dem Bildschirm für Abfrageergebnisse zu vergrößern. Weitere Informationen erhalten Sie, wenn Sie auf den Tab der Konsole klicken, die Sie verwenden.