Inspecionar recursos relacionados às descobertas

Nesta página, descrevemos como trabalhar com recursos de nuvem para melhorar sua postura de segurança, remediar problemas de segurança e responder a ameaças à segurança.

No Security Command Center, algumas das ações que podem ser realizadas nos recursos incluem: o seguinte:

  • Acessar recursos
  • Recursos de consulta
  • Inspecionar detalhes do recurso
  • Analisar as descobertas relacionadas a um recurso

Conseguir as permissões necessárias

Nesta seção, listamos os papéis do IAM com que você precisa trabalhar recursos no console.

Papéis do IAM no console do Google Cloud

Para trabalhar com recursos no console do Google Cloud, você precisa dos papéis do IAM a seguir.

Verifique se você tem os seguintes papéis na organização:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Verificar os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM
  2. Selecionar uma organização.

  3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

    Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

  4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acesse o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos participantes, digite seu endereço de e-mail.
  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Save.

Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

Papéis do IAM do console de Operações de segurança

Se você é cliente do Security Command Center Enterprise, pode trabalhar com recursos no console de Operações de Segurança. Você precisa de qualquer um os seguintes papéis do IAM:

  • Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)
  • Gerenciador de ameaças do Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gerenciador de vulnerabilidades do Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Para informações sobre como conceder o papel a um usuário, consulte Mapeie e autorize usuários usando o IAM.

A página de recursos

Os recursos são listados nos resultados da consulta da página Recursos na O console do Google Cloud e, para o Security Command Center Enterprise, clientes: a página Recursos na console de operações de segurança.

Se o Security Command Center estiver ativado no nível organização nível, é possível conferir os recursos de toda a organização ou filtrar recursos por projetos, tipos de recursos e locais específicos.

Se o Security Command Center estiver ativado no projeto nível de recurso, é possível filtrar recursos por tipo e localização de recurso no console do Google Cloud.

A lista de recursos é fornecida pelo Inventário de recursos do Cloud. Na maioria dos casos, O Inventário de recursos do Cloud atualiza a lista minutos após a criação dos recursos, modificados ou removidos do seu ambiente do Google Cloud.

Para mais informações sobre o Inventário de recursos do Cloud, consulte Introdução ao Inventário de recursos do Cloud.

Como trabalhar com recursos nos consoles do Security Command Center Enterprise

Se você é cliente do Security Command Center Enterprise, pode trabalhar com recursos em dois consoles:

  • Página Recursos do console do Google Cloud: disponível em todos os níveis de serviço
  • Página Recursos do console de Operações de Segurança: disponível em Apenas nível Enterprise

A página Recursos na O console de operações de segurança está em pré-lançamento.

Nesta página, as etapas para trabalhar com recursos nos dois consoles são descritos lado a lado em guias separadas.

Para mais informações, consulte Security Command Center Enterprise consoles.

Acessar recursos

Para informações sobre como visualizar seus recursos, clique na guia console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. Selecione a organização ou o projeto do Google Cloud.

Console de operações de segurança

No console de Operações de Segurança, acesse a página Recursos. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Para mais informações, consulte Console de operações de segurança.

Ordenar recursos

Para classificar os recursos, clique no cabeçalho da coluna do valor que você quer classificar. As colunas são classificadas por ordem numérica e, em seguida, alfabética.

Filtrar recursos

Esta seção descreve como executar consultas comuns para analisar seus recursos no Security Command Center.

Por padrão, todos os recursos no projeto, na pasta ou na organização selecionados são exibidos nos resultados da consulta. É possível filtrar os resultados recursos usando filtros rápidos ou especificando filtros mais personalizados. Para obter mais informações, clique na guia do console que você está usando.

Console do Google Cloud

Para filtrar os resultados por tipo de recurso, ID do projeto ou local, use o Guia filtros.

Para acessar os dados de alto valor recursos que o Risk Engine incluiu no último caminho de ataque simulações, clique na guia Conjunto de recursos de alto valor. Também é possível consultar as pontuações de exposição a ataques que o Risk Engine calculou para cada recurso.

Para aplicar filtros pré-criados e analisar dados de recursos, clique no Recurso consulta.

Console de operações de segurança

Na guia Recursos do Google Cloud, em Filtros, é possível filtrar os resultados por recurso. tipo, ID do projeto ou local.

A guia Conjunto de recursos de alto valor permite visualizar os recursos de alto valor recursos que o Risk Engine incluiu no último caminho de ataque bem como as pontuações de exposição a ataques que o Risk Engine calculou para cada recurso.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Filtrar recursos

Nos filtros rápidos, você pode filtrar por ID do projeto, tipo de recurso e local.

Para mais informações sobre como usar os filtros rápidos, clique na guia console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. No painel Filtros rápidos, selecione uma ou mais filtros de atributos para adicioná-los a uma consulta.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Para filtrar recursos que têm valores de atributos específicos, siga estas etapas:
    1. No painel Filtros, clique em um valor do atributo e clique em Mostrar apenas. A consulta é atualizada de maneira adequada.
    2. Para adicionar outro valor de atributo à consulta, clique no o valor do atributo e clique em e mostrar apenas.
    3. Para remover um valor de atributo da consulta, clique no valor do atributo e clique em Não mostrar apenas.
  3. Para copiar um valor de atributo, clique no valor do atributo e em Copiar

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Editar consultas de recursos

Para mais informações sobre como editar consultas de recursos, clique na guia console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. Clique na guia Consulta de recursos.
  3. Edite a consulta de uma das seguintes maneiras:
    • Na subguia Biblioteca de consultas, selecione uma consulta pré-criada. Clique em Aplicar. A consulta no painel Editar consulta está atualizadas de acordo.
    • No painel Selecionar tabela, clique no tipo de recurso que você quer consultas. Na subguia Esquema, encontre o atributo que que você quer adicionar à consulta. O atributo é adicionado ao campo Editar consulta do painel de controle.
    • Edite a consulta diretamente no painel Editar consulta.
  4. Clique em Executar. Os resultados da consulta são atualizados de acordo.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Clique em Adicionar filtro. Os Filtros é exibida. Esta caixa de diálogo permite escolher atributos de recursos e e a distribuição dos valores dos dados.
  3. Em Filtrar, selecione um atributo para filtrar.
  4. Defina a opção de avaliação de filtro e o valor do atributo. O modelo as opções de avaliação variam de acordo com o atributo selecionado.
    • Para filtrar os recursos que têm um valor de atributo específico, selecione Mostrar apenas. Na lista Valor, selecione o valor do atributo.
    • Para filtrar os recursos que têm um valor de atributo contendo um string específica, selecione Contém. No campo Value, insira a string.
    • Para filtrar recursos com base em um carimbo de data/hora, selecione Antes ou Depois. No campo Valor, digite o carimbo de data/hora.
  5. Para adicionar outro filtro, siga estas etapas:
    1. Clique em Adicionar filtro.
    2. Definir o atributo, a opção de avaliação e o atributo .
    3. Define a relação lógica entre os filtros. Para Logical operador, selecione AND ou OR.
  6. Clique em Aplicar. O editor de consultas é atualizado, e os resultados são filtradas de acordo.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Visualizar as alterações em um recurso

Compare snapshots dos metadados de um recurso para o que mudou.

Para informações sobre como ver as alterações em um recurso ao longo do tempo, clique no do console que está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. Localize o recurso que você precisa revisar rolando a tela ou aplicando os filtros apropriados aos recursos listados.
  3. Na lista de recursos do painel de resultados, clique no nome recurso. O painel de detalhes do recurso é aberto.
  4. No painel de detalhes do recurso, clique em Histórico de alterações. .
  5. Na guia Histórico de alterações, selecione um Horário de início e um Horário de término.
  6. Na lista Selecione um registro para comparar à esquerda, selecione um snapshot.
  7. Na lista Selecione um registro para comparar à direita, selecione um snapshot para comparar com o primeiro selecionado. As mudanças entre os dois snapshots serão destacados.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Localize o recurso que você precisa revisar rolando a tela ou aplicando os filtros apropriados aos recursos listados.
  3. Na lista de recursos do painel de resultados, clique no nome recurso. O painel de detalhes do recurso é aberto.
  4. No painel de detalhes do recurso, clique em Histórico de alterações. .
  5. Na lista Comparar à esquerda, selecione um snapshot.
  6. Na lista Comparar à direita, selecione um snapshot para comparar com o primeiro selecionado. As mudanças entre os dois snapshots serão destacados.

Esse recurso está em Pré-lançamento e disponível para Apenas para clientes do Security Command Center Enterprise.

Filtrar recursos pelo carimbo de data/hora de criação ou última atualização

Para mais informações sobre como filtrar recursos por carimbo de data/hora, clique na guia console que está usando.

Console do Google Cloud

É possível filtrar ou classificar os recursos no painel de resultados do página Recursos com os carimbos de data/hora Criado e Última atualização.

Para um filtro com base no carimbo de data/hora Criado, Última atualização ou ambos, siga estas etapas:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. Na parte superior do painel de resultados na página Recursos, posicione seu cursor no campo Filtro. Um menu de filtros será aberto.
  3. Role até a seção Horário de criação ou Horário de atualização e selecione uma opção das opções de filtros com base no tempo. Por exemplo: Update time after: Um filtro é adicionado ao campo Filtro.
  4. No campo de filtro, digite uma data no formato MM/DD/YYYY. e pressione Enter no teclado.

Os recursos no painel de resultados são atualizados para mostrar apenas os recursos que correspondam ao filtro.

Console de operações de segurança

Este recurso não está disponível no console de Operações de Segurança.

Personalizar a página "Recursos" no console do Google Cloud

Para controlar o espaço na tela, personalize alguns dos elementos que aparecem na página Recursos.

Ocultar ou exibir colunas

É possível ocultar qualquer coluna, exceto o Nome de exibição. Para ocultar a coluna, siga estas etapas:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acesse "Recursos"

  2. Na parte superior do painel de resultados à direita, clique no ícone de Opções de exibição da coluna, .

  3. No menu exibido, é possível exibir ou ocultar uma coluna marcando ou desmarcando a caixa de seleção ao lado do nome dela.

Ocultar ou redimensionar o painel "Filtros rápidos"

Para controlar o espaço na tela da página Recursos, altere as seguintes opções:

  • Para ocultar o painel lateral Filtros rápidos, clique na seta para a esquerda, .
  • Redimensione as colunas de exibição arrastando a linha divisória para a esquerda ou certas.

A seguir