Ressourcen im Zusammenhang mit Ergebnissen prüfen

Auf dieser Seite wird beschrieben, wie Sie mit Cloud-Ressourcen arbeiten, um Ihren Sicherheitsstatus zu verbessern, Sicherheitsprobleme zu beheben und auf Bedrohungen zu reagieren.

In Security Command Center können Sie unter anderem die folgenden Aktionen für Ressourcen ausführen:

  • Ressourcen ansehen
  • Ressourcen abfragen
  • Ressourcendetails prüfen
  • Ergebnisse zu einer Ressource überprüfen

Erforderliche Berechtigungen einholen

In diesem Abschnitt sind die IAM-Rollen aufgeführt, die Sie für die Arbeit mit Ressourcen in der Console benötigen.

IAM-Rollen der Google Cloud Console

Wenn Sie in der Google Cloud Console mit Ressourcen arbeiten möchten, benötigen Sie die folgenden IAM-Rollen.

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Auf Rollen prüfen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.

  3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

    Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

  4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.
  4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu Security Command Center-Rollen und -Berechtigungen finden Sie unter IAM für Aktivierungen auf Organisationsebene.

IAM-Rollen der Security Operations-Konsole

Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Ressourcen in der Security Operations-Konsole arbeiten. Sie benötigen eine der folgenden IAM-Rollen:

  • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

Informationen zum Zuweisen der Rolle zu einem Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

Ressourcenseite

Ressourcen werden in den Abfrageergebnissen auf der Seite Assets in der Google Cloud Console und für Kunden von Security Command Center Enterprise auf der Seite Ressourcen in der Security Operations Console aufgeführt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Ressourcen für Ihre gesamte Organisation ansehen oder nach bestimmten Projekten, Ressourcentypen und Standorten filtern.

Wenn Security Command Center auf Projektebene aktiviert ist, können Sie Ressourcen in der Google Cloud Console nach Ressourcentyp und Standort filtern.

Die Liste der Ressourcen wird von Cloud Asset Inventory bereitgestellt. In den meisten Fällen aktualisiert Cloud Asset Inventory die Liste innerhalb weniger Minuten, nachdem Ressourcen in Ihrer Google Cloud-Umgebung erstellt, geändert oder entfernt wurden.

Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.

Mit Ressourcen in den Security Command Center Enterprise-Konsolen arbeiten

Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Ressourcen in zwei Konsolen arbeiten:

  • Seite Assets der Google Cloud Console: in allen Dienststufen verfügbar
  • Seite Ressourcen der Security Operations-Konsole: nur in der Enterprise-Stufe verfügbar

Die Seite Ressourcen in der Security Operations-Konsole befindet sich in der Vorschau.

Auf dieser Seite werden die Schritte für die Arbeit mit Ressourcen in den beiden Konsolen nebeneinander auf separaten Tabs beschrieben.

Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.

Ressourcen ansehen

Weitere Informationen zum Anzeigen Ihrer Ressourcen erhalten Sie, wenn Sie auf den Tab der verwendeten Konsole klicken.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

Security Operations-Konsole

Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Weitere Informationen zu dieser Konsole finden Sie unter Security Operations-Konsole.

Ressourcen sortieren

Klicken Sie zum Sortieren von Ressourcen auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

Ressourcen filtern

In diesem Abschnitt wird beschrieben, wie Sie häufige Abfragen ausführen, um Ihre Ressourcen in Security Command Center zu überprüfen.

Standardmäßig werden alle Ressourcen im ausgewählten Projekt, im ausgewählten Ordner oder in der ausgewählten Organisation in den Abfrageergebnissen angezeigt. Sie können die Ergebnisse mithilfe von Schnellfiltern oder benutzerdefinierten Filtern nach bestimmten Ressourcen filtern. Weitere Informationen erhalten Sie, wenn Sie auf den Tab der Konsole klicken, die Sie verwenden.

Google Cloud Console

Mit dem Bereich Schnellfilter können Sie die Ergebnisse nach Ressourcentyp, Projekt-ID oder Standort filtern.

Klicken Sie auf den Tab Satz hochwertiger Ressourcen, um die hochwertigen Ressourcen anzusehen, die Risk Engine in den letzten Angriffspfadsimulationen einbezogen hat. Sie können sich auch die Angriffsrisikobewertungen ansehen, die Risk Engine für jede Ressource berechnet hat.

Wenn Sie vordefinierte Filter zum Überprüfen von Ressourcendaten anwenden möchten, klicken Sie auf den Tab Asset-Abfrage.

Security Operations-Konsole

Auf dem Tab Google Cloud-Ressourcen im Bereich Filter können Sie die Ergebnisse nach Ressourcentyp, Projekt-ID oder Standort filtern.

Auf dem Tab Satz hochwertiger Ressourcen sehen Sie die hochwertigen Ressourcen, die Risk Engine in den letzten Angriffspfadsimulationen einbezogen hat, sowie die Angriffsrisikobewertungen, die Risk Engine für jede Ressource berechnet hat.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Ressourcen filtern

In Schnellfiltern können Sie nach Projekt-ID, Ressourcentyp und Standort filtern.

Informationen zur Verwendung von Schnellfiltern erhalten Sie, wenn Sie auf den Tab für die verwendete Konsole klicken.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Wählen Sie im Bereich Schnellfilter einen oder mehrere Attributfilter aus, um sie einer Abfrage hinzuzufügen.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. So filtern Sie nach Ressourcen mit bestimmten Attributwerten:
    1. Klicken Sie im Bereich Filter auf einen Attributwert und dann auf Nur anzeigen. Die Abfrage wird entsprechend aktualisiert.
    2. Wenn Sie der Abfrage einen weiteren Attributwert hinzufügen möchten, klicken Sie auf den Attributwert und dann auf und nur anzeigen.
    3. Um einen Attributwert aus der Abfrage zu entfernen, klicken Sie auf den Attributwert und dann auf Nicht nur anzeigen.
  3. Um einen Attributwert zu kopieren, klicken Sie darauf und dann auf Kopieren.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Ressourcenabfragen bearbeiten

Weitere Informationen zum Bearbeiten von Ressourcenabfragen erhalten Sie, wenn Sie auf den Tab der verwendeten Konsole klicken.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Klicken Sie auf den Tab Asset-Abfrage.
  3. Bearbeiten Sie die Abfrage auf eine der folgenden Arten:
    • Wählen Sie auf dem Unter-Tab Abfragebibliothek eine vordefinierte Abfrage aus. Klicken Sie auf Anwenden. Die Abfrage im Bereich Abfrage bearbeiten wird entsprechend aktualisiert.
    • Klicken Sie im Bereich Tabelle auswählen auf den Ressourcentyp, den Sie abfragen möchten. Suchen Sie auf dem Unter-Tab Schema das Attribut, das Sie der Abfrage hinzufügen möchten. Das Attribut wird im Bereich Abfrage bearbeiten hinzugefügt.
    • Bearbeiten Sie die Abfrage direkt im Bereich Abfrage bearbeiten.
  4. Klicken Sie auf Ausführen. Die Abfrageergebnisse werden entsprechend aktualisiert.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie auf Filter hinzufügen. Das Dialogfeld Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ressourcenattribute und -werte auswählen.
  3. Wählen Sie unter Filter ein Attribut aus, nach dem gefiltert werden soll.
  4. Legen Sie die Filterbewertungsoption und den Attributwert fest. Die verfügbaren Bewertungsoptionen unterscheiden sich je nach ausgewähltem Attribut.
    • Wenn Sie nach Ressourcen mit einem bestimmten Attributwert filtern möchten, wählen Sie Nur anzeigen aus. Wählen Sie in der Liste Wert den Attributwert aus.
    • Um nach Ressourcen zu filtern, deren Attributwert einen bestimmten String enthält, wählen Sie Enthält aus. Geben Sie den String in das Feld Wert ein.
    • Wählen Sie Vor oder Nach aus, um Ressourcen anhand eines Zeitstempels zu filtern. Geben Sie im Feld Wert den Zeitstempel ein.
  5. So fügen Sie einen weiteren Filter hinzu:
    1. Klicken Sie auf Filter hinzufügen.
    2. Legen Sie das Attribut, die Auswertungsoption und den Attributwert fest.
    3. Legen Sie die logische Beziehung zwischen den Filtern fest. Wählen Sie für Logischer Operator AND oder OR aus.
  6. Klicken Sie auf Anwenden. Der Abfrageeditor wird aktualisiert und die Abfrageergebnisse werden entsprechend gefiltert.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Änderungen an einer Ressource ansehen

Sie können Snapshots der Metadaten einer Ressource vergleichen, um zu sehen, was sich geändert hat.

Klicken Sie auf den Tab der verwendeten Konsole, um Informationen dazu zu erhalten, wie Sie die Änderungen an einer Ressource im Zeitverlauf ansehen können.

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Suchen Sie die Ressource, die Sie prüfen möchten, indem Sie scrollen oder die entsprechenden Filter auf die aufgeführten Ressourcen anwenden.
  3. Klicken Sie im Ergebnisbereich in der Liste der Ressourcen auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
  4. Klicken Sie im Detailbereich der Ressource auf den Tab Änderungsverlauf.
  5. Wählen Sie auf dem Tab Änderungsverlauf eine Beginn und eine Ende aus.
  6. Wählen Sie links in der Liste Eintrag zum Vergleichen auswählen einen Snapshot aus.
  7. Wählen Sie rechts in der Liste Eintrag zum Vergleichen auswählen einen Snapshot aus, der mit dem ersten ausgewählten Snapshot verglichen werden soll. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations-Konsole die Seite Ressourcen auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Suchen Sie die Ressource, die Sie prüfen möchten, indem Sie scrollen oder die entsprechenden Filter auf die aufgeführten Ressourcen anwenden.
  3. Klicken Sie im Ergebnisbereich in der Liste der Ressourcen auf den Namen der Ressource. Der Detailbereich für die Ressource wird geöffnet.
  4. Klicken Sie im Detailbereich der Ressource auf den Tab Änderungsverlauf.
  5. Wählen Sie links in der Liste Vergleichen einen Snapshot aus.
  6. Wählen Sie rechts in der Liste Vergleichen einen Snapshot aus, der mit dem ersten ausgewählten Snapshot verglichen werden soll. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.

Dieses Feature befindet sich in der Vorabversion und ist nur für Security Command Center Enterprise-Kunden verfügbar.

Ressourcen nach dem Zeitstempel „Erstellt“ oder „Zuletzt aktualisiert“ filtern

Weitere Informationen zum Filtern von Ressourcen nach Zeitstempel erhalten Sie, wenn Sie auf den Tab der verwendeten Konsole klicken.

Google Cloud Console

Sie können die Ressourcen im Ergebnisbereich auf der Seite Assets nach dem Zeitstempel Erstellt und Zuletzt aktualisiert filtern oder sortieren.

Gehen Sie so vor, um einen Filter basierend auf dem Zeitstempel Created und/oder Last updated einzurichten:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Bewegen Sie auf der Seite Assets oben im Ergebnisbereich den Cursor in das Feld Filter. Ein Menü mit Filtern wird geöffnet.
  3. Scrollen Sie zum Abschnitt Erstellungszeit oder Zeitpunkt aktualisieren und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel: Update time after. Dem Feld Filter wird ein Filter hinzugefügt.
  4. Geben Sie in das Filterfeld ein Datum im Format MM/DD/YYYY ein und drücken Sie die Eingabetaste auf der Tastatur.

Die Ressourcen im Ergebnisbereich werden aktualisiert und zeigen nur die Ressourcen an, die Ihrem Filter entsprechen.

Security Operations-Konsole

Diese Funktion ist in der Security Operations-Konsole nicht verfügbar.

Seite „Assets“ in der Google Cloud Console anpassen

Sie können einige der Elemente, die auf der Seite Assets angezeigt werden, anpassen, um den Platz auf dem Bildschirm anzupassen.

Spalten ein- oder ausblenden

Sie können jede Spalte mit Ausnahme von Anzeigename ausblenden. So blenden Sie eine Spalte aus:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu „Assets“

  2. Klicken Sie rechts oben im Ergebnisbereich auf das Symbol für die Spaltenanzeigeoptionen .

  3. Im angezeigten Menü können Sie eine Spalte ein- oder ausblenden, indem Sie das Kästchen neben dem Spaltennamen aktivieren oder deaktivieren.

Schnellfilterbereich ausblenden oder seine Größe anpassen

Sie können die folgenden Optionen ändern, um den Bildschirmbereich für die Seite Assets zu steuern:

  • Blenden Sie die Seitenleiste Schnellfilter aus, indem Sie auf den Linkspfeil klicken.
  • Ändern Sie die Größe der angezeigten Spalten, indem Sie die Trennlinie nach links oder rechts ziehen.

Nächste Schritte