Inspeccionar recursos relacionados con hallazgos

En esta página, se describe cómo trabajar con recursos en la nube para los fines de mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a de supervisión para reconocer y validar amenazas.

En Security Command Center, algunas de las acciones que puedes realizar en los recursos incluyen lo siguiente:

  • Ver recursos
  • Consulta los recursos
  • Inspecciona los detalles de los recursos
  • Revisar los resultados relacionados con un recurso

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM con los que debes trabajar recursos en la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con recursos en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Asegúrate de tener los siguientes roles en la organización:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

    Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

  4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para las activaciones a nivel de la organización.

Roles de IAM de la consola de operaciones de seguridad

Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en la consola de operaciones de seguridad. Necesitas cualquiera de los los siguientes roles de IAM:

  • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con la IAM.

Página de recursos

Los recursos se enumeran en los resultados de la consulta de la página Recursos en la la consola de Google Cloud y para Security Command Center Enterprise clientes: la página Recursos de la Consola de operaciones de seguridad.

Si Security Command Center se activa a nivel de la organización , puedes ver los recursos de toda tu organización o filtrar recursos por proyectos, tipos de recursos y ubicación específicos.

Si Security Command Center se activa en el proyecto de recursos, puedes filtrar los recursos por tipo y ubicación en la Consola de Google Cloud

Cloud Asset Inventory proporciona la lista de recursos. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista minutos después de que se crean los recursos, modificar o quitar en tu entorno de Google Cloud.

Para obtener más información sobre Cloud Asset Inventory, consulta Introducción a Cloud Asset Inventory.

Trabaja con recursos en las consolas de Security Command Center Enterprise

Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en dos consolas:

  • Página Recursos de la consola de Google Cloud: disponible en todos los niveles de servicio
  • Página Recursos de la consola de operaciones de seguridad: disponible en Solo nivel Enterprise

La página Recursos de la La consola de operaciones de seguridad está en versión preliminar.

En esta página, sigue los pasos para trabajar con recursos en las dos consolas: que se describen una al lado de la otra en pestañas separadas.

Para obtener más información, consulta Security Command Center Enterprise consolas.

Ver recursos

Para obtener información sobre cómo ver tus recursos, haz clic en la pestaña la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Selecciona tu organización o proyecto de Google Cloud.

Consola de operaciones de seguridad

En la consola de Operaciones de seguridad, ve a la página Recursos. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

Ordenar recursos

Para ordenar los recursos, haz clic en el encabezado de la columna del valor que quieres ordenar. por. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

Filtrar recursos

En esta sección, se describe cómo ejecutar consultas comunes para revisar los recursos en Security Command Center.

De forma predeterminada, todos los recursos del proyecto, la carpeta o la organización seleccionados se encuentran que se muestra en los resultados de la consulta. Puedes filtrar los resultados recursos usando filtros rápidos o especificando filtros más personalizados. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

Para filtrar los resultados por tipo de recurso, ID del proyecto o ubicación, usa el menú filtros.

Para ver el valor alto recursos que Risk Engine incluyó en la última ruta de ataque simulaciones, haz clic en la pestaña Conjunto de recursos de alto valor. También puedes consultar el puntuaciones de exposición a ataques que Risk Engine calculó para cada recurso.

Si deseas aplicar filtros precompilados para revisar los datos de recursos, haz clic en el botón Asset de gcloud.

Consola de operaciones de seguridad

En la pestaña Recursos de Google Cloud, Filters, puedes filtrar los resultados por recurso el tipo, el ID del proyecto o la ubicación.

La pestaña Conjunto de recursos de alto valor te permite ver el conjunto de recursos de alto valor recursos que Risk Engine incluyó en la última ruta de ataque al igual que las puntuaciones de exposición a ataques que Risk Engine calculó para cada recurso.

Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Filtrar recursos

Con los filtros rápidos, puedes filtrar por ID del proyecto, tipo de recurso y ubicación.

Para obtener información sobre cómo usar los filtros rápidos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En el panel Filtros rápidos, selecciona uno o más filtros de atributos para agregarlos a una consulta.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Para filtrar los recursos que tienen valores de atributos específicos, haz lo siguiente: sigue estos pasos:
    1. En el panel Filtros, haz clic en un valor del atributo y haz clic en Mostrar solo. Se actualiza la consulta según corresponda.
    2. Para agregar otro valor de atributo a la consulta, haz clic en el el valor del atributo y haga clic en Mostrar solo.
    3. Para quitar el valor de un atributo de la consulta, haz clic en el valor del atributo y haz clic en No mostrar solo.
  3. Para copiar el valor de un atributo, haz clic en el valor del atributo y, luego, en Copiar.

Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Editar consultas de recursos

Para obtener información sobre cómo editar las consultas de recursos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Haz clic en la pestaña Consulta de recursos.
  3. Edita la consulta de cualquiera de las siguientes maneras:
    • En la pestaña secundaria Biblioteca de consultas, selecciona una consulta ya compilada. Haz clic en Aplicar. La consulta del panel Editar consulta es se actualicen según corresponda.
    • En el panel Seleccionar tabla, haz clic en el tipo de recurso que deseas. para hacer la consulta. En la pestaña secundaria Esquema, busca el atributo que que quieres agregar a la consulta. El atributo se agrega a la consulta de edición. panel.
    • Edita la consulta directamente en el panel Editar consulta.
  4. Haz clic en Ejecutar. Los resultados de la consulta se actualizan según corresponda.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Haz clic en Agregar filtro. Los Filtros . Este diálogo te permite elegir atributos de recursos admitidos y de salida.
  3. En Filtro, selecciona un atributo para filtrar. .
  4. Establece la opción de evaluación del filtro y el valor del atributo. Los recursos opciones de evaluación difieren según el atributo que hayas seleccionado.
    • Para filtrar los recursos que tienen un valor de atributo específico, selecciona Mostrar solo: En la lista Valor, selecciona el valor del atributo.
    • Para filtrar los recursos que tienen un valor de atributo que contiene un específica, selecciona Contiene. En el campo Valor, ingresa la cadena.
    • Para filtrar los recursos en función de una marca de tiempo, selecciona Antes o Después. En el campo Valor, ingresa la marca de tiempo.
  5. Para agregar otro filtro, sigue estos pasos:
    1. Haga clic en Agregar filtro.
    2. Establece el atributo, la opción de evaluación y el atributo valor.
    3. Establece la relación lógica entre los filtros. Para Logical , selecciona AND o OR.
  6. Haz clic en Aplicar. El editor de consultas se actualiza y los resultados de la consulta se filtran según corresponda.

Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Visualiza los cambios a un recurso

Puedes comparar instantáneas de los metadatos de un recurso para ver qué cambió.

Para obtener información sobre cómo ver los cambios a un recurso en el tiempo, haz clic en de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Ubica el recurso que necesitas revisar desplazándote o aplicando los filtros adecuados a los recursos enumerados.
  3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del recurso.
  4. En el panel de detalles del recurso, haz clic en el Historial de cambios. .
  5. En la pestaña Historial de cambios, seleccione una Hora de inicio y una Hora de finalización:
  6. A la izquierda, en la lista Seleccionar un registro para comparar, selecciona un instantánea.
  7. A la derecha, en la lista Seleccionar un registro para comparar, selecciona un instantánea para comparar con la primera que seleccionaste. Los cambios entre las dos instantáneas se destacan.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Ubica el recurso que necesitas revisar desplazándote o aplicando los filtros adecuados a los recursos enumerados.
  3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del recurso.
  4. En el panel de detalles del recurso, haz clic en el Historial de cambios. .
  5. En la lista Comparar de la izquierda, selecciona una instantánea.
  6. En la lista Comparar de la derecha, selecciona una instantánea para comparar con la primera que seleccionaste. Los cambios entre las dos instantáneas se destacan.

Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Filtrar recursos por marca de tiempo de creación o última actualización

Para obtener información sobre cómo filtrar recursos por marca de tiempo, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

Puedes ordenar o filtrar los recursos en el panel de resultados de la En la página Assets, según las marcas de tiempo Created y Last updated

Para un filtro basado en la marca de tiempo Created, Last updated marca de tiempo, o ambas, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En la parte superior del panel de resultados de la página Recursos, coloca cursor en el campo Filtro. Se abrirá un menú de filtros.
  3. Desplázate hasta la sección Crear hora o Hora de actualización, y selecciona una opción. de las opciones de filtro basadas en el tiempo. Por ejemplo: Update time after. Se agrega un filtro al campo Filtro.
  4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY. y presiona Intro en el teclado.

Los recursos en el panel de resultados se actualizan para mostrar solo los recursos que coincidan con el filtro.

Consola de operaciones de seguridad

Esta función no está disponible en la consola de operaciones de seguridad.

Personaliza la página Recursos en la consola de Google Cloud

Para controlar el espacio en pantalla, puedes personalizar algunos de los elementos que aparecen en la página Activos.

Cómo ocultar o mostrar columnas

Puedes ocultar cualquier columna, excepto la de Nombre visible. Para ocultar la columna, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En la parte superior del panel de resultados a la derecha, haz clic en ícono de Opciones de visualización de columnas .

  3. En el menú que aparece, puedes ocultar o mostrar una columna. Para ello, selecciona o anula la selección de la casilla de verificación junto al nombre de la columna.

Cómo ocultar o cambiar el tamaño del panel Filtros rápidos

Para controlar el espacio en pantalla de la página Recursos, puedes cambiar el las siguientes opciones:

  • Para ocultar el panel lateral Filtros rápidos, haz clic en el botón izquierdo. flecha, .
  • Cambia el tamaño de las columnas de la pantalla arrastrando la línea divisoria hacia la izquierda o bien.

¿Qué sigue?