Assets prüfen, die vom Security Command Center überwacht werden

Auf dieser Seite wird beschrieben, wie Sie Cloud-Assets aufrufen, abfragen und prüfen, um den Sicherheitsstatus zu verbessern, Sicherheitsprobleme zu beheben und auf Bedrohungen zu reagieren.

In Security Command Center können Sie unter anderem folgende Aktionen auf Assets ausführen:

Erforderliche Berechtigungen abrufen

In diesem Abschnitt werden die IAM-Rollen aufgeführt, die Sie benötigen, um mit Assets in der Console zu arbeiten.

IAM-Rollen in der Google Cloud Console

Wenn Sie mit Assets in der Google Cloud Console arbeiten möchten, benötigen Sie die folgenden IAM-Rollen.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Weitere Informationen zu Rollen und Berechtigungen in Security Command Center finden Sie unter IAM für Aktivierungen auf Organisationsebene.

    IAM-Rollen für die Security Operations Console

    Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Assets in der Security Operations Console arbeiten. Sie benötigen eine der folgenden IAM-Rollen:

    • Chronicle SOAR-Administrator (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    Informationen zum Zuweisen der Rolle an einen Nutzer finden Sie unter Nutzer mit IAM zuordnen und autorisieren.

    Liste der Assets in Security Command Center

    Assets werden in den Suchergebnissen auf der Seite Assets in der Google Cloud Console und – für Security Command Center Enterprise-Kunden – auf der Seite Ressourcen in der Security Operations Console aufgeführt.

    Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie sich Assets für Ihre gesamte Organisation ansehen oder sie nach bestimmten Projekten, Ressourcentypen und Standorten filtern.

    Wenn Security Command Center auf Projektebene aktiviert ist, können Sie Assets in der Google Cloud Console nach Ressourcentyp und Standort filtern.

    Die Liste der Assets wird von Cloud Asset Inventory bereitgestellt. In den meisten Fällen aktualisiert Cloud Asset Inventory die Liste innerhalb weniger Minuten, nachdem Assets in Ihrer Google Cloud-Umgebung erstellt, geändert oder entfernt wurden.

    Weitere Informationen zu Cloud Asset Inventory finden Sie unter Einführung in Cloud Asset Inventory.

    Mit Assets in den Security Command Center Enterprise-Konsolen arbeiten

    Wenn Sie Security Command Center Enterprise-Kunde sind, können Sie mit Assets in zwei Konsolen arbeiten:

    • Seite Assets in der Google Cloud Console: verfügbar in allen Dienststufen
    • Seite Ressourcen der Security Operations Console: nur in der Enterprise-Stufe verfügbar

    Die Seite Ressourcen in der Security Operations Console befindet sich in der Vorabversion.

    Auf dieser Seite werden die Schritte zur Arbeit mit Assets in den beiden Konsolen auf separaten Tabs nebeneinander beschrieben.

    Weitere Informationen finden Sie unter Security Command Center Enterprise-Konsolen.

    Alle Assets ansehen

    Klicken Sie auf den Tab der von Ihnen verwendeten Console, um Informationen zum Ansehen Ihrer Assets aufzurufen.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

    Security Operations Console

    Rufen Sie in der Security Operations Console die Seite Ressourcen auf. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    Weitere Informationen zu dieser Console finden Sie unter Security Operations Console.

    Assets sortieren

    Zum Sortieren von Assets klicken Sie auf die Spaltenüberschrift für den Wert, nach dem Sie sortieren möchten. Spalten sind nach numerischen Werten und dann in alphabetischer Reihenfolge sortiert.

    Nach Assets suchen

    Standardmäßig werden alle Assets in der Organisation in den Abfrageergebnissen angezeigt. Wenn Sie in Security Command Center nach bestimmten Assets suchen möchten, können Sie Schnellfilter verwenden oder benutzerdefinierte Filter angeben.

    Mit Schnellfiltern eine allgemeine Suche durchführen

    Mit Schnellfiltern kannst du eine allgemeine Suche in deinen Assets durchführen. Sie können beispielsweise nach Projekt, Ressourcentyp oder Standort suchen. Klicken Sie auf den Tab der Console, die Sie verwenden, um weitere Informationen zu erhalten.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Wählen Sie im Bereich Schnellfilter einen oder mehrere Attributfilter aus, um sie einer Abfrage hinzuzufügen.

    Security Operations Console

    1. Rufen Sie in der Security Operations Console die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Wenn Sie nach Google Cloud-Ressourcen filtern möchten, klicken Sie auf Google Cloud-Ressourcen.
    3. Wenn Sie nach Amazon Web Services-Ressourcen (AWS) filtern möchten, klicken Sie auf AWS-Ressourcen.
    4. So filtern Sie nach Ressourcen mit bestimmten Attributwerten:
      1. Klicken Sie im Bereich Filter auf einen Attributwert und dann auf Nur anzeigen. Die Abfrage wird entsprechend aktualisiert.
      2. Wenn Sie der Abfrage einen weiteren Attributwert hinzufügen möchten, klicken Sie auf den Attributwert und dann auf und nur anzeigen.
      3. Wenn Sie einen Attributwert aus der Abfrage entfernen möchten, klicken Sie auf den Attributwert und dann auf Nur nicht anzeigen.
    5. Wenn Sie einen Attributwert kopieren möchten, klicken Sie auf den Attributwert und dann auf Kopieren.

    Asset-Abfragen bearbeiten

    Klicken Sie auf den Tab der von Ihnen verwendeten Console, um Informationen zum Bearbeiten von Asset-Abfragen aufzurufen.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Klicken Sie auf den Tab Asset-Abfrage.
    3. Sie haben folgende Möglichkeiten, die Abfrage zu bearbeiten:
      • Wählen Sie auf dem Untertab Abfragebibliothek eine vordefinierte Abfrage aus. Klicken Sie auf Übernehmen. Die Abfrage im Bereich Abfrage bearbeiten wird entsprechend aktualisiert.
      • Klicken Sie im Bereich Tabelle auswählen auf den Asset-Typ, für den Sie eine Abfrage ausführen möchten. Suchen Sie auf dem Untertab Schema nach dem Attribut, das Sie der Abfrage hinzufügen möchten. Das Attribut wird dem Bereich Abfrage bearbeiten hinzugefügt.
      • Bearbeiten Sie die Abfrage direkt im Bereich Abfrage bearbeiten.
    4. Klicken Sie auf Ausführen. Die Abfrageergebnisse werden entsprechend aktualisiert.

    Security Operations Console

    1. Rufen Sie in der Security Operations Console die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Wenn Sie nach Google Cloud-Ressourcen filtern möchten, klicken Sie auf Google Cloud-Ressourcen.
    3. Wenn Sie nach Amazon Web Services-Ressourcen (AWS) filtern möchten, klicken Sie auf AWS-Ressourcen.
    4. Klicken Sie auf Filter hinzufügen. Das Dialogfeld Filter wird angezeigt. In diesem Dialogfeld können Sie unterstützte Ressourcenattribute und -werte auswählen.
    5. Wählen Sie unter Filter ein Attribut aus, nach dem gefiltert werden soll.
    6. Legen Sie die Filterauswertungsoption und den Attributwert fest. Die verfügbaren Bewertungsoptionen variieren je nach ausgewähltem Attribut.
      • Wenn Sie nach Ressourcen mit einem bestimmten Attributwert filtern möchten, wählen Sie Nur anzeigen aus. Wählen Sie in der Liste Wert den Attributwert aus.
      • Wenn Sie nach Ressourcen filtern möchten, deren Attributwert einen bestimmten String enthält, wählen Sie Enthält aus. Geben Sie den String in das Feld Wert ein.

        Die Bewertungsoption Enthält folgt der Abfragesyntax für den Operator für teilweise Übereinstimmung von Text. Dabei wird der Suchbegriff in ein oder mehrere Tokens umgewandelt, wobei Sonderzeichen als Trennzeichen verwendet werden. Es muss ein ganzes Token übereinstimmen. Wenn nur ein Teil eines Tokens abgeglichen werden soll, verwenden Sie ein Sternchen (*) als Indikator für die Übereinstimmung mit dem Tokenpräfix.

      • Wenn Sie nach Ressourcen filtern möchten, die vor oder nach einem bestimmten Zeitstempel liegen, wählen Sie Vor oder Nach aus. Geben Sie im Feld Wert den Zeitstempel ein.
    7. So fügen Sie einen weiteren Filter hinzu:
      1. Klicken Sie auf Filter hinzufügen.
      2. Legen Sie das Attribut, die Bewertungsoption und den Attributwert fest.
      3. Legen Sie die logische Beziehung zwischen den Filtern fest. Wählen Sie für Logischer Operator AND oder OR aus.
    8. Klicken Sie auf Anwenden. Der Abfrageeditor wird aktualisiert und die Abfrageergebnisse werden entsprechend gefiltert.

    Asset-Details prüfen

    In diesem Abschnitt wird beschrieben, wie Sie mehr über die Details eines bestimmten Assets erfahren.

    Allgemeine Informationen aufrufen

    1. Suchen Sie nach dem Asset.
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet und zeigt eine Zusammenfassung der Details an.

    Vollständige Details zu einem Asset aufrufen

    So rufen Sie alle Details zu einem Asset auf, einschließlich Metadaten der unteren Ebene:

    1. Suchen Sie nach dem Asset.
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab Vollständige Metadaten. Alle Property-Namen und -Werte des Assets werden in einer Baumstruktur angezeigt.
    4. Wenn Sie im Baum nach einem bestimmten Attributnamen oder -wert suchen möchten, geben Sie den Namen oder Wert in den Filter ein.
    1. Suchen Sie nach dem Asset.
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab Ergebnisse. Alle Ergebnisse, die sich auf das Asset beziehen, werden angezeigt.

    Änderungen an einem Asset ansehen

    Du kannst Snapshots der Metadaten eines Assets vergleichen, um zu sehen, was sich geändert hat.

    Informationen dazu, wie du die Änderungen an einem Asset im Zeitverlauf sehen kannst, findest du auf dem Tab der von dir verwendeten Console.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Suchen Sie nach dem Asset.
    3. Klicken Sie in der Liste der Assets im Steuerfeld „Ergebnisse“ auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    4. Klicken Sie im Detailbereich des Assets auf den Tab Änderungsverlauf.
    5. Wählen Sie auf dem Tab Änderungsverlauf eine Startzeit und eine Endzeit aus.
    6. Wählen Sie links in der Liste Eintrag für Vergleich auswählen einen Snapshot aus.
    7. Wählen Sie rechts in der Liste Eintrag für Vergleich auswählen einen Snapshot aus, den Sie mit dem ersten ausgewählten Snapshot vergleichen möchten. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.

    Security Operations Console

    1. Rufen Sie in der Security Operations Console die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Suchen Sie nach dem Asset.
    3. Klicken Sie in der Liste der Assets im Steuerfeld „Ergebnisse“ auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    4. Klicken Sie im Detailbereich des Assets auf den Tab Änderungsverlauf.
    5. Wählen Sie links in der Liste Vergleichen einen Snapshot aus.
    6. Wählen Sie rechts in der Liste Vergleichen einen Snapshot aus, den Sie mit dem ersten ausgewählten Snapshot vergleichen möchten. Die Änderungen zwischen den beiden Snapshots sind hervorgehoben.

    Mit einem Asset verknüpfte IAM-Richtlinien aufrufen

    1. Suchen Sie nach dem Asset.
    2. Klicken Sie in den Abfrageergebnissen auf den Namen des Assets. Der Detailbereich für das Asset wird geöffnet.
    3. Klicken Sie auf den Tab IAM-Richtlinien. Die mit dem Asset verknüpften IAM-Richtlinien werden angezeigt.

    Satz hochwertiger Ressourcen aufrufen

    Sie können sich die hochwertigen Ressourcen ansehen, die die Risiko-Engine in den letzten Angriffspfadsimulationen berücksichtigt hat. Außerdem können Sie sich die Risikobewertungen ansehen, die die Risiko-Engine für jede Ressource berechnet hat. Klicken Sie auf den Tab der Console, die Sie verwenden, um weitere Informationen zu erhalten.

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
    3. Klicken Sie auf den Untertab für den Cloudanbieter, dessen Daten Sie sich ansehen möchten:
      • Klicken Sie auf Google, um sich wichtige Google Cloud-Ressourcen anzusehen. Klicken Sie auf den Namen einer Ressource, um die Details aufzurufen.
      • Klicken Sie auf AWS, um sich wertvolle Ressourcen zu Amazon Web Services (AWS) anzusehen.
      • Klicken Sie auf Azure, um sich wertvolle Microsoft Azure-Ressourcen anzusehen.
    4. Wenn Sie die Details zur Angriffspfadsimulation für die Ressource aufrufen möchten, klicken Sie auf die Angriffsrisikobewertung der Ressource. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.

    Security Operations Console

    In der Security Operations Console können Sie sich die Gruppe Ihrer hochwertigen Ressourcen ansehen, aber nicht die Details der Angriffspfadsimulation der Ressourcen. Verwenden Sie stattdessen die Google Cloud Console, um die Details zur Simulation des Angriffspfads aufzurufen.

    So rufen Sie den Satz mit wertvollen Ressourcen in der Security Operations Console auf:

    1. Rufen Sie in der Security Operations Console die Seite Ressourcen auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Klicken Sie auf den Tab Satz hochwertiger Ressourcen.
    3. Klicken Sie auf den Untertab für den Cloudanbieter, dessen Daten Sie sich ansehen möchten:
      • Klicken Sie auf Google Cloud-Ressourcen, um sich wichtige Google Cloud-Ressourcen anzusehen.
      • Klicken Sie auf AWS-Ressourcen, um sich wertvolle Amazon Web Services-Ressourcen anzusehen.
    4. Klicken Sie auf den Anzeigenamen einer Ressource, um die Details aufzurufen.

    Assets nach dem Zeitstempel „Erstellt“ oder „Zuletzt aktualisiert“ filtern

    Informationen zum Filtern von Assets nach Zeitstempeln finden Sie auf dem Tab der von Ihnen verwendeten Console.

    Google Cloud Console

    Sie können die Assets im Ergebnisbereich der Seite Assets nach den Zeitstempeln Erstellt und Letzte Aktualisierung filtern oder sortieren.

    So erstellen Sie einen Filter, der auf dem Zeitstempel Erstellt, dem Zeitstempel Zuletzt aktualisiert oder auf beiden basiert:

    1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

      Zu Assets

    2. Bewege den Mauszeiger oben im Bereich „Ergebnisse“ auf der Seite Assets in das Feld Filter. Ein Menü mit Filtern wird geöffnet.
    3. Scrollen Sie zum Bereich Erstellungszeit oder Aktualisierungszeit und wählen Sie eine der zeitbasierten Filteroptionen aus. Beispiel: Update time after. Dem Feld Filter wird ein Filter hinzugefügt.
    4. Geben Sie in das Filterfeld ein Datum im Format MM/DD/YYYY ein und drücken Sie die Eingabetaste.

    Die Assets im Bereich „Ergebnisse“ werden aktualisiert und es werden nur noch Assets angezeigt, die Ihrem Filter entsprechen.

    Security Operations Console

    Diese Funktion ist in der Security Operations Console nicht verfügbar.

    Seite mit den Asset-Abfrageergebnissen anpassen

    Sie können einige der Elemente in den Abfrageergebnissen anpassen, um den Bildschirmbereich zu steuern.

    Spalten aus- oder einblenden

    Informationen zum Ausblenden oder Einblenden von Spalten in den Abfrageergebnissen finden Sie auf dem Tab der von Ihnen verwendeten Console.

    Google Cloud Console

    1. Klicken Sie oben im Bereich mit den Ergebnissen auf view_column Spalten.
    2. Wählen Sie die Spalten aus, die angezeigt werden sollen.
    3. Heben Sie die Auswahl der Spalten auf, die Sie ausblenden möchten.
    4. Klicken Sie auf Übernehmen, um die Änderungen auf die Abfrageergebnisse anzuwenden.

    Security Operations Console

    1. Klicken Sie oben im Bereich „Ergebnisse“ auf view_column Spaltenauswahl öffnen. Das Menü Spalten verwalten wird geöffnet.
    2. Wählen Sie die Spalten aus, die angezeigt werden sollen.
    3. Heben Sie die Auswahl der Spalten auf, die Sie ausblenden möchten.
    4. Schließen Sie das Menü.

    Bereich für Schnellfilter ausblenden oder Größe anpassen

    Wenn Sie mehr Platz für die Abfrageergebnisse benötigen, können Sie Bereiche ausblenden oder ihre Größe anpassen. Klicken Sie auf den Tab der Console, die Sie verwenden, um weitere Informationen zu erhalten.

    Google Cloud Console

    • Wenn Sie die Seitenleiste Schnellfilter ausblenden möchten, klicken Sie auf den linken Pfeil first_page.
    • Klicken Sie auf den Rechtspfeil last_page, um die Seitenleiste Schnellfilter aufzurufen.
    • Wenn Sie die Größe der Anzeigespalten ändern möchten, ziehen Sie die Trennlinie nach links oder rechts.

    Security Operations Console

    • Wenn Sie die Seitenleiste Filter ausblenden möchten, klicken Sie auf chevron_left Seitenleiste schließen.
    • Wenn Sie die Seitenleiste Filter anzeigen möchten, klicken Sie auf chevron_right Seitenleiste öffnen.

    Nächste Schritte