检查资源

本页介绍了如何使用云资源来改善安全状况、修复安全问题和应对威胁。

在 Security Command Center 中,您可以对资源执行的部分操作包括 以下:

获取所需权限

本部分列出了您需要使用的 IAM 角色 管理资源

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中使用资源,您需要具备以下 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存

    8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客户,则可以在安全运营控制台中处理资源。您需要拥有以下任一 IAM 角色:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

    “资源”页面

    资源会列在 Google Cloud 控制台的资产页面(对于 Security Command Center 企业版客户,则是 Security Operations 控制台的资源页面)的查询结果中。

    如果 Security Command Center 在组织级层激活,则可以查看整个组织的资源,也可以按特定项目、资源类型和位置过滤资源。

    如果 Security Command Center 在项目级层激活,您可以在 Google Cloud 控制台中按资源类型和位置过滤资源。

    资源列表由 Cloud Asset Inventory 提供。在大多数情况下 创建资源后,Cloud Asset Inventory 会在几分钟内更新列表, 在 Google Cloud 环境中修改或移除的数据。

    如需详细了解 Cloud Asset Inventory,请参阅 Cloud Asset Inventory 简介

    在 Security Command Center Enterprise 控制台中使用资源

    如果您是 Security Command Center Enterprise 客户,则可以使用相关资源 两个控制台中:

    • Google Cloud 控制台的资产页面:适用于所有服务层级
    • Security Operations 控制台的资源页面:仅在企业版中提供

    资源页的 Security Operations 控制台为预览版。

    本页面中,两个控制台中处理资源的步骤并排在单独的标签页中进行介绍。

    如需了解详情,请参阅 Security Command Center Enterprise 控制台

    查看所有资源

    如需了解如何查看资源,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 选择您的 Google Cloud 项目或组织。

    安全运维控制台

    在 Security Operations 控制台中,转到资源页面。 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    如需详细了解此控制台,请参阅安全操作控制台

    对资源进行排序

    如需对资源进行排序,请点击排序所要依据的值的列标题。列先按数字排序,然后按字母顺序排序。

    搜索资源

    默认情况下,组织中的所有资源 显示在资源查询结果中。如需在 Security Command Center 中搜索特定资源,您可以使用快捷过滤条件或指定自定义过滤条件。

    使用快速过滤条件执行高级搜索

    如需对资源执行概要搜索,您可以使用快捷过滤条件。例如,您可以按项目、资源类型或位置进行搜索。如需了解详情,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”

    2. 快速过滤条件面板中,选择一个或多个属性过滤条件,将其添加到查询。

    Security Operations 控制台

    1. 在安全运营控制台中,前往资源页面。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 如需过滤 Google Cloud 资源,请点击 Google Cloud 资源
    3. 如需过滤出 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 如需过滤出具有特定属性值的资源,请按以下步骤操作:
      1. 过滤条件面板中,点击 属性值,然后点击仅显示。系统会相应地更新查询。
      2. 如需向查询添加其他属性值,请点击相应属性值,然后点击仅显示
      3. 如需从查询中移除属性值,请点击该属性值,然后点击不仅显示
    5. 要复制属性值,请点击属性值,然后点击 复制

    修改资源查询

    要了解如何修改资源查询,请点击 您使用的控制台

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 点击素材资源查询标签页。
    3. 您可以通过以下任一方式修改查询:
      • 查询库子标签页上,选择一个预构建的查询。点击应用修改查询面板中的查询 进行相应更新
      • 选择表面板中,点击要使用的资源类型 作为查询的依据在架构子标签页上,找到 添加到查询中的项目该属性会添加到修改查询面板中。
      • 直接在修改查询面板中修改查询。
    4. 点击运行。查询结果会相应地更新。

    安全运维控制台

    1. 在安全运营控制台中,前往资源页面。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 如需过滤 Google Cloud 资源,请点击 Google Cloud 资源
    3. 要过滤 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 点击 添加过滤条件。系统随即会显示 Filters 对话框。您可以通过此对话框选择受支持的资源属性和值。
    5. 对于过滤条件,请选择要过滤的属性 。
    6. 设置过滤条件评估选项和属性值。可用的 评估选项因您选择的属性而异。
      • 如需过滤出具有特定属性值的资源,请选择仅显示。在列表中,选择属性值。
      • 要过滤属性值包含 特定字符串,请选择包含。在字段中,输入字符串。

        包含评估选项遵循文本部分匹配运算符的查询语法。它会将您的搜索字词转换为一个或多个 使用特殊字符作为分隔符,并且需要整个令牌 进行比对。如需仅匹配令牌的一部分,请使用星号 (*) 作为令牌前缀匹配指示器

      • 如需根据时间戳过滤资源,请选择之前之后。在字段中,输入时间戳。
    7. 要添加其他过滤器,请按以下步骤操作:
      1. 点击添加过滤条件
      2. 设置属性、评估选项和属性 值。
      3. 设置过滤器之间的逻辑关系。对于 Logical 运算符,请选择 ANDOR
    8. 点击应用。查询编辑器会更新,并且查询结果会相应地进行过滤。

    检查资源详情

    本部分介绍了如何详细了解特定 资源。

    查看概要详情

    1. 搜索资源
    2. 在查询结果中,点击资源的名称。系统会打开资源的详细信息面板,并显示其详细信息摘要。

    查看资源的完整详细信息

    如需查看有关资源的所有详细信息(包括低级别元数据),请按照下列步骤操作: 步骤:

    1. 搜索资源
    2. 在查询结果中,点击资源的名称。系统会打开资源的详细信息面板。
    3. 点击完整元数据标签页。资源的所有属性名称和值均以树形结构显示。
    4. 如需在树中搜索特定的媒体资源名称或值,请在过滤条件中输入相应名称或值。
    1. 搜索资源
    2. 在查询结果中,点击相应资源的名称。系统会打开资源的详细信息面板。
    3. 点击发现结果标签页。与该资源相关的所有发现结果均 。

    查看对资源的更改

    您可以比较某个资源的元数据快照, 有什么变化

    要了解如何查看一段时间内资源更改情况,请点击 控制台页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 搜索资源
    3. 在结果面板的资源列表中,点击相应资源的名称 资源。系统会打开相应资源的详细信息面板。
    4. 在资源的详细信息面板中,点击更改历史记录标签页。
    5. 更改历史记录标签页上,选择开始时间结束时间
    6. 在左侧的选择要进行比较的记录列表中,选择一个快照。
    7. 在右侧的选择要进行比较的记录列表中,选择要与选择的第一个快照进行比较的快照。系统会突出显示两个快照之间的变化。

    Security Operations 控制台

    1. 在安全运营控制台中,前往资源页面。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 搜索资源
    3. 在结果面板的资源列表中,点击相应资源的名称。系统会打开相应资源的详细信息面板。
    4. 在资源的详细信息面板中,点击更改历史记录标签页。
    5. 在左侧的比较列表中, 快照。
    6. 在右侧的比较列表中, 快照来与您选择的第一个快照进行比较。变更 两个快照之间的映射会突出显示。

    查看与资源关联的 IAM 政策

    1. 搜索资源
    2. 在查询结果中,点击相应资源的名称。以下各项的详细信息面板 资源就会打开
    3. 点击 IAM 政策标签页。关联的 IAM 政策 资源

    查看高价值资源集

    您可以查看风险引擎在上次攻击路径模拟中包含的高价值资源。您还可以查看风险引擎为每个资源计算的攻击风险得分。有关 信息,请点击您所使用的控制台所对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”页面

    2. 点击高价值资源集标签页。
    3. 点击要查看的云服务提供商对应的子标签页:
      • 如需查看高价值的 Google Cloud 资源,请点击 Google。如需查看资源的详细信息,请点击其资源名称。
      • 如需查看高价值的 Amazon Web Services (AWS) 资源,请点击 AWS
      • 如需查看高价值的 Microsoft Azure 资源,请点击 Azure
    4. 如需查看资源的攻击路径模拟详情,请点击相应资源的攻击风险得分。有关如何 如何解读攻击路径 攻击 路径

    Security Operations 控制台

    在安全运营控制台中,您可以查看高价值资源集,但无法查看资源的攻击路径模拟详细信息。查看 攻击路径模拟详细信息,请使用 Google Cloud 控制台 。

    如需查看 Security Operations 控制台中的高价值资源集,请按照 具体步骤:

    1. 在 Security Operations 控制台中,转到资源页面。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    2. 点击高价值资源集标签页。
    3. 点击要查看的云服务提供商对应的子标签页:
      • 如需查看高价值 Google Cloud 资源,请点击 Google Cloud 资源
      • 如需查看高价值 Amazon Web Services (AWS) 资源,请点击 AWS 资源
    4. 如需查看资源的详细信息,请点击其资源显示名称。

    按资源的创建时间戳或上次更新时间戳过滤资源

    如需了解如何按时间戳过滤资源,请点击 您使用的控制台

    Google Cloud 控制台

    您可以在 资产页面上按创建上次更新时间时间戳排序。

    如需根据创建时间戳和/或上次更新时间戳进行过滤,请按以下步骤操作:

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

      前往“素材资源”

    2. 素材资源页面顶部的结果面板顶部,将您的 过滤条件字段中的光标。系统会打开过滤条件菜单。
    3. 滚动到创建时间更新时间部分,然后选择一个基于时间的过滤条件选项。例如 Update time after。系统会将过滤条件添加到过滤条件字段中。
    4. 在过滤条件字段中,采用 MM/DD/YYYY 格式输入日期,然后按键盘上的 Enter 键。

    结果面板中的资源会更新,仅显示与您的过滤条件匹配的资源。

    安全运维控制台

    安全运营控制台中不提供此功能。

    自定义资源页面

    如需控制屏幕空间,您可以自定义查询结果中显示的部分元素。

    隐藏或显示列

    如需了解如何在查询结果中隐藏或显示列,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 在结果面板的顶部,点击 view_column
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 点击应用,将更改应用于查询结果。

    Security Operations 控制台

    1. 在结果面板的顶部,点击 view_column 打开列选择器。系统随即会打开管理列菜单。
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 关闭菜单。

    隐藏快速过滤器面板或调整其大小

    如需为查询结果增加屏幕空间,您可以隐藏或调整面板的大小。如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    • 如需隐藏快捷过滤条件侧边栏,请点击左侧 箭头 first_page
    • 如需显示快速过滤条件侧边栏,请点击右侧的 箭头 last_page
    • 要调整显示列的大小,请向左拖动分界线或 。

    Security Operations 控制台

    • 要隐藏 过滤条件侧边栏,点击 chevron_left 关闭边栏
    • 要显示 过滤条件侧边栏中,点击 chevron_right 打开边栏

    后续步骤