检查与发现结果相关的资源

本页面介绍了如何使用云资源来改善安全状况、修复安全问题和应对威胁。

在 Security Command Center 中,您可以对资源执行的部分操作包括:

  • 查看资源
  • 查询资源
  • 检查资源详情
  • 查看与资源相关的发现结果

获取所需的权限

本部分列出了在控制台中使用资源所需的 IAM 角色。

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中使用资源,您需要以下 IAM 角色。

确保您拥有组织的以下一个或多个角色:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

检查角色

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM
  2. 选择组织。

  3. 主账号列中,找到您的电子邮件地址所在的行。

    如果您的电子邮件地址不在此列,则表示您没有任何角色。

  4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

授予角色

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的电子邮件地址。
  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

如需详细了解 Security Command Center 角色和权限,请参阅用于组织级激活的 IAM

Security Operations 控制台 IAM 角色

如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中使用资源。您需要以下任一 IAM 角色:

  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

如需了解如何向用户授予角色,请参阅使用 IAM 映射和授权用户

资源页面

资源列在 Google Cloud 控制台中资产页面的查询结果中,而对于 Security Command Center Enterprise 客户,则列在 Security Operations 控制台中的资源页面中。

如果在组织级层激活了 Security Command Center,您可以查看整个组织的资源,也可以按特定项目、资源类型和位置过滤资源。

如果在项目级激活了 Security Command Center,您可以在 Google Cloud 控制台中按资源类型和位置过滤资源。

资源列表由 Cloud Asset Inventory 提供。在大多数情况下,在 Google Cloud 环境中创建、修改或移除资源后,Cloud Asset Inventory 会在几分钟内更新该列表。

如需详细了解 Cloud Asset Inventory,请参阅 Cloud Asset Inventory 简介

在 Security Command Center Enterprise 控制台中使用资源

如果您是 Security Command Center Enterprise 客户,则可以在两个控制台中使用资源:

  • Google Cloud 控制台资产页面:在所有服务层级中提供
  • Security Operations 控制台资源页面:仅在企业版层级中提供

Security Operations 控制台中的资源页面目前为预览版。

在此页面上,在两个控制台中使用资源的步骤在单独的标签页上并排介绍了。

如需了解详情,请参阅 Security Command Center Enterprise 控制台

查看资源

如需了解如何查看资源,请点击您所用控制台对应的标签页。

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 选择您的 Google Cloud 项目或组织。

Security Operations 控制台

在 Security Operations 控制台中,前往资源页面。 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。

如需详细了解此控制台,请参阅安全操作控制台

对资源进行排序

如需对资源进行排序,请点击要作为排序依据的值的列标题。列先按数字排序,然后按字母顺序排序。

过滤资源

本部分介绍如何在 Security Command Center 中运行常见查询以查看您的资源。

默认情况下,所选项目、文件夹或组织中的所有资源都会显示在查询结果中。您可以使用快速过滤条件或指定自定义程度更高的过滤条件来过滤特定资源的结果。如需了解详情,请点击您所用控制台对应的标签页。

Google Cloud 控制台

如需按资源类型、项目 ID 或位置过滤结果,请使用快速过滤条件面板。

如需查看上次攻击路径模拟中包含的 Risk Engine 的高价值资源,请点击高价值资源集标签页。您还可以查看 Risk Engine 为每个资源计算的攻击风险得分。

如需应用预构建的过滤条件来查看资源数据,请点击 Asset query 标签页。

Security Operations 控制台

Google Cloud 资源标签页的过滤条件面板中,您可以按资源类型、项目 ID 或位置过滤结果。

高价值资源集标签页中,您可以查看 Risk Engine 在上次攻击路径模拟中包含的高价值资源,以及 Risk Engine 为每项资源计算的攻击风险得分。

此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。

过滤资源

在快速过滤条件中,您可以按项目 ID、资源类型和位置进行过滤。

如需了解如何使用快速过滤条件,请点击您所用控制台对应的标签页。

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 快速过滤条件面板中,选择一个或多个属性过滤条件以将其添加到查询中。

Security Operations 控制台

  1. 在 Security Operations 控制台中,前往资源页面。 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 如需过滤具有特定属性值的资源,请按以下步骤操作:
    1. 过滤条件面板中,点击属性值,然后点击仅显示。查询会进行相应更新。
    2. 如需向查询添加其他属性值,请点击属性值,然后点击并仅显示
    3. 要从查询中移除属性值,请点击属性值,然后点击不显示
  3. 如需复制属性值,请点击属性值,然后点击复制

此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。

修改资源查询

如需了解如何修改资源查询,请点击您所使用的控制台所对应的标签页。

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 点击资产查询标签页。
  3. 您可以通过以下任一方式修改查询:
    • 查询库子标签页上,选择一个预构建的查询。点击应用修改查询面板中的查询会进行相应更新。
    • 选择表面板中,点击要查询的资源类型。在架构子标签页中,找到要添加到查询中的属性。该属性将添加到修改查询面板中。
    • 直接在修改查询面板中修改查询。
  4. 点击运行。查询结果会进行相应更新。

Security Operations 控制台

  1. 在 Security Operations 控制台中,前往资源页面。 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 点击 添加过滤条件。此时将显示 Filters 对话框。此对话框可让您选择支持的资源特性和值。
  3. 对于过滤条件,选择要用作过滤条件的属性。
  4. 设置过滤条件评估选项和属性值。可用的评估选项因您选择的属性而异。
    • 如需过滤具有特定属性值的资源,请选择仅显示。在列表中,选择属性值。
    • 如需过滤属性值中包含特定字符串的资源,请选择包含。在字段中,输入字符串。
    • 如需根据时间戳过滤资源,请选择之前之后。在字段中,输入时间戳。
  5. 如需添加其他过滤条件,请按以下步骤操作:
    1. 点击添加过滤条件
    2. 设置属性、评估选项和属性值。
    3. 设置过滤器之间的逻辑关系。对于逻辑运算符,选择 ANDOR
  6. 点击应用。系统会更新查询编辑器,并相应地过滤查询结果。

此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。

查看对资源的更改

您可以比较资源的元数据快照,以查看更改内容。

如需了解如何查看一段时间内资源更改,请点击您所用控制台的标签页。

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 通过滚动或对列出的资源应用适当的过滤条件,找到需要查看的资源。
  3. 在结果面板的资源列表中,点击相应资源的名称。系统会打开相应资源的详细信息面板。
  4. 在该资源的详细信息面板中,点击更改历史记录标签页。
  5. 更改历史记录标签页上,同时选择开始时间结束时间
  6. 在左侧的选择要比较的记录列表中,选择一个快照。
  7. 在右侧的选择要比较的记录列表中,选择要与您选择的第一个快照进行比较的快照。两个快照之间的更改将突出显示。

Security Operations 控制台

  1. 在 Security Operations 控制台中,前往资源页面。 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 通过滚动或对列出的资源应用适当的过滤条件,找到需要查看的资源。
  3. 在结果面板的资源列表中,点击相应资源的名称。系统会打开相应资源的详细信息面板。
  4. 在该资源的详细信息面板中,点击更改历史记录标签页。
  5. 在左侧的比较列表中,选择一个快照。
  6. 在右侧的比较列表中,选择要与您选择的第一个快照进行比较的快照。两个快照之间的更改将突出显示。

此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。

按资源的创建时间戳或上次更新时间戳过滤资源

如需了解如何按时间戳过滤资源,请点击您所用控制台对应的标签页。

Google Cloud 控制台

您可以在资产页面的结果面板中按创建上次更新时间时间戳对资源进行过滤或排序。

如需根据创建时间戳和/或上次更新时间时间戳进行过滤,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 素材资源页面的结果面板顶部,将光标置于过滤条件字段。系统会打开过滤条件菜单。
  3. 滚动到创建时间更新时间部分,然后选择其中一个基于时间的过滤条件选项。例如 Update time after。系统会在过滤条件字段中添加一个过滤条件。
  4. 在过滤条件字段中,按 MM/DD/YYYY 格式输入一个日期,然后按键盘上的 Enter 键。

结果面板中的资源会更新,以仅显示与过滤条件匹配的资源。

Security Operations 控制台

Security Operations 控制台中不提供此功能。

在 Google Cloud 控制台中自定义“资产”页面

如需控制屏幕空间,您可以自定义 Assets 页面上显示的一些元素。

隐藏或显示列

您可以隐藏除显示名称之外的任何列。如需隐藏列,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“资产”

  2. 在右侧的结果面板顶部,点击列显示选项图标

  3. 在显示的菜单中,您可以通过选中或取消选中列名称旁边的复选框来显示或隐藏列。

隐藏“快捷过滤器”面板或调整其大小

要控制资产页面的屏幕空间,您可以更改以下选项:

  • 通过点击向左箭头 隐藏快速过滤条件侧面板。
  • 通过向左或向右拖动分界线来调整显示列的大小。

后续步骤