Controllare gli asset monitorati da Security Command Center

Questa pagina descrive come visualizzare, eseguire query e ispezionare le risorse cloud allo scopo di migliorare la tua postura di sicurezza, risolvere i problemi di sicurezza e rispondere alle minacce.

In Security Command Center, alcune delle azioni che puoi eseguire sugli asset includono quanto segue:

Ottieni le autorizzazioni richieste

Questa sezione elenca i ruoli IAM necessari per lavorare con gli asset nella console.

Ruoli IAM della console Google Cloud

Per utilizzare gli asset nella console Google Cloud, devi disporre dei seguenti ruoli IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Ruoli IAM della console Security Operations

    Se sei un cliente di Security Command Center Enterprise, puoi utilizzare gli asset nella console Security Operations. Devi disporre di uno dei seguenti ruoli IAM:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

    Elenco di asset in Security Command Center

    Gli asset sono elencati nei risultati della query della pagina Asset nella console Google Cloud e, per i clienti di Security Command Center Enterprise, nella pagina Risorse nella console Security Operations.

    Se Security Command Center è attivato a livello di organizzazione, puoi visualizzare gli asset per l'intera organizzazione o filtrarli in base a progetti, tipi di risorse e località specifici.

    Se Security Command Center è attivato a livello di progetto, puoi filtrare gli asset in base al tipo di risorsa e alla posizione nella console Google Cloud.

    L'elenco delle risorse è fornito da Cloud Asset Inventory. Nella maggior parte dei casi, Cloud Asset Inventory aggiorna l'elenco entro pochi minuti dalla creazione, dalla modifica o dalla rimozione degli asset nel tuo ambiente Google Cloud.

    Per ulteriori informazioni su Cloud Asset Inventory, consulta Introduzione a Cloud Asset Inventory.

    Utilizzo degli asset nelle console di Security Command Center Enterprise

    Se sei un cliente di Security Command Center Enterprise, puoi gestire gli asset in due console:

    • Pagina Asset della console Google Cloud: disponibile in tutti i livelli di servizio
    • Pagina Risorse della console Security Operations: disponibile solo nel livello Enterprise

    La pagina Risorse nella console Security Operations è in anteprima.

    In questa pagina, i passaggi per lavorare con gli asset nelle due console sono descritti affiancati in schede separate.

    Per ulteriori informazioni, consulta Console di Security Command Center Enterprise.

    Visualizza tutti gli asset

    Per informazioni su come visualizzare le risorse, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

    Console Security Operations

    Nella console Security Operations, vai alla pagina Risorse. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    Per ulteriori informazioni su questa console, consulta la console Security Operations.

    Ordinare gli asset

    Per ordinare le risorse, fai clic sull'intestazione della colonna del valore in base al quale vuoi ordinare. Le colonne sono ordinate in ordine numerico e poi alfabetico.

    Cercare asset

    Per impostazione predefinita, tutti gli asset dell'organizzazione vengono visualizzati nei risultati della query. Per cercare asset specifici in Security Command Center, puoi utilizzare i filtri rapidi o specificare filtri personalizzati.

    Eseguire una ricerca di alto livello utilizzando i filtri rapidi

    Per eseguire una ricerca di alto livello delle risorse, puoi utilizzare i filtri rapidi. Ad esempio, puoi cercare per progetto, tipo di risorsa o località. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Nel riquadro Filtri rapidi, seleziona uno o più filtri degli attributi per aggiungerli a una query.

    Console Security Operations

    1. Nella console Security Operations, vai alla pagina Risorse. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    2. Per filtrare in base alle risorse Google Cloud, fai clic su Risorse Google Cloud.
    3. Per filtrare in base alle risorse Amazon Web Services (AWS), fai clic su Risorse AWS.
    4. Per filtrare le risorse in base a valori di attributi specifici: segui questi passaggi:
      1. Nel riquadro Filtri, fai clic su un valore dell'attributo e poi su Mostra solo. La query viene aggiornata di conseguenza.
      2. Per aggiungere un altro valore dell'attributo alla query, fai clic sul valore dell'attributo e poi su e mostra solo.
      3. Per rimuovere un valore dell'attributo dalla query, fai clic sul valore dell'attributo e poi su Non mostrare solo.
    5. Per copiare un valore dell'attributo, fai clic sul valore dell'attributo e poi su Copia.

    Modificare le query sugli asset

    Per informazioni su come modificare le query delle risorse, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Fai clic sulla scheda Query sugli asset.
    3. Modifica la query in uno dei seguenti modi:
      • Nella sottoscheda Libreria delle query, seleziona una query predefinita. Fai clic su Applica. La query nel riquadro Modifica query viene aggiornata di conseguenza.
      • Nel riquadro Seleziona tabella, fai clic sul tipo di asset su cui vuoi eseguire la query. Nella sottoscheda Schema, individua l'attributo che vuoi aggiungere alla query. L'attributo viene aggiunto al riquadro Modifica query.
      • Modifica la query direttamente nel riquadro Modifica query.
    4. Fai clic su Esegui. I risultati della query vengono aggiornati di conseguenza.

    Console Security Operations

    1. Nella console Security Operations, vai alla pagina Risorse. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    2. Per filtrare in base alle risorse Google Cloud, fai clic su Risorse Google Cloud.
    3. Per filtrare in base alle risorse Amazon Web Services (AWS), fai clic su Risorse AWS.
    4. Fai clic su Aggiungi filtro. Viene visualizzata la finestra di dialogo Filtri. Questa finestra di dialogo ti consente di scegliere gli attributi e i valori delle risorse supportati.
    5. In Filtro, seleziona un attributo in base al quale applicare il filtro.
    6. Imposta l'opzione di valutazione del filtro e il valore dell'attributo. Le opzioni di valutazione disponibili variano in base all'attributo selezionato.
      • Per filtrare le risorse in base a un valore dell'attributo specifico, seleziona Mostra solo. Nell'elenco Valore, seleziona il valore dell'attributo.
      • Per filtrare le risorse in base a un valore dell'attributo contenente una determinata stringa, seleziona Contiene. Nel campo Valore, inserisci la stringa.

        L'opzione di valutazione Contiene segue la sintassi di query per l'operatore di corrispondenza parziale del testo. Converte il termine di ricerca in uno o più token utilizzando caratteri speciali come delimitatori e richiede una corrispondenza con un intero token. Per fare corrispondere solo una parte di un token, utilizza un asterisco (*) come indicatore di corrispondenza del prefisso del token.

      • Per filtrare le risorse in base a un timestamp, seleziona Prima o Dopo. Nel campo Valore, inserisci il timestamp.
    7. Per aggiungere un altro filtro:
      1. Fai clic su Aggiungi filtro.
      2. Imposta l'attributo, l'opzione di valutazione e il valore dell'attributo.
      3. Imposta la relazione logica tra i filtri. In Operatore logico, seleziona AND o OR.
    8. Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query vengono filtrati di conseguenza.

    Controllare i dettagli dell'asset

    Questa sezione descrive come scoprire di più sui dettagli di un determinato asset.

    Visualizzare i dettagli di alto livello

    1. Cerca la risorsa.
    2. Nei risultati della query, fai clic sul nome della risorsa. Si apre il riquadro dei dettagli della risorsa, che mostra un riepilogo dei relativi dettagli.

    Visualizzare i dettagli completi di una risorsa

    Per visualizzare tutti i dettagli di una risorsa, inclusi i metadati di basso livello:

    1. Cerca la risorsa.
    2. Nei risultati della query, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
    3. Fai clic sulla scheda Metadati completi. Tutti i nomi e i valori delle proprietà della risorsa vengono visualizzati in una struttura ad albero.
    4. Per cercare un nome o un valore di proprietà specifico nella struttura ad albero, inserisci il nome o il valore nel filtro.
    1. Cerca la risorsa.
    2. Nei risultati della query, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
    3. Fai clic sulla scheda Risultati. Vengono visualizzati tutti i risultati relativi alla risorsa.

    Visualizzare le modifiche apportate a un asset

    Puoi confrontare gli istantanei dei metadati di una risorsa per vedere cosa è cambiato.

    Per informazioni su come visualizzare le modifiche apportate a una risorsa nel tempo, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Cerca la risorsa.
    3. Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
    4. Nel riquadro dei dettagli della risorsa, fai clic sulla scheda Cronologia delle modifiche.
    5. Nella scheda Cronologia delle modifiche, seleziona sia un'ora di inizio sia un'ora di fine.
    6. Nell'elenco Seleziona un record da confrontare a sinistra, seleziona un istantanea.
    7. Nell'elenco Seleziona un record da confrontare a destra, seleziona un snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra i due istantanei sono evidenziate.

    Console Security Operations

    1. Nella console Security Operations, vai alla pagina Risorse. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    2. Cerca la risorsa.
    3. Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
    4. Nel riquadro dei dettagli della risorsa, fai clic sulla scheda Cronologia delle modifiche.
    5. Nell'elenco Confronta a sinistra, seleziona un'immagine istantanea.
    6. Nell'elenco Confronta a destra, seleziona un snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra i due istantanei sono evidenziate.

    Visualizzare i criteri IAM associati a una risorsa

    1. Cerca la risorsa.
    2. Nei risultati della query, fai clic sul nome della risorsa. Viene visualizzato il riquadro dei dettagli della risorsa.
    3. Fai clic sulla scheda Criteri IAM. Vengono visualizzati i criteri IAM associati alla risorsa.

    Visualizza il set di risorse di alto valore

    Puoi visualizzare le risorse di valore elevato incluse da Risk Engine nelle ultime simulazioni del percorso di attacco. Puoi anche visualizzare i punteggi di esposizione agli attacchi calcolati da Risk Engine per ogni risorsa. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Fai clic sulla scheda Set di risorse di alto valore.
    3. Fai clic sulla sottoscheda del fornitore cloud che vuoi visualizzare:
      • Per visualizzare le risorse Google Cloud di alto valore, fai clic su Google. Per visualizzare i dettagli di una risorsa, fai clic sul nome della risorsa.
      • Per visualizzare le risorse Amazon Web Services (AWS) di alto valore, fai clic su AWS.
      • Per visualizzare le risorse Microsoft Azure di alto valore, fai clic su Azure.
    4. Per visualizzare i dettagli della simulazione del percorso di attacco per la risorsa, fai clic sul punteggio di esposizione agli attacchi della risorsa. Per informazioni su come interpretare i percorsi di attacco, consulta Percorsi di attacco.

    Console Security Operations

    Nella console Security Operations puoi visualizzare il set di risorse di alto valore, ma non puoi visualizzare i dettagli della simulazione del percorso di attacco delle risorse. Per visualizzare i dettagli della simulazione del percorso di attacco, utilizza la console Google Cloud.

    Per visualizzare l'insieme di risorse di alto valore nella console Security Operations, segui questi passaggi:

    1. Nella console Security Operations, vai alla pagina Risorse. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    2. Fai clic sulla scheda Set di risorse di alto valore.
    3. Fai clic sulla sottoscheda del fornitore cloud che vuoi visualizzare:
      • Per visualizzare le risorse Google Cloud di alto valore, fai clic su Risorse Google Cloud.
      • Per visualizzare le risorse Amazon Web Services (AWS) di alto valore, fai clic su Risorse AWS.
    4. Per visualizzare i dettagli di una risorsa, fai clic sul relativo nome visualizzato.

    Filtrare gli asset in base al timestamp Creato o Ultimo aggiornamento

    Per informazioni su come filtrare gli asset in base al timestamp, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    Puoi filtrare o ordinare gli asset nel riquadro dei risultati della pagina Asset in base ai timestamp Creato e Ultimo aggiornamento.

    Per applicare un filtro in base al timestamp Creato, al timestamp Ultimo aggiornamento o a entrambi:

    1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

      Vai ad Asset

    2. Nella parte superiore del riquadro dei risultati della pagina Risorse, posiziona il cursore nel campo Filtro. Viene visualizzato un menu di filtri.
    3. Scorri fino alla sezione Data creazione o Data aggiornamento e seleziona una delle opzioni di filtro in base al tempo. Ad esempio, Update time after. Viene aggiunto un filtro al campo Filtro.
    4. Nel campo del filtro, digita una data nel formato MM/DD/YYYY e premi Invio sulla tastiera.

    Gli asset nel riquadro dei risultati vengono aggiornati in modo da mostrare solo quelli che corrispondono al filtro.

    Console Security Operations

    Questa funzionalità non è disponibile nella console Security Operations.

    Personalizzare la pagina dei risultati della query sugli asset

    Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati nei risultati della query.

    Nascondere o mostrare le colonne

    Per informazioni su come nascondere o visualizzare le colonne nei risultati della query, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella parte superiore del riquadro dei risultati, fai clic su view_column Colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Fai clic su Applica per applicare le modifiche ai risultati della query.

    Console Security Operations

    1. Nella parte superiore del riquadro dei risultati, fai clic su view_column Apri selettore di colonne. Viene visualizzato il menu Gestisci colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Chiudi il menu.

    Nascondere o ridimensionare il riquadro dei filtri rapidi

    Per aumentare lo spazio sullo schermo per i risultati della query, puoi nascondere o ridimensionare i riquadri. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    • Per nascondere il riquadro laterale Filtri rapidi, fai clic sulla freccia sinistra first_page.
    • Per visualizzare il riquadro laterale Filtri rapidi, fai clic sulla freccia rivolta verso destra last_page.
    • Per ridimensionare le colonne di visualizzazione, trascina la linea di separazione verso sinistra o verso destra.

    Console Security Operations

    • Per nascondere il riquadro laterale Filtri, fai clic su chevron_left Chiudi barra laterale.
    • Per visualizzare il riquadro laterale Filtri, fai clic su chevron_right Apri barra laterale.

    Passaggi successivi