Inspeccionar los recursos monitorizados por Security Command Center

En esta página se describe cómo ver, consultar e inspeccionar recursos en la nube para mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a amenazas.

En Security Command Center, puedes realizar las siguientes acciones en los recursos:

En los niveles de servicio Premium y Enterprise, puedes editar consultas de recursos y ver conjuntos de recursos de alto valor.

Obtener los permisos necesarios

En esta sección se enumeran los roles de gestión de identidades y accesos que necesitas para trabajar con recursos en la consola.

Roles de gestión de identidades y accesos de la consolaGoogle Cloud

Para trabajar con recursos en la consola Google Cloud , necesitas los siguientes roles de gestión de identidades y accesos.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta el artículo sobre la gestión de identidades y accesos para activaciones a nivel de organización.

    Roles de gestión de identidades y accesos de la consola Operaciones de seguridad

    Enterprise

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en la consola de Security Operations. Necesitas alguno de los siguientes roles de gestión de identidades y accesos:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gestor de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestor de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo conceder el rol a un usuario, consulta Asignar y autorizar usuarios con Gestión de identidades y accesos.

    Lista de recursos de Security Command Center

    Los recursos se muestran en los resultados de la consulta de la página Recursos de la consola deGoogle Cloud .

    Si Security Command Center está activado a nivel de organización, puede ver los recursos de toda la organización o filtrarlos por proyectos, tipos de recursos y ubicación específicos.

    Si Security Command Center está activado a nivel de proyecto, puedes filtrar los recursos por tipo y ubicación en laGoogle Cloud consola.

    La lista de recursos la proporciona Inventario de Recursos de Cloud. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista unos minutos después de que se creen, modifiquen o eliminen recursos en tu Google Cloud entorno.

    Para obtener más información sobre Inventario de Recursos de Cloud, consulta el artículo Introducción a Inventario de Recursos de Cloud.

    Ver todos los recursos

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. Selecciona tu Google Cloud organización.

    Ordenar recursos

    Para ordenar los recursos, haz clic en el encabezado de la columna por la que quieras ordenarlos. Las columnas se ordenan por orden numérico y, después, alfabético.

    Buscar recursos

    De forma predeterminada, todos los recursos de la organización se muestran en los resultados de la consulta. Para buscar recursos específicos en Security Command Center, puede usar filtros rápidos o especificar filtros personalizados.

    Hacer una búsqueda de alto nivel con filtros rápidos

    Para hacer una búsqueda general de tus recursos, puedes usar filtros rápidos. Por ejemplo, puedes buscar por proyecto, tipo de recurso o ubicación. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. En la sección Filtros rápidos, selecciona uno o varios filtros de atributos para añadirlos a una consulta.

    Empresa

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. Haga clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
      • Conjunto de recursos de alto valor
    3. Para filtrar los recursos que tienen valores de atributo específicos, siga estos pasos:
      1. En la sección Filtros, haga clic en un valor de atributo y, a continuación, en Mostrar solo. La consulta se actualiza en consecuencia.
      2. Para añadir otro valor de atributo a la consulta, haz clic en el valor de atributo y, a continuación, en y mostrar solo.
      3. Para quitar un valor de atributo de la consulta, haga clic en el valor de atributo y, a continuación, en No mostrar solo.
    4. Para copiar el valor de un atributo, haz clic en el valor del atributo y, a continuación, en Copiar.

    Editar consultas de recursos

    Para obtener información sobre cómo editar consultas de recursos, haga clic en la pestaña de su nivel de servicio.

    Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. Haz clic en la pestaña Consulta de recursos.
    3. Edita la consulta de una de las siguientes formas:
      • En la subpestaña Biblioteca de consultas, haga clic en Aplicar consulta junto a una consulta predefinida para seleccionarla. La consulta de la sección Editar consulta se actualiza.
      • En la subpestaña Biblioteca de consultas, selecciona una consulta predefinida. Haz clic en Aplicar. La consulta de la sección Editar consulta se actualiza.
      • En la sección Seleccionar tabla, haga clic en el tipo de recurso que quiera consultar. En la subpestaña Esquema, busca el atributo que quieras añadir a la consulta. El atributo se añade a la sección Editar consulta.
      • Edita la consulta directamente en la sección Editar consulta.
    4. Haz clic en Ejecutar. Los resultados de la consulta se actualizan.

    Empresa

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Asegúrate de que estás en la pestaña Recursos de Google Cloud.
    3. Haz clic en Consultar recursos.
    4. Edita la consulta de una de las siguientes formas:
      • En la subpestaña Biblioteca de consultas, haga clic en Aplicar consulta junto a una consulta predefinida para seleccionarla. La consulta de la sección Editar consulta se actualiza.
      • En la subpestaña Biblioteca de consultas, selecciona una consulta predefinida. Haz clic en Aplicar. La consulta de la sección Editar consulta se actualiza.
      • En la sección Seleccionar tabla, haga clic en el tipo de recurso que quiera consultar. En la subpestaña Esquema, busca el atributo que quieras añadir a la consulta. El atributo se añade a la sección Editar consulta.
      • Edita la consulta directamente en la sección Editar consulta.
    5. Haz clic en Ejecutar. Los resultados de la consulta se actualizan.

    Filtrar recursos

    Para obtener información sobre cómo filtrar recursos, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. En la subpestaña Recurso, haga clic en el campo situado junto a Filtrar. Se abrirá un menú con opciones de filtrado.
    3. Para filtrar la lista, selecciona una propiedad e introduce un valor. Pulsa Intro para filtrar recursos o añadir más propiedades de filtrado.
    4. Para añadir otro filtro, sigue estos pasos:
      1. Haz clic en el campo situado junto a Filtrar.
      2. Puede definir la relación lógica entre las propiedades. Puedes seleccionar OR. De lo contrario, Security Command Center usará AND como operador lógico de forma predeterminada.
      3. Selecciona un atributo e introduce un valor.
      4. Repite estos pasos para seguir filtrando.
    5. Pulsa Intro para filtrar los recursos.

      Empresa

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haga clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
      • Conjunto de recursos de alto valor
    3. Haz clic en Añadir filtro. Aparecerá el cuadro de diálogo Filtros. Este cuadro de diálogo le permite elegir atributos y valores de recursos admitidos.
    4. En Filtro, seleccione un atributo por el que filtrar.
    5. Define la opción de evaluación del filtro y el valor del atributo. Las opciones de evaluación disponibles varían en función del atributo que haya seleccionado.
      • Para filtrar los recursos que tengan un valor de atributo específico, seleccione Mostrar solo. En la lista Valor, selecciona el valor del atributo.
      • Para filtrar los recursos que tengan un valor de atributo que contenga una cadena específica, selecciona Contiene. En el campo Valor, introduce la cadena.

        La opción de evaluación Contiene sigue la sintaxis de consulta del operador de coincidencia parcial de texto. Convierte el término de búsqueda en uno o varios tokens, usa caracteres especiales como delimitadores y requiere que coincida un token completo. Para que solo coincida una parte de un token, usa un asterisco (*) como indicador de coincidencia de prefijo de token.

      • Para filtrar recursos en función de una marca de tiempo, selecciona Antes o Después. En el campo Valor, introduce la marca de tiempo.
    6. Para añadir otro filtro, sigue estos pasos:
      1. Haz clic en Añadir filtro.
      2. Define el atributo, la opción de evaluación y el valor del atributo.
      3. Define la relación lógica entre los filtros. En Operador lógico, selecciona AND o OR.
    7. Haz clic en Aplicar. El editor de consultas se actualiza y los resultados de la consulta se filtran en consecuencia.

    Inspeccionar los detalles de un recurso

    En esta sección se describe cómo puedes obtener más información sobre los detalles de un recurso concreto.

    Ver los detalles generales

    1. Busca el recurso.
    2. En los resultados de la consulta, haga clic en el nombre del recurso. Se abrirá la sección de detalles del recurso y se mostrará un resumen de sus detalles.

    Ver todos los detalles de un recurso

    Para ver todos los detalles de un recurso, incluidos los metadatos de nivel inferior, sigue estos pasos:

    1. Busca el recurso.
    2. En los resultados de la consulta, haga clic en el nombre del recurso. Se abrirá la sección de detalles del recurso.
    3. Haz clic en la pestaña Metadatos completos. Todos los nombres y valores de las propiedades del recurso se muestran en una estructura de árbol.
    4. Para buscar un nombre o un valor de propiedad concretos en el árbol, introduce el nombre o el valor en el filtro.
    1. Busca el recurso.
    2. En los resultados de la consulta, haga clic en el nombre del recurso. Se abrirá la sección de detalles del recurso.
    3. Haz clic en la pestaña Resultados. Se muestran todos los resultados relacionados con el recurso.

    Ver los cambios de un recurso

    Puedes comparar las instantáneas de los metadatos de un recurso para ver qué ha cambiado.

    Para obtener información sobre cómo ver los cambios que se han hecho en un recurso a lo largo del tiempo, haga clic en la pestaña de la consola que esté usando.

    Estándar o Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. En la lista de recursos, haz clic en el nombre del recurso. Se abrirá la sección de detalles del recurso.
    3. En la sección de detalles del recurso, haz clic en la pestaña Historial de cambios.
    4. En la pestaña Historial de cambios, selecciona una Hora de inicio y una Hora de finalización.
    5. En la lista Selecciona un registro para la comparación de la izquierda, elige una instantánea.
    6. En la lista Selecciona un registro para la comparación de la derecha, elige una instantánea para compararla con la primera que hayas seleccionado. Los cambios entre las dos copias se resaltan.

    Empresa

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. En la lista de recursos, haz clic en el nombre del recurso. Se abrirá la sección de detalles del recurso.
    3. En la sección de detalles del recurso, haz clic en la pestaña Historial de cambios.
    4. En la lista Comparar de la izquierda, selecciona una instantánea.
    5. En la lista Comparar de la derecha, selecciona una captura para compararla con la primera que hayas seleccionado. Los cambios entre las dos copias se resaltan.

    Ver las políticas de gestión de identidades y accesos asociadas a un recurso

    1. Busca el recurso.
    2. En los resultados de la consulta, haga clic en el nombre del recurso. Se abrirá la sección de detalles del recurso.
    3. Haz clic en la pestaña Políticas de gestión de identidades y accesos. Se muestran las políticas de gestión de identidades y accesos asociadas al recurso.

    Ver el conjunto de recursos de alto valor

    Puedes ver los recursos de alto valor que Risk Engine ha incluido en las últimas simulaciones de rutas de ataque. También puede ver las puntuaciones de exposición a ataques que Risk Engine ha calculado para cada recurso. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. Haga clic en la pestaña Conjunto de recursos de valor alto.
    3. Para ver los detalles de la simulación de ruta de ataque del recurso, haz clic en su puntuación de exposición a ataques. Para obtener información sobre cómo interpretar las rutas de ataque, consulta Rutas de ataque.

    Empresa

    Para ver el conjunto de recursos de alto valor, sigue estos pasos:

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. Haga clic en la pestaña Conjunto de recursos de valor alto.
    3. Haga clic en la subpestaña del proveedor de la nube que quiera ver:
      • Para ver los recursos de alto valor, Google Cloud haz clic en Recursos de Google Cloud.
      • Para ver los recursos de Amazon Web Services (AWS) de alto valor, haga clic en Recursos de AWS.
      • Para ver los recursos de Microsoft Azure de alto valor, haga clic en Recursos de Azure.
    4. Para ver los detalles de un recurso, haz clic en su nombre visible.

    Filtrar recursos por su marca de tiempo de creación o de última actualización

    Puedes filtrar u ordenar los recursos de la sección de resultados de la página Recursos por las marcas de tiempo Creado y Última actualización.

    Para aplicar un filtro basado en la marca de tiempo Creado, Última actualización o ambas, haga clic en la pestaña de su nivel de servicio.

    Estándar o Premium

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos

    2. En la parte superior de la sección de resultados de la página Recursos, coloca el cursor en el campo Filtro. Se abre un menú de filtros.
    3. Desplázate hasta la sección Hora de creación u Hora de actualización y selecciona una de las opciones de filtro basadas en la hora. Por ejemplo, Update time after. Se añade un filtro al campo Filtrar.
    4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY y pulsa Intro en el teclado.

    Los recursos de la sección de resultados se actualizan para mostrar solo los que coinciden con el filtro.

    Empresa

    1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haga clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
    3. Haz clic en Añadir filtro. Aparecerá el cuadro de diálogo Filtros. En este cuadro de diálogo, puede elegir atributos y valores de recursos admitidos.
    4. En el campo Filtro, selecciona Hora de creación u Hora de actualización.
    5. Selecciona Antes o Después.
    6. En el campo Valor, escribe una fecha con el formato MM/DD/YYYY HH:MM:SS.
    7. Haz clic en Aplicar.

    Los recursos de la sección de resultados se actualizan para mostrar solo los que coinciden con el filtro.

    Personalizar la página de resultados de la consulta de activos

    Para controlar el espacio de la pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta.

    Ocultar o mostrar columnas

    Para obtener información sobre cómo ocultar o mostrar columnas en los resultados de la consulta, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la parte superior de la sección de resultados, haz clic en Columnas.
    2. Selecciona las columnas que quieras mostrar.
    3. Desmarque las columnas que quiera ocultar.
    4. Haz clic en Aceptar para aplicar los cambios a los resultados de la consulta.

    Empresa

    1. En la parte superior de la sección de resultados, haz clic en view_column Abrir selector de columnas. Se abrirá el menú Gestionar columnas.
    2. Selecciona las columnas que quieras mostrar.
    3. Desmarque las columnas que quiera ocultar.
    4. Cierra el menú.

    Ocultar o cambiar el tamaño de la sección de filtros rápidos

    Para aumentar el espacio de la pantalla destinado a los resultados de las consultas, puedes ocultar o cambiar el tamaño de las secciones. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    • Para ocultar la sección lateral Filtros rápidos, haz clic en la flecha hacia la izquierda first_page.
    • Para mostrar la sección lateral Filtros rápidos, haz clic en la flecha hacia la derecha last_page.
    • Para cambiar el tamaño de las columnas de la pantalla, arrastra la línea divisoria hacia la izquierda o hacia la derecha.

    Empresa

    • Para ocultar la sección lateral Filtros, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar la sección lateral Filtros, haz clic en chevron_right Abrir barra lateral.

    Siguientes pasos