Inspecionar os recursos monitorados pelo Security Command Center

Esta página descreve como visualizar, consultar e inspecionar recursos da nuvem para melhorar sua postura de segurança, remediar problemas de segurança e responder a ameaças.

No Security Command Center, algumas das ações que você pode realizar em recursos incluem:

Conseguir as permissões necessárias

Esta seção lista os papéis do IAM necessários para trabalhar com ativos no console.

Papéis do IAM no console do Google Cloud

Para trabalhar com os recursos no console do Google Cloud, você precisa dos seguintes papéis do IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

    Papéis do IAM no console da Segurança operacional

    Se você for cliente do Security Command Center Enterprise, poderá trabalhar com recursos no console de operações de segurança. Você precisa ter um dos seguintes papéis do IAM:

    • Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gerenciador de ameaças do Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gerenciador de vulnerabilidades do Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para saber como conceder a função a um usuário, consulte Mapear e autorizar usuários usando o IAM.

    Lista de recursos no Security Command Center

    Os recursos são listados nos resultados da consulta da página Recursos no console do Google Cloud e, para clientes do Security Command Center Enterprise, na página Recursos no console do Security Operations.

    Se o Security Command Center estiver ativado no nível da organização, você poderá visualizar os recursos de toda a organização ou filtrar por projeto, tipo de recurso e local específicos.

    Se o Security Command Center estiver ativado no nível do projeto, será possível filtrar os recursos por tipo e local no console do Google Cloud.

    A lista de recursos é fornecida pelo Inventário de recursos do Cloud. Na maioria dos casos, o Inventário de recursos do Cloud atualiza a lista em minutos após os recursos serem criados, modificados ou removidos no ambiente do Google Cloud.

    Para mais informações sobre o Cloud Asset Inventory, consulte Introdução ao Inventário de recursos do Cloud.

    Como trabalhar com recursos nos consoles do Security Command Center Enterprise

    Se você é cliente do Security Command Center Enterprise, pode trabalhar com recursos em dois consoles:

    • Página Recursos do console do Google Cloud: disponível em todos os níveis de serviço
    • Página Resources do console de operações de segurança: disponível apenas no nível Enterprise

    A página Recursos no console de operações de segurança está em visualização.

    Nesta página, as etapas para trabalhar com recursos nos dois consoles são descritas lado a lado em guias separadas.

    Para mais informações, consulte Consoles do Security Command Center Enterprise.

    Ver todos os recursos

    Para saber como visualizar seus recursos, clique na guia do console que você está usando.

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. Selecione a organização ou o projeto do Google Cloud.

    Console de operações de segurança

    No console de operações de segurança, acesse a página Recursos. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    Para mais informações sobre esse console, consulte Console de operações de segurança.

    Classificar recursos

    Para classificar os recursos, clique no cabeçalho da coluna do valor que você quer classificar. As colunas são classificadas por ordem numérica e, em seguida, alfabética.

    Pesquisar recursos

    Por padrão, todos os recursos na organização são exibidos nos resultados da consulta. Para pesquisar recursos específicos no Security Command Center, use filtros rápidos ou especifique filtros personalizados.

    Realizar uma pesquisa de alto nível usando filtros rápidos

    Para realizar uma pesquisa de alto nível dos seus recursos, use filtros rápidos. Por exemplo, é possível pesquisar por projeto, tipo de recurso ou local. Para mais informações, clique na guia do console que você está usando.

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. No painel Filtros rápidos, selecione um ou mais filtros de atributo para adicioná-los a uma consulta.

    Console de operações de segurança

    1. No console de operações de segurança, acesse a página Recursos. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Para filtrar recursos do Google Cloud, clique em Recursos do Google Cloud.
    3. Para filtrar recursos da Amazon Web Services (AWS), clique em Recursos da AWS.
    4. Para filtrar recursos com valores de atributo específicos, siga estas etapas:
      1. No painel Filtros, clique em um valor de atributo e em Mostrar apenas. A consulta é atualizada de acordo.
      2. Para adicionar outro valor de atributo à consulta, clique no valor do atributo e em e mostrar apenas.
      3. Para remover um valor de atributo da consulta, clique no valor do atributo e em Não mostrar apenas.
    5. Para copiar um valor de atributo, clique nele e em Copiar.

    Editar consultas de recursos

    Para saber como editar consultas de recursos, clique na guia do console que você está usando.

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. Clique na guia Consulta de recursos.
    3. Edite a consulta de uma das seguintes maneiras:
      • Na subguia Biblioteca de consultas, selecione uma consulta predefinida. Clique em Aplicar. A consulta no painel Editar consulta é atualizada de acordo.
      • No painel Selecionar tabela, clique no tipo de recurso que você quer consultar. Na subguia Esquema, encontre o atributo que você quer adicionar à consulta. O atributo é adicionado ao painel Editar consulta.
      • Edite a consulta diretamente no painel Editar consulta.
    4. Clique em Executar. Os resultados da consulta são atualizados de acordo com isso.

    Console de operações de segurança

    1. No console de operações de segurança, acesse a página Recursos. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Para filtrar recursos do Google Cloud, clique em Recursos do Google Cloud.
    3. Para filtrar recursos da Amazon Web Services (AWS), clique em Recursos da AWS.
    4. Clique em Adicionar filtro. A caixa de diálogo Filters é exibida. Essa caixa de diálogo permite escolher atributos e valores de recursos compatíveis.
    5. Em Filtro, selecione um atributo para filtrar.
    6. Defina a opção de avaliação do filtro e o valor do atributo. As opções de avaliação disponíveis variam de acordo com o atributo selecionado.
      • Para filtrar recursos com um valor de atributo específico, selecione Mostrar apenas. Na lista Valor, selecione o valor do atributo.
      • Para filtrar recursos que têm um valor de atributo com uma string específica, selecione Contém. No campo Valor, insira a string.

        A opção de avaliação Contains segue a sintaxe de consulta do operador de correspondência parcial de texto. Ele converte seu termo de pesquisa em um ou mais tokens, usando caracteres especiais como delimitadores, e exige que um token inteiro corresponda. Para corresponder apenas a uma parte de um token, use um asterisco (*) como um indicador de correspondência de prefixo de token.

      • Para filtrar recursos com base em um carimbo de data/hora, selecione Antes ou Depois. No campo Valor, insira o carimbo de data/hora.
    7. Para adicionar outro filtro, siga estas etapas:
      1. Clique em Adicionar filtro.
      2. Defina o atributo, a opção de avaliação e o valor do atributo.
      3. Defina a relação lógica entre os filtros. Em Operador lógico, selecione AND ou OR.
    8. Clique em Aplicar. O editor de consulta é atualizado e os resultados da consulta são filtrados de acordo.

    Inspecionar detalhes do recurso

    Esta seção descreve como você pode saber mais sobre os detalhes de um recurso específico.

    Conferir os detalhes de alto nível

    1. Pesquise o recurso.
    2. Nos resultados da consulta, clique no nome do recurso. O painel de detalhes do recurso é aberto e mostra um resumo dos detalhes.

    Conferir todos os detalhes de um recurso

    Para conferir todos os detalhes de um recurso, incluindo metadados de baixo nível, siga estas etapas:

    1. Pesquise o recurso.
    2. Nos resultados da consulta, clique no nome do recurso. O painel de detalhes do recurso será aberto.
    3. Clique na guia Metadados completos. Todos os nomes e valores de propriedade do recurso são mostrados em uma estrutura em árvore.
    4. Para pesquisar um nome ou valor de propriedade específico na árvore, insira o nome ou valor no filtro.
    1. Pesquise o recurso.
    2. Nos resultados da consulta, clique no nome do recurso. O painel de detalhes do recurso será aberto.
    3. Clique na guia Findings. Todos os resultados relacionados ao recurso são exibidos.

    Ver as alterações em um recurso

    É possível comparar snapshots dos metadados de um recurso para ver o que mudou.

    Para saber como conferir as mudanças em um recurso ao longo do tempo, clique na aba do console que você está usando.

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. Pesquise o recurso.
    3. Na lista de recursos no painel de resultados, clique no nome do recurso. O painel de detalhes do recurso será aberto.
    4. No painel de detalhes do recurso, clique na guia Histórico de alterações.
    5. Na guia Histórico de alterações, selecione um Horário de início e um Horário de término.
    6. Na lista Selecionar um registro para comparar à esquerda, selecione um snapshot.
    7. Na lista Selecionar um registro para comparar à direita, selecione um snapshot para comparar com o primeiro que você selecionou. As mudanças entre os dois snapshots são destacadas.

    Console de operações de segurança

    1. No console de operações de segurança, acesse a página Recursos. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Pesquise o recurso.
    3. Na lista de recursos no painel de resultados, clique no nome do recurso. O painel de detalhes do recurso será aberto.
    4. No painel de detalhes do recurso, clique na guia Histórico de alterações.
    5. Na lista Compare à esquerda, selecione um snapshot.
    6. Na lista Compare à direita, selecione um snapshot para comparar com o primeiro que você selecionou. As mudanças entre os dois snapshots são destacadas.

    Conferir as políticas do IAM associadas a um recurso

    1. Pesquise o recurso.
    2. Nos resultados da consulta, clique no nome do recurso. O painel de detalhes do recurso será aberto.
    3. Clique na guia Políticas de IAM. As políticas do IAM associadas ao recurso são exibidas.

    Acessar o conjunto de recursos de alto valor

    Você pode conferir os recursos de alto valor que o Risk Engine incluiu nas últimas simulações de caminho de ataque. Também é possível conferir as pontuações de exposição a ataques que o Risk Engine calculou para cada recurso. Para mais informações, clique na guia do console que você está usando.

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. Clique na guia Conjunto de recursos de alto valor.
    3. Clique na subguia do provedor de nuvem que você quer consultar:
      • Para conferir os recursos de alto valor do Google Cloud, clique em Google. Para conferir os detalhes de um recurso, clique no nome dele.
      • Para conferir recursos de alto valor da Amazon Web Services (AWS), clique em AWS.
      • Para conferir os recursos de alto valor do Microsoft Azure, clique em Azure.
    4. Para conferir os detalhes da simulação de caminho de ataque do recurso, clique na pontuação de exposição a ataques do recurso. Para informações sobre como interpretar os caminhos de ataque, consulte Caminhos de ataque.

    Console de operações de segurança

    No console de operações de segurança, é possível conferir o conjunto de recursos de alto valor, mas não os detalhes da simulação do caminho de ataque dos recursos. Para conferir os detalhes da simulação de caminho de ataque, use o console do Google Cloud.

    Para conferir o conjunto de recursos de alto valor no console de operações de segurança, siga estas etapas:

    1. No console de operações de segurança, acesse a página Recursos. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Clique na guia Conjunto de recursos de alto valor.
    3. Clique na subguia do provedor de nuvem que você quer consultar:
      • Para conferir os recursos de alto valor do Google Cloud, clique em Recursos do Google Cloud.
      • Para conferir recursos de alto valor da Amazon Web Services (AWS), clique em Recursos da AWS.
    4. Para conferir os detalhes de um recurso, clique no nome de exibição dele.

    Filtrar recursos pelo carimbo de data/hora de criação ou última atualização

    Para saber como filtrar recursos por carimbo de data/hora, clique na guia do console que você está usando.

    Console do Google Cloud

    É possível filtrar ou classificar os recursos no painel de resultados da página Recursos, de acordo com os carimbos de data/hora Criado e Última atualização.

    Para um filtro com base no carimbo de data/hora Criado, Última atualização ou nos dois, siga estas etapas:

    1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

      Acesse Recursos

    2. Na parte de cima do painel de resultados da página Recursos, posicione o cursor no campo Filtro. Um menu de filtros é aberto.
    3. Role até a seção Criar hora ou Atualizar hora e selecione uma das opções de filtro com base no tempo. Por exemplo, Update time after. Um filtro é adicionado ao campo Filtro.
    4. No campo de filtro, digite uma data no formato MM/DD/YYYY e pressione Enter no teclado.

    Os recursos no painel de resultados são atualizados para mostrar apenas aqueles que correspondem ao seu filtro.

    Console de operações de segurança

    Esse recurso não está disponível no console de operações de segurança.

    Personalizar a página de resultados da consulta de recursos

    Para controlar o espaço na tela, é possível personalizar alguns dos elementos que aparecem nos resultados da consulta.

    Ocultar ou mostrar colunas

    Para saber como ocultar ou mostrar colunas nos resultados da consulta, clique na guia do console que você está usando.

    Console do Google Cloud

    1. Na parte de cima do painel de resultados, clique em view_column Colunas.
    2. Selecione as colunas que você quer exibir.
    3. Limpe as seleções das colunas que você quer ocultar.
    4. Clique em Aplicar para aplicar as mudanças nos resultados da consulta.

    Console de operações de segurança

    1. Na parte de cima do painel de resultados, clique em view_column Abrir seletor de colunas. O menu Gerenciar colunas é aberto.
    2. Selecione as colunas que você quer exibir.
    3. Limpe as seleções das colunas que você quer ocultar.
    4. Feche o menu.

    Ocultar ou redimensionar o painel de filtros rápidos

    Para aumentar o espaço na tela para os resultados da consulta, você pode ocultar ou redimensionar os painéis. Para mais informações, clique na guia do console que você está usando.

    Console do Google Cloud

    • Para ocultar o painel lateral Filtros rápidos, clique na seta para a esquerda first_page.
    • Para mostrar o painel lateral Filtros rápidos, clique na seta para a direita last_page.
    • Para redimensionar as colunas de exibição, arraste a linha de divisão para a esquerda ou para a direita.

    Console de operações de segurança

    • Para ocultar o painel lateral Filtros, clique em chevron_left Fechar barra lateral.
    • Para mostrar o painel lateral Filtros, clique em chevron_right Abrir barra lateral.

    A seguir