Inspecter les ressources

Cette page explique comment utiliser les ressources cloud pour en améliorant votre stratégie de sécurité, en corrigeant les problèmes de sécurité et en répondant contre les menaces.

Dans Security Command Center, voici quelques-unes des actions que vous pouvez effectuer sur les ressources :

Obtenir les autorisations requises

Cette section répertorie les rôles IAM que vous devez utiliser dans la console.

Rôles IAM de la console Google Cloud

Pour utiliser des ressources dans la console Google Cloud, vous devez disposer des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

    Rôles IAM de la console Security Operations

    Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser des ressources dans la console Opérations de sécurité. Vous avez besoin de l'un des rôles IAM suivants:

    • Administrateur SOAR Chronicle (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez la section Mappeur et autorisation des utilisateurs à l'aide d'IAM.

    Page des ressources

    Les ressources sont listées dans les résultats de requête de la page Éléments dans la section la console Google Cloud et Security Command Center Enterprise pour les clients : la page Ressources Console Opérations de sécurité.

    Si Security Command Center est activé au niveau au niveau de l'organisation, vous pouvez afficher les ressources de l'ensemble de votre organisation les ressources par projet, par type de ressource et par emplacement.

    Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les ressources par type et emplacement dans la console Google Cloud.

    La liste des ressources est fournie par l'inventaire des éléments cloud. Dans la plupart des cas, L'inventaire des éléments cloud met à jour la liste quelques minutes après la création des ressources. modifiées ou supprimées dans votre environnement Google Cloud.

    Pour en savoir plus sur l'inventaire des éléments cloud, consultez Présentation de l'inventaire des éléments cloud

    Utiliser les ressources dans les consoles Security Command Center Enterprise

    Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser des ressources dans deux consoles:

    • Page Éléments de la console Google Cloud: disponible pour tous les niveaux de service
    • Page Ressources de la console Opérations de sécurité: disponible dans le Niveau Enterprise uniquement

    La page Ressources du La console Opérations de sécurité est en version preview.

    Sur cette page, la procédure à suivre pour utiliser les ressources des deux consoles est côte à côte dans des onglets distincts.

    Pour en savoir plus, consultez la section Consoles Security Command Center Enterprise.

    Afficher toutes les sources d'information

    Pour en savoir plus sur l'affichage de vos ressources, cliquez sur l'onglet la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Éléments"

    2. Sélectionnez votre projet ou votre organisation Google Cloud.

    Console Opérations de sécurité

    Dans la console Security Operations, accédez à la page Ressources. 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

    Pour en savoir plus sur cette console, consultez Console des opérations de sécurité.

    Trier les ressources

    Pour trier les ressources, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

    Rechercher des ressources

    Par défaut, toutes les ressources de l'organisation affiché dans les résultats de la requête de ressource. Pour rechercher des ressources spécifiques dans Security Command Center, vous pouvez utiliser des filtres rapides ou spécifier des filtres personnalisés.

    Rechercher par projet, compte, type de ressource ou emplacement

    Pour en savoir plus sur l'application de filtres larges (également appelés filtres rapides), Pour effectuer une recherche par projet (ou compte), type de ressource ou emplacement, cliquez sur l'onglet pour la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Éléments"

    2. Dans le panneau Filtres rapides, sélectionnez un ou d'autres filtres d'attributs pour les ajouter à une requête.

    Console Security Operations

    1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Pour filtrer les ressources Google Cloud, cliquez sur Google Cloud ressources.
    3. Pour filtrer les ressources Amazon Web Services (AWS), cliquez sur AWS ressources.
    4. Pour filtrer les ressources ayant des valeurs d'attribut spécifiques, procédez comme suit:
      1. Dans le panneau Filtres, cliquez sur une valeur d'attribut, puis sur Afficher uniquement. La requête est mise à jour en conséquence.
      2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur la valeur de l'attribut, puis sur Afficher uniquement.
      3. Pour supprimer une valeur d'attribut de la requête, cliquez sur la valeur d'attribut puis cliquez sur Ne pas afficher uniquement.
    5. Pour copier la valeur d'un attribut, cliquez dessus, puis sur Copier :

    Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

    Modifier les requêtes de ressource

    Pour savoir comment modifier des requêtes de ressources, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Composants"

    2. Cliquez sur l'onglet Requête sur les composants.
    3. Modifiez la requête de l'une des manières suivantes:
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête du panneau Modifier la requête est mis à jour en conséquence.
      • Dans le panneau Sélectionner une table, cliquez sur le type de ressource souhaité. à interroger. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté à la page Modifier la requête panneau.
      • Modifiez la requête directement dans le panneau Modifier la requête.
    4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour en conséquence.

    Console Opérations de sécurité

    1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Pour filtrer les ressources Google Cloud, cliquez sur Google Cloud ressources.
    3. Pour filtrer les ressources Amazon Web Services (AWS), cliquez sur AWS ressources.
    4. Cliquez sur Ajouter un filtre. L'onglet Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les attributs de ressources compatibles valeurs.
    5. Pour Filtrer, sélectionnez un attribut à filtrer. activé.
    6. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les ressources d'évaluation diffèrent selon l'attribut que vous avez sélectionné.
      • Pour filtrer les ressources ayant une valeur d'attribut spécifique, sélectionnez Afficher uniquement : Dans la liste Valeur, sélectionnez la valeur de l'attribut.
      • Pour filtrer les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Value (Valeur), saisissez la chaîne.

        L'option d'évaluation Contains (Contient) suit la syntaxe de la requête pour texte l'opérateur de correspondance partielle. Il convertit votre terme de recherche en un ou plusieurs les jetons, en utilisant des caractères spéciaux comme délimiteurs et nécessite un jeton complet pour les faire correspondre. Pour ne représenter qu'une partie d'un jeton, utilisez un astérisque (*) en tant que jeton indicateur de correspondance du préfixe.

      • Pour filtrer les ressources en fonction d'un horodatage, sélectionnez Avant ou Après : Dans le champ Valeur, saisissez le code temporel.
    7. Pour ajouter un autre filtre, procédez comme suit :
      1. Cliquez sur Ajouter un filtre.
      2. Définissez l'attribut, l'option d'évaluation et l'attribut .
      3. Définissez la relation logique entre les filtres. Pour logique opérateur, sélectionnez AND ou OR.
    8. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats sont filtrées en conséquence.

    Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

    Inspecter les détails de la ressource

    Cette section explique comment en savoir plus sur un type de données ressource.

    Afficher les informations générales

    1. Recherchez la ressource.
    2. Dans les résultats de la requête, cliquez sur le nom de la ressource. Le panneau de détails de la ressource s'ouvre et affiche un résumé de ses détails.

    Afficher tous les détails d'une ressource

    Pour afficher tous les détails d'une ressource, y compris les métadonnées de bas niveau, suivez ces étapes:

    1. Recherchez la ressource.
    2. Dans les résultats de la requête, cliquez sur le nom de la ressource. Le panneau de détails de la ressource s'ouvre.
    3. Cliquez sur l'onglet Métadonnées complètes. Tous les noms et valeurs des propriétés ressource sont affichées sous forme d'arborescence.
    4. Pour rechercher le nom ou la valeur d'une propriété spécifique dans l'arborescence, saisissez le nom ou une valeur dans le filtre.
    1. Recherchez la ressource.
    2. Dans les résultats de la requête, cliquez sur le nom de la ressource. Le panneau de détails de la ressource s'ouvre.
    3. Cliquez sur l'onglet Résultats. Tous les résultats liés à la ressource sont affiché.

    Afficher les modifications apportées à une ressource

    Vous pouvez comparer des instantanés des métadonnées d'une ressource pour voir ce qui a changé.

    Pour savoir comment afficher les modifications apportées à une ressource au fil du temps, cliquez sur de la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Composants"

    2. Recherchez la ressource.
    3. Dans la liste des ressources du panneau des résultats, cliquez sur le nom du ressource. Le panneau des détails de la ressource s'ouvre.
    4. Dans le panneau des détails de la ressource, cliquez sur le lien Historique des modifications .
    5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une Heure de fin :
    6. Dans la liste Sélectionner un enregistrement à comparer à gauche, sélectionnez une un instantané.
    7. Dans la liste Sélectionner un enregistrement à comparer qui se trouve à droite, sélectionnez une instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mis en évidence.

    Console Opérations de sécurité

    1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Recherchez la ressource.
    3. Dans la liste des ressources du panneau des résultats, cliquez sur le nom du ressource. Le panneau des détails de la ressource s'ouvre.
    4. Dans le panneau des détails de la ressource, cliquez sur le lien Historique des modifications .
    5. Dans la liste Comparer à gauche, sélectionnez une un instantané.
    6. Dans la liste Comparer à droite, sélectionnez une instantané à comparer avec le premier instantané que vous avez sélectionné. Les changements entre les deux instantanés sont mis en évidence.

    Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

    Afficher les stratégies IAM associées à une ressource

    1. Recherchez la ressource.
    2. Dans les résultats de la requête, cliquez sur le nom de la ressource. Le panneau de détails de la ressource s'ouvre.
    3. Cliquez sur l'onglet Stratégies IAM. Les stratégies IAM associées avec la ressource s'affichent.

    Afficher les ressources les plus importantes

    Vous pouvez consulter la liste des ressources inclus dans le dernier chemin d'attaque de simulation. Vous pouvez également consulter l'exposition au piratage scores que le moteur de risque calcule pour chaque ressource. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Composants"

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources Google Cloud de grande valeur, cliquez sur Google. Pour afficher les détails d'une ressource, cliquez sur son nom.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur AWS :
      • Pour afficher les ressources Microsoft Azure à forte valeur ajoutée, cliquez sur Azure.
    4. Pour afficher les détails de la simulation du chemin d'attaque pour la ressource, cliquez sur le score d'exposition au piratage de la ressource. Pour savoir comment interpréter les vecteurs d'attaque, consultez la section chemins d'accès.

    Console Opérations de sécurité

    1. Dans la console Security Operations, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher:
      • Pour afficher les ressources Google Cloud à forte valeur ajoutée, cliquez sur Google Cloud ressources.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur Ressources AWS
    4. Pour afficher les détails d'une ressource, cliquez sur son nom à afficher.

    Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

    Filtrer les ressources par code temporel de création ou de dernière mise à jour

    Pour savoir comment filtrer les ressources par code temporel, cliquez sur l'onglet correspondant la console que vous utilisez.

    console Google Cloud

    Vous pouvez filtrer ou trier les ressources dans le panneau des résultats de la Éléments, en fonction des codes temporels de création et de dernière mise à jour.

    À un filtre basé sur le code temporel Created (Créé), Last updated (Dernière mise à jour) ou les deux, procédez comme suit:

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Éléments"

    2. En haut du panneau des résultats de la page Éléments, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Faites défiler la page jusqu'à la section Heure de création ou Heure de mise à jour, puis sélectionnez l'une des options de filtre basées sur le temps. Par exemple : Update time after Un filtre est ajouté au champ Filtre.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY. et appuyez sur la touche Entrée de votre clavier.

    Les ressources du panneau des résultats sont mises à jour pour n'afficher que les ressources qui correspondent à votre filtre.

    Console Security Operations

    Cette fonctionnalité n'est pas disponible dans la console Security Operations.

    Personnaliser la page des ressources

    Pour contrôler l'espace à l'écran, vous pouvez personnaliser certains des éléments qui apparaissent dans les résultats de la requête.

    Masquer ou afficher des colonnes

    Pour savoir comment masquer ou afficher des colonnes dans les résultats de la requête, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Composants"

    2. En haut du panneau des résultats, cliquez sur view_column Colonnes.
    3. Sélectionnez les colonnes que vous souhaitez afficher.
    4. Effacez les sélections des colonnes que vous souhaitez masquer.
    5. Cliquez sur Appliquer pour appliquer les modifications aux résultats de la requête.

    Console Opérations de sécurité

    1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. En haut du panneau des résultats, cliquez sur view_column Ouvrir le sélecteur de colonnes : Le menu Gérer les colonnes s'ouvre.
    3. Sélectionnez les colonnes que vous souhaitez afficher.
    4. Décochez les colonnes que vous souhaitez masquer.
    5. Fermez le menu.

    Masquer ou redimensionner le panneau des filtres rapides

    Pour augmenter l'espace à l'écran dédié aux résultats de la requête, vous pouvez masquer ou redimensionner des panneaux. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder à "Composants"

    2. Pour masquer le panneau latéral Filtres rapides, cliquez sur la flèche flèche first_page.
    3. Pour redimensionner les colonnes d'affichage, faites glisser la ligne de séparation vers la gauche ou vers la droite.

    Console Opérations de sécurité

    1. Dans la console Security Operations, accédez à la page Ressources. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Pour masquer Dans le panneau latéral Filtres, cliquez sur la flèche vers la gauche chevron_left.

    Étape suivante