本页面介绍了如何使用云资源, 改善安全状况、修复安全问题 威胁。
在 Security Command Center 中,您可以对资源执行的部分操作包括 以下:
- 查看资源
- 查询资源
- 检查资源详情
- 查看与资源相关的发现结果
获取所需的权限
本部分列出了您需要使用的 IAM 角色 管理资源
Google Cloud 控制台 IAM 角色
如需在 Google Cloud 控制台中使用资源,您需要以下 IAM 角色。
确保您拥有组织的以下一个或多个角色:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer)
检查角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
-
在主账号列中,找到您的电子邮件地址所在的行。
如果您的电子邮件地址不在此列,则表示您没有任何角色。
- 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。
授予角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
- 点击 授予访问权限。
- 在新的主账号字段中,输入您的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
如需详细了解 Security Command Center 角色和权限,请参阅 用于组织级激活的 IAM。
Security Operations 控制台 IAM 角色
如果您是 Security Command Center Enterprise 客户,则可以使用各种资源 在 Security Operations 控制台中操作。您需要 以下 IAM 角色:
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR 漏洞管理器
(
roles/chronicle.soarVulnerabilityManager)
如需了解如何向用户授予角色,请参阅 使用 IAM 映射用户并向其授权。
资源页面
资源列在资产页面的查询结果中, Google Cloud 控制台以及 Security Command Center Enterprise - 此页面上的资源页面 Security Operations 控制台。
如果在组织中激活了 Security Command Center 级别,您可以查看整个组织的资源,也可以过滤 按特定项目、资源类型和位置划分资源。
如果在项目中激活了 Security Command Center 级别,您可以在 Google Cloud 控制台。
资源列表由 Cloud Asset Inventory 提供。在大多数情况下 创建资源后,Cloud Asset Inventory 会在几分钟内更新列表, 在 Google Cloud 环境中修改或移除的数据。
如需详细了解 Cloud Asset Inventory,请参阅 Cloud Asset Inventory 简介。
在 Security Command Center Enterprise 控制台中使用资源
如果您是 Security Command Center Enterprise 客户,则可以使用各种资源 两个控制台中:
- Google Cloud 控制台资产页面:在所有服务层级中提供
- Security Operations 控制台资源页面: 仅限企业版层级
资源页的 Security Operations 控制台为预览版。
在本页中,介绍在两个控制台中使用资源的步骤如下: 下面将分别在不同的标签页上逐一介绍。
有关详情,请参阅 Security Command Center Enterprise 控制台。
查看资源
要了解如何查看资源,请点击 您使用的控制台
Google Cloud 控制台
-
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
- 选择您的 Google Cloud 项目或组织。
Security Operations 控制台
在 Security Operations 控制台中,转到资源页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。
如需详细了解此控制台,请参阅安全操作控制台。
对资源进行排序
如需对资源进行排序,请点击要排序的值对应的列标题 。列先按数字排序,然后按字母顺序排序。
过滤资源
本部分介绍了如何运行常见查询来查看资源 Security Command Center。
默认情况下,所选项目、文件夹或组织中的所有资源 显示在查询结果中。您可以按特定条件 使用快速过滤器或指定更多自定义过滤器来过滤资源。 如需了解详情,请点击您所用控制台对应的标签页。
Google Cloud 控制台
如需按资源类型、项目 ID 或位置过滤结果,请使用快速 过滤条件面板。
要查看高价值数据 Risk Engine 包含在上一个攻击路径中的资源 请点击高价值资源集标签页。您还可以查看 Risk Engine 针对每个 资源。
如需应用预构建的过滤条件来查看资源数据,请点击资源 查询标签页。
Security Operations 控制台
在 Google Cloud 资源标签页上, 过滤条件面板,您可以按资源过滤结果 类型、项目 ID 或位置。
在高价值资源集标签页中,您可以查看高价值资源集 Risk Engine 包含在上一个攻击路径中的资源 以及 Risk Engine 为每个资源计算出的攻击风险得分。
此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。
过滤资源
在快速过滤条件中,您可以按项目 ID、资源类型和位置进行过滤。
有关如何使用快速过滤器的信息,请点击 您使用的控制台
Google Cloud 控制台
-
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
- 在快速过滤条件面板中,选择一个选项或 更多属性过滤条件,可将它们添加到查询中。
Security Operations 控制台
-
在 Security Operations 控制台中,转到资源页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
将
CUSTOMER_SUBDOMAIN替换为您的客户专用标识符。 - 如需过滤具有特定属性值的资源,
请按以下步骤操作:
<ph type="x-smartling-placeholder">
- </ph>
- 在过滤条件面板中,点击 属性值,然后点击仅显示。查询已更新 。
- 要向查询添加其他属性值,请点击 属性值,然后点击仅显示。
- 要从查询中移除属性值,请点击相应属性值 然后点击不显示。
- 要复制属性值,请点击属性值,然后点击 复制。
此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。
修改资源查询
要了解如何修改资源查询,请点击 您使用的控制台
Google Cloud 控制台
-
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
- 点击资产查询标签页。
- 您可以通过以下任一方式修改查询:
<ph type="x-smartling-placeholder">
- </ph>
- 在查询库子标签页上,选择一个预构建的查询。点击 应用。修改查询面板中的查询 进行相应更新
- 在选择表面板中,点击要使用的资源类型 作为查询的依据在架构子标签页上,找到 添加到查询中的项目系统会将该属性添加到修改查询 面板。
- 直接在修改查询面板中修改查询。
- 点击运行。查询结果会进行相应更新。
Security Operations 控制台
-
在 Security Operations 控制台中,转到资源页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
将
CUSTOMER_SUBDOMAIN替换为您的客户专用标识符。 - 点击 添加过滤条件。过滤器 对话框。通过此对话框,您可以选择支持的资源属性, 值。
- 对于过滤条件,请选择要过滤的属性 。
- 设置过滤条件评估选项和属性值。可用的
评估选项因您选择的属性而异。
- 要过滤具有特定属性值的资源,请选择 只显示。在值列表中,选择属性值。
- 要过滤属性值包含 特定字符串,请选择包含。在值字段中,输入 字符串。
- 如需根据时间戳过滤资源,请选择之前或 之后。在值字段中,输入时间戳。
- 要添加其他过滤器,请按以下步骤操作:
<ph type="x-smartling-placeholder">
- </ph>
- 点击添加过滤条件。
- 设置属性、评估选项和属性 值。
- 设置过滤器之间的逻辑关系。对于 Logical
运算符,请选择
AND或OR。
- 点击应用。查询编辑器会更新,查询结果也会更新 进行相应过滤
此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。
查看对资源的更改
您可以比较某项资源的元数据快照, 哪些地方发生了变化。
要了解如何查看一段时间内资源更改情况,请点击 控制台页。
Google Cloud 控制台
-
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
- 通过滚动或滑动找到需要查看的资源 对列出的资源应用适当的过滤条件。
- 在结果面板的资源列表中,点击相应资源的名称 资源。系统会打开相应资源的详细信息面板。
- 在该资源的详细信息面板中,点击更改历史记录 标签页。
- 在更改历史记录标签页上,同时选择开始时间和 结束时间。
- 在左侧的选择要比较的记录列表中,选择一个 快照。
- 在右侧的选择要比较的记录列表中,选择一个 快照来与您选择的第一个快照进行比较。变更 两个快照之间的映射会突出显示。
Security Operations 控制台
-
在 Security Operations 控制台中,转到资源页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
将
CUSTOMER_SUBDOMAIN替换为您的客户专用标识符。 - 通过滚动或滑动找到需要查看的资源 对列出的资源应用适当的过滤条件。
- 在结果面板的资源列表中,点击相应资源的名称 资源。系统会打开相应资源的详细信息面板。
- 在该资源的详细信息面板中,点击更改历史记录 标签页。
- 在左侧的比较列表中, 快照。
- 在右侧的比较列表中, 快照来与您选择的第一个快照进行比较。变更 两个快照之间的映射会突出显示。
此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。
按资源的创建时间戳或上次更新时间戳过滤资源
如需了解如何按时间戳过滤资源,请点击 您使用的控制台
Google Cloud 控制台
您可以在 资产页面上按创建和上次更新时间时间戳排序。
转换为基于创建时间戳、上次更新时间的过滤条件 时间戳或同时查看两者,请按以下步骤操作:
-
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
- 在素材资源页面顶部的结果面板顶部,将您的 Filter 字段。系统会打开过滤条件菜单。
- 滚动到创建时间或更新时间部分,然后选择一项
基于时间的过滤选项例如:
Update time after.系统会在过滤条件字段中添加过滤条件。 - 在过滤条件字段中,按
MM/DD/YYYY格式输入日期 然后按键盘上的 Enter 键。
结果面板中的资源会更新,以仅显示资源 符合过滤条件的图片
Security Operations 控制台
Security Operations 控制台中不提供此功能。
在 Google Cloud 控制台中自定义“资产”页面
要控制屏幕空间,您可以自定义某些显示的元素 位于资产页面上。
隐藏或显示列
您可以隐藏除显示名称之外的任何列。如需隐藏列,请按照以下步骤操作:
在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
在右侧结果面板的顶部,点击 列显示选项图标, view_column.
在显示的菜单中,您可以选择显示或隐藏列 或取消选中列名旁边的复选框。
隐藏“快捷过滤器”面板或调整其大小
要控制资产页面的屏幕空间,您可以更改以下选项:
- 通过点击向左箭头
隐藏快速过滤条件侧面板。 - 向左拖动分界线调整显示列的大小,或 。
后续步骤
- 为资源和发现结果添加安全注释 标记。