Inspecciona los recursos que supervisa Security Command Center

En esta página, se describe cómo ver, consultar y analizar los recursos de la nube para mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a amenazas.

En Security Command Center, algunas de las acciones que puedes realizar en los recursos incluyen las siguientes:

En los niveles de servicio Premium y Enterprise, puedes editar las búsquedas de recursos y ver conjuntos de recursos valiosos.

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM que necesitas para trabajar con recursos en la consola.

Roles de IAM de la consola deGoogle Cloud

Para trabajar con recursos en la consola de Google Cloud , necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de IAM de la consola de Operaciones de seguridad

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en la consola de Operaciones de seguridad. Necesitas cualquiera de los siguientes roles de IAM:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Administrador de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Cómo asignar y autorizar usuarios con IAM.

    Lista de recursos en Security Command Center

    Los recursos se enumeran en los resultados de la consulta de la página Recursos en la consola deGoogle Cloud .

    Si Security Command Center está activado a nivel de la organización, puedes ver los recursos de toda tu organización o filtrarlos por proyectos, tipos de recursos y ubicación específicos.

    Si Security Command Center está activado a nivel del proyecto, puedes filtrar los recursos por tipo y ubicación en la consola deGoogle Cloud .

    Cloud Asset Inventory proporciona la lista de recursos. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista en cuestión de minutos después de que se crean, modifican o quitan recursos en tu entorno de Google Cloud .

    Para obtener más información sobre Cloud Asset Inventory, consulta Introducción a Cloud Asset Inventory.

    Ver todos los recursos

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Selecciona tu Google Cloud organización.

    Cómo ordenar recursos

    Para ordenar los recursos, haz clic en el encabezado de la columna correspondiente al valor que deseas ordenar. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

    Cómo buscar recursos

    De forma predeterminada, todos los recursos de la organización se muestran en los resultados de la búsqueda. Para buscar recursos específicos en Security Command Center, puedes usar filtros rápidos o especificar filtros personalizados.

    Realiza una búsqueda general con filtros rápidos

    Para realizar una búsqueda general de tus recursos, puedes usar filtros rápidos. Por ejemplo, puedes buscar por proyecto, tipo de recurso o ubicación. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En la sección Filtros rápidos, selecciona uno o más filtros de atributos para agregarlos a una consulta.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de servicios en la nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
      • Conjunto de recursos de alto valor
    3. Para filtrar los recursos que tienen valores de atributos específicos, sigue estos pasos:
      1. En la sección Filtros, haz clic en un valor de atributo y, luego, en Mostrar solo. La búsqueda se actualiza según corresponda.
      2. Para agregar otro valor de atributo a la búsqueda, haz clic en el valor de atributo y, luego, en y mostrar solo.
      3. Para quitar un valor de atributo de la búsqueda, haz clic en el valor del atributo y, luego, en No mostrar solo.
    4. Para copiar el valor de un atributo, haz clic en él y, luego, en Copiar.

    Editar consultas de recursos

    Para obtener información sobre cómo editar las búsquedas de activos, haz clic en la pestaña de tu nivel de servicio.

    Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Consulta de recursos.
    3. Edita la consulta de cualquiera de las siguientes maneras:
      • En la subpestaña Biblioteca de consultas, haz clic en Aplicar consulta junto a una consulta prediseñada para seleccionarla. Se actualizará la consulta en la sección Editar consulta.
      • En la subpestaña Biblioteca de consultas, selecciona una consulta prediseñada. Haga clic en Aplicar. Se actualizará la consulta en la sección Editar consulta.
      • En la sección Seleccionar tabla, haz clic en el tipo de recurso sobre el que deseas realizar la consulta. En la pestaña secundaria Esquema, busca el atributo que deseas agregar a la consulta. El atributo se agrega a la sección Editar consulta.
      • Edita la consulta directamente en la sección Editar consulta.
    4. Haz clic en Ejecutar. Se actualizan los resultados de la búsqueda.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Asegúrate de estar en la pestaña Recursos de Google Cloud.
    3. Haz clic en Consultar recursos.
    4. Edita la consulta de cualquiera de las siguientes maneras:
      • En la subpestaña Biblioteca de consultas, haz clic en Aplicar consulta junto a una consulta prediseñada para seleccionarla. Se actualizará la consulta en la sección Editar consulta.
      • En la subpestaña Biblioteca de consultas, selecciona una consulta prediseñada. Haga clic en Aplicar. Se actualizará la consulta en la sección Editar consulta.
      • En la sección Seleccionar tabla, haz clic en el tipo de recurso sobre el que deseas realizar la consulta. En la pestaña secundaria Esquema, busca el atributo que deseas agregar a la consulta. El atributo se agrega a la sección Editar consulta.
      • Edita la consulta directamente en la sección Editar consulta.
    5. Haz clic en Ejecutar. Se actualizan los resultados de la búsqueda.

    Filtrar recurso

    Para obtener información sobre cómo filtrar recursos, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En la subpestaña Recurso, haz clic en el campo junto a Filtro. Se abrirá un menú de opciones de filtrado.
    3. Para filtrar la lista, selecciona una propiedad y, luego, ingresa un valor. Presiona Intro para filtrar recursos o agregar propiedades de filtrado adicionales.
    4. Para agregar otro filtro, sigue estos pasos:
      1. Haz clic en el campo junto a Filtro.
      2. Puedes establecer la relación lógica entre las propiedades. Puedes seleccionar OR. De lo contrario, Security Command Center usará AND como operador lógico de forma predeterminada.
      3. Selecciona un atributo y, luego, ingresa un valor.
      4. Repite estos pasos para seguir filtrando.
    5. Presiona Intro para filtrar los recursos.

      Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haz clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de servicios en la nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
      • Conjunto de recursos de alto valor
    3. Haz clic en Agregar filtro. Aparecerá el diálogo Filters. Este diálogo te permite elegir atributos y valores de recursos admitidos.
    4. En Filtro, selecciona un atributo para filtrar.
    5. Establece la opción de evaluación del filtro y el valor del atributo. Las opciones de evaluación disponibles difieren según el atributo que seleccionaste.
      • Para filtrar los recursos que tienen un valor de atributo específico, selecciona Mostrar solo. En la lista Valor, selecciona el valor del atributo.
      • Para filtrar los recursos que tienen un valor de atributo que contiene una cadena específica, selecciona Contiene. En el campo Value, ingresa la cadena.

        La opción de evaluación Contiene sigue la sintaxis de la consulta para el operador de coincidencia parcial de texto. Convierte tu término de búsqueda en uno o más tokens, usa caracteres especiales como delimitadores y requiere que coincida un token completo. Para hacer coincidir solo una parte de un token, usa un asterisco (*) como un indicador de coincidencia de prefijo de token.

      • Para filtrar los recursos según una marca de tiempo, selecciona Antes o Después. En el campo Valor, ingresa la marca de tiempo.
    6. Para agregar otro filtro, sigue estos pasos:
      1. Haga clic en Agregar filtro.
      2. Establece el atributo, la opción de evaluación y el valor del atributo.
      3. Establece la relación lógica entre los filtros. En Operador lógico, selecciona AND o OR.
    7. Haz clic en Aplicar. El editor de consultas se actualiza y los resultados de la consulta se filtran según corresponda.

    Inspecciona los detalles del activo

    En esta sección, se describe cómo puedes obtener más información sobre los detalles de un activo en particular.

    Consulta los detalles generales

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo y se mostrará un resumen de sus detalles.

    Cómo ver todos los detalles de un activo

    Para ver todos los detalles sobre un activo, incluidos los metadatos de bajo nivel, sigue estos pasos:

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo.
    3. Haz clic en la pestaña Metadatos completos. Todos los nombres y valores de las propiedades del activo se muestran en una estructura de árbol.
    4. Para buscar un nombre o valor de propiedad en particular en el árbol, ingresa el nombre o el valor en el filtro.
    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo.
    3. Haz clic en la pestaña Resultados. Se muestran todos los hallazgos relacionados con el activo.

    Cómo ver los cambios en un recurso

    Puedes comparar instantáneas de los metadatos de un activo para ver qué cambió.

    Para obtener información sobre cómo ver los cambios en un activo a lo largo del tiempo, haz clic en la pestaña de la consola que estás usando.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En la lista de activos, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo.
    3. En la sección de detalles del activo, haz clic en la pestaña Historial de cambios.
    4. En la pestaña Historial de cambios, selecciona una Hora de inicio y una Hora de finalización.
    5. En la lista Seleccionar un registro para comparar de la izquierda, selecciona una instantánea.
    6. En la lista Seleccionar un registro para comparar a la derecha, selecciona una instantánea para comparar con la primera que seleccionaste. Se resaltan los cambios entre las dos instantáneas.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. En la lista de activos, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo.
    3. En la sección de detalles del activo, haz clic en la pestaña Historial de cambios.
    4. En la lista Comparar de la izquierda, selecciona una instantánea.
    5. En la lista Comparar de la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Se resaltan los cambios entre las dos instantáneas.

    Visualiza las políticas de IAM asociadas a un recurso

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá la sección de detalles del activo.
    3. Haz clic en la pestaña Políticas de IAM. Se muestran las políticas de IAM asociadas con el activo.

    Cómo ver el conjunto de recursos de alto valor

    Puedes ver los recursos de alto valor que el motor de riesgo incluyó en las últimas simulaciones de rutas de ataque. También puedes ver las puntuaciones de exposición a los ataques que calculó el motor de riesgos para cada recurso. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Para ver los detalles de la simulación de la ruta de ataque del recurso, haz clic en su puntuación de exposición a ataques. Para obtener información sobre cómo interpretar las rutas de ataque, consulta Rutas de ataque.

    Enterprise

    Para ver el conjunto de recursos valiosos, sigue estos pasos:

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Haz clic en la pestaña secundaria del proveedor de servicios en la nube que deseas ver:
      • Para ver los recursos Google Cloud de alto valor, haz clic en Recursos de Google Cloud.
      • Para ver los recursos valiosos de Amazon Web Services (AWS), haz clic en Recursos de AWS.
      • Para ver los recursos de Microsoft Azure de alto valor, haz clic en Recursos de Azure.
    4. Para ver los detalles de un recurso, haz clic en su nombre visible.

    Filtra los recursos por su marca de tiempo de Creación o Última actualización.

    Puedes filtrar u ordenar los activos en la sección de resultados de la página Activos por sus marcas de tiempo de Creación y Última actualización.

    Para aplicar un filtro según la marca de tiempo Creado, la marca de tiempo Última actualización o ambas, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En la parte superior de la sección de resultados de la página Activos, coloca el cursor en el campo Filtro. Se abrirá un menú de filtros.
    3. Desplázate hasta la sección Fecha de creación o Fecha de actualización y selecciona una de las opciones de filtro basadas en el tiempo. Por ejemplo, Update time after. Se agrega un filtro al campo Filtro.
    4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY y presiona Intro en el teclado.

    Los activos de la sección de resultados se actualizan para mostrar solo los que coinciden con tu filtro.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haz clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de servicios en la nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
    3. Haz clic en Agregar filtro. Aparecerá el diálogo Filters. En este diálogo, puedes elegir atributos y valores de recursos admitidos.
    4. En el campo Filtro, selecciona Fecha de creación o Fecha de actualización.
    5. Selecciona Antes o Después.
    6. En el campo Valor, escribe una fecha en el formato MM/DD/YYYY HH:MM:SS.
    7. Haz clic en Aplicar.

    Los activos de la sección de resultados se actualizan para mostrar solo los activos que coinciden con tu filtro.

    Personaliza la página de resultados de la consulta de activos

    Para controlar el espacio de pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la búsqueda.

    Cómo ocultar o mostrar columnas

    Para obtener información sobre cómo ocultar o mostrar columnas en los resultados de la consulta, haz clic en la pestaña correspondiente a tu nivel de servicio.

    Estándar o Premium

    1. En la parte superior de la sección de resultados, haz clic en Columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Haz clic en Aceptar para aplicar los cambios a los resultados de la búsqueda.

    Enterprise

    1. En la parte superior de la sección de resultados, haz clic en view_column Abrir el selector de columnas. Se abrirá el menú Administrar columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Cierra el menú.

    Cómo ocultar o cambiar el tamaño de la sección de filtros rápidos

    Para aumentar el espacio de pantalla de los resultados de la búsqueda, puedes ocultar o cambiar el tamaño de las secciones. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    • Para ocultar la sección lateral Filtros rápidos, haz clic en la flecha hacia la izquierda first_page.
    • Para mostrar la sección lateral Filtros rápidos, haz clic en la flecha hacia la derecha last_page.
    • Para cambiar el tamaño de las columnas de visualización, arrastra la línea divisoria hacia la izquierda o la derecha.

    Enterprise

    • Para ocultar la sección lateral Filtros, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar la sección lateral Filtros, haz clic en chevron_right Abrir barra lateral.

    ¿Qué sigue?