Inspeccionar recursos relacionados con hallazgos

En esta página, se describe cómo trabajar con recursos en la nube para mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a amenazas.

En Security Command Center, algunas de las acciones que puedes realizar en los recursos incluyen las siguientes:

  • Ver recursos
  • Consulta los recursos
  • Inspecciona los detalles de los recursos
  • Revisar los resultados relacionados con un recurso

Obtén los permisos necesarios

En esta sección, se enumeran las funciones de IAM que necesitas para trabajar con los recursos de la consola.

Roles de IAM de la consola de Google Cloud

Para trabajar con recursos en la consola de Google Cloud, necesitas los siguientes roles de IAM.

Asegúrate de tener los siguientes roles en la organización:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

    Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

  4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Si quieres obtener más información sobre las funciones y los permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

Roles de IAM de la consola de operaciones de seguridad

Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en la consola de operaciones de seguridad. Necesitas alguna de las siguientes funciones de IAM:

  • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

Para obtener información sobre cómo otorgar la función a un usuario, consulta Asigna y autoriza usuarios con IAM.

Página de recursos

Los recursos se enumeran en los resultados de la consulta de la página Recursos en la consola de Google Cloud y, para los clientes de Security Command Center Enterprise, en la página Recursos en la consola de operaciones de seguridad.

Si Security Command Center está activado al nivel de la organización, puedes ver los recursos de toda la organización o filtrarlos por proyectos, tipos de recursos y ubicación específicos.

Si Security Command Center está activado a nivel de proyecto, puedes filtrar recursos por tipo de recurso y ubicación en la consola de Google Cloud.

Cloud Asset Inventory proporciona la lista de recursos. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista minutos después de que se crean, modifican o quitan los recursos en tu entorno de Google Cloud.

Para obtener más información sobre Cloud Asset Inventory, consulta Introducción a Cloud Asset Inventory.

Trabaja con recursos en las consolas de Security Command Center Enterprise

Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en dos consolas:

  • Página Recursos de la consola de Google Cloud: disponible en todos los niveles de servicio
  • Página Recursos de la consola de operaciones de seguridad: disponible solo en el nivel Enterprise

La página Recursos de la consola de operaciones de seguridad está en versión preliminar.

En esta página, los pasos para trabajar con recursos en las dos consolas se describen en paralelo en pestañas separadas.

Para obtener más información, consulta Consolas de Security Command Center Enterprise.

Ver recursos

Si deseas obtener información para ver tus recursos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Selecciona tu organización o proyecto de Google Cloud.

Consola de operaciones de seguridad

En la consola de Operaciones de seguridad, ve a la página Recursos. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Para obtener más información sobre esta consola, consulta Consola de operaciones de seguridad.

Ordenar recursos

Para ordenar los recursos, haz clic en el encabezado de la columna correspondiente al valor por el que deseas ordenar. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

Filtrar recursos

En esta sección, se describe cómo ejecutar consultas comunes para revisar tus recursos en Security Command Center.

De forma predeterminada, todos los recursos del proyecto, la carpeta o la organización seleccionados se muestran en los resultados de las consultas. Puedes filtrar los resultados según recursos específicos mediante el uso de filtros rápidos o la especificación de filtros más personalizados. Para obtener más información, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

Para filtrar los resultados por tipo de recurso, ID del proyecto o ubicación, usa el panel Filtros rápidos.

Para ver los recursos de alto valor que Risk Engine incluyó en las últimas simulaciones de la ruta de ataque, haz clic en la pestaña Conjunto de recursos de alto valor. También puedes ver las puntuaciones de exposición a ataques que Risk Engine calculó para cada recurso.

Si deseas aplicar filtros precompilados para revisar los datos de recursos, haz clic en la pestaña Consulta de recursos.

Consola de operaciones de seguridad

En la pestaña Recursos de Google Cloud, en el panel Filtros, puedes filtrar los resultados por tipo de recurso, ID del proyecto o ubicación.

En la pestaña Conjunto de recursos de alto valor, puedes ver los recursos de alto valor que Risk Engine incluyó en las últimas simulaciones de la ruta de ataque, así como las puntuaciones de exposición a ataques que Risk Engine calculó para cada recurso.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Filtrar recursos

Con los filtros rápidos, puedes filtrar por ID del proyecto, tipo de recurso y ubicación.

Para obtener información sobre cómo usar los filtros rápidos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En el panel Filtros rápidos, selecciona uno o más filtros de atributos para agregarlos a una consulta.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Para filtrar los recursos que tienen valores de atributos específicos, sigue estos pasos:
    1. En el panel Filtros, haz clic en el valor de un atributo y, luego, en Mostrar solo. La consulta se actualiza según corresponda.
    2. Para agregar otro valor de atributo a la consulta, haz clic en el valor del atributo y, luego, en Mostrar solo.
    3. Para quitar el valor de un atributo de la consulta, haz clic en el valor del atributo y, luego, en No mostrar solo.
  3. Para copiar el valor de un atributo, haz clic en el valor del atributo y, luego, en Copiar.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Editar consultas de recursos

Para obtener información sobre cómo editar las consultas de recursos, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Haz clic en la pestaña Consulta de recursos.
  3. Puedes editar la consulta de cualquiera de las siguientes maneras:
    • En la pestaña secundaria Biblioteca de consultas, selecciona una consulta ya compilada. Haz clic en Apply. La consulta del panel Editar consulta se actualiza según corresponda.
    • En el panel Seleccionar tabla, haz clic en el tipo de recurso que deseas consultar. En la pestaña secundaria Esquema, busca el atributo que deseas agregar a la consulta. El atributo se agrega al panel Editar consulta.
    • Edita la consulta directamente en el panel Editar consulta.
  4. Haz clic en Ejecutar. Los resultados de la consulta se actualizan según corresponda.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Haz clic en Agregar filtro. Aparecerá el diálogo Filters. Este diálogo te permite elegir atributos y valores de recursos admitidos.
  3. En Filtro, selecciona un atributo para filtrar.
  4. Establece la opción de evaluación del filtro y el valor del atributo. Las opciones de evaluación disponibles difieren según el atributo que hayas seleccionado.
    • Para filtrar los recursos que tienen un valor de atributo específico, selecciona Mostrar solo. En la lista Valor, selecciona el valor del atributo.
    • Para filtrar los recursos que tienen un valor de atributo que contiene una cadena específica, selecciona Contiene. En el campo Valor, ingresa la cadena.
    • Para filtrar los recursos en función de una marca de tiempo, selecciona Antes o Después. En el campo Valor, ingresa la marca de tiempo.
  5. Para agregar otro filtro, sigue estos pasos:
    1. Haga clic en Agregar filtro.
    2. Establece el atributo, la opción de evaluación y el valor del atributo.
    3. Establece la relación lógica entre los filtros. En Operador lógico, selecciona AND o OR.
  6. Haz clic en Aplicar. El editor de consultas se actualiza y los resultados de la consulta se filtran según corresponda.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Visualiza los cambios a un recurso

Puedes comparar las instantáneas de los metadatos de un recurso para ver qué cambió.

Para obtener información sobre cómo ver los cambios en un recurso a lo largo del tiempo, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. Para encontrar el recurso que necesitas revisar, desplázate o aplica los filtros adecuados a los recursos enumerados.
  3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del recurso.
  4. En el panel de detalles del recurso, haz clic en la pestaña Historial de cambios.
  5. En la pestaña Historial de cambios, selecciona una Hora de inicio y una Hora de finalización.
  6. En la lista Seleccionar un registro para comparar de la izquierda, selecciona una instantánea.
  7. En la lista Seleccionar un registro para comparar que se encuentra a la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Los cambios entre las dos instantáneas están destacados.

Consola de operaciones de seguridad

  1. En la consola de Operaciones de seguridad, ve a la página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Para encontrar el recurso que necesitas revisar, desplázate o aplica los filtros adecuados a los recursos enumerados.
  3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del recurso.
  4. En el panel de detalles del recurso, haz clic en la pestaña Historial de cambios.
  5. En la lista Comparar de la izquierda, selecciona una instantánea.
  6. En la lista Comparar de la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Los cambios entre las dos instantáneas están destacados.

Esta función se encuentra en Versión preliminar y solo está disponible para los clientes de Security Command Center Enterprise.

Filtrar recursos por marca de tiempo de creación o última actualización

Para obtener información sobre cómo filtrar recursos por marca de tiempo, haz clic en la pestaña de la consola que estás usando.

Consola de Google Cloud

Puedes ordenar o filtrar los recursos en el panel de resultados de la página Assets, por sus marcas de tiempo Created y Last updated.

Para un filtro basado en la marca de tiempo Created, la marca de tiempo Last updated o ambas, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En la parte superior del panel de resultados de la página Recursos, coloca el cursor en el campo Filtro. Se abrirá un menú de filtros.
  3. Desplázate hasta la sección Hora de creación o Hora de actualización y selecciona una de las opciones de filtro basadas en el tiempo. Por ejemplo, Update time after. Se agrega un filtro al campo Filtro.
  4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY y presiona Intro en el teclado.

Los recursos en el panel de resultados se actualizan para mostrar solo los recursos que coinciden con tu filtro.

Consola de operaciones de seguridad

Esta función no está disponible en la consola de operaciones de seguridad.

Personaliza la página Recursos en la consola de Google Cloud

Para controlar el espacio en pantalla, puedes personalizar algunos de los elementos que aparecen en la página Recursos.

Cómo ocultar o mostrar columnas

Puedes ocultar cualquier columna, excepto la de Nombre visible. Para ocultar la columna, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

    Ir a Recursos

  2. En la parte superior del panel de resultados en el lado derecho, haz clic en el ícono Opciones de visualización de columnas, .

  3. En el menú que aparece, puedes ocultar o mostrar una columna. Para ello, selecciona o anula la selección de la casilla de verificación junto al nombre de la columna.

Cómo ocultar o cambiar el tamaño del panel Filtros rápidos

Para controlar el espacio de pantalla de la página Assets, puedes cambiar las siguientes opciones:

  • Para ocultar el panel lateral Filtros rápidos, haz clic en la flecha izquierda, .
  • Arrastra la línea divisoria hacia la izquierda o la derecha para cambiar el tamaño de las columnas de la pantalla.

¿Qué sigue?