Inspecter les ressources surveillées par Security Command Center

Cette page explique comment afficher, interroger et inspecter les ressources cloud afin d'améliorer votre stratégie de sécurité, de résoudre les problèmes de sécurité et de répondre aux menaces.

Dans Security Command Center, voici quelques-unes des actions que vous pouvez effectuer sur les composants :

Pour les niveaux de service Premium et Enterprise, vous pouvez modifier les requêtes sur les composants et afficher les ensembles de ressources à forte valeur.

Obtenir les autorisations requises

Cette section liste les rôles IAM dont vous avez besoin pour travailler avec les composants dans la console.

Rôles IAM de la consoleGoogle Cloud

Pour utiliser des composants dans la console Google Cloud , vous avez besoin des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.
  8. Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

    Rôles IAM de la console Security Operations

    Si vous êtes un client Security Command Center Enterprise, vous pouvez travailler avec des composants dans la console Security Operations. Vous devez disposer de l'un des rôles IAM suivants :

    • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser des utilisateurs à l'aide d'IAM.

    Liste des composants dans Security Command Center

    Les éléments sont listés dans les résultats de requête de la page Éléments de la consoleGoogle Cloud .

    Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les éléments de l'ensemble de votre organisation ou les filtrer par projet, type de ressource et emplacement.

    Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les composants par type de ressource et par emplacement dans la consoleGoogle Cloud .

    La liste des éléments est fournie par l'inventaire des éléments cloud. Dans la plupart des cas, l'inventaire des éléments cloud met à jour la liste quelques minutes après la création, la modification ou la suppression d'éléments dans votre environnement Google Cloud .

    Pour en savoir plus sur inventaire des éléments cloud, consultez Présentation de Cloud Asset Inventory.

    Afficher tous les éléments

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Sélectionnez votre Google Cloud organisation.

    Trier les composants

    Pour trier les composants, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

    Rechercher des composants

    Par défaut, tous les composants de l'organisation sont affichés dans les résultats de la requête. Pour rechercher des composants spécifiques dans Security Command Center, vous pouvez utiliser des filtres rapides ou spécifier des filtres personnalisés.

    Effectuer une recherche générale à l'aide de filtres rapides

    Pour effectuer une recherche générale dans vos composants, vous pouvez utiliser des filtres rapides. Par exemple, vous pouvez effectuer une recherche par projet, par type de ressource ou par emplacement. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Dans la section Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs pour les ajouter à une requête.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'un des onglets suivants pour filtrer et afficher les ressources d'un fournisseur de services cloud spécifique :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
      • Ensemble de ressources à forte valeur
    3. Pour filtrer les ressources qui possèdent des valeurs d'attribut spécifiques, procédez comme suit :
      1. Dans la section Filtres, cliquez sur une valeur d'attribut, puis sur Afficher uniquement. La requête est mise à jour en conséquence.
      2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur la valeur d'attribut, puis sur et n'afficher que.
      3. Pour supprimer une valeur d'attribut de la requête, cliquez sur la valeur d'attribut, puis sur Ne pas afficher uniquement.
    4. Pour copier la valeur d'un attribut, cliquez dessus, puis sur Copier.

    Modifier les requêtes sur les composants

    Pour savoir comment modifier les requêtes sur les composants, cliquez sur l'onglet correspondant à votre niveau de service.

    Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Requête sur les composants.
    3. Modifiez la requête de l'une des manières suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, cliquez sur Appliquer la requête à côté d'une requête prédéfinie pour la sélectionner. La requête de la section Modifier la requête est mise à jour.
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Apply (Appliquer). La requête de la section Modifier la requête est mise à jour.
      • Dans la section Sélectionner une table, cliquez sur le type de composant sur lequel vous souhaitez effectuer une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté à la section Modifier la requête.
      • Modifiez la requête directement dans la section Modifier la requête.
    4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Assurez-vous que vous vous trouvez bien dans l'onglet Ressources Google Cloud.
    3. Cliquez sur Interroger les composants.
    4. Modifiez la requête de l'une des manières suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, cliquez sur Appliquer la requête à côté d'une requête prédéfinie pour la sélectionner. La requête de la section Modifier la requête est mise à jour.
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Apply (Appliquer). La requête de la section Modifier la requête est mise à jour.
      • Dans la section Sélectionner une table, cliquez sur le type de composant sur lequel vous souhaitez effectuer une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté à la section Modifier la requête.
      • Modifiez la requête directement dans la section Modifier la requête.
    5. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour.

    Filtrer les éléments

    Pour savoir comment filtrer les composants, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Dans le sous-onglet Ressource, cliquez dans le champ à côté de Filtrer. Un menu d'options de filtrage s'ouvre.
    3. Pour filtrer la liste, sélectionnez une propriété et saisissez une valeur. Appuyez sur Entrée pour filtrer les composants ou ajouter d'autres propriétés de filtrage.
    4. Pour ajouter un autre filtre :
      1. Cliquez dans le champ à côté de Filtrer.
      2. Vous pouvez définir la relation logique entre les propriétés. Vous pouvez sélectionner OR. Sinon, Security Command Center utilise AND comme opérateur logique par défaut.
      3. Sélectionnez un attribut et saisissez une valeur.
      4. Répétez ces étapes pour continuer à filtrer.
    5. Appuyez sur Entrée pour filtrer les composants.

      Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer et afficher les ressources d'un fournisseur de services cloud spécifique :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
      • Ensemble de ressources à forte valeur
    3. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les attributs et les valeurs de ressources compatibles.
    4. Pour Filtre, sélectionnez un attribut à filtrer.
    5. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les options d'évaluation disponibles diffèrent selon l'attribut que vous avez sélectionné.
      • Pour filtrer les ressources qui ont une valeur d'attribut spécifique, sélectionnez Afficher uniquement. Dans la liste Valeur, sélectionnez la valeur de l'attribut.
      • Pour filtrer les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Valeur, saisissez la chaîne.

        L'option d'évaluation Contient suit la syntaxe de requête de l'opérateur de correspondance partielle de texte. Il convertit votre terme de recherche en un ou plusieurs jetons, en utilisant des caractères spéciaux comme délimiteurs, et exige qu'un jeton entier corresponde. Pour ne faire correspondre qu'une partie d'un jeton, utilisez un astérisque (*) comme indicateur de correspondance de préfixe de jeton.

      • Pour filtrer les ressources en fonction d'un code temporel, sélectionnez Avant ou Après. Dans le champ Valeur, saisissez le code temporel.
    6. Pour ajouter un autre filtre :
      1. Cliquez sur Ajouter un filtre.
      2. Définissez l'attribut, l'option d'évaluation et la valeur de l'attribut.
      3. Définissez la relation logique entre les filtres. Pour Opérateur logique, sélectionnez AND ou OR.
    7. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats de la requête sont filtrés en conséquence.

    Inspecter les détails des composants

    Cette section explique comment obtenir plus d'informations sur les détails d'un élément particulier.

    Afficher les informations générales

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. La section "Détails" de l'élément s'ouvre et affiche un récapitulatif de ses informations.

    Afficher tous les détails d'un composant

    Pour afficher tous les détails d'un composant, y compris les métadonnées de bas niveau, procédez comme suit :

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. La section des détails de l'élément s'ouvre.
    3. Cliquez sur l'onglet Métadonnées complètes. Tous les noms et valeurs de propriétés du composant sont affichés dans une structure arborescente.
    4. Pour rechercher un nom ou une valeur de propriété spécifique dans l'arborescence, saisissez le nom ou la valeur dans le filtre.
    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. La section des détails de l'élément s'ouvre.
    3. Cliquez sur l'onglet Résultats. Tous les résultats associés à l'élément s'affichent.

    Afficher les modifications apportées à un composant

    Vous pouvez comparer des instantanés des métadonnées d'un élément pour voir ce qui a changé.

    Pour savoir comment afficher les modifications apportées à un élément au fil du temps, cliquez sur l'onglet correspondant à la console que vous utilisez.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Dans la liste des composants, cliquez sur le nom du composant. La section "Détails" de l'élément s'ouvre.
    3. Dans la section "Détails" de l'élément, cliquez sur l'onglet Historique des modifications.
    4. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.
    5. Dans la liste Sélectionnez un enregistrement à comparer à gauche, sélectionnez un instantané.
    6. Dans la liste Sélectionnez un enregistrement à comparer à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Dans la liste des composants, cliquez sur le nom du composant. La section "Détails" de l'élément s'ouvre.
    3. Dans la section "Détails" de l'élément, cliquez sur l'onglet Historique des modifications.
    4. Dans la liste Comparer à gauche, sélectionnez un instantané.
    5. Dans la liste Comparer à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Afficher les stratégies IAM associées à un élément

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. La section des détails de l'élément s'ouvre.
    3. Cliquez sur l'onglet Stratégies IAM. Les stratégies IAM associées à l'élément s'affichent.

    Afficher l'ensemble de ressources de forte valeur

    Vous pouvez afficher les ressources à forte valeur que Risk Engine a incluses dans les dernières simulations de chemins d'attaque. Vous pouvez également afficher les scores d'exposition aux attaques que le moteur de risque a calculés pour chaque ressource. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Pour afficher les détails de la simulation du chemin d'attaque pour la ressource, cliquez sur son score d'exposition aux attaques. Pour savoir comment interpréter les chemins d'attaque, consultez Chemins d'attaque.

    Entreprise

    Pour afficher l'ensemble de ressources à forte valeur, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources à forte valeur Google Cloud , cliquez sur Ressources Google Cloud.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur Ressources AWS.
      • Pour afficher les ressources Microsoft Azure à forte valeur ajoutée, cliquez sur Ressources Azure.
    4. Pour afficher les détails d'une ressource, cliquez sur son nom à afficher.

    Filtrer les composants par date de création ou de dernière modification

    Vous pouvez filtrer ou trier les composants dans la section des résultats de la page Composants, en fonction de leurs codes temporels Créé le et Dernière modification.

    Pour ajouter un filtre basé sur l'horodatage Créé, l'horodatage Dernière modification ou les deux, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. En haut de la section des résultats de la page Composants, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Faites défiler la page jusqu'à la section Heure de création ou Heure de modification, puis sélectionnez l'une des options de filtrage basées sur le temps. Par exemple, Update time after. Un filtre est ajouté au champ Filtre.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY, puis appuyez sur la touche Entrée de votre clavier.

    La section des résultats est mise à jour pour n'afficher que les composants correspondant à votre filtre.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer et afficher les ressources d'un fournisseur de services cloud spécifique :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
    3. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Dans cette boîte de dialogue, vous pouvez choisir les attributs et les valeurs de ressources compatibles.
    4. Dans le champ Filtre, sélectionnez Heure de création ou Heure de modification.
    5. Sélectionnez Avant ou Après.
    6. Dans le champ Valeur, saisissez une date au format MM/DD/YYYY HH:MM:SS.
    7. Cliquez sur Appliquer.

    Les composants de la section "Résultats" sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

    Personnaliser la page des résultats de la requête sur les composants

    Pour contrôler l'espace d'écran, vous pouvez personnaliser certains des éléments qui s'affichent dans les résultats de requête.

    Masquer ou afficher des colonnes

    Pour savoir comment masquer ou afficher des colonnes dans les résultats de requête, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. En haut de la section "Résultats", cliquez sur  Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Cliquez sur OK pour appliquer les modifications aux résultats de la requête.

    Entreprise

    1. En haut de la section des résultats, cliquez sur view_column Ouvrir le sélecteur de colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Masquer ou redimensionner la section des filtres rapides

    Pour augmenter l'espace d'affichage dédié aux résultats de la requête, vous pouvez masquer ou redimensionner des sections. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    • Pour masquer la section latérale Filtres rapides, cliquez sur la flèche vers la gauche first_page.
    • Pour afficher la section latérale Filtres rapides, cliquez sur la flèche vers la droite last_page.
    • Pour redimensionner les colonnes d'affichage, faites glisser la ligne de séparation vers la gauche ou vers la droite.

    Entreprise

    • Pour masquer la section latérale Filtres, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher la section latérale Filtres, cliquez sur chevron_right Ouvrir la barre latérale.

    Étapes suivantes