Inspecter les ressources associées aux résultats

Cette page explique comment utiliser les ressources cloud pour l'amélioration de votre stratégie de sécurité, la résolution des problèmes de sécurité contre les menaces.

Dans Security Command Center, certaines actions que vous pouvez effectuer sur les ressources incluent les éléments suivants:

  • Afficher les ressources
  • Ressources de requête
  • Inspecter les détails de la ressource
  • Examiner les résultats liés à une ressource

Obtenir les autorisations requises

Cette section répertorie les rôles IAM que vous devez utiliser dans la console.

Rôles IAM de la console Google Cloud

Pour utiliser des ressources dans la console Google Cloud, vous devez disposer des rôles IAM suivants.

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation :

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Vérifier les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

    Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

  4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
  5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

Rôles IAM de la console Opérations de sécurité

Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser des ressources dans la console Opérations de sécurité. Vous avez besoin de l'un des rôles IAM suivants:

  • Administrateur SOAR Chronicle (roles/chronicle.soarAdmin)
  • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Pour en savoir plus sur l'attribution du rôle à un utilisateur, consultez Mappez et autorisez les utilisateurs à l'aide d'IAM.

Page des ressources

Les ressources sont répertoriées dans les résultats de requête de la page Éléments dans la section la console Google Cloud et Security Command Center Enterprise pour les clients : la page Ressources Console Opérations de sécurité.

Si Security Command Center est activé au niveau de l'organisation niveau supérieur, vous pouvez afficher les ressources de l'ensemble de votre organisation ou filtrer les ressources par projet, par type de ressource et par emplacement.

Si Security Command Center est activé au niveau du projet niveau, vous pouvez filtrer les ressources par type de ressource et par emplacement console Google Cloud.

La liste des ressources est fournie par l'inventaire des éléments cloud. Dans la plupart des cas, L'inventaire des éléments cloud met à jour la liste quelques minutes après la création des ressources. modifiées ou supprimées dans votre environnement Google Cloud.

Pour en savoir plus sur l'inventaire des éléments cloud, consultez la page Présentation de l'inventaire des éléments cloud.

Utiliser les ressources dans les consoles Security Command Center Enterprise

Si vous êtes un client Security Command Center Enterprise, vous pouvez utiliser des ressources dans deux consoles:

  • Page Éléments de la console Google Cloud: disponible pour tous les niveaux de service
  • Page Ressources de la console Opérations de sécurité: disponible dans le Niveau Enterprise uniquement

La page Ressources du La console Opérations de sécurité est en version preview.

Sur cette page, la procédure à suivre pour utiliser les ressources des deux consoles est décrites côte à côte dans des onglets distincts.

Pour en savoir plus, consultez la page Security Command Center Enterprise consoles.

Afficher les ressources

Pour en savoir plus sur l'affichage de vos ressources, cliquez sur l'onglet la console que vous utilisez.

console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. Sélectionnez votre projet ou votre organisation Google Cloud.

Console Opérations de sécurité

Dans la console Opérations de sécurité, accédez à la page Ressources. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Pour en savoir plus sur cette console, consultez Console des opérations de sécurité.

Trier les ressources

Pour trier les ressources, cliquez sur l'en-tête de colonne correspondant à la valeur que vous souhaitez trier. par. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

Filtrer les ressources

Cette section explique comment exécuter des requêtes courantes pour examiner vos ressources dans Security Command Center.

Par défaut, toutes les ressources du projet, du dossier ou de l'organisation sélectionné sont affiché dans les résultats de la requête. Vous pouvez filtrer les résultats pour n'afficher des ressources en utilisant des filtres rapides ou en spécifiant des filtres plus personnalisés. Pour plus d'informations, cliquez sur l'onglet de la console que vous utilisez.

console Google Cloud

Pour filtrer les résultats par type de ressource, par ID de projet ou par emplacement, utilisez l'outil Quick des filtres.

Pour afficher les cartes à fort potentiel ressources incluses par Risk Engine dans le dernier chemin d'attaque cliquez sur l'onglet High value resource set (Ensemble de ressources à forte valeur). Vous pouvez également consulter des scores d'exposition aux attaques calculés par le moteur de risque ressource.

Pour appliquer des filtres prédéfinis afin d'examiner les données de ressources, cliquez sur le bouton Asset requête.

Console Opérations de sécurité

Dans l'onglet Ressources Google Cloud, Filters (Filtres), vous pouvez filtrer les résultats par ressource le type, l'ID du projet ou l'emplacement.

L'onglet Ensemble de ressources à forte valeur vous permet d'afficher les ensembles de ressources à forte valeur ressources incluses par Risk Engine dans le dernier chemin d'attaque ainsi que les scores d'exposition aux attaques calculés par Risk Engine pour chaque ressource.

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Filtrer les ressources

Dans les filtres rapides, vous pouvez filtrer par ID de projet, type de ressource et emplacement.

Pour plus d'informations sur l'utilisation des filtres rapides, cliquez sur l'onglet pour la console que vous utilisez.

console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. Dans le panneau Filtres rapides, sélectionnez un ou d'autres filtres d'attributs pour les ajouter à une requête.

Console Opérations de sécurité

  1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Pour filtrer les ressources ayant des valeurs d'attribut spécifiques, procédez comme suit: <ph type="x-smartling-placeholder">
      </ph>
    1. Dans le panneau Filtres, cliquez sur un puis cliquez sur Afficher uniquement. La requête est mise à jour en conséquence.
    2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur l'icône puis cliquez sur et n'afficher que.
    3. Pour supprimer une valeur d'attribut de la requête, cliquez sur la valeur d'attribut puis cliquez sur Ne pas afficher uniquement.
  3. Pour copier la valeur d'un attribut, cliquez dessus, puis sur Copier :

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Modifier les requêtes de ressource

Pour en savoir plus sur la modification des requêtes de ressources, cliquez sur l'onglet la console que vous utilisez.

console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. Cliquez sur l'onglet Requête sur un élément.
  3. Modifiez la requête de l'une des manières suivantes: <ph type="x-smartling-placeholder">
      </ph>
    • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête du panneau Modifier la requête est mis à jour en conséquence.
    • Dans le panneau Sélectionner une table, cliquez sur le type de ressource souhaité. à interroger. Dans le sous-onglet Schéma, recherchez l'attribut à ajouter à la requête. L'attribut est ajouté à la page Modifier la requête panneau.
    • Modifiez la requête directement dans le panneau Modifier la requête.
  4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour en conséquence.

Console Opérations de sécurité

  1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Cliquez sur Ajouter un filtre. L'onglet Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les attributs de ressources compatibles valeurs.
  3. Pour Filtrer, sélectionnez un attribut à filtrer. activé.
  4. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les ressources d'évaluation diffèrent selon l'attribut que vous avez sélectionné.
    • Pour filtrer les ressources ayant une valeur d'attribut spécifique, sélectionnez Afficher uniquement : Dans la liste Valeur, sélectionnez la valeur de l'attribut.
    • Pour filtrer les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Valeur, saisissez la chaîne.
    • Pour filtrer les ressources en fonction d'un horodatage, sélectionnez Avant ou Après : Dans le champ Valeur, saisissez le code temporel.
  5. Pour ajouter un autre filtre, procédez comme suit: <ph type="x-smartling-placeholder">
      </ph>
    1. Cliquez sur Ajouter un filtre.
    2. Définissez l'attribut, l'option d'évaluation et l'attribut .
    3. Définissez la relation logique entre les filtres. Pour logique opérateur, sélectionnez AND ou OR.
  6. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats sont filtrées en conséquence.

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Afficher les modifications apportées à une ressource

Vous pouvez comparer des instantanés des métadonnées d'une ressource pour voir ce qui a changé.

Pour savoir comment afficher les modifications apportées à une ressource au fil du temps, cliquez sur de la console que vous utilisez.

console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. Localisez la ressource que vous devez examiner en faisant défiler la page ou en appliquant les filtres appropriés aux ressources listées.
  3. Dans la liste des ressources du panneau des résultats, cliquez sur le nom du ressource. Le panneau des détails de la ressource s'ouvre.
  4. Dans le panneau des détails de la ressource, cliquez sur le lien Historique des modifications .
  5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une Heure de fin :
  6. Dans la liste Sélectionner un enregistrement à comparer à gauche, sélectionnez une un instantané.
  7. Dans la liste Sélectionner un enregistrement à comparer qui se trouve à droite, sélectionnez une instantané à comparer avec le premier instantané que vous avez sélectionné. Les changements entre les deux instantanés sont mis en évidence.

Console Opérations de sécurité

  1. Dans la console Opérations de sécurité, accédez à la page Ressources. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Localisez la ressource que vous devez examiner en faisant défiler la page ou en appliquant les filtres appropriés aux ressources listées.
  3. Dans la liste des ressources du panneau des résultats, cliquez sur le nom du ressource. Le panneau des détails de la ressource s'ouvre.
  4. Dans le panneau des détails de la ressource, cliquez sur le lien Historique des modifications .
  5. Dans la liste Comparer à gauche, sélectionnez une un instantané.
  6. Dans la liste Comparer à droite, sélectionnez une instantané à comparer avec le premier instantané que vous avez sélectionné. Les changements entre les deux instantanés sont mis en évidence.

Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Filtrer les ressources par code temporel de création ou de dernière mise à jour

Pour savoir comment filtrer les ressources par code temporel, cliquez sur l'onglet correspondant la console que vous utilisez.

console Google Cloud

Vous pouvez filtrer ou trier les ressources dans le panneau des résultats de la Éléments, en fonction des codes temporels de création et de dernière mise à jour.

À un filtre basé sur le code temporel Created (Créé), Last updated (Dernière mise à jour) ou les deux, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. En haut du panneau des résultats de la page Assets, placez votre dans le champ Filtre. Un menu de filtres s'affiche.
  3. Faites défiler la page jusqu'à la section Heure de création ou Heure de mise à jour, puis sélectionnez une heure. des options de filtrage temporel. Par exemple : Update time after Un filtre est ajouté au champ Filtre.
  4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY. et appuyez sur la touche Entrée de votre clavier.

Les ressources du panneau des résultats sont mises à jour pour n'afficher que les ressources qui correspondent à votre filtre.

Console Opérations de sécurité

Cette fonctionnalité n'est pas disponible dans la console Security Operations.

Personnaliser la page "Éléments" dans la console Google Cloud

Pour contrôler l'espace à l'écran, vous pouvez personnaliser certains des éléments affichés sur la page Composants.

Masquer ou afficher des colonnes

Vous pouvez masquer les colonnes de votre choix, à l'exception de Nom à afficher. Pour masquer une colonne : procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

  2. En haut à droite du panneau des résultats, cliquez sur l'icône l'icône Options d'affichage des colonnes,

  3. Dans le menu qui s'affiche, vous pouvez afficher ou masquer une colonne en sélectionnant ou décochez la case à côté du nom de la colonne.

Masquer ou redimensionner le panneau "Filtres rapides"

Pour contrôler l'espace à l'écran de la page Éléments, vous pouvez modifier le paramètre les options suivantes:

  • Masquez le panneau latéral Filtres rapides en cliquant sur le bouton gauche flèche, .
  • Redimensionnez les colonnes affichées en faisant glisser la ligne de séparation vers la gauche ou à droite.

Étape suivante