Questa pagina descrive come utilizzare le risorse cloud per migliorare la postura di sicurezza, risolvere i problemi di sicurezza e rispondere alle minacce.
In Security Command Center, alcune delle azioni che puoi eseguire sulle risorse sono:
- Visualizza risorse
- Query sulle risorse
- Ispeziona i dettagli delle risorse
- Esaminare i risultati relativi a una risorsa
Ottieni le autorizzazioni richieste
Questa sezione elenca i ruoli IAM necessari per lavorare con le risorse nella console.
Ruoli IAM della console Google Cloud
Per utilizzare le risorse nella console Google Cloud, devi disporre dei seguenti ruoli IAM.
Assicurati di disporre dei seguenti ruoli nell'organizzazione:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer)
Verifica i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona l'organizzazione.
-
Nella colonna Entità, individua la riga contenente il tuo indirizzo email.
Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.
- Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.
Concedi i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona l'organizzazione.
- Fai clic su Concedi l'accesso.
- Nel campo Nuove entità, inserisci il tuo indirizzo email.
- Nell'elenco Seleziona un ruolo, scegli un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
- Fai clic su Salva.
Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.
Ruoli IAM di Security Operations Console
Se sei un cliente di Security Command Center Enterprise, puoi utilizzare le risorse disponibili nella Security Operations Console. Devi disporre di uno dei seguenti ruoli IAM:
- Amministratore Chronicle SOAR (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Gestore delle vulnerabilità SOAR di Chronicle
(
roles/chronicle.soarVulnerabilityManager)
Per informazioni sulla concessione del ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.
La pagina delle risorse
Le risorse sono elencate nei risultati della query nella pagina Asset della console Google Cloud e, per i clienti di Security Command Center Enterprise, nella pagina Risorse della console Security Operations.
Se Security Command Center è attivato a livello di organizzazione, puoi visualizzare le risorse per l'intera organizzazione o filtrare le risorse in base a progetti, tipi di risorse e località specifici.
Se Security Command Center è attivato a livello di progetto, puoi filtrare le risorse per tipo di risorsa e località nella console Google Cloud.
L'elenco delle risorse è fornito da Cloud Asset Inventory. Nella maggior parte dei casi, Cloud Asset Inventory aggiorna l'elenco pochi minuti dopo la creazione, la modifica o la rimozione delle risorse nell'ambiente Google Cloud.
Per ulteriori informazioni su Cloud Asset Inventory, consulta Introduzione a Cloud Asset Inventory.
Utilizzo delle risorse nelle console di Security Command Center Enterprise
Se sei un cliente di Security Command Center Enterprise, puoi lavorare con le risorse in due console:
- Pagina Asset della console Google Cloud: disponibile in tutti i livelli di servizio
- Pagina Risorse di Security Operations Console: disponibile solo nel livello Enterprise
La pagina Risorse di Security Operations Console è in anteprima.
In questa pagina, i passaggi per utilizzare le risorse nelle due console sono descritti uno accanto all'altro in schede separate.
Per ulteriori informazioni, vedi Console Security Command Center Enterprise.
Visualizza risorse
Per informazioni su come visualizzare le risorse, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Console operativa di sicurezza
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.
Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.
Per ulteriori informazioni su questa console, vedi Console Security Operations.
Ordina risorse
Per ordinare le risorse, fai clic sull'intestazione della colonna relativa al valore in base al quale ordinare i dati. Le colonne sono ordinate in ordine numerico e poi alfabetico.
Filtro risorse
Questa sezione descrive come eseguire query comuni per esaminare le risorse in Security Command Center.
Per impostazione predefinita, tutte le risorse nel progetto, nella cartella o nell'organizzazione selezionati vengono visualizzate nei risultati della query. Puoi filtrare i risultati in base a risorse specifiche usando filtri rapidi o filtri più personalizzati. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Per filtrare i risultati per tipo di risorsa, ID progetto o località, utilizza il riquadro Filtri rapidi.
Per visualizzare le risorse di alto valore che Risk Engine ha incluso nelle ultime simulazioni del percorso di attacco, fai clic sulla scheda Set di risorse di alto valore. Puoi anche visualizzare i punteggi di esposizione agli attacchi che Risk Engine ha calcolato per ciascuna risorsa.
Per applicare filtri predefiniti per rivedere i dati delle risorse, fai clic sulla scheda Query asset.
Console operativa di sicurezza
Nella scheda Risorse Google Cloud, nel riquadro Filtri, puoi filtrare i risultati per tipo di risorsa, ID progetto o località.
La scheda Set di risorse di alto valore consente di visualizzare le risorse di alto valore che Risk Engine ha incluso nelle ultime simulazioni del percorso di attacco, nonché i punteggi di esposizione agli attacchi che Risk Engine ha calcolato per ciascuna risorsa.
Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.
Filtro risorse
Nei filtri rapidi, puoi filtrare per ID progetto, tipo di risorsa e località.
Per informazioni su come utilizzare i filtri rapidi, fai clic sulla scheda della console in uso.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Nel riquadro Filtri rapidi, seleziona uno o più filtri di attributi per aggiungerli a una query.
Console operativa di sicurezza
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAINcon il tuo identificatore specifico per il cliente. - Per filtrare le risorse che hanno valori degli attributi specifici:
- Nel riquadro Filtri, fai clic su un valore di attributo e fai clic su Mostra solo. La query viene aggiornata di conseguenza.
- Per aggiungere un altro valore dell'attributo alla query, fai clic sul valore dell'attributo, quindi su e mostra solo.
- Per rimuovere un valore dell'attributo dalla query, fai clic sul valore dell'attributo e fai clic su Non mostrare solo.
- Per copiare il valore di un attributo, fai clic sul valore dell'attributo e poi su Copia.
Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.
Modifica query sulle risorse
Per informazioni su come modificare le query sulle risorse, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Fai clic sulla scheda Query sugli asset.
- Modifica la query in uno dei seguenti modi:
- Nella scheda secondaria Libreria query, seleziona una query predefinita. Fai clic su Applica. La query nel riquadro Modifica query viene aggiornata di conseguenza.
- Nel riquadro Seleziona tabella, fai clic sul tipo di risorsa su cui vuoi eseguire la query. Nella scheda secondaria Schema, trova l'attributo da aggiungere alla query. L'attributo viene aggiunto al riquadro Modifica query.
- Modifica la query direttamente nel riquadro Modifica query.
- Fai clic su Esegui. I risultati della query vengono aggiornati di conseguenza.
Console operativa di sicurezza
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAINcon il tuo identificatore specifico per il cliente. - Fai clic su Aggiungi filtro. Viene visualizzata la finestra di dialogo Filtri. Questa finestra di dialogo consente di scegliere gli attributi e i valori delle risorse supportati.
- In Filtro, seleziona un attributo in base al quale filtrare.
- Imposta l'opzione di valutazione del filtro e il valore dell'attributo. Le opzioni di valutazione disponibili variano a seconda dell'attributo selezionato.
- Per filtrare in base alle risorse che hanno un valore dell'attributo specifico, seleziona Mostra solo. Nell'elenco Valore, seleziona il valore dell'attributo.
- Per filtrare in base alle risorse che hanno un valore dell'attributo contenente una stringa specifica, seleziona Contiene. Nel campo Valore, inserisci la stringa.
- Per filtrare le risorse in base a un timestamp, seleziona Prima o Dopo. Nel campo Valore, inserisci il timestamp.
- Per aggiungere un altro filtro:
- Fai clic su Aggiungi filtro.
- Imposta l'attributo, l'opzione di valutazione e il valore dell'attributo.
- Imposta la relazione logica tra i filtri. Per Operatore logico, seleziona
ANDoOR.
- Fai clic su Applica. L'editor di query viene aggiornato e i risultati della query vengono filtrati di conseguenza.
Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.
Visualizza le modifiche apportate a una risorsa
Puoi confrontare gli snapshot dei metadati di una risorsa per vedere cosa è cambiato.
Per informazioni su come visualizzare le modifiche a una risorsa nel tempo, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Individua la risorsa che devi esaminare scorrendo o applicando i filtri appropriati alle risorse elencate.
- Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome della risorsa. Si apre il riquadro dei dettagli della risorsa.
- Nel riquadro dei dettagli della risorsa, fai clic sulla scheda Cronologia delle modifiche.
- Nella scheda Cronologia delle modifiche, seleziona un'ora di inizio e un'ora di fine.
- Nell'elenco Seleziona un record da confrontare a sinistra, seleziona uno snapshot.
- Nell'elenco Seleziona un record da confrontare a destra, seleziona uno snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra i due snapshot sono evidenziate.
Console operativa di sicurezza
-
Nella Security Operations Console, vai alla pagina Risorse.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
Sostituisci
CUSTOMER_SUBDOMAINcon il tuo identificatore specifico per il cliente. - Individua la risorsa che devi esaminare scorrendo o applicando i filtri appropriati alle risorse elencate.
- Nell'elenco delle risorse nel riquadro dei risultati, fai clic sul nome della risorsa. Si apre il riquadro dei dettagli della risorsa.
- Nel riquadro dei dettagli della risorsa, fai clic sulla scheda Cronologia delle modifiche.
- Nell'elenco Confronta a sinistra, seleziona uno snapshot.
- Nell'elenco Confronta a destra, seleziona uno snapshot da confrontare con il primo snapshot selezionato. Le modifiche tra i due snapshot sono evidenziate.
Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.
Filtra le risorse in base al timestamp di creazione o ultimo aggiornamento
Per informazioni su come filtrare le risorse in base al timestamp, fai clic sulla scheda della console che stai utilizzando.
Console Google Cloud
Puoi filtrare o ordinare le risorse nel riquadro dei risultati della pagina Asset, in base ai timestamp Creato e Ultimo aggiornamento.
Per un filtro basato sul timestamp Created, Ultimo aggiornamento o entrambi, segui questi passaggi:
- Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
- Nella parte superiore del riquadro dei risultati della pagina Asset, posiziona il cursore sul campo Filtro. Si apre un menu di filtri.
- Scorri fino alla sezione Crea ora o Aggiorna ora e seleziona una delle opzioni di filtro in base al tempo. Ad esempio,
Update time after. Viene aggiunto un filtro al campo Filtro. - Nel campo del filtro, digita una data nel formato
MM/DD/YYYYe premi Invio sulla tastiera.
Le risorse nel riquadro dei risultati vengono aggiornate in modo da mostrare solo le risorse corrispondenti al filtro.
Console operativa di sicurezza
Questa funzionalità non è disponibile in Security Operations Console.
Personalizza la pagina Asset nella console Google Cloud
Per controllare lo spazio dello schermo, puoi personalizzare alcuni degli elementi visualizzati nella pagina Asset.
Nascondi o visualizza colonne
Puoi nascondere qualsiasi colonna tranne Nome visualizzato. Per nascondere la colonna:
Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
Nella parte superiore del riquadro dei risultati sul lato destro, fai clic sull'icona Opzioni di visualizzazione delle colonne view_column.
Nel menu visualizzato, puoi mostrare o nascondere una colonna selezionando o deselezionando la casella di controllo accanto al nome della colonna.
Nascondi o ridimensiona il riquadro Filtri rapidi
Per controllare lo spazio sullo schermo per la pagina Asset, puoi modificare le seguenti opzioni:
- Per nascondere il riquadro laterale Filtri rapidi, fai clic sulla Freccia sinistra,
. - Ridimensiona le colonne di visualizzazione trascinando la linea di demarcazione verso sinistra o verso destra.
Passaggi successivi
- Annota risorse e risultati con i contrassegni di sicurezza.