Ergebnisse zu Sicherheitslücken im Security Command Center ansehen

Auf dieser Seite wird beschrieben, wie Sie Filter verwenden, um bestimmte Ergebnisse zu Sicherheitslücken anzuzeigen.

Sie können die Ergebnisse zu Sicherheitslücken auf den folgendenGoogle Cloud Console-Seiten ansehen und filtern:

  • Seite Sicherheitslücken in der Standard- und Premium-Stufe.
  • Die Seite Ergebnisse ist in allen Stufen verfügbar.

Nachdem Sie die für Sie wichtigen Ergebnisse zu Sicherheitslücken angezeigt haben, können Sie detaillierte Informationen zu einem bestimmten Ergebnis aufrufen, indem Sie die Sicherheitslücke in Security Command Center auswählen. Diese Informationen enthalten beispielsweise eine Beschreibung der Sicherheitslücke und des Risikos sowie Empfehlungen zur Behebung.

Auf dieser Seite bezieht sich Sicherheitslücke auf Ergebnisse der Klassen Vulnerability und Misconfiguration.

Seite „Sicherheitslücken“ im Vergleich zur Seite „Ergebnisse“

Die Filteroptionen auf der Seite Schwachstellen sind im Vergleich zu den Filter- und Abfrageoptionen auf der Seite Ergebnisse eingeschränkt.

Auf der Seite Schwachstellen werden alle Ergebniskategorien in den Ergebnisklassen Vulnerability und Misconfiguration zusammen mit der aktuellen Anzahl aktiver Ergebnisse in jeder Kategorie und den Compliance-Standards angezeigt, denen die einzelnen Ergebniskategorien zugeordnet sind. Wenn in einer bestimmten Kategorie keine aktiven Sicherheitslücken vorhanden sind, wird in der Spalte Aktive Ergebnisse der Wert 0 angezeigt.

Auf der Seite Ergebnisse können dagegen Ergebniskategorien aus jeder Ergebnisklasse angezeigt werden. Eine Ergebniskategorie wird jedoch nur angezeigt, wenn in Ihrem angegebenen Zeitraum ein Sicherheitsproblem in dieser Kategorie in Ihrer Umgebung erkannt wurde.

Weitere Informationen finden Sie auf den folgenden Seiten:

Abfragevoreinstellungen anwenden

Auf der Seite Sicherheitslücken können Sie vordefinierte Abfragen, sogenannte Abfrage-Presets, auswählen, die Ergebnisse zurückgeben, die sich auf bestimmte Sicherheitsziele beziehen.

Wenn Sie beispielsweise für die Verwaltung von Berechtigungen für die Cloud-Infrastruktur (Cloud Infrastructure Entitlement Management, CIEM) für Google Cloudverantwortlich sind, können Sie die voreingestellte Abfrage Identity and access misconfigurations (Fehlkonfigurationen bei Identität und Zugriff) auswählen, um alle Ergebnisse zu sehen, die sich auf falsch konfigurierte Hauptkonten oder Konten mit übermäßigen oder sensiblen Berechtigungen beziehen.

Wenn Sie Hauptkonten nur auf die Berechtigungen beschränken möchten, die sie tatsächlich benötigen, können Sie die voreingestellte Abfrage IAM Recommender auswählen, um Ergebnisse des IAM Recommender für Hauptkonten mit mehr Berechtigungen als erforderlich anzuzeigen.

So wählen Sie eine voreingestellte Abfrage aus:

  1. Rufen Sie die Seite Sicherheitslücken auf:

    Zu Sicherheitslücken

  2. Klicken Sie im Bereich Voreinstellungen für Abfragen auf eine der Abfrageauswahlen.

    Die Anzeige wird aktualisiert und enthält nur die in der Abfrage angegebenen Kategorien von Sicherheitslücken.

Ergebnisse zu Sicherheitslücken nach Projekt ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Projekt auf der Seite Sicherheitslücken in der Google Cloud Konsole auf:

  1. Rufen Sie in der Google Cloud Console die Seite Schwachstellen auf.

    Zu Sicherheitslücken

  2. Wählen Sie oben auf der Seite in der Projektauswahl das Projekt aus, für das Sie die Ergebnisse zu Sicherheitslücken aufrufen möchten.

Die Seite Sicherheitslücken zeigt nur Ergebnisse für das ausgewählte Projekt an.

Wenn Ihre Konsolenansicht auf Ihre Organisation eingestellt ist, können Sie alternativ auf der Seite „Ergebnisse“ mit Schnellfiltern nach einem oder mehreren Projekten filtern.

Ergebnisse zu Sicherheitslücken nach Ergebniskategorie ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Kategorie auf:

  1. Rufen Sie in der Google Cloud Console die Seite Schwachstellen auf.

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie in der Spalte Kategorie den Ergebnistyp aus, für den Sie Ergebnisse aufrufen möchten.

Die Seite Ergebnisse zeigt eine Liste mit Ergebnissen an, die der ausgewählten Kategorie entsprechen.

Weitere Informationen zu Ergebniskategorien finden Sie unter Ergebnisse zu Sicherheitslücken.

Ergebnisse nach Asset-Typ ansehen

So rufen Sie die Ergebnisse zu Sicherheitslücken für einen bestimmten Asset-Typ auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie im Bereich Schnellfilter Folgendes aus:

    • Wählen Sie im Abschnitt Klasse der Ergebnisse sowohl Sicherheitslücke als auch Fehlerhafte Konfiguration aus.
    • Optional: Wählen Sie im Abschnitt Projekt-ID die ID des Projekts aus, in dem Sie Assets ansehen möchten.
    • Wählen Sie im Abschnitt Ressourcentyp den Ressourcentyp aus, den Sie sehen möchten.

Die Liste der Ergebnisse im Bereich Ergebnisse der Abfrage zu Funden wird aktualisiert und enthält nur noch die Ergebnisse, die Ihren Auswahlkriterien entsprechen.

Ergebnisse zu Sicherheitslücken nach Angriffsbewertung ansehen

Sicherheitslücken, die als hochwertig eingestuft werden und von Angriffspfadsimulationen unterstützt werden, erhalten eine Angriffsrisikobewertung. Sie können Ergebnisse nach diesem Wert filtern.

So rufen Sie Ergebnisse zu Sicherheitslücken nach Angriffsbewertung auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten.

  4. Klicken Sie oben im Bereich Abfrageeditor auf Filter hinzufügen.

  5. Führen Sie im Dialogfeld Filter auswählen die folgenden Schritte aus:

    • Bei den Service-Levels „Premium“ und „Standard“: Wählen Sie Angriffsrisiko aus und geben Sie dann einen Wert für das Risiko im Feld Angriffsrisiko größer als ein.

    • In der Enterprise-Stufe:

      • Wählen Sie Angriffsrisiko als Attributkategorie aus.
      • Wählen Sie Score als Attributname aus.
      • Geben Sie im Feld Angriffsrisiko größer als einen Wert für das Risiko ein.

  6. Klicken Sie auf Übernehmen.

    Die Filteranweisung wird Ihrer Abfrage hinzugefügt und die Ergebnisse im Bereich Ergebnisse der Abfrage für Erkenntnisse werden aktualisiert. Es werden nur noch Ergebnisse mit einem Wert für die Anfälligkeit für Angriffe angezeigt, der größer als der in der neuen Filteranweisung angegebene Wert ist.

Ergebnisse zu Sicherheitslücken nach CVE-ID aufrufen

Sie können sich die Ergebnisse auf der Seite Übersicht oder auf der Seite Ergebnisse nach der entsprechenden CVE-ID ansehen.

  • Rufen Sie auf der Seite Übersicht im Abschnitt Top-CVE-Ergebnisse die Standard- und Premium-Stufen auf.

  • Rufen Sie im Enterprise-Tarif den Bereich Top Common Vulnerabilities and Exploits (Häufigste Sicherheitslücken und Exploits) in der Ansicht Übersicht > CVE-Sicherheitslücken auf.

Sicherheitslückenergebnisse werden in einem interaktiven Diagramm nach Ausnutzbarkeit und Auswirkung der entsprechenden CVE gruppiert, wie von Mandiant bewertet. Klicken Sie im Diagramm auf einen Block, um eine Liste der Sicherheitslücken nach CVE‑ID aufzurufen, die in Ihrer Umgebung erkannt wurden.

Auf der Seite Ergebnisse können Sie Ergebnisse nach ihrer CVE-ID abfragen.

So fragen Sie Ergebnisse zu Sicherheitslücken nach CVE‑ID ab:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie rechts im Feld Abfragevorschau auf Abfrage bearbeiten.

  4. Bearbeiten Sie die Abfrage im Abfrageeditor, um die CVE‑ID einzufügen, nach der Sie suchen. Beispiel:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Die Ergebnisabfrageergebnisse werden aktualisiert und enthalten alle aktiven Ergebnisse, die nicht ausgeblendet sind und die CVE-ID enthalten.

Ergebnisse zu Sicherheitslücken nach Schweregrad ansehen

So rufen Sie Ergebnisse zu Sicherheitslücken nach Schweregrad auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Rufen Sie im Bereich Schnellfilter den Abschnitt Ergebnisklasse auf und wählen Sie sowohl Sicherheitslücke als auch Fehlkonfiguration aus.

    Die angezeigten Ergebnisse werden aktualisiert, sodass nur Ergebnisse der Klassen Vulnerability und Misconfiguration angezeigt werden.

  4. Gehen Sie auch im Bereich Schnellfilter zum Abschnitt Schweregrad und wählen Sie die Schweregrade der Ergebnisse aus, die Sie sehen möchten.

    Die angezeigten Ergebnisse werden aktualisiert, sodass nur Ergebnisse zu Sicherheitslücken mit den ausgewählten Schweregraden angezeigt werden.

Ergebniskategorien nach Anzahl aktiver Ergebnisse ansehen

Wenn Sie die Ergebnis-Kategorien nach der Anzahl der aktiven Ergebnisse anzeigen möchten, können Sie entweder die Google Cloud Console oder die Google Cloud CLI-Befehle verwenden.

Console

Wenn Sie sich die Ergebniskategorien auf der Seite Schwachstellen nach der Anzahl der aktiven Ergebnisse ansehen möchten, die sie enthalten, können Sie die Kategorien nach der Spalte Aktive Ergebnisse sortieren oder nach der Anzahl der aktiven Ergebnisse filtern, die sie jeweils enthalten.

So filtern Sie Kategorien von Sicherheitslücken nach der Anzahl der aktiven Ergebnisse, die sie enthalten:

  1. Öffnen Sie in der Google Cloud Console die Seite Schwachstellen:

    Zu Sicherheitslücken

  2. Wählen Sie in der Projektauswahl Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Klicken Sie in das Filterfeld, um eine Liste mit Filtern aufzurufen.

  4. Wählen Sie in der Liste der Filter Aktive Ergebnisse aus. Eine Liste der logischen Operatoren wird angezeigt.

  5. Wählen Sie einen logischen Operator für den Filter aus, z. B. >=.

  6. Geben Sie eine Zahl ein und drücken Sie die Eingabetaste.

Die Anzeige wird aktualisiert und es werden nur die Kategorien für Sicherheitslücken angezeigt, die eine Anzahl aktiver Ergebnisse enthalten, die Ihrem Filter entspricht.

gcloud

Wenn Sie mit der gcloud CLI die Anzahl aller aktiven Ergebnisse abrufen möchten, fragen Sie zuerst Security Command Center ab, um die Quell-ID eines Dienstes für Sicherheitslücken abzurufen. Anschließend verwenden Sie die Quell-ID, um die Anzahl der aktiven Ergebnisse abzufragen.

Schritt 1: Quell-ID abrufen

Rufen Sie zum Abschluss dieses Schritts Ihre Organisations-ID und dann die Quell-ID eines der Dienste zur Erkennung von Sicherheitslücken ab, die auch als Ergebnisquellen bezeichnet werden. Wenn Sie die Security Command Center API noch nicht aktiviert haben, werden Sie jetzt dazu aufgefordert.

  1. Führen Sie gcloud organizations list aus, um Ihre Organisations-ID abzurufen, und notieren Sie die Nummer neben dem Namen der Organisation.

  2. So rufen Sie die Security Health Analytics Quell-ID ab:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation. Eine Organisations-ID ist unabhängig von der Aktivierungsstufe von Security Command Center erforderlich.
    • SOURCE_DISPLAY_NAME: Der Anzeigename des Dienstes zur Erkennung von Sicherheitslücken, für den Sie Ergebnisse anzeigen müssen. Beispiel: Security Health Analytics.

  3. Aktivieren Sie nach entsprechender Aufforderung die Security Command Center API und führen Sie dann den vorherigen Befehl aus, um die Quell-ID noch einmal abzurufen.

Der Befehl zum Abrufen der Quell-ID sollte etwa so aussehen:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Notieren Sie sich die SOURCE_ID, die Sie im nächsten Schritt benötigen.

Schritt 2: Anzahl der aktiven Ergebnisse abrufen

Verwenden Sie die im vorherigen Schritt notierte SOURCE_ID, um Ergebnisse zu filtern. Der folgende Befehl der gcloud CLI gibt die Anzahl der Ergebnisse nach Kategorie zurück:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Die Seitengröße kann auf einen Wert von maximal 1.000 festgelegt werden. Der Befehl sollte in etwa folgende Ausgabe mit den Ergebnissen Ihrer Organisation oder Ihres Projekts zurückgeben:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50