Visualiza los resultados de vulnerabilidades en Security Command Center

En esta página, se muestra cómo usar filtros para mostrar resultados de vulnerabilidades específicos.

Puedes ver y filtrar los resultados de vulnerabilidades en las siguientes páginas de la consola deGoogle Cloud :

  • Página Vulnerabilities en los niveles Estándar y Premium
  • Página Hallazgos en todos los niveles

Después de mostrar los hallazgos de vulnerabilidades que son importantes para ti, puedes ver información detallada sobre un hallazgo en particular si seleccionas la vulnerabilidad en Security Command Center. Esto incluye una descripción de la vulnerabilidad y el riesgo, y las recomendaciones de solución.

En esta página, el término vulnerabilidad hace referencia a los resultados de las clases Vulnerability y Misconfiguration.

Comparación de la página Vulnerabilidades con la página Resultados

Las opciones de filtro en la página Vulnerabilities son limitadas en comparación con las opciones de filtro y consulta disponibles en la página Findings.

En la página Vulnerabilidades, se muestran todas las categorías de resultados en las clases Vulnerability y Misconfiguration de resultados, junto con la cantidad actual de resultados activos en cada categoría y los estándares de cumplimiento a los que se asigna cada categoría de resultados. Si no hay vulnerabilidades activas en una categoría en particular, se muestra 0 en la columna Resultados activos.

En cambio, la página Resultados puede mostrar categorías de resultados de cualquier clase de resultados, pero solo muestra una categoría de resultados si se detectó un problema de seguridad en esa categoría en tu entorno dentro del período especificado.

Si deseas obtener más información, consulta las siguientes páginas:

Cómo aplicar ajustes predeterminados de la consulta

En la página Vulnerabilidades, puedes seleccionar consultas predefinidas, ajustes predeterminados de consultas, que devuelven resultados relacionados con objetivos de seguridad específicos.

Por ejemplo, si tu responsabilidad es la administración de derechos de infraestructura de Cloud (CIEM) para Google Cloud, puedes seleccionar el parámetro de configuración predeterminado de la consulta Configuraciones incorrectas de identidad y acceso para ver todos los hallazgos relacionados con las cuentas principales que están configuradas de forma incorrecta o a las que se les otorgaron permisos excesivos o sensibles.

O bien, si tu objetivo es limitar específicamente a las principales solo a los permisos que realmente necesitan, puedes seleccionar el parámetro de configuración predeterminado de la consulta IAM Recommender para mostrar los resultados de IAM Recommender para las principales que tienen más permisos de los que necesitan.

Para seleccionar un parámetro de configuración predeterminado de la consulta, sigue estos pasos:

  1. Ve a la página Vulnerabilidades:

    Ir a vulnerabilidades

  2. En la sección Ajustes predeterminados de la consulta, haz clic en uno de los selectores de consultas.

    La pantalla se actualiza para mostrar solo las categorías de vulnerabilidad especificadas en la búsqueda.

Visualiza los resultados de las vulnerabilidades por proyecto

Para ver los resultados de vulnerabilidades por proyecto en la página Vulnerabilidades de la consola de Google Cloud , haz lo siguiente:

  1. Ve a la página Vulnerabilities en la consola de Google Cloud .

    Ir a vulnerabilidades

  2. En el selector de proyectos que se encuentra en la parte superior de la página, selecciona el proyecto para el que necesitas ver los resultados de vulnerabilidades.

En la página Vulnerabilidades, se muestran resultados solo para el proyecto que seleccionaste.

Como alternativa, si la vista de la consola está configurada en tu organización, puedes filtrar los resultados de vulnerabilidades por uno o más IDs de proyecto con los Filtros rápidos en la página Resultados.

Visualiza los resultados de vulnerabilidades por categoría de resultados

Para ver los resultados de vulnerabilidades por categoría, haz lo siguiente:

  1. Ve a la página Vulnerabilities en la consola de Google Cloud .

    Ir a vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En la columna Categoría, selecciona el tipo de resultado que deseas mostrar.

La página Resultados carga y muestra una lista de resultados que coincide con el tipo que seleccionaste.

Para obtener más información sobre las categorías de resultados, consulta Hallazgos de vulnerabilidades.

Visualiza resultados por tipo de elemento

Para ver los resultados de vulnerabilidades de un tipo de recurso específico, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, selecciona lo siguiente:

    • En la sección Clase de hallazgo, selecciona Vulnerabilidad y Configuración incorrecta.
    • Opcional: En la sección ID del proyecto, selecciona el ID del proyecto en el que deseas ver los recursos.
    • En la sección Tipo de recurso, selecciona el tipo de recurso que necesitas ver.

La lista de hallazgos en el panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos que coinciden con tus selecciones.

Cómo ver los resultados de vulnerabilidades por puntuación de exposición al ataque

A los hallazgos de vulnerabilidades designados como de alto valor y que son compatibles con las simulaciones de rutas de ataque, se les asigna una puntuación de exposición a ataques. Puedes filtrar los hallazgos según esta puntuación.

Para ver los resultados de vulnerabilidades según la puntuación de exposición a ataques, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha del panel Vista previa de la consulta, haz clic en Editar consulta.

  4. En la parte superior del panel Editor de consultas, haz clic en Agregar filtro.

  5. En el cuadro de diálogo Seleccionar filtro, haz lo siguiente:

    • En los niveles de servicio Premium y Estándar, selecciona Exposición a ataques y, luego, ingresa un valor de puntuación en el campo Exposición a ataques mayor que.

    • En el nivel Enterprise:

      • Selecciona Exposición a ataques como la Categoría de atributo.
      • Selecciona Puntuación como nombre del atributo.
      • Ingresa un valor de puntuación en el campo Exposición al ataque mayor que.

  6. Haz clic en Aplicar.

    La instrucción de filtro se agrega a tu búsqueda, y los hallazgos en el panel Resultados de la búsqueda se actualizan para mostrar solo los hallazgos con una puntuación de exposición al ataque mayor que el valor especificado en la nueva instrucción de filtro.

Cómo ver los resultados de vulnerabilidades por ID de CVE

Puedes ver los hallazgos por su ID de CVE correspondiente en la página Overview o en la página Findings.

  • En los niveles Estándar y Premium, ve a la sección Hallazgos de CVE principales en la página Descripción general.

  • En el nivel Enterprise, ve a la sección Top Common Vulnerabilities and Exploits en la vista Overview > CVE Vulnerabilities.

Los resultados de vulnerabilidades se agrupan en un gráfico interactivo según la capacidad de explotación y el impacto del CVE correspondiente, según la evaluación de Mandiant. Haz clic en un bloque del gráfico para ver una lista de las vulnerabilidades por ID de CVE que se detectaron en tu entorno.

En la página Resultados, puedes consultar los resultados por su ID de CVE.

Para consultar los resultados de vulnerabilidades por ID de CVE, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. A la derecha, en el campo Vista previa de la consulta, haz clic en Editar consulta.

  4. En el Editor de consultas, edita la consulta para incluir el ID de CVE que buscas. Por ejemplo:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    Los resultados de la consulta de hallazgos se actualizan para mostrar todos los hallazgos activos que no están silenciados y que contienen el ID de CVE.

Visualiza los resultados de las vulnerabilidades por gravedad

Para ver los resultados de vulnerabilidades por gravedad, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

    Ir a hallazgos

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. En el panel Filtros rápidos, ve a la sección Clase de hallazgo y selecciona Vulnerabilidad y Configuración incorrecta.

    Los hallazgos que se muestran se actualizan para mostrar solo los hallazgos de las clases Vulnerability y Misconfiguration.

  4. También en el panel Filtros rápidos, ve a la sección Gravedad y selecciona las gravedades de los hallazgos que necesitas ver.

    Los hallazgos que se muestran se actualizan para mostrar solo los hallazgos de vulnerabilidades de las gravedades seleccionadas.

Visualiza las categorías de resultados por la cantidad de resultados activos

Para ver las categorías de resultados por la cantidad de resultados activos que contienen, puedes usar la Google Cloud consola o los comandos de Google Cloud CLI.

Console

Para ver las categorías de resultados según la cantidad de resultados activos que contienen en la página Vulnerabilidades, puedes ordenar las categorías por la columna Resultados activos o filtrarlas por la cantidad de resultados activos que contiene cada una.

Para filtrar las categorías de hallazgos de vulnerabilidades según la cantidad de hallazgos activos que contienen, sigue estos pasos:

  1. Abre la página Vulnerabilities en la consola de Google Cloud :

    Ir a vulnerabilidades

  2. En el selector de proyectos, selecciona tu organización, carpeta o proyecto.

  3. Coloca el cursor en el campo de filtro para mostrar una lista de filtros.

  4. En la lista de filtros, selecciona Hallazgos activos. Se muestra una lista de operadores lógicos.

  5. Selecciona un operador lógico para usar en tu filtro, como >=.

  6. Escribe un número y presiona Intro.

La pantalla se actualiza para mostrar solo las categorías de vulnerabilidades que contienen una cantidad de resultados activos que coincide con tu filtro.

gcloud

Si deseas usar gcloud CLI para obtener un recuento de todos los resultados activos, primero consulta Security Command Center para obtener el ID de la fuente de un servicio de vulnerabilidades y, luego, usa el ID de la fuente para consultar el recuento de resultados activos.

Paso 1: obtén el ID de la fuente

Para completar este paso, obtén el ID de tu organización y, luego, el ID de origen de uno de los servicios de detección de vulnerabilidades, que también se conocen como fuentes de resultados. Si aún no habilitaste la API de Security Command Center, se te solicitará que la habilites.

  1. Obtén el ID de la organización mediante la ejecución de gcloud organizations list y, luego, toma nota del número junto al nombre de la organización.

  2. Obtén el ID de la fuente de estadísticas del estado de seguridad mediante la ejecución del siguiente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: el ID de tu organización. Se requiere un ID de organización, independientemente del nivel de activación de Security Command Center.
    • SOURCE_DISPLAY_NAME: Es el nombre visible del servicio de detección de vulnerabilidades para el que necesitas mostrar los resultados. Por ejemplo, Security Health Analytics

  3. Si se te solicita, habilita la API de Security Command Center y, luego, ejecuta el comando anterior para volver a obtener el ID de la fuente.

El comando para obtener el ID de la fuente debe mostrar un resultado como el siguiente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Toma nota de SOURCE_ID para usar en el siguiente paso.

Paso 2: Obtén la cantidad de resultados activos

Usa el SOURCE_ID que anotaste en el paso anterior para filtrar los resultados. El siguiente comando de gcloud CLI muestra un recuento de hallazgos por categoría:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puedes establecer el tamaño de la página en hasta un valor de hasta 1,000. El comando debe mostrar un resultado como el siguiente, con los resultados de tu organización o proyecto en particular:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50