Visualizzazione dei risultati relativi alle vulnerabilità in Security Command Center

Questa pagina mostra come utilizzare i filtri per visualizzare risultati specifici delle vulnerabilità.

Puoi visualizzare e filtrare i risultati delle vulnerabilità nelle seguenti pagine della consoleGoogle Cloud :

  • Pagina Vulnerabilità nei piani Standard e Premium.
  • Pagina Risultati in tutti i livelli.

Dopo aver visualizzato i risultati di vulnerabilità che ti interessano, puoi visualizzare informazioni dettagliate su un risultato specifico selezionando la vulnerabilità in Security Command Center. Queste informazioni includono una descrizione della vulnerabilità e del rischio, nonché consigli per la correzione.

In questa pagina, il termine vulnerabilità si riferisce sia ai risultati della classe Vulnerability sia a quelli della classe Misconfiguration.

Confronto tra la pagina Vulnerabilità e la pagina Risultati

Le opzioni di filtro nella pagina Vulnerabilità sono limitate rispetto a quelle disponibili nella pagina Risultati.

La pagina Vulnerabilità mostra tutte le categorie di risultati nelle classi di risultati Vulnerability e Misconfiguration, insieme al numero attuale di risultati attivi in ogni categoria e agli standard di conformità a cui è mappata ogni categoria di risultati. Se non sono presenti vulnerabilità attive in una determinata categoria, 0 viene visualizzato nella colonna Risultati attivi.

Al contrario, la pagina Risultati può mostrare le categorie di risultati di qualsiasi classe di risultati, ma mostra una categoria di risultati solo se è stato rilevato un problema di sicurezza in quella categoria nel tuo ambiente entro l'intervallo di tempo specificato.

Per maggiori informazioni, consulta le seguenti pagine:

Applicare i preset query

Nella pagina Vulnerabilità, puoi selezionare query predefinite, preset di query, che restituiscono risultati correlati a obiettivi di sicurezza specifici.

Ad esempio, se la tua responsabilità è la gestione dei diritti dell'infrastruttura cloud (CIEM) per Google Cloud, puoi selezionare la query preimpostata Errori di configurazione di identità e accesso per visualizzare tutti i risultati correlati agli account principali configurati in modo errato o a cui sono state concesse autorizzazioni eccessive o sensibili.

In alternativa, se il tuo obiettivo è limitare le entità solo alle autorizzazioni di cui hanno effettivamente bisogno, puoi selezionare il preset di query IAM Recommender, per mostrare i risultati di IAM Recommender per le entità che dispongono di più autorizzazioni di quelle necessarie.

Per selezionare un preset di query:

  1. Vai alla pagina Vulnerabilità:

    Vai a Vulnerabilità

  2. Nella sezione Query predefinite, fai clic su uno dei selettori di query.

    La visualizzazione viene aggiornata per mostrare solo le categorie di vulnerabilità specificate nella query.

Visualizzazione dei risultati delle vulnerabilità per progetto

Per visualizzare i risultati delle vulnerabilità per progetto nella pagina Vulnerabilità della console Google Cloud , procedi nel seguente modo:

  1. Vai alla pagina Vulnerabilità nella console Google Cloud .

    Vai a Vulnerabilità

  2. Nel selettore dei progetti nella parte superiore della pagina, seleziona il progetto per cui devi visualizzare i risultati delle vulnerabilità.

La pagina Vulnerabilità mostra i risultati solo per il progetto che hai selezionato.

In alternativa, se la visualizzazione della console è impostata sulla tua organizzazione, puoi filtrare i risultati delle vulnerabilità in base a uno o più ID progetto utilizzando i filtri rapidi nella pagina Risultati.

Visualizzazione dei risultati delle vulnerabilità per categoria di risultati

Per visualizzare i risultati delle vulnerabilità per categoria:

  1. Vai alla pagina Vulnerabilità nella console Google Cloud .

    Vai a Vulnerabilità

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. Nella colonna Categoria, seleziona il tipo di risultato per cui vuoi visualizzare i risultati.

Viene caricata la pagina Risultati, che mostra un elenco di risultati corrispondenti al tipo che hai selezionato.

Per ulteriori informazioni sulle categorie di risultati, consulta Risultati delle vulnerabilità.

Visualizzazione dei risultati per tipo di asset

Per visualizzare i risultati delle vulnerabilità per un tipo di asset specifico:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai a Risultati

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. Nel riquadro Filtri rapidi, seleziona quanto segue:

    • Nella sezione Classe di risultati, seleziona sia Vulnerabilità che Configurazione errata.
    • (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare gli asset.
    • Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che vuoi visualizzare.

L'elenco dei risultati nel riquadro Risultati query sui risultati si aggiorna per mostrare solo i risultati che corrispondono alle tue selezioni.

Visualizzazione dei risultati delle vulnerabilità in base al punteggio di esposizione agli attacchi

Ai risultati delle vulnerabilità designati come di alto valore e supportati dalle simulazioni del percorso di attacco viene assegnato un punteggio di esposizione agli attacchi. Puoi filtrare i risultati in base a questo punteggio.

Per visualizzare i risultati delle vulnerabilità in base al punteggio di esposizione agli attacchi:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai a Risultati

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. A destra del riquadro Anteprima query, fai clic su Modifica query.

  4. Nella parte superiore del riquadro Editor delle query, fai clic su Aggiungi filtro.

  5. Nella finestra di dialogo Seleziona filtro, procedi nel seguente modo:

    • Nei livelli di servizio Premium e Standard: seleziona Esposizione all'attacco, poi inserisci un valore del punteggio nel campo Esposizione all'attacco maggiore di.

    • Nel livello Enterprise:

      • Seleziona Esposizione all'attacco come Categoria attributo.
      • Seleziona Punteggio come nome dell'attributo.
      • Inserisci un valore del punteggio nel campo Esposizione agli attacchi maggiore di.

  6. Fai clic su Applica.

    L'istruzione del filtro viene aggiunta alla query e i risultati nel riquadro Risultati della query sui risultati vengono aggiornati per mostrare solo i risultati con un punteggio di esposizione agli attacchi superiore al valore specificato nella nuova istruzione del filtro.

Visualizzazione dei risultati di vulnerabilità per ID CVE

Puoi visualizzare i risultati in base al relativo ID CVE nella pagina Panoramica o nella pagina Risultati.

  • Nei livelli Standard e Premium, vai alla sezione Principali risultati con CVE nella pagina Panoramica.

  • Nel livello Enterprise, vai alla sezione Vulnerabilità ed exploit comuni principali nella visualizzazione Panoramica > Vulnerabilità CVE.

I risultati delle vulnerabilità sono raggruppati in un grafico interattivo in base alla sfruttabilità e all'impatto della CVE corrispondente, come valutato da Mandiant. Fai clic su un blocco nel grafico per visualizzare un elenco di vulnerabilità per ID CVE rilevate nel tuo ambiente.

Nella pagina Risultati, puoi eseguire query sui risultati in base al loro ID CVE.

Per eseguire query sui risultati delle vulnerabilità in base all'ID CVE:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai a Risultati

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. A destra nel campo Anteprima query, fai clic su Modifica query.

  4. Nell'editor di query, modifica la query in modo da includere l'ID CVE che stai cercando. Ad esempio:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    I risultati della query dei risultati vengono aggiornati per mostrare tutti i risultati attivi non disattivati e che contengono l'ID CVE.

Visualizzazione dei risultati di vulnerabilità in base alla gravità

Per visualizzare i risultati delle vulnerabilità in base alla gravità:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai a Risultati

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. Nel riquadro Filtri rapidi, vai alla sezione Classe di risultati e seleziona sia Vulnerabilità che Configurazione errata.

    I risultati visualizzati vengono aggiornati per mostrare solo i risultati delle classi Vulnerability e Misconfiguration.

  4. Sempre nel riquadro Filtri rapidi, vai alla sezione Gravità e seleziona la gravità dei risultati che devi visualizzare.

    I risultati visualizzati vengono aggiornati per mostrare solo i risultati delle vulnerabilità delle gravità selezionate.

Visualizzazione delle categorie di risultati in base al numero di risultati attivi

Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono, puoi utilizzare la console Google Cloud o i comandi Google Cloud CLI.

Console

Per visualizzare le categorie di risultati in base al numero di risultati attivi che contengono nella pagina Vulnerabilità, puoi ordinare le categorie in base alla colonna Risultati attivi o puoi filtrare le categorie in base al numero di risultati attivi che contengono.

Per filtrare le categorie di risultati delle vulnerabilità in base al numero di risultati attivi che contengono:

  1. Apri la pagina Vulnerabilità nella console Google Cloud :

    Vai a Vulnerabilità

  2. Nel selettore di progetti, seleziona l'organizzazione, la cartella o il progetto.

  3. Posiziona il cursore nel campo del filtro per visualizzare un elenco di filtri.

  4. Dall'elenco dei filtri, seleziona Risultati attivi. Viene visualizzato un elenco di operatori logici.

  5. Seleziona un operatore logico da utilizzare nel filtro, ad esempio >=.

  6. Digita un numero e premi Invio.

La visualizzazione viene aggiornata per mostrare solo le categorie di vulnerabilità che contengono un numero di risultati attivi che corrisponde al filtro.

gcloud

Per utilizzare gcloud CLI per ottenere un conteggio di tutti i risultati attivi, devi prima eseguire una query su Security Command Center per ottenere l'ID origine di un servizio di vulnerabilità, quindi utilizzare l'ID origine per eseguire una query sul conteggio dei risultati attivi.

Passaggio 1: recupera l'ID origine

Per completare questo passaggio, recupera l'ID organizzazione e poi l'ID origine di uno dei servizi di rilevamento delle vulnerabilità, chiamati anche origini dei risultati. Se non hai ancora abilitato l'API Security Command Center, ti viene chiesto di farlo.

  1. Recupera l'ID organizzazione eseguendo gcloud organizations list e poi annota il numero accanto al nome dell'organizzazione.

  2. Ottieni l'ID origine di Security Health Analytics eseguendo:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione. È necessario un ID organizzazione, indipendentemente dal livello di attivazione di Security Command Center.
    • SOURCE_DISPLAY_NAME: il nome visualizzato del servizio di rilevamento delle vulnerabilità per cui devi visualizzare i risultati. Ad esempio, Security Health Analytics.

  3. Se richiesto, abilita l'API Security Command Center, quindi esegui di nuovo il comando precedente per ottenere l'ID origine.

Il comando per ottenere l'ID origine dovrebbe mostrare un output simile al seguente:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Prendi nota di SOURCE_ID da utilizzare nel passaggio successivo.

Passaggio 2: ottieni il conteggio dei risultati attivi

Utilizza il SOURCE_ID annotato nel passaggio precedente per filtrare i risultati. Il seguente comando gcloud CLI restituisce un conteggio dei risultati per categoria:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

Puoi impostare le dimensioni della pagina su qualsiasi valore fino a 1000. Il comando dovrebbe mostrare un output simile al seguente, con i risultati della tua organizzazione o del tuo progetto:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50