Nesta página, mostramos como usar filtros para exibir descobertas de vulnerabilidade específicas.
É possível ver e filtrar descobertas de vulnerabilidades nas seguintes páginas do consoleGoogle Cloud :
- Página Vulnerabilidades nos níveis Standard e Premium.
- Página Descobertas em todos os níveis.
Depois de mostrar as descobertas de vulnerabilidade que são importantes para você, é possível conferir informações detalhadas sobre uma descoberta específica selecionando a vulnerabilidade no Security Command Center. Essas informações incluem uma descrição da vulnerabilidade e do risco, além das recomendações de correção.
Nesta página, vulnerabilidade se refere às descobertas de classe Vulnerability e Misconfiguration.
Comparação entre as páginas "Vulnerabilidades" e "Descobertas"
As opções de filtro na página Vulnerabilidades são limitadas em comparação com as opções de filtro e consulta disponíveis na página Descobertas.
A página Vulnerabilidades mostra todas as categorias de descobertas nas classes Vulnerability e Misconfiguration, além do número atual de descobertas ativas em cada categoria e os padrões de compliance a que cada categoria de descoberta está associada. Se não houver vulnerabilidades ativas em uma categoria específica, 0 vai aparecer na coluna Descobertas ativas.
Por outro lado, a página Descobertas pode mostrar categorias de descobertas de qualquer classe, mas só exibe uma categoria se um problema de segurança foi detectado nela no seu ambiente dentro do período especificado.
Para mais informações, consulte as seguintes páginas:
Aplicar predefinições de consulta
Na página Vulnerabilidades, é possível selecionar consultas predefinidas, predefinições de consulta, que retornam descobertas relacionadas a metas de segurança específicas.
Por exemplo, se sua responsabilidade for o gerenciamento de direitos de infraestrutura em nuvem (CIEM) para Google Cloud, selecione a predefinição de consulta Configurações incorretas de identidade e acesso para ver todas as descobertas relacionadas a contas principais configuradas incorretamente ou que recebem permissões excessivas ou sensíveis.
Ou, se sua meta for limitar os principais apenas às permissões de que eles realmente precisam, selecione a predefinição de consulta do Recomendador do IAM para mostrar descobertas do Recomendador do IAM para principais que têm mais permissões do que o necessário.
Para selecionar uma predefinição de consulta, siga estas etapas:
Acesse a página Vulnerabilidades:
Na seção Predefinições de consulta, clique em um dos seletores de consulta.
A exibição é atualizada para mostrar apenas as categorias de vulnerabilidade especificadas na consulta.
Como visualizar descobertas de vulnerabilidade por projeto
Para ver as descobertas de vulnerabilidade por projeto na página Vulnerabilidades no console Google Cloud , faça o seguinte:
Acesse a página Vulnerabilidades no console do Google Cloud .
No seletor de projetos na parte de cima da página, selecione o projeto que contém as descobertas de vulnerabilidade.
A página Vulnerabilidades exibe as descobertas apenas para o projeto que você selecionou.
Se a visualização do console estiver definida como sua organização, filtre as descobertas de vulnerabilidade por um ou mais IDs de projeto usando os Filtros rápidos na página "Descobertas".
Como ver as descobertas de vulnerabilidade por categoria
Para ver as descobertas de vulnerabilidade por categoria, faça o seguinte:
Acesse a página Vulnerabilidades no console do Google Cloud .
No seletor de projetos, selecione sua organização, pasta ou projeto.
Na coluna Categoria, selecione o tipo de descoberta para o qual você quer exibir descobertas.
A guia Descobertas é carregada e exibe uma lista de descobertas que correspondem ao tipo selecionado.
Para mais informações sobre categorias de descobertas, consulte Descobertas de vulnerabilidades.
Como visualizar descobertas por tipo de recurso
Para ver as descobertas de vulnerabilidade de um tipo de recurso específico, faça o seguinte:
Acesse a página Descobertas do Security Command Center no Google Cloud console.
No seletor de projetos, selecione sua organização, pasta ou projeto.
No painel Filtros rápidos, selecione as seguintes opções:
- Na seção Classe de descoberta, selecione Vulnerabilidade e Configuração incorreta.
- Opcional: na seção ID do projeto, selecione o ID do projeto em que os recursos serão exibidos.
- Na seção Tipo de recurso, selecione o tipo de recurso que precisa ser exibido.
A lista de descobertas no painel Resultados da consulta de descobertas é atualizada para exibir apenas as descobertas que correspondem às suas seleções.
Como visualizar as descobertas de vulnerabilidade por pontuação de exposição a ataques
As descobertas de vulnerabilidade designadas como de alto valor e que são compatíveis com simulações de caminho de ataque recebem uma pontuação de exposição a ataques. É possível filtrar as descobertas por essa pontuação.
Para conferir as descobertas de vulnerabilidade por pontuação de exposição a ataques, faça o seguinte:
Acesse a página Descobertas do Security Command Center no Google Cloud console.
No seletor de projetos, selecione sua organização, pasta ou projeto.
À direita do painel Visualização da consulta, clique em Editar consulta.
Na parte superior do painel do Editor de consultas, clique em Adicionar filtro.
Na caixa de diálogo Selecionar filtro, faça o seguinte:
Nos níveis de serviço Premium e Standard: selecione Exposição a ataques e insira um valor de pontuação no campo Exposição a ataques maior que.
No nível Enterprise:
- Selecione Exposição a ataques como a Categoria de atributo.
- Selecione Pontuação como o nome do atributo.
- Digite um valor de pontuação no campo Exposição a ataques maior que.
Clique em Aplicar.
A instrução de filtro é adicionada à consulta e as descobertas no painel Resultados da consulta de descobertas são atualizados para mostrar apenas descobertas com uma pontuação de exposição a ataques maior que o valor especificado na nova instrução de filtro.
Como visualizar descobertas de vulnerabilidade por ID da CVE
É possível ver as descobertas pelo ID de CVE correspondente na página Visão geral ou Descobertas.
Nos níveis Standard e Premium, acesse a seção Principais descobertas de CVEs na página Visão geral.
No nível Enterprise, acesse a seção Principais vulnerabilidades e exploits comuns na visualização Visão geral > Vulnerabilidades de CVE.
As descobertas de vulnerabilidade são agrupadas em um gráfico interativo pela capacidade de exploração e pelo impacto do CVE correspondente, conforme avaliado pela Mandiant. Clique em um bloco no gráfico para ver uma lista de vulnerabilidades por ID de CVE detectadas no seu ambiente.
Na página Descobertas, é possível consultar as descobertas pelo ID de CVE.
Para consultar descobertas de vulnerabilidades por ID da CVE, faça o seguinte:
Acesse a página Descobertas do Security Command Center no Google Cloud console.
No seletor de projetos, selecione sua organização, pasta ou projeto.
À direita do campo Visualização da consulta, clique em Editar consulta.
No Editor de consultas, edite a consulta para incluir o ID da CVE que você está procurando. Exemplo:
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
Os Resultados da consulta de descobertas são atualizados para mostrar todas as descobertas ativas que não estão silenciadas e contêm o ID da CVE.
Como visualizar descobertas de vulnerabilidade por gravidade
Para ver as descobertas de vulnerabilidade por gravidade, faça o seguinte:
Acesse a página Descobertas do Security Command Center no Google Cloud console.
No seletor de projetos, selecione sua organização, pasta ou projeto.
No painel Filtros rápidos, acesse a seção Classe de descoberta e selecione Vulnerabilidade e Configuração incorreta.
As descobertas mostradas são atualizadas para exibir apenas as descobertas das classes
VulnerabilityeMisconfiguration.Ainda no painel Filtros rápidos, acesse a seção Gravidade e selecione as gravidades das descobertas que você precisa ver.
As descobertas mostradas são atualizadas para exibir apenas as descobertas de vulnerabilidade das gravidades selecionadas.
Como visualizar categorias de descobertas pelo número de descobertas ativas
Para ver as categorias de descobertas pelo número de descobertas ativas que elas contêm, use o console Google Cloud ou os comandos da Google Cloud CLI.
Console
Para ver as categorias de descobertas pelo número de descobertas ativas que elas contêm na página Vulnerabilidades, classifique as categorias pela coluna Descobertas ativas ou filtre-as pelo número de descobertas ativas que cada uma contém.
Para filtrar categorias de descobertas de vulnerabilidade pelo número de descobertas ativas que elas contêm, siga estas etapas:
Abra a página Vulnerabilidades no console do Google Cloud :
No seletor de projetos, selecione sua organização, pasta ou projeto.
Coloque o cursor no campo de filtro para mostrar uma lista de filtros.
Na lista de filtros, selecione Descobertas ativas. Uma lista de operadores lógicos será exibida.
Selecione um operador lógico para usar no filtro, como
>=.Digite um número e pressione Enter.
A tela é atualizada para mostrar apenas as categorias de vulnerabilidade que contêm um número de descobertas ativas correspondente ao seu filtro.
gcloud
Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, primeiro consulte o Security Command Center para conseguir o ID de origem de um serviço de vulnerabilidade e use esse ID para consultar a contagem de descobertas ativas.
Etapa 1: conseguir o ID da origem
Para concluir esta etapa, consiga o ID da organização e o ID de origem de um dos serviços de detecção de vulnerabilidades, também chamados de origens de descobertas. Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la.
- Receba o ID da organização executando
gcloud organizations liste anote o número ao lado do nome da organização. Para receber o ID da origem da análise de integridade de segurança, execute:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
Substitua:
ORGANIZATION_ID: o ID da organização. Um ID da organização é necessário, independentemente do nível de ativação do Security Command Center.SOURCE_DISPLAY_NAME: o nome de exibição do serviço de detecção de vulnerabilidades para que você precisa exibir as descobertas. Por exemplo,Security Health Analytics.
Se solicitado, ative a API Security Command Center e execute o comando anterior para receber o ID da origem novamente.
O comando para receber o ID de origem precisa exibir a saída da seguinte forma:
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Observe o SOURCE_ID a ser usado na próxima etapa.
Etapa 2: receber a contagem de descobertas ativas
Use o SOURCE_ID que você anotou na etapa anterior para filtrar as descobertas. O seguinte comando de CLI gcloud retorna uma
contagem de descobertas por categoria:
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
É possível definir o tamanho da página em qualquer valor como 1.000. O comando precisa exibir a saída abaixo, com resultados da organização ou projeto específico:
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50