在 Security Command Center 中查看安全漏洞發現項目

本頁說明如何使用篩選器顯示特定安全漏洞調查結果。

您可以在下列Google Cloud 控制台頁面中查看及篩選安全漏洞發現項目:

  • Standard 和 Premium 級的「安全漏洞」頁面。
  • 所有層級的「發現項目」頁面。

顯示重要安全漏洞發現項目後,您可以在 Security Command Center 中選取安全漏洞,查看特定發現項目的詳細資訊。這項資訊包括安全漏洞和風險的說明,以及修復建議。

在本頁面中,「安全漏洞」是指 VulnerabilityMisconfiguration 類別的發現項目。

比較「安全漏洞」頁面和「發現項目」頁面

與「發現項目」頁面提供的篩選器和查詢選項相比,「安全漏洞」頁面的篩選器選項較為有限。

「安全漏洞」頁面會顯示 VulnerabilityMisconfiguration 類別的所有發現項目,以及每個類別中目前有效發現項目的數量,以及每個發現項目類別對應的法規標準。如果特定類別中沒有任何有效安全漏洞,「有效發現項目」欄會顯示 0

相較之下,「發現項目」頁面可以顯示任何發現項目類別的發現項目,但只會在指定時間範圍內,環境中偵測到該類別的安全問題時,才會顯示發現項目類別。

如需詳細資訊,請參閱以下頁面:

套用查詢預設設定

在「安全漏洞」頁面中,您可以選取預先定義的查詢 (查詢預設值),傳回與特定安全目標相關的發現項目。

舉例來說,如果您負責 Google Cloud的雲端基礎架構授權管理 (CIEM),可以選取「身分和存取權設定錯誤」查詢預設集,查看與設定錯誤的主體帳戶,或獲授過多或敏感權限的主體帳戶相關的所有發現項目。

或者,如果您的目標是限制主體只能使用實際需要的權限,可以選取 IAM 建議工具查詢預設值,顯示 IAM 建議工具的結果,找出權限過多的主體。

如要選取查詢預設集,請按照下列步驟操作:

  1. 前往「安全漏洞」頁面:

    前往「安全漏洞」頁面

  2. 在「查詢預設集」部分,按一下其中一個查詢選取器。

    畫面會更新,只顯示查詢中指定的安全漏洞類別。

依專案查看安全漏洞發現項目

如要在 Google Cloud 控制台的「安全漏洞」頁面中,依專案查看安全漏洞調查結果,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Vulnerabilities」(安全漏洞) 頁面。

    前往「安全漏洞」頁面

  2. 在頁面頂端的專案選取器中,選取要查看安全漏洞調查結果的專案。

「安全漏洞」頁面只會顯示您所選專案的結果。

或者,如果控制台檢視畫面設為貴機構,您可以使用「發現項目」頁面上的快速篩選器,依一或多個專案 ID 篩選出安全性弱點發現項目。

依發現項目類別查看安全漏洞發現項目

如要依類別查看安全漏洞發現項目,請執行下列步驟:

  1. 前往 Google Cloud 控制台的「Vulnerabilities」(安全漏洞) 頁面。

    前往「安全漏洞」頁面

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 在「類別」欄中,選取要顯示的發現項目類型。

系統會載入「發現項目」頁面,並顯示符合所選類型的發現項目清單。

如要進一步瞭解如何尋找類別,請參閱「安全漏洞發現」。

依資產類型查看發現項目

如要查看特定資產類型的安全漏洞調查結果,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

    前往「發現項目」

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 在「快速篩選器」面板中,選取下列項目:

    • 在「發現項目類別」部分,選取「安全漏洞」和「設定錯誤」
    • 選用:在「專案 ID」部分,選取要查看資產的專案 ID。
    • 在「Resource type」(資源類型) 專區中,選取要查看的資源類型。

「發現項目查詢結果」面板中的發現項目清單會更新,只顯示符合所選條件的發現項目。

依受攻擊風險分數查看安全漏洞發現項目

系統會為指定為高價值且支援攻擊路徑模擬的安全漏洞發現項目指派受攻擊風險分數。您可以依據這個分數篩選結果。

如要查看按照受攻擊風險分數顯示的安全漏洞發現項目,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

    前往「發現項目」

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 在「查詢預覽」面板右側,按一下「編輯查詢」

  4. 在「查詢編輯器」面板頂端,按一下「新增篩選器」

  5. 在「Select filter」(選取篩選器) 對話方塊中,執行下列操作:

    • 在 Premium 和 Standard 服務層級中,選取「攻擊暴露程度」,然後在「攻擊暴露程度大於」欄位中輸入分數值。

    • Enterprise 級別:

      • 選取「攻擊暴露程度」做為「屬性類別」
      • 選取「分數」做為屬性名稱。
      • 在「遭受攻擊的風險大於」欄位中輸入分數值。

  6. 按一下 [套用]

    篩選器陳述式會新增至查詢,而「發現查詢結果」面板中的發現項目也會更新,只顯示攻擊暴露分數大於新篩選器陳述式指定值的發現項目。

依 CVE ID 查看安全漏洞發現項目

您可以在「總覽」或「發現項目」頁面,依據對應的 CVE ID 查看發現項目。

  • 在 Standard 和 Premium 層級中,前往「總覽」頁面的「重大 CVE 發現項目」專區。

  • 在 Enterprise 方案中,前往「總覽」> CVE 漏洞檢視畫面中的「常見安全漏洞與弱點」部分。

系統會根據 Mandiant 評估的漏洞可利用性和影響,將安全漏洞發現項目歸類到互動式圖表中。按一下圖表中的方塊,即可查看環境中偵測到的安全漏洞清單 (依 CVE ID 分類)。

在「發現項目」頁面,您可以依 CVE ID 查詢發現項目。

如要依 CVE ID 查詢安全漏洞發現項目,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現」頁面。

    前往「發現項目」

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 在「查詢預覽」欄位右側,按一下「編輯查詢」

  4. 在「Query editor」(查詢編輯器) 中編輯查詢,加入您要尋找的 CVE ID。例如:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    「發現項目查詢結果」會更新,顯示所有未設為忽略且包含 CVE ID 的有效發現項目。

依嚴重程度查看安全漏洞發現項目

如要依嚴重程度查看安全漏洞調查結果,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現」頁面。

    前往「發現項目」

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 在「快速篩選器」面板中,前往「發現項目類別」部分,然後選取「安全漏洞」和「設定錯誤」

    顯示的調查結果會更新,只顯示 VulnerabilityMisconfiguration 類別的調查結果。

  4. 在「快速篩選器」面板中,前往「嚴重性」部分,然後選取要查看的調查結果嚴重性。

    顯示的調查結果會更新,只顯示所選嚴重程度的安全漏洞調查結果。

依現有發現項目數量查看發現項目類別

如要依據有效發現項目數量查看發現項目類別,可以使用 Google Cloud 控制台或 Google Cloud CLI 指令。

控制台

如要在「安全漏洞」頁面依有效發現項目數量查看發現項目類別,可以依「有效發現項目」欄排序類別,也可以依每個類別包含的有效發現項目數量篩選類別。

如要依所含有效發現項目數量篩選弱點發現項目類別,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中開啟「Vulnerabilities」(弱點) 頁面:

    前往「安全漏洞」頁面

  2. 在專案選取器中,選取機構、資料夾或專案。

  3. 將游標移至篩選器欄位,即可顯示篩選器清單。

  4. 從篩選器清單中選取「有效發現項目」。系統會顯示邏輯運算子清單。

  5. 選取要在篩選器中使用的邏輯運算子,例如 >=

  6. 輸入數字,然後按下 Enter 鍵。

畫面會更新,只顯示包含符合篩選條件的有效發現項目數量的安全漏洞類別。

gcloud

如要使用 gcloud CLI 取得所有有效發現項目的計數,請先查詢 Security Command Center,取得安全漏洞服務的來源 ID,然後使用來源 ID 查詢有效發現項目的計數。

步驟 1:取得來源 ID

如要完成這個步驟,請取得機構 ID,然後取得其中一項安全漏洞偵測服務的來源 ID,這也稱為「發現來源」。如果尚未啟用 Security Command Center API,系統會提示您啟用。

  1. 執行 gcloud organizations list 取得機構 ID,然後記下機構名稱旁邊的數字。

  2. 執行下列指令,取得 Security Health Analytics 來源 ID:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    更改下列內容:

    • ORGANIZATION_ID:貴機構的 ID。 無論 Security Command Center 的啟用層級為何,都必須提供機構 ID。
    • SOURCE_DISPLAY_NAME:您需要顯示結果的弱點偵測服務顯示名稱。例如:Security Health Analytics

  3. 如果系統提示,請啟用 Security Command Center API,然後再次執行先前的指令,取得來源 ID。

取得來源 ID 的指令應會顯示如下的輸出內容:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

記下 SOURCE_ID,以便在下一個步驟中使用。

步驟 2:取得有效發現項目計數

使用您在上一個步驟中記下的 SOURCE_ID 篩選結果。下列 gcloud CLI 指令會傳回各類別的發現項目數量:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

您可以將頁面大小設為任何值,上限為 1000。這個指令應該會顯示如下的輸出內容,其中包含您特定機構或專案的結果:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50