Revisar y gestionar resultados

En esta página se explica cómo trabajar con los resultados de Security Command Center. Un hallazgo es un registro de un problema de seguridad que crean los servicios de Security Command Center cuando detectan un problema de seguridad. Los resultados se muestran en la página Resultados. Puedes hacer clic en un resultado para ver sus detalles y el formato JSON completo.

Estas son algunas de las acciones que puede realizar en la página Resultados:

  • Consultar los hallazgos.
  • Revisa los resultados.
  • Silenciar hallazgos.
  • Añadir marcas de seguridad a los resultados.

Para obtener información sobre cómo trabajar con resultados de forma programática, consulta las bibliotecas de cliente de Security Command Center.

Obtener los permisos necesarios

En esta sección se enumeran los roles de gestión de identidades y accesos que necesitas para trabajar con los descubrimientos en la consola.

Roles de gestión de identidades y accesos de la consolaGoogle Cloud

Para trabajar con las detecciones en la consola de Google Cloud , necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta el artículo sobre la gestión de identidades y accesos para activaciones a nivel de organización.

    Ver resultados

    1. Abre la página Resultados.
    2. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

      Ir a Resultados

    3. Selecciona tu Google Cloud proyecto u organización.

    Ajustar el periodo para ver más resultados

    Puedes ajustar el intervalo de tiempo que se usa en tus consultas. El intervalo de tiempo predeterminado es Last 7 days.

    El intervalo de tiempo se basa en el valor del atributo eventTime de los resultados, que refleja la hora en la que se actualizó por última vez el registro de resultados.

    Para obtener información sobre cómo ajustar el intervalo de tiempo, haz clic en la pestaña correspondiente a tu nivel de licencia.

    Estándar o Premium

    En la página Resultados de la Google Cloud consola, define el campo Intervalo de tiempo.

    Empresa

    En la parte superior de la lista de resultados de la página Resultados, define el campo Mostrar.

    Consultar disponibilidad

    Normalmente, puedes consultar un resultado en Security Command Center menos de un minuto después de que el servicio que lo genera lo almacene en la base de datos de resultados de Security Command Center. En función de tu nivel de Security Command Center, los resultados estarán disponibles para que los consultes o los busques durante un periodo determinado. Para obtener más información sobre la conservación de datos de Security Command Center, consulta el artículo Conservación de datos.

    Buscar y ver resultados específicos

    De forma predeterminada, la página Resultados muestra todos los resultados activos que no están silenciados y que son nuevos o se han actualizado en los últimos siete días. Para mostrar las detecciones inactivas o silenciadas, seleccione Mostrar inactivas o Mostrar silenciadas en el panel Filtros rápidos.

    Usar vistas de filtro predefinidas

    Para mostrar una categoría específica de resultados, haz clic en una vista de filtro predefinida, como Vulnerabilidades o Identidad. La vista se aplica y ejecuta la consulta predefinida.

    Usar el editor de consultas

    Para ver resultados específicos, edite la consulta de resultados para especificar los valores o atributos que deben o no deben contener los resultados que quiera ver.

    El siguiente ejemplo es la consulta de resultados predeterminada:

    state="ACTIVE"
AND NOT mute="MUTED"

    Puedes ver la consulta de resultados actual en el panel Editor de consultas. Puede editar la consulta directamente o seleccionar filtros predefinidos para crearla. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    En la página Resultados de la consola de Google Cloud , puedes hacer lo siguiente:

    • En el panel Filtros rápidos, selecciona uno o varios filtros de atributos predefinidos para añadirlos a una consulta. Usa el panel Filtros rápidos para ver las opciones de filtro de alto nivel que se usan con frecuencia.
    • En el menú Añadir filtro del panel Editor de consultas, seleccione uno o varios filtros de atributos predefinidos para añadirlos a una consulta. Use el menú Añadir filtro para aplicar filtros más específicos y avanzados basados en atributos de hallazgos de nivel inferior. Para obtener más información, consulta Editar una consulta de resultados en la consola.
    • Edita la consulta de resultados directamente en el panel Editor de consultas.
    • En la vista de detalles de una detección, en el menú desplegable de un atributo concreto, selecciona un filtro predefinido para ese atributo y añádelo a una consulta.

    Ver los detalles de un hallazgo

    Para obtener más información sobre un resultado, abre la vista detallada del resultado haciendo clic en su nombre en la columna Categoría de los resultados de la consulta.

    En la vista de detalles, puede encontrar información fundamental para entender un resultado, investigar una amenaza o abordar una vulnerabilidad.

    La vista detallada de los resultados incluye las siguientes pestañas, que puedes seleccionar para obtener más información sobre un resultado y tomar medidas:

    • La pestaña Resumen, que es la vista predeterminada, destaca la información y los atributos clave de la detección.
    • La pestaña Propiedades de la fuente, donde puede ver los atributos del objeto sourceProperties del JSON de la detección.
    • La pestaña JSON, donde puedes ver el formato JSON completo de la detección.

    Puedes llevar a cabo determinadas acciones en el resultado en la vista de detalles, así como encontrar enlaces a información adicional relacionada con el resultado.

    Información sobre el hallazgo en la vista detallada

    La vista detallada de una detección destaca información importante sobre la detección que puedes usar para comprender y solucionar el problema de seguridad subyacente.

    Información de la pestaña Resumen

    La pestaña Resumen proporciona información sobre la detección en las siguientes secciones:

    Qué se detectó (o Vista general)

    Detalles sobre el hallazgo detectado, como los siguientes:

    • La gravedad del resultado
    • El estado del resultado, ACTIVE o INACTIVE
    • Cualquier campo clave relacionado con el resultado específico
    Vulnerabilidad

    Información del registro de CVE que corresponde a la vulnerabilidad, si la hay. La sección Vulnerabilidad incluye información del registro CVE, como la siguiente:

    • ID de CVE
    • Puntuación de CVE
    • Impacto
    • Actividad de explotación
    Exposición a ataques

    La puntuación de exposición a ataques y la hora en la que se calculó por última vez. Al hacer clic en la puntuación, se abre una representación visual de los recursos de alto valor afectados y de la ruta de ataque asociada.

    Recurso afectado

    Detalles sobre el recurso asociado a la detección, incluida la siguiente información:

    • Nombre completo del recurso afectado
    • El proveedor de servicios en la nube del recurso
    • Los contactos técnicos y de seguridad
    Información sobre el caso

    Detalles sobre el caso asociado a la detección, incluida la siguiente información.

    • Nombre de recurso completo del sistema externo asociado al hallazgo.
    • El grupo asignado al caso
    • El ID del caso, que enlaza al caso en la consola de Security Operations
    • El estado del caso
    • La hora de actualización en el sistema de gestión de casos externo
    • Fecha límite comprometida para cerrar el caso
    Marcas de seguridad

    Las marcas de seguridad asociadas a este resultado, si las hubiera.

    Pasos siguientes

    Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo algunos servicios, como Security Health Analytics, ofrecen pasos siguientes.

    Enlaces relacionados

    Enlaces a fuentes clave de información de seguridad fuera de Security Command Center. Solo algunos servicios, como Event Threat Detection, proporcionan enlaces relacionados.

    Servicio de detección

    Detalles sobre el servicio o la fuente que ha detectado el resultado.

    Información de la pestaña Propiedades fuente

    En algunas detecciones, el panel de detalles incluye una pestaña Propiedades de origen que destaca determinadas propiedades del objeto sourceProperties del JSON de la detección.

    Las propiedades de origen varían en función de cada hallazgo y de cada servicio que se ejecute en Security Command Center. No se garantiza que las propiedades de origen estén estandarizadas en todos los servicios. Por este motivo, no recomendamos consumir propiedades de origen de forma programática. Si quieres que una propiedad fuente se estandarice en todos los servicios, envíanos tus comentarios.

    Información de la pestaña JSON

    La pestaña JSON contiene la estructura JSON completa de la detección, que puede ser útil cuando investigas una detección o buscas atributos que puedes usar en tus consultas de detecciones.

    Para copiar el objeto JSON en el portapapeles, haz clic en Copiar.

    La estructura JSON de una detección contiene los siguientes objetos:

    • findings: los atributos del resultado. Estos atributos se estandarizan en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta Finding.
    • resource: los atributos del recurso afectado. Para obtener más información, consulta Resource.
    • sourceProperties: las propiedades específicas del servicio del hallazgo.

    También puedes usar la API ListFindings para enumerar las detecciones y obtener sus definiciones JSON.

    Tomar medidas en función de un resultado de la vista detallada

    Puedes realizar varias acciones en un resultado desde la vista detallada del resultado, como silenciarlo. Si estás viendo la vista de detalles de la detección en la Google Cloud consola, también puedes añadir atributos de la detección a la consulta de detecciones actual.

    Silenciar un resultado en la vista detallada

    En la vista de detalles de un hallazgo, puedes silenciarlo o reactivarlo. También puedes crear una regla que silencie todos los resultados futuros que sean como el actual.

    Para obtener instrucciones completas sobre cómo silenciar un resultado o crear una regla de silencio, consulta el artículo Silenciar resultados en Security Command Center.

    Añadir filtros de atributos a una consulta desde la vista de detalles

    En la Google Cloud consola, en la vista de detalles de una detección, puede añadir filtros para los atributos mostrados a la consulta de detecciones actual.

    Para añadir filtros de atributos a una consulta desde la vista de detalles, sigue estos pasos:

    • En la página Resultados, haz clic en el resultado para ver sus detalles.
    • En la vista de detalles de la incidencia, busque el atributo por el que quiere filtrar.
    • Junto al atributo, abre el menú desplegable.
    • Seleccione un filtro predefinido para el atributo. El filtro se añade a la consulta de hallazgos en la página Hallazgos.

    Ver o copiar nombres de APIs de atributos en la vista de detalles de un resultado

    La mayoría de los atributos de los resultados que se muestran en la Google Cloud consola tienen un nombre correspondiente que se usa en la API de Security Command Center.

    Para obtener información sobre cómo ver o copiar los nombres de las APIs de atributos en la vista de detalles de una detección, haga clic en la pestaña de su nivel de servicio.

    Estándar o Premium

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.

    2. En la vista de detalles de la detección, puede encontrar y copiar el nombre de la API correspondiente de cada atributo que se muestra.

      El nombre de la API equivalente de cada atributo se indica en la misma fila que el atributo. Todos los nombres de las APIs se encuentran en la última columna. Por ejemplo, para el atributo State, el nombre de API equivalente es state.

    Empresa

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. En la vista de detalles de la detección, busque el atributo cuya API equivalente quiera copiar.
    3. Junto al atributo, abre el menú desplegable.
    4. Haz clic en Copiar equivalente de la API.

    Compartir la vista detallada de un resultado

    Para compartir la vista detallada de un resultado, puede copiar la URL de la página de vista detallada y compartirla con otros usuarios.

    Para obtener información sobre cómo copiar la URL de la vista de detalles de una detección, haga clic en la pestaña de la consola que esté usando.

    Estándar o Premium

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Tomar medidas > Copiar enlace.

    Empresa

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Copiar enlace.

    Envía tus comentarios sobre el resultado a Google Cloud.

    Para obtener información sobre cómo enviar comentarios sobre un resultado, haz clic en la pestaña correspondiente a tu nivel de servicio.

    Estándar o Premium

    1. En la página Resultados, haz clic en el resultado para ver sus detalles.
    2. Haz clic en Tomar medidas > Enviar comentarios.
    3. Escribe una descripción de tus comentarios.
    4. Para incluir una captura de pantalla, haz clic en Hacer captura de pantalla.
    5. Haz clic en Enviar.

    Empresa

    Esta función no está disponible en Security Command Center Enterprise.

    Mostrar los detalles de otros resultados en los resultados de la consulta de resultados

    Para ver los detalles de los resultados que preceden o siguen al que estás viendo, usa los botones Siguiente o Anterior para ir al resultado siguiente o anterior sin tener que volver a la página Resultados.

    Añadir marcas de seguridad a los resultados

    Una marca de seguridad es una etiqueta personalizada de par clave-valor que puede usar para anotar un resultado, asociar un resultado con otros que compartan la misma marca de seguridad y consultar resultados.

    Para obtener instrucciones completas sobre cómo definir marcas de seguridad en resultados o recursos, consulta el artículo Usar marcas de seguridad.

    Silenciar resultados en la consola

    Puedes silenciar y reactivar las detecciones en las siguientes vistas:

    • Resultados de la consulta de hallazgos en la página Hallazgos
    • Vista detallada de un hallazgo

    Puedes silenciar resultados concretos o crear reglas de silencio que silencien los resultados actuales y futuros en función de los filtros que definas.

    Las detecciones silenciadas se ocultan y se silencian, pero puedes seguir viéndolas añadiendo el filtro mute="MUTED" a tu consulta de detecciones. Las detecciones silenciadas se seguirán registrando con fines de auditoría y cumplimiento.

    Para obtener instrucciones detalladas sobre cómo silenciar y reactivar resultados, consulta el artículo Silenciar resultados en Security Command Center.

    Cambiar el estado de un resultado

    Una detección puede tener uno de estos dos estados: Active o Inactive.

    El estado Active significa que el problema de seguridad identificado por el resultado persiste en tu entorno como amenaza o vulnerabilidad potencial.

    El estado Inactive significa que se ha solucionado el problema de seguridad.

    Puede que quieras cambiar el estado de un resultado por varios motivos, como cambiar el estado de un resultado a Inactive en cuanto se haya solucionado, para no tener que esperar a que se realice el siguiente análisis para que se cambie el estado.

    Para obtener información sobre cómo cambiar el estado de una detección, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

      Ir a Resultados

    2. Selecciona tu Google Cloud proyecto u organización.
    3. En el panel Resultados de la consulta de resultados, selecciona el resultado
    4. En la barra de acciones del panel Resultados de la consulta de detecciones, haz clic en Cambiar estado activo.
    5. En el menú Cambiar estado activo, selecciona Activo o Inactivo.

    Empresa

    Esta función no está disponible en Security Command Center Enterprise.

    Personalizar la página Resultados

    Para controlar el espacio de la pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta de hallazgos.

    Ocultar o mostrar columnas en los resultados de la consulta de hallazgos

    En los resultados de la consulta de detecciones, puedes ocultar cualquier columna, excepto Categoría.

    Estos son algunos ejemplos de columnas disponibles:

    • Categoría: el nombre del tipo de resultado.
    • Gravedad: la gravedad del resultado. Para obtener más información sobre cómo encontrar los niveles de gravedad, consulta Clasificaciones de gravedad de las detecciones.
    • Puntuación de combinación tóxica: una puntuación de exposición a ataques en un resultado de clase Toxic combination.
    • Puntuación de exposición a ataques: la puntuación de exposición a ataques del hallazgo.
    • Hora del evento: la hora en la que se detectó por primera vez el resultado o la hora en la que se actualizó por última vez.
    • Hora de creación: hora en la que se creó el resultado en Security Command Center.
    • Clase de hallazgo: la clase del hallazgo, como THREAT, VULNERABILITY y MISCONFIGURATION.
    • Nombre visible del recurso: el nombre visible del recurso en el que se ha detectado el problema.
    • Nombre completo del recurso: el nombre completo del recurso en el que se ha detectado el problema.
    • Proveedor de servicios en la nube de recurso: el proveedor de servicios en la nube en el que se aloja el recurso.
    • Ruta del recurso: la ruta al recurso en el que se ha detectado el problema.
    • Tipo de recurso: el tipo de recurso en el que se ha detectado el problema.
    • Marcas de seguridad: las marcas de seguridad que se añadan al resultado.

    Para obtener información sobre cómo ocultar o mostrar las columnas de los resultados de la consulta de detecciones, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. A la derecha de la barra de acciones Resultados de la consulta de detecciones, haz clic en Columnas.
    2. Selecciona las columnas que quieras mostrar.
    3. Desmarque las columnas que quiera ocultar.
    4. Haz clic en Aplicar para aplicar los cambios al panel Resultados de la consulta de detecciones.

    Las selecciones de columnas se conservan la próxima vez que veas la página Resultados, aunque cambies de proyecto u organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.

    Empresa

    1. En la barra de acciones Resultados, haga clic en Gestionar columnas. Se abrirá el menú Gestionar columnas.
    2. Selecciona las columnas que quieras mostrar.
    3. Desmarque las columnas que quiera ocultar.
    4. Cierra el menú.

    Las columnas que elijas solo se aplicarán a la pestaña o ventana actual. La configuración de las columnas se restablecerá la próxima vez que inicies sesión.

    Ocultar o mostrar los paneles de la página Resultados

    Para aumentar el espacio de la pantalla y poder editar consultas o ver resultados, puedes ocultar o mostrar paneles. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    Puedes ocultar o mostrar los siguientes paneles:

    • Panel Filtros rápidos
    • Panel Editor de consultas

    Para ocultar un panel, haz clic en el icono Alternar panel, o .

    Para mostrar el panel, vuelve a hacer clic en el icono.

    Empresa

    • Para ocultar el panel lateral Agregaciones, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar el panel lateral Agregaciones, haz clic en chevron_right Abrir barra lateral.
    • Para ocultar el panel Editor de consultas, haz clic en keyboard_arrow_up Cerrar editor de consultas.
    • Para mostrar el panel Editor de consultas, haz clic en keyboard_arrow_down Abrir editor de consultas.

    Siguientes pasos