Examiner et gérer les résultats

Cette page explique comment utiliser les résultats de Security Command Center. Un résultat est un enregistrement d'un problème de sécurité que les services Security Command Center créent lorsqu'ils détectent un problème de sécurité. Les résultats sont listés sur la page Résultats. Vous pouvez cliquer sur un résultat pour afficher ses détails et son format JSON complet.

Voici quelques exemples d'actions que vous pouvez effectuer sur la page Résultats :

  • Résultats de la requête.
  • Inspectez les résultats.
  • Ignorer les résultats.
  • Ajoutez des marques de sécurité aux résultats.

Pour savoir comment utiliser les résultats de manière programmatique, consultez Bibliothèques clientes Security Command Center.

Obtenir les autorisations requises

Cette section liste les rôles IAM dont vous avez besoin pour travailler avec les résultats dans la console.

Rôles IAM de la consoleGoogle Cloud

Pour utiliser les résultats dans la console Google Cloud , vous devez disposer des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

    Afficher les résultats

    1. Ouvrez la page Résultats, puis cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet Google Cloud ou votre organisation.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder à la page "Résultats" du niveau Enterprise

    2. Sélectionnez votre projet Google Cloud ou votre organisation.

    Ajuster la période pour afficher plus de résultats

    Vous pouvez ajuster la période utilisée pour vos requêtes. La période par défaut est Last 7 days.

    La plage de dates est basée sur la valeur de l'attribut eventTime des résultats, qui reflète la date de la dernière mise à jour de l'enregistrement du résultat.

    Pour savoir comment ajuster la période, cliquez sur l'onglet correspondant à votre niveau de licence.

    Standard ou Premium

    Sur la page Résultats de la console Google Cloud , définissez le champ "Période".

    Entreprise

    En haut de la liste des résultats sur la page Résultats, définissez le champ Afficher.

    Trouver des disponibilités

    Un résultat est généralement disponible pour que vous puissiez l'interroger dans Security Command Center moins d'une minute après que le service qui le génère l'a stocké dans la base de données des résultats de Security Command Center. Selon votre niveau Security Command Center, les résultats restent disponibles pour que vous puissiez les lister ou les interroger pendant des périodes spécifiques. Pour en savoir plus sur la conservation des données Security Command Center, consultez Conservation des données.

    Rechercher et afficher des résultats spécifiques

    Par défaut, la page Résultats affiche tous les résultats actifs qui ne sont pas mis en sourdine et qui sont nouveaux ou mis à jour au cours des sept derniers jours. Pour afficher les résultats inactifs ou masqués, sélectionnez Afficher les éléments inactifs ou Afficher les éléments masqués dans le panneau Filtres rapides.

    Pour afficher des résultats spécifiques, modifiez la requête de résultats afin de spécifier les valeurs ou les attributs que les résultats que vous souhaitez voir doivent ou ne doivent pas contenir.

    L'exemple suivant est la requête de résultats par défaut :

    state="ACTIVE"
AND NOT mute="MUTED"

    Vous pouvez consulter la requête de résultats actuelle dans le panneau Éditeur de requête. Vous pouvez modifier la requête directement ou sélectionner des filtres prédéfinis pour la créer. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    Sur la page Résultats de la console Google Cloud , vous pouvez effectuer les opérations suivantes :

    • Dans le panneau Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le panneau Filtres rapides pour accéder aux options de filtrage générales les plus courantes.
    • Dans le menu Ajouter un filtre du panneau Éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour obtenir des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur. Pour en savoir plus, consultez Modifier une requête de résultats dans la console.
    • Modifiez la requête de résultats directement dans le panneau Éditeur de requête.
    • Dans la vue détaillée d'un résultat, sélectionnez un filtre prédéfini pour un attribut spécifique dans le menu déroulant de cet attribut afin de l'ajouter à une requête.

    Entreprise

    Sur la page Résultats, vous pouvez effectuer les opérations suivantes :

    • Dans le panneau Agrégations, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le panneau Agrégations pour accéder aux options de filtrage générales les plus courantes.
    • Dans le menu Ajouter un filtre du panneau Éditeur de requête, sélectionnez un ou plusieurs filtres d'attributs prédéfinis pour les ajouter à une requête. Utilisez le menu Ajouter un filtre pour obtenir des filtres plus précis et avancés basés sur des attributs de résultat de niveau inférieur. Pour en savoir plus, consultez Modifier une requête de résultats dans la console.
    • Modifiez la requête de résultat directement dans le panneau Éditeur de requête.

    Afficher les détails d'un résultat

    Pour en savoir plus sur un résultat, ouvrez la vue détaillée en cliquant sur son nom dans la colonne Catégorie des résultats de la requête.

    Dans la vue détaillée, vous trouverez des informations essentielles pour comprendre un résultat, examiner une menace ou résoudre une faille.

    La vue détaillée des résultats inclut les onglets suivants que vous pouvez sélectionner pour en savoir plus sur un résultat et prendre des mesures :

    • L'onglet Récapitulatif, qui est la vue par défaut, met en évidence les informations et attributs clés concernant le résultat.
    • L'onglet Propriétés de la source, où vous pouvez voir les attributs de l'objet sourceProperties du fichier JSON du résultat.
    • L'onglet JSON, où vous pouvez voir le format JSON complet du résultat.

    Vous pouvez effectuer certaines actions sur le résultat dans la vue détaillée et trouver des liens vers des informations supplémentaires qui y sont associées.

    En savoir plus sur le résultat dans la vue détaillée

    La vue détaillée d'un résultat met en évidence les informations importantes à son sujet. Vous pouvez les utiliser pour comprendre et résoudre le problème de sécurité sous-jacent.

    Informations de l'onglet Résumé

    L'onglet Résumé fournit des informations sur le problème dans les sections suivantes :

    Risque détecté (ou Aperçu)

    Détails sur le résultat détecté, tels que les suivants :

    • Niveau de gravité du résultat
    • État du résultat, ACTIVE ou INACTIVE
    • Tous les champs clés liés au résultat spécifique
    Faille

    Informations du fichier CVE correspondant à la faille, le cas échéant. La section Faille inclut des informations provenant de l'enregistrement CVE, telles que :

    • ID de la CVE
    • Score CVE
    • Impact
    • Activité d'exploitation
    Exposition aux attaques

    Le niveau d'exposition aux attaques et l'heure à laquelle il a été calculé pour la dernière fois. En cliquant sur le score, vous ouvrez une représentation visuelle des ressources à forte valeur concernées et du chemin d'attaque associé.

    Ressource concernée

    Détails sur la ressource associée au résultat, y compris les informations suivantes :

    • Nom complet de la ressource concernée
    • Fournisseur de services cloud de la ressource
    • Contacts techniques et de sécurité
    Informations sur la demande

    Détails sur la demande associée au résultat, y compris les informations suivantes.

    • Nom complet de la ressource du système externe associé au résultat
    • Groupe auquel la demande est attribuée
    • Numéro de la demande, qui renvoie à la demande dans la console Security Operations
    • État de la demande
    • Date et heure de la dernière mise à jour dans le système externe de gestion des demandes
    • La date limite à laquelle vous vous êtes engagé à clôturer la demande
    Marques de sécurité

    Les marques de sécurité associées à ce résultat, le cas échéant.

    Étapes suivantes

    Des conseils sur la marche à suivre pour résoudre le problème détecté. Seuls certains services, tels que Security Health Analytics, fournissent des étapes à suivre.

    Liens associés

    Liens vers des sources clés d'informations de sécurité en dehors de Security Command Center. Seuls certains services, tels que Event Threat Detection, fournissent des liens associés.

    Service de détection

    Détails sur le service ou la source qui a détecté le résultat.

    Informations sur l'onglet Propriétés sources

    Pour certains résultats, le panneau de détails inclut un onglet Propriétés sources qui met en évidence certaines propriétés de l'objet sourceProperties du fichier JSON du résultat.

    Les propriétés sources diffèrent pour chaque résultat et pour chaque service qui s'exécute sur Security Command Center. Rien ne garantit que les propriétés sources sont standardisées pour tous les services. Pour cette raison, nous déconseillons fortement de consommer les propriétés sources de manière automatisée. Si vous souhaitez qu'une propriété source soit standardisée sur tous les services, n'hésitez pas à nous envoyer vos commentaires.

    Informations sur l'onglet JSON

    L'onglet JSON contient la structure JSON complète du résultat, ce qui peut être utile lorsque vous enquêtez sur un résultat ou que vous recherchez des attributs que vous pouvez utiliser dans vos requêtes de résultats.

    Pour copier l'objet JSON dans le presse-papiers, cliquez sur Copier.

    La structure JSON d'un résultat contient les objets suivants :

    • findings : attributs du résultat. Ces attributs sont standardisés dans tous les services intégrés (également appelés sources de sécurité). Pour en savoir plus, consultez la section Finding.
    • resource : attributs de la ressource concernée. Pour en savoir plus, consultez la section Resource.
    • sourceProperties : propriétés spécifiques au service du résultat.

    Vous pouvez également utiliser l'API ListFindings pour lister les résultats et obtenir leurs définitions JSON.

    Agir suite à un résultat dans la vue détaillée

    Vous pouvez effectuer diverses actions sur un résultat depuis la vue détaillée associée, par exemple le mettre en sourdine. Si vous consultez la vue détaillée du résultat dans la console Google Cloud , vous pouvez également ajouter des attributs du résultat à la requête de résultats actuelle.

    Ignorer un résultat dans la vue détaillée

    Dans la vue détaillée d'un résultat, vous pouvez l'ignorer ou le réactiver. Vous pouvez également créer une règle qui ignore tous les résultats futurs semblables au résultat actuel.

    Pour obtenir des instructions complètes sur le masquage d'un résultat ou la création d'une règle de masquage, consultez Ignorer les résultats dans Security Command Center.

    Ajouter des filtres d'attributs à une requête depuis la vue détaillée

    Dans la console Google Cloud , dans la vue détaillée d'un résultat, vous pouvez ajouter des filtres pour les attributs affichés à la requête de résultats actuelle.

    Pour savoir comment ajouter des filtres d'attributs à une requête à partir de la vue détaillée, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Dans la vue détaillée du résultat, recherchez l'attribut sur lequel vous souhaitez filtrer les données.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Sélectionnez un filtre prédéfini pour l'attribut. Le filtre est ajouté à la requête sur les résultats sur la page Résultats.

    Entreprise

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Dans la vue détaillée du résultat, recherchez l'attribut sur lequel vous souhaitez filtrer les données.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Sélectionnez un filtre prédéfini pour l'attribut. Le filtre est ajouté à la requête de résultats sur la page Résultats.

    Afficher ou copier les noms d'API des attributs dans la vue détaillée d'un résultat

    La plupart des attributs de résultats affichés dans la console Google Cloud ont un nom correspondant utilisé dans l'API Security Command Center.

    Pour savoir comment afficher ou copier les noms d'API des attributs dans la vue détaillée d'un résultat, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.

    2. Dans la vue détaillée du résultat, vous pouvez trouver et copier le nom d'API correspondant à chaque attribut affiché.

      Le nom d'API équivalent pour chaque attribut est indiqué sur la même ligne que l'attribut. Tous les noms d'API figurent dans la dernière colonne. Par exemple, pour l'attribut State, le nom d'API équivalent est state.

    Entreprise

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Dans la vue détaillée du résultat, recherchez l'attribut dont vous souhaitez copier l'équivalent API.
    3. À côté de l'attribut, ouvrez le menu déroulant.
    4. Cliquez sur Copier l'équivalent API.

    Partager la vue détaillée d'un résultat

    Pour partager la vue détaillée d'un résultat, vous pouvez copier l'URL de la page de vue détaillée et la partager avec d'autres utilisateurs.

    Pour savoir comment copier l'URL de la vue détaillée d'un résultat, cliquez sur l'onglet de la console que vous utilisez.

    Standard ou Premium

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Effectuer une action > Copier le lien.

    Entreprise

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Copier le lien.

    Envoyer des commentaires sur le résultat à Google Cloud

    Pour savoir comment envoyer des commentaires sur un résultat, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Sur la page Résultats, cliquez sur le résultat pour afficher ses détails.
    2. Cliquez sur Effectuer une action > Envoyer des commentaires.
    3. Saisissez une description de vos commentaires.
    4. Pour inclure une capture d'écran, cliquez sur Effectuer une capture d'écran.
    5. Cliquez sur Envoyer.

    Entreprise

    Cette fonctionnalité n'est pas disponible dans Security Command Center Enterprise.

    Afficher les détails des autres résultats dans les résultats de la requête sur les résultats

    Pour afficher les détails des résultats qui précèdent ou suivent celui que vous consultez, utilisez le bouton suivant  ou le bouton précédent  pour accéder au résultat suivant ou précédent, sans avoir à revenir à la page Résultats.

    Ajouter des marques de sécurité aux résultats

    Une marque de sécurité est un libellé clé-valeur personnalisé que vous pouvez utiliser pour annoter un résultat, l'associer à d'autres résultats qui partagent la même marque de sécurité et interroger les résultats.

    Pour obtenir des instructions complètes sur la définition de marques de sécurité pour les résultats ou les composants, consultez Utiliser des marques de sécurité.

    Ignorer les résultats dans la console

    Vous pouvez ignorer et réactiver les résultats dans les vues suivantes :

    • Résultats de la requête de résultat sur la page Résultats
    • Vue détaillée d'un résultat

    Vous pouvez ignorer des résultats individuels ou créer des règles de blocage qui désactivent les résultats actuels et futurs en fonction des filtres que vous définissez.

    Les résultats ignorés sont masqués et mis sous silence, mais vous pouvez toujours les afficher en ajoutant le filtre mute="MUTED" à votre requête de résultats. Les résultats ignorés continuent d'être enregistrés à des fins d'audit et de conformité.

    Pour obtenir des instructions détaillées sur la façon de masquer et d'afficher les résultats, consultez Ignorer les résultats dans Security Command Center.

    Modifier l'état d'un résultat

    Un résultat peut avoir l'un des deux états suivants : Active ou Inactive.

    Un état Active signifie que le problème de sécurité identifié par le résultat persiste dans votre environnement en tant que menace ou faille potentielle.

    L'état Inactive signifie que le problème de sécurité a été résolu.

    Vous pouvez modifier l'état d'un résultat pour diverses raisons. Par exemple, vous pouvez définir l'état d'un résultat sur Inactive dès qu'il est résolu, afin de ne pas avoir à attendre la prochaine analyse pour que l'état soit modifié.

    Pour savoir comment modifier l'état d'un résultat, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet Google Cloud ou votre organisation.
    3. Dans le panneau Résultats de la requête de résultats, sélectionnez le résultat.
    4. Dans la barre d'action du panneau Résultats de la requête sur les résultats, cliquez sur Modifier l'état de l'activité.
    5. Dans le menu Modifier l'état de l'activité, sélectionnez Actif ou Inactif.

    Entreprise

    Cette fonctionnalité n'est pas disponible dans Security Command Center Enterprise.

    Personnaliser la page "Résultats"

    Pour contrôler l'espace d'affichage, vous pouvez personnaliser certains des éléments qui s'affichent dans les résultats de requête sur les résultats.

    Masquer ou afficher des colonnes dans les résultats de requête sur les conclusions

    Dans les résultats de la requête de résultats, vous pouvez masquer n'importe quelle colonne, à l'exception de Catégorie.

    Voici des exemples de colonnes disponibles :

    • Catégorie : nom du type de résultat.
    • Gravité : gravité du résultat. Pour en savoir plus sur les niveaux de gravité des résultats, consultez Classification des résultats par niveau de gravité.
    • Score de combinaison toxique : niveau d'exposition aux attaques sur un résultat de la classe Toxic combination.
    • Score d'exposition aux attaques : score d'exposition aux attaques du résultat.
    • Heure de l'événement : date et heure de la première détection du résultat ou de sa dernière mise à jour.
    • Heure de création : date et heure de création du résultat dans Security Command Center.
    • Classe de la découverte : classe de la découverte, telle que THREAT, VULNERABILITY et MISCONFIGURATION.
    • Nom à afficher de la ressource : nom à afficher de la ressource dans laquelle le problème a été détecté.
    • Nom complet de la ressource : nom complet de la ressource dans laquelle le problème a été détecté.
    • Fournisseur de services cloud pour la ressource : fournisseur de services cloud sur lequel la ressource est hébergée.
    • Chemin d'accès à la ressource : chemin d'accès à la ressource dans laquelle le problème a été détecté.
    • Type de ressource : type de ressource dans laquelle le problème a été détecté.
    • Marques de sécurité : toutes les marques de sécurité ajoutées au résultat.

    Pour savoir comment masquer ou afficher les colonnes dans les résultats de la requête sur les résultats, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. À droite de la barre d'action Résultats de la requête de résultats, cliquez sur Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Cliquez sur Appliquer pour appliquer les modifications au panneau Résultats de la requête sur les conclusions.

    Les sélections de colonnes sont conservées la prochaine fois que vous consultez la page Résultats, même si vous modifiez des projets ou des organisations. Pour effacer toutes les sélections de colonnes personnalisées, cliquez sur Effacer les sélections de colonnes.

    Entreprise

    1. Dans la barre d'action Résultats, cliquez sur Gérer les colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Les colonnes que vous sélectionnez ne s'appliquent qu'à l'onglet ou à la fenêtre en cours. Vos paramètres de colonne sont réinitialisés lors de votre prochaine connexion.

    Masquer ou afficher les panneaux de la page des résultats

    Pour agrandir l'espace d'écran dédié à la modification des requêtes ou à l'affichage des résultats, vous pouvez masquer ou afficher des panneaux. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    Vous pouvez masquer ou afficher les panneaux suivants :

    • Panneau Filtres rapides
    • Panneau Éditeur de requête

    Pour masquer un panneau, cliquez sur l'icône Afficher/Masquer le panneau, ou .

    Pour afficher le panneau, cliquez à nouveau sur l'icône.

    Entreprise

    • Pour masquer le panneau latéral Agrégations, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher le panneau latéral Aggregations, cliquez sur chevron_right Ouvrir la barre latérale.
    • Pour masquer le panneau Éditeur de requête, cliquez sur keyboard_arrow_up Fermer l'éditeur de requête.
    • Pour afficher le panneau Éditeur de requête, cliquez sur keyboard_arrow_down Ouvrir l'éditeur de requête.

    Étapes suivantes