Revisione e gestione dei risultati

Questa pagina spiega come utilizzare i risultati di Security Command Center. Un risultato è un record di un problema di sicurezza creato dai servizi Security Command Center quando rilevano un problema di sicurezza. I risultati sono elencati nella pagina Risultati. Puoi fare clic su un risultato per visualizzarne i dettagli e il formato JSON completo.

Alcune delle azioni che puoi eseguire nella pagina Risultati includono le seguenti:

  • Risultati della query.
  • Esamina i risultati.
  • Disattiva i risultati.
  • Aggiungi contrassegni di sicurezza ai risultati.

Per informazioni sull'utilizzo dei risultati a livello di programmazione, vedi Librerie client di Security Command Center.

Ottenere le autorizzazioni richieste

Questa sezione elenca i ruoli IAM necessari per lavorare con i risultati nella console.

Google Cloud Ruoli IAM della console

Per lavorare con i risultati nella console Google Cloud , devi disporre dei seguenti ruoli IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Per saperne di più su ruoli e autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Visualizza risultati

    1. Apri la pagina Risultati e fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .

    Aziende

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati nel livello Enterprise

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .

    Modifica l'intervallo di tempo per visualizzare altri risultati

    Puoi regolare l'intervallo di tempo utilizzato per le query. L'intervallo di tempo predefinito è Last 7 days.

    L'intervallo di tempo si basa sul valore dell'attributo eventTime dei risultati, che riflette l'ora in cui è stato aggiornato l'ultimo record dei risultati.

    Per informazioni su come regolare l'intervallo di tempo, fai clic sulla scheda del tuo livello di licenza.

    Standard o Premium

    Nella pagina Risultati della console Google Cloud , imposta il campo Intervallo di tempo.

    Aziende

    Nella parte superiore dell'elenco dei risultati nella pagina Risultati, imposta il campo Visualizzazione.

    Trovare la disponibilità

    Un risultato diventa in genere disponibile per le query in Security Command Center meno di un minuto dopo che il servizio che genera il risultato lo memorizza nel database dei risultati di Security Command Center. A seconda del livello di Security Command Center, i risultati rimangono disponibili per essere elencati o interrogati per periodi di tempo specifici. Per ulteriori informazioni sulla conservazione dei dati di Security Command Center, vedi Conservazione dei dati.

    Trovare e visualizzare risultati specifici

    Per impostazione predefinita, la pagina Risultati mostra tutti i risultati attivi che non sono disattivati e che sono nuovi o aggiornati negli ultimi sette giorni. Per visualizzare i risultati inattivi o disattivati, seleziona Mostra non attivi o Mostra disattivati nel riquadro Filtri rapidi.

    Per visualizzare risultati specifici, modifica la query dei risultati per specificare i valori o gli attributi che i risultati che devi visualizzare devono o non devono contenere.

    Il seguente esempio è la query predefinita sui risultati:

    state="ACTIVE"
AND NOT mute="MUTED"

    Puoi visualizzare la query sui risultati attuale nel riquadro Editor di query. Puoi modificare la query direttamente o selezionare filtri predefiniti per crearla. Per ulteriori informazioni, fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    Nella pagina Risultati della console Google Cloud , puoi svolgere le seguenti operazioni:

    • Nel riquadro Filtri rapidi, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il riquadro Filtri rapidi per le opzioni di filtro di alto livello utilizzate di frequente.
    • Nel menu Aggiungi filtro del riquadro Editor di query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi di ricerca di livello inferiore. Per ulteriori informazioni, vedi Modificare una query sui risultati nella console.
    • Modifica la query sui risultati direttamente nel riquadro Editor query.
    • Nella visualizzazione dettagliata di un risultato, dal menu a discesa per un determinato attributo, seleziona un filtro predefinito per quell'attributo per aggiungerlo a una query.

    Aziende

    Nella pagina Risultati, puoi:

    • Nel riquadro Aggregazioni, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il pannello Aggregazioni per le opzioni di filtro di alto livello di uso comune.
    • Nel menu Aggiungi filtro del riquadro Editor di query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi di ricerca di livello inferiore. Per ulteriori informazioni, vedi Modificare una query sui risultati nella console.
    • Modifica la query sui risultati direttamente nel riquadro Editor di query.

    Visualizzare i dettagli di un risultato

    Per saperne di più su un risultato, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria nei risultati della query.

    Nella visualizzazione dettagliata, puoi trovare informazioni fondamentali per comprendere un risultato, esaminare una minaccia o risolvere una vulnerabilità.

    La visualizzazione dettagliata dei risultati include le seguenti schede che puoi selezionare per saperne di più su un risultato e intraprendere un'azione:

    • La scheda Riepilogo, che è la visualizzazione predefinita, evidenzia attributi e informazioni chiave relativi al risultato.
    • La scheda Proprietà origine, dove puoi visualizzare gli attributi dell'oggetto sourceProperties del JSON del risultato.
    • La scheda JSON, dove puoi vedere il formato JSON completo del problema.

    Puoi eseguire determinate azioni sul risultato nella visualizzazione dettagliata, nonché trovare link a ulteriori informazioni correlate al risultato.

    Scopri di più sul risultato nella visualizzazione dei dettagli

    La visualizzazione dettagliata di un risultato evidenzia informazioni importanti sul risultato che puoi utilizzare per comprendere e risolvere il problema di sicurezza sottostante.

    Informazioni sulla scheda Riepilogo

    La scheda Riepilogo fornisce informazioni sul risultato nelle seguenti sezioni:

    Che cosa è stato rilevato (o Panoramica)

    Dettagli del risultato rilevato, ad esempio:

    • Gravità del risultato
    • Lo stato del risultato, ACTIVE o INACTIVE
    • Qualsiasi campo chiave correlato al risultato specifico
    Vulnerabilità

    Informazioni del record CVE corrispondenti alla vulnerabilità, se presenti. La sezione Vulnerabilità include informazioni del record CVE, ad esempio:

    • ID CVE
    • Punteggio CVE
    • Impatto
    • Attività di exploit
    Esposizione all'attacco

    Il punteggio di esposizione all'attacco e l'ora in cui è stato calcolato l'ultima volta. Se fai clic sul punteggio, si apre una rappresentazione visiva delle risorse di alto valore interessate e del percorso di attacco associato.

    Risorsa interessata

    Dettagli della risorsa associata al risultato, tra cui le seguenti informazioni:

    • Il nome completo della risorsa interessata
    • Il provider di servizi cloud della risorsa
    • Contatti tecnici e per la sicurezza
    Informazioni sulla richiesta

    Dettagli del caso associato al risultato, incluse le seguenti informazioni.

    • Il nome completo della risorsa del sistema esterno associato al risultato
    • Il gruppo assegnato alla richiesta
    • L'ID richiesta, che rimanda alla richiesta nella console Security Operations
    • Lo stato della richiesta
    • L'ora di aggiornamento nel sistema di gestione dei casi esterno
    • La scadenza impegnata per la chiusura della richiesta
    Contrassegni di sicurezza

    Eventuali indicatori di sicurezza associati a questo risultato.

    Passaggi successivi

    Indicazioni su cosa puoi fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, forniscono i passaggi successivi.

    Link correlati

    Link a fonti chiave di informazioni sulla sicurezza al di fuori di Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono link correlati.

    Servizio di rilevamento

    Dettagli sul servizio o sull'origine che ha rilevato il risultato.

    Informazioni sulla scheda Proprietà sorgente

    Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà sorgente che evidenzia alcune proprietà dell'oggetto sourceProperties del JSON del risultato.

    Le proprietà sorgente variano per ogni risultato e per ogni servizio in esecuzione su Security Command Center. Non è garantito che le proprietà sorgente siano standardizzate in tutti i servizi. Per questo motivo, sconsigliamo vivamente di utilizzare le proprietà delle origini in modo programmatico. Se vuoi che una proprietà sorgente venga standardizzata in tutti i servizi, comunicacelo inviando il tuo feedback.

    Informazioni sulla scheda JSON

    La scheda JSON contiene la struttura JSON completa del risultato, che può essere utile quando esamini un risultato o cerchi attributi che puoi utilizzare nelle query sui risultati.

    Per copiare l'oggetto JSON negli appunti, fai clic su Copia.

    La struttura JSON di un risultato contiene i seguenti oggetti:

    • findings: gli attributi del problema. Questi attributi sono standardizzati in tutti i servizi integrati (noti anche come origini di sicurezza). Per ulteriori informazioni, vedi Finding.
    • resource: gli attributi della risorsa interessata. Per ulteriori informazioni, vedi Resource.
    • sourceProperties: le proprietà specifiche del servizio del problema.

    Puoi anche utilizzare l'API ListFindings per elencare i risultati e ottenere le relative definizioni JSON.

    Intervenire su un risultato dalla visualizzazione dei dettagli

    Puoi eseguire una serie di azioni su un risultato dalla visualizzazione dei dettagli del risultato, ad esempio disattivarlo. Se visualizzi la visualizzazione dettagli del problema nella console Google Cloud , puoi anche aggiungere attributi dal problema alla query sui problemi corrente.

    Disattivare un risultato nella visualizzazione dettagliata

    Dalla visualizzazione dettagliata di un risultato, puoi disattivare o riattivare l'audio. Puoi anche creare una regola che disattiva tutti i risultati futuri simili a quello attuale.

    Per istruzioni complete sulla disattivazione di un risultato o sulla creazione di una regola di disattivazione, vedi Disattivare i risultati in Security Command Center.

    Aggiungere filtri degli attributi a una query dalla visualizzazione dettagliata

    Nella console Google Cloud , nella visualizzazione dettagliata di un risultato, puoi aggiungere filtri per gli attributi visualizzati alla query sui risultati corrente.

    Per informazioni su come aggiungere filtri degli attributi a una query dalla visualizzazione dettagli, fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del risultato, individua l'attributo in base al quale filtrare.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query sui risultati nella pagina Risultati.

    Aziende

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del risultato, individua l'attributo in base al quale filtrare.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query sui risultati nella pagina Risultati.

    Visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dettagliata di un risultato

    La maggior parte degli attributi dei risultati visualizzati nella console Google Cloud ha un nome corrispondente utilizzato nell'API Security Command Center.

    Per informazioni su come visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dettagli di un risultato, fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.

    2. Nella visualizzazione dettagliata del risultato, puoi trovare e copiare il nome API corrispondente di ogni attributo visualizzato.

      Il nome API equivalente per ogni attributo è elencato nella stessa riga dell'attributo. Tutti i nomi delle API si trovano nell'ultima colonna. Ad esempio, per l'attributo State, il nome API equivalente è state.

    Aziende

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del problema, individua l'attributo di cui vuoi copiare l'equivalente API.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Fai clic su Copia equivalente API.

    Condividere la visualizzazione dettagliata di un risultato

    Per condividere la visualizzazione dettagliata di un risultato, puoi copiare l'URL della pagina della visualizzazione dettagliata e condividerlo con altri.

    Per informazioni su come copiare l'URL della visualizzazione dettagliata di un risultato, fai clic sulla scheda della console che stai utilizzando.

    Standard o Premium

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Intervieni > Copia link.

    Aziende

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Copia link.

    Invia un feedback sul risultato a Google Cloud

    Per informazioni su come inviare feedback su un risultato, fai clic sulla scheda relativa al tuo livello di servizio.

    Standard o Premium

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Intervieni > Invia feedback.
    3. Inserisci una descrizione del tuo feedback.
    4. Per includere uno screenshot, fai clic su Acquisisci screenshot.
    5. Fai clic su Invia.

    Aziende

    Questa funzionalità non è disponibile in Security Command Center Enterprise.

    Visualizzare i dettagli di altri risultati nei risultati della query sui risultati

    Per visualizzare i dettagli dei risultati che precedono o seguono quello che stai visualizzando, utilizza il pulsante Avanti o Precedente per passare al risultato successivo o precedente, senza dover tornare alla pagina Risultati.

    Aggiungere contrassegni di sicurezza agli esiti

    Un indicatore di sicurezza è un'etichetta personalizzata chiave-valore che puoi utilizzare per annotare un risultato, associarlo ad altri risultati che condividono lo stesso contrassegno di sicurezza ed eseguire query sui risultati.

    Per istruzioni complete su come impostare i contrassegni di sicurezza sui risultati o sugli asset, consulta Utilizzo dei contrassegni di sicurezza.

    Disattivare i risultati nella console

    Puoi disattivare e riattivare le notifiche dei risultati dalle seguenti visualizzazioni:

    • Risultati della query sui risultati nella pagina Risultati
    • Visualizzazione dettagliata di un risultato

    Puoi disattivare singoli risultati o creare regole di disattivazione che disattivano i risultati attuali e futuri in base ai filtri che definisci.

    I risultati disattivati sono nascosti e silenziati, ma puoi comunque visualizzarli aggiungendo il filtro mute="MUTED" alla query sui risultati. I risultati disattivati continuano a essere registrati ai fini di audit e conformità.

    Per istruzioni dettagliate su come disattivare e riattivare i risultati, vedi Disattivazione dei risultati in Security Command Center.

    Modificare lo stato di un risultato

    Un risultato può avere uno dei due stati seguenti: Active o Inactive.

    Uno stato Active indica che il problema di sicurezza identificato dal risultato persiste nel tuo ambiente come potenziale minaccia o vulnerabilità.

    Uno stato Inactive indica che il problema di sicurezza è stato risolto.

    Potresti voler modificare lo stato di un risultato per vari motivi, ad esempio per impostare lo stato di un risultato su Inactive non appena viene risolto, in modo da non dover attendere la scansione successiva per modificare lo stato per te.

    Per informazioni su come modificare lo stato di un risultato, fai clic sulla scheda relativa al tuo livello di servizio.

    Standard o Premium

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
    3. Nel riquadro Risultati della query sui risultati, seleziona il risultato.
    4. Nella barra delle azioni del riquadro Risultati della query sui risultati, fai clic su Modifica stato attivo.
    5. Nel menu Modifica stato attivo, seleziona Attivo o Non attivo.

    Aziende

    Questa funzionalità non è disponibile in Security Command Center Enterprise.

    Personalizzare la pagina Risultati

    Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati nei risultati della query sui risultati.

    Nascondere o visualizzare le colonne nei risultati della query sui risultati

    Nei risultati della query sui risultati, puoi nascondere qualsiasi colonna, ad eccezione di Categoria.

    Di seguito sono riportati alcuni esempi di colonne disponibili:

    • Categoria: il nome del tipo di risultato.
    • Gravità: la gravità del risultato. Per ulteriori informazioni sui livelli di gravità dei risultati, consulta Classificazioni della gravità per i risultati.
    • Punteggio delle combinazioni dannose: un punteggio di esposizione all'attacco in un risultato della classe Toxic combination.
    • Punteggio di esposizione agli attacchi: il punteggio di esposizione agli attacchi del risultato.
    • Ora evento: la data/ora in cui il risultato è stato rilevato per la prima volta o l'ultima volta che è stato aggiornato.
    • Ora di creazione: quando è stato creato il risultato in Security Command Center.
    • Classe di risultati: la classe del risultato, ad esempio THREAT, VULNERABILITY e MISCONFIGURATION.
    • Nome visualizzato risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
    • Nome completo risorsa: il nome completo della risorsa in cui è stato rilevato il problema.
    • Cloud provider risorsa: il provider di servizi cloud su cui è ospitata la risorsa.
    • Percorso della risorsa: il percorso della risorsa in cui è stato rilevato il problema.
    • Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
    • Contrassegni di sicurezza: eventuali contrassegni di sicurezza aggiunti al risultato.

    Per informazioni su come nascondere o visualizzare le colonne nei risultati della query sui risultati, fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    1. A destra della barra delle azioni Risultati della query sui risultati, fai clic su Colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Fai clic su Applica per applicare le modifiche al riquadro Risultati della query sui risultati.

    Le selezioni delle colonne vengono mantenute la volta successiva che visualizzi la pagina Risultati, anche se cambi progetto o organizzazione. Per cancellare tutte le selezioni delle colonne personalizzate, fai clic su Cancella selezioni colonne.

    Aziende

    1. Nella barra delle azioni Risultati, fai clic su Gestisci colonne. Si apre il menu Gestisci colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Chiudi il menu.

    Le selezioni delle colonne si applicano solo alla scheda o alla finestra corrente. Le impostazioni delle colonne vengono reimpostate al successivo accesso.

    Nascondere o mostrare i riquadri della pagina Risultato

    Per aumentare lo spazio sullo schermo per modificare le query o visualizzare i risultati, puoi nascondere o visualizzare i riquadri. Per ulteriori informazioni, fai clic sulla scheda del tuo livello di servizio.

    Standard o Premium

    Puoi nascondere o visualizzare i seguenti riquadri:

    • Riquadro Filtri rapidi
    • Riquadro Editor di query

    Per nascondere un riquadro, fai clic sull'icona Attiva/disattiva riquadro, o .

    Per visualizzare il riquadro, fai di nuovo clic sull'icona.

    Aziende

    • Per nascondere il pannello laterale Aggregazioni, fai clic su chevron_left Chiudi barra laterale.
    • Per visualizzare il riquadro laterale Aggregazioni, fai clic su chevron_right Apri barra laterale.
    • Per nascondere il riquadro Editor di query, fai clic su keyboard_arrow_up Chiudi editor di query.
    • Per visualizzare il riquadro Editor query, fai clic su keyboard_arrow_down Apri editor query.

    Passaggi successivi