查看及管理發現項目

本頁說明如何處理 Security Command Center 發現項目。發現項目是 Security Command Center 服務偵測到安全性問題時建立的安全性問題記錄。發現項目會列在「發現項目」頁面。您可以點選調查結果,查看詳細資料和完整 JSON 格式。

您可以在「發現」頁面執行下列操作:

  • 查詢發現項目。
  • 檢查發現項目。
  • 忽略發現項目。
  • 為發現項目新增安全標記。

如要瞭解如何透過程式處理發現項目,請參閱 Security Command Center 用戶端程式庫

取得必要權限

本節列出您在控制台中處理調查結果時所需的 IAM 角色。

Google Cloud 主控台 IAM 角色

如要在 Google Cloud 控制台中處理發現項目,您必須具備下列 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往「IAM」頁面
  2. 選取機構。
  3. 按一下「授予存取權」
  4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

  5. 在「Select a role」(選取角色) 清單中,選取角色。
  6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
  7. 按一下 [Save]
  8. 如要進一步瞭解 Security Command Center 角色和權限,請參閱機構層級啟用作業的 IAM

    查看發現項目

    1. 開啟「Findings」頁面,然後按一下服務層級的分頁。

    標準或進階

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

      前往「發現項目」

    2. 選取 Google Cloud 專案或機構。

    Enterprise

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

      前往 Enterprise 層級的「發現項目」

    2. 選取 Google Cloud 專案或機構。

    調整時間範圍,查看更多發現

    您可以調整查詢所用的時間範圍。預設時間範圍為 Last 7 days

    時間範圍是根據調查結果的 eventTime 屬性值而定,該屬性值反映了調查結果記錄上次更新的時間。

    如要瞭解如何調整時間範圍,請按一下授權層級的分頁。

    標準或進階

    在 Google Cloud 控制台的「發現」頁面中,設定「時間範圍」欄位。

    Enterprise

    在「發現項目」頁面頂端的發現項目清單中,設定「顯示」欄位。

    查詢供應情形

    通常在產生發現項目的服務將發現項目儲存在 Security Command Center 發現項目資料庫後,不到一分鐘,您就能在 Security Command Center 中查詢該發現項目。視 Security Command Center 層級而定,您可以在特定時間內列出或查詢調查結果。如要進一步瞭解 Security Command Center 資料保留機制,請參閱「資料保留」。

    尋找及查看特定發現項目

    根據預設,「發現項目」頁面會顯示所有未忽略的有效發現項目,以及過去七天內的新發現項目或更新項目。如要顯示停用或已忽略的發現項目,請在「快速篩選器」面板中選取「顯示停用中項目」或「顯示已忽略項目」

    如要查看特定發現項目,請編輯發現項目查詢,指定發現項目必須或不得包含的值或屬性

    以下是預設的發現項目查詢:

    state="ACTIVE"
    AND NOT mute="MUTED"

    您可以在「查詢編輯器」面板中查看目前的發現項目查詢。您可以直接編輯查詢,或選取預先定義的篩選器來建構查詢。如需更多資訊,請按一下服務層級的分頁標籤。

    標準或進階

    在 Google Cloud 控制台的「Findings」(發現項目) 頁面,您可以執行下列操作:

    • 在「快速篩選器」面板中,選取一或多個預先定義的屬性篩選器,將其新增至查詢。使用「快速篩選器」面板,即可查看常用的高階篩選器選項。
    • 在「查詢編輯器」面板的「新增篩選器」選單中,選取一或多個預先定義的屬性篩選器,將其新增至查詢。使用「新增篩選器」選單,根據較低層級的發現項目屬性,套用更精細的進階篩選器。詳情請參閱「在控制台中編輯發現項目查詢」。
    • 直接在「查詢編輯器」面板中編輯發現項目查詢。
    • 在調查結果的詳細資料檢視畫面中,從特定屬性的下拉式選單選取該屬性的預先定義篩選器,即可將其新增至查詢。

    Enterprise

    您可以在「Findings」(發現事項) 頁面執行下列操作:

    • 在「匯總」面板中,選取一或多個預先定義的屬性篩選器,將其新增至查詢。使用「匯總」面板,查看常用的高階篩選器選項。
    • 在「查詢編輯器」面板的「新增篩選器」選單中,選取一或多個預先定義的屬性篩選器,將其新增至查詢。使用「新增篩選條件」選單,根據低階發現項目屬性套用更精細的進階篩選器。詳情請參閱「在控制台中編輯發現項目查詢」。
    • 直接在「查詢編輯器」面板中編輯發現項目查詢。

    查看發現項目的詳細資料

    如要進一步瞭解調查結果,請在調查結果的「Category」(類別) 欄中,按一下調查結果名稱,開啟調查結果的詳細資料檢視畫面。

    在詳細資料檢視畫面中,您可以找到重要資訊,瞭解發現項目、調查威脅或解決安全漏洞。

    調查結果的詳細資料檢視畫面包含下列分頁,您可以選取這些分頁,進一步瞭解調查結果並採取行動:

    • 預設檢視畫面「摘要」分頁會醒目顯示發現項目的重要資訊和屬性。
    • 「來源屬性」分頁,您可以在這裡查看發現項目 JSON 的 sourceProperties 物件屬性。
    • 「JSON」JSON分頁:可查看調查結果的完整 JSON 格式。

    您可以在詳細資料檢視畫面中對調查結果採取特定動作,以及找到與調查結果相關的其他資訊連結。

    瞭解詳細資料檢視畫面中的發現項目

    發現項目的詳細資料檢視畫面會醒目顯示發現項目的重要資訊,方便您瞭解及解決潛在的安全問題。

    「摘要」分頁中的資訊

    「摘要」分頁會提供發現項目的相關資訊,包括下列部分:

    偵測到的內容 (或總覽)

    偵測到的發現項目詳細資料,例如:

    • 發現項目的嚴重性
    • 發現項目的狀態,ACTIVEINACTIVE
    • 與特定發現項目相關的任何重要欄位
    安全漏洞

    與安全漏洞相應的 CVE 記錄資訊 (如有)。「安全漏洞」部分包含 CVE 記錄中的資訊,例如:

    • CVE ID
    • CVE 分數
    • 影響
    • 漏洞攻擊活動
    遭受攻擊的風險

    受攻擊風險分數,以及上次計算分數的時間。按一下分數,即可查看受影響高價值資源和相關聯攻擊路徑的視覺化呈現方式。

    受影響的資源

    與發現項目相關聯的資源詳細資料,包括下列資訊:

    • 受影響資源的完整名稱
    • 資源的雲端服務供應商
    • 技術和安全聯絡人
    案件資訊

    與發現項目相關的案件詳細資料,包括下列資訊。

    • 與發現項目相關聯的外部系統完整資源名稱
    • 指派給案件的群組
    • 案件 ID,可連結至 Security Operations 控制台中的案件
    • 案件狀態
    • 外部案件管理系統中的更新時間
    • 承諾的結案期限
    安全標記

    與這項發現項目相關聯的安全性標記 (如有)。

    後續步驟

    提供相關指引,說明如何修復偵測到的問題。 只有特定服務 (例如安全性健康分析) 會提供後續步驟。

    相關連結

    連結至 Security Command Center 以外的重要安全資訊來源。只有特定服務 (例如 Event Threat Detection) 會提供相關連結。

    偵測服務

    偵測到發現項目的服務或來源詳細資料。

    「來源資源」分頁中的資訊

    對於某些調查結果,詳細資料面板會顯示「來源屬性」分頁,其中會醒目顯示調查結果 JSON 的 sourceProperties 物件中特定屬性。

    每個發現項目和每個在 Security Command Center 上執行的服務,來源資源都不同。無法保證所有服務的來源屬性都已標準化。因此,我們強烈建議不要以程式輔助方式使用來源屬性。如要讓來源資源在所有服務中保持一致,請傳送意見回饋告訴我們。

    「JSON」JSON分頁的資訊

    「JSON」JSON分頁包含調查結果的完整 JSON 結構,有助於調查結果或查詢可用於調查結果查詢的屬性。

    如要將 JSON 物件複製到剪貼簿,請按一下 「複製」

    調查結果的 JSON 結構包含下列物件:

    • findings:發現項目的屬性。這些屬性在所有內建和整合式服務 (也稱為安全來源) 中都是標準化的。詳情請參閱 Finding
    • resource:受影響資源的屬性。詳情請參閱 Resource 的說明。
    • sourceProperties:這項發現的服務專屬屬性。

    您也可以使用 ListFindings API 列出調查結果,並取得其 JSON 定義。

    在詳細資料檢視畫面中對發現項目採取行動

    您可以在發現項目的詳細資料檢視畫面中對發現項目採取各種行動,例如將發現項目設為忽略。如果您在 Google Cloud 控制台中查看調查結果的詳細資料檢視畫面,也可以將調查結果中的屬性新增至目前的調查結果查詢。

    在詳細檢視畫面中忽略發現項目

    在發現項目的詳細資料檢視畫面中,您可以將發現項目設為靜音或取消靜音。您也可以建立規則,忽略所有與目前發現項目類似的未來發現項目。

    如需略過發現項目或建立略過規則的完整操作說明,請參閱「略過 Security Command Center 中的發現項目」。

    從詳細資料檢視畫面將屬性篩選條件新增至查詢

    在 Google Cloud 控制台中,您可以在調查結果的詳細資料檢視畫面中,為目前調查結果查詢新增顯示屬性的篩選條件。

    如要瞭解如何從詳細資料檢視畫面將屬性篩選器新增至查詢,請按一下服務層級的分頁標籤。

    標準或進階

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 在調查結果的詳細資料檢視畫面中,找出要篩選的屬性。
    3. 開啟屬性旁的下拉式選單。
    4. 為屬性選取預先定義的篩選器。篩選條件會新增至「發現項目」頁面的發現項目查詢。

    Enterprise

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 在調查結果的詳細資料檢視畫面中,找出要篩選的屬性。
    3. 開啟屬性旁的下拉式選單。
    4. 為屬性選取預先定義的篩選器。篩選條件會新增至「發現項目」頁面的發現項目查詢。

    在調查結果的詳細資料檢視畫面中,查看或複製屬性 API 名稱

    顯示在 Google Cloud 控制台中的大多數發現項目屬性,都有對應的名稱,可用於 Security Command Center API。

    如要瞭解如何在調查結果的詳細資料檢視畫面中查看或複製屬性 API 名稱,請按一下服務層級的分頁。

    標準或進階

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 在發現項目的詳細資料檢視畫面中,您可以找到並複製顯示的每個屬性對應 API 名稱。

      每個屬性的對等 API 名稱會列在與屬性相同的資料列中。所有 API 名稱都位於最後一欄。舉例來說,對於「State」屬性,對應的 API 名稱是 state

    Enterprise

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 在調查結果的詳細資料檢視畫面中,找出要複製 API 對應項的屬性。
    3. 開啟屬性旁的下拉式選單。
    4. 按一下「複製相對應的 API」

    分享發現項目的詳細資料檢視畫面

    如要分享發現項目的詳細資料檢視畫面,可以複製詳細資料檢視畫面網頁的網址,然後分享給其他人。

    如要瞭解如何複製調查結果詳細資料檢視畫面的網址,請按一下您使用的控制台分頁標籤。

    標準或進階

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 依序點選「採取行動」>「複製連結」

    Enterprise

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 按一下「複製連結」

    將調查結果的意見回饋傳送給 Google Cloud

    如要瞭解如何傳送有關發現項目的意見回饋,請按一下服務層級的分頁標籤。

    標準或進階

    1. 在「Findings」(發現事項) 頁面上,按一下發現事項即可查看詳細資料。
    2. 依序按一下「採取行動」>「提供意見」
    3. 輸入意見回饋說明。
    4. 如要附上螢幕截圖,請按一下「擷取螢幕截圖」
    5. 按一下 [傳送]

    Enterprise

    Security Command Center Enterprise 不支援這項功能。

    在查詢結果中顯示其他發現項目的詳細資料

    如要查看目前所看發現項目之前或之後的發現項目詳細資料,請使用「下一個」或「上一個」按鈕前往下一個或上一個發現項目,不必返回「發現項目」頁面。

    為發現項目新增安全標記

    安全標記是自訂鍵/值標籤,可用於註解調查結果、將調查結果與具有相同安全標記的其他調查結果建立關聯,以及查詢調查結果。

    如需為搜尋結果或資產設定安全性標記的完整操作說明,請參閱「使用安全性標記」。

    在控制台中忽略發現項目

    您可以在下列檢視畫面中將調查結果設為靜音或取消靜音:

    • 「發現項目」頁面上的發現項目查詢結果
    • 發現項目的詳細資料檢視畫面

    您可以忽略個別發現項目,也可以建立忽略規則,根據您定義的篩選條件,忽略目前日後的發現項目。

    系統會隱藏並停用已靜音的結果,但您仍可將 mute="MUTED" 篩選器新增至結果查詢,查看這些結果。系統仍會記錄已忽略的發現項目,以供稽核和法規遵循之用。

    如需如何略過及取消略過發現項目的詳細操作說明,請參閱「略過 Security Command Center 中的發現項目」。

    變更發現項目的狀態

    調查結果有兩種狀態:ActiveInactive

    Active 狀態表示該發現項目所識別出的安全性問題仍存在於環境中,可能造成威脅或安全漏洞。

    Inactive 狀態表示安全性問題已解決。

    您可能基於各種原因想變更發現項目的狀態,例如在解決問題後立即將發現項目的狀態變更為 Inactive,這樣就不必等待下次掃描作業變更狀態。

    如要瞭解如何變更調查結果的狀態,請按一下服務層級的分頁。

    標準或進階

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

      前往「發現項目」

    2. 選取 Google Cloud 專案或機構。
    3. 在「發現項目查詢結果」面板中,選取發現項目
    4. 在「發現項目查詢結果」面板的動作列中,按一下「變更有效狀態」
    5. 在「變更啟用狀態」選單中,選取「啟用」或「停用」

    Enterprise

    Security Command Center Enterprise 不支援這項功能。

    自訂「發現」頁面

    如要控管螢幕空間,您可以自訂調查結果查詢結果中顯示的部分元素。

    在調查結果查詢結果中隱藏或顯示資料欄

    在發現項目查詢結果中,您可以隱藏「類別」以外的任何資料欄。

    以下是可用的資料欄範例:

    • 類別:發現項目類型的名稱。
    • 嚴重性:發現項目的嚴重性。如要進一步瞭解發現項目的嚴重性等級,請參閱「發現項目的嚴重性分類」。
    • 有害組合分數Toxic combination 類別發現項目的受攻擊風險分數
    • 受攻擊風險分數:發現項目的受攻擊風險分數
    • 事件時間:最初偵測到發現項目或上次更新發現項目的時間。
    • 建立時間:發現項目在 Security Command Center 中建立的時間。
    • 發現項目類別:發現項目的類別,例如 THREATVULNERABILITYMISCONFIGURATION
    • 資源顯示名稱:偵測到問題的資源顯示名稱。
    • 完整資源名稱:偵測到問題的資源完整名稱。
    • 資源雲端服務供應商:代管資源的雲端服務供應商。
    • 資源路徑:偵測到問題的資源路徑。
    • 資源類型:偵測到問題的資源類型。
    • 安全標記:新增至發現項目的任何安全標記。

    如要瞭解如何隱藏或顯示調查結果查詢結果中的資料欄,請按一下服務層級的分頁標籤。

    標準或進階

    1. 在「發現查詢結果」動作列的右側,按一下 「資料欄」
    2. 選取要顯示的資料欄。
    3. 取消選取要隱藏的資料欄。
    4. 按一下「套用」,將變更套用至「發現項目查詢結果」面板。

    下次查看「發現」頁面時,系統會保留您選取的資料欄,即使您變更專案或機構也一樣。如要清除所有自訂資料欄選取項目,請按一下「清除資料欄選取項目」

    Enterprise

    1. 在「發現項目」動作列中,按一下 「管理資料欄」。系統隨即會開啟「管理資料欄」選單。
    2. 選取要顯示的資料欄。
    3. 取消選取要隱藏的資料欄。
    4. 關閉選單。

    所選資料欄只會套用至目前的分頁或視窗。下次登入時,系統會重設欄設定。

    隱藏或顯示「發現」頁面面板

    如要增加螢幕空間,以便編輯查詢或查看結果,可以隱藏或顯示面板。如需更多資訊,請點選服務層級的分頁。

    標準或進階

    你可以隱藏或顯示下列面板:

    • 「快速篩選器」面板
    • 「查詢編輯器」面板

    如要隱藏面板,請按一下「切換面板」圖示

    如要顯示面板,請再次點選該圖示。

    Enterprise

    • 如要隱藏「彙整」側邊面板,請按一下 chevron_left「關閉側欄」
    • 如要顯示「彙整」側邊面板,請按一下「chevron_right」chevron_right「開啟側欄」
    • 如要隱藏「Query editor」(查詢編輯器) 面板,請按一下「keyboard_arrow_up」 keyboard_arrow_up「Close query editor」(關閉查詢編輯器)
    • 如要顯示「查詢編輯器」面板,請依序點選 keyboard_arrow_down「開啟查詢編輯器」

    後續步驟