Risorsa: Ricerca
Risultato di Security Command Center.
Un risultato è un record di dati di valutazione, come sicurezza, rischio, stato o privacy, che viene importato in Security Command Center per la presentazione, la notifica, l'analisi, il test delle norme e l'applicazione. Ad esempio, una vulnerabilità di cross-site scripting (XSS) in un'applicazione App Engine è un rilevamento.
| Rappresentazione JSON |
|---|
{ "name": string, "canonicalName": string, "parent": string, "resourceName": string, "state": enum ( |
| Campi | |
|---|---|
name |
Il nome della risorsa relativa del rilevamento. Di seguito sono riportati alcuni esempi: + |
canonicalName |
Solo output. Il nome canonico del risultato. Di seguito sono riportati alcuni esempi: + Il prefisso è l'antenato CRM più vicino della risorsa associata al rilevamento. |
parent |
Il nome della risorsa relativa all'origine e alla posizione a cui appartiene il risultato. Consulta: https://cloud.google.com/apis/design/resource_names#relative_resource_name Questo campo è immutabile dopo il momento della creazione. Di seguito sono riportati alcuni esempi:
|
resourceName |
Immutabile. Per i risultati relativi alle risorse Google Cloud, il nome completo della risorsa Google Cloud a cui si riferisce il risultato. Consulta: https://cloud.google.com/apis/design/resource_names#full_resource_name Quando il rilevamento riguarda una risorsa non Google Cloud, resourceName può essere una stringa definita dal cliente o dal partner. |
state |
Solo output. Lo stato del risultato. |
category |
Immutabile. Il gruppo tassonomico aggiuntivo all'interno dei risultati di una determinata origine. Esempio: "XSS_FLASH_INJECTION" |
externalUri |
L'URI che, se disponibile, rimanda a una pagina web esterna a Security Command Center in cui è possibile trovare ulteriori informazioni sul risultato. Questo campo è garantito come vuoto o come URL ben formato. |
sourceProperties |
Proprietà specifiche della sorgente. Queste proprietà sono gestite dalla sorgente che scrive il rilevamento. I nomi delle chiavi nella mappa sourceProperties devono essere compresi tra 1 e 255 caratteri, devono iniziare con una lettera e contenere solo caratteri alfanumerici o trattini bassi. Un oggetto contenente un elenco di coppie |
securityMarks |
Solo output. Contrassegni di sicurezza specificati dall'utente. Questi indicatori sono gestiti interamente dall'utente e provengono dalla risorsa SecurityMarks che appartiene al rilevamento. |
eventTime |
Data/ora in cui il risultato è stato rilevato per la prima volta. Se un risultato esistente viene aggiornato, questa è la data/ora in cui si è verificato l'aggiornamento. Ad esempio, se il risultato rappresenta un firewall aperto, questa proprietà acquisisce il momento in cui il rilevatore ritiene che il firewall sia diventato aperto. La precisione è determinata dal rilevatore. Se il problema viene risolto in un secondo momento, questa data e ora riflettono il momento in cui è stato risolto. Non deve essere impostato un valore maggiore del timestamp corrente. Utilizza RFC 3339, in cui l'output generato sarà sempre normalizzato in base a Z e utilizza 0, 3, 6 o 9 cifre decimali. Sono accettati anche offset diversi da "Z". Esempi: |
createTime |
Solo output. L'ora in cui il risultato è stato creato in Security Command Center. Utilizza RFC 3339, in cui l'output generato sarà sempre normalizzato in base a Z e utilizza 0, 3, 6 o 9 cifre decimali. Sono accettati anche offset diversi da "Z". Esempi: |
severity |
La gravità del risultato. Questo campo è gestito dalla sorgente che scrive il rilevamento. |
mute |
Indica lo stato di disattivazione di un risultato (disattivato, riattivato o non definito). A differenza di altri attributi di una segnalazione, un fornitore di segnalazioni non deve impostare il valore di disattivazione. |
muteInfo |
Solo output. Le informazioni sulla disattivazione di questo risultato. |
findingClass |
La classe del risultato. |
indicator |
Rappresenta ciò che è comunemente noto come indicatore di compromissione (IoC) nella computer forensics. Si tratta di un artefatto osservato su una rete o in un sistema operativo che, con un'elevata probabilità, indica un'intrusione nel computer. Per ulteriori informazioni, consulta la sezione Indicatore di compromissione. |
vulnerability |
Rappresenta campi specifici per le vulnerabilità, come CVE e punteggi CVSS. CVE sta per Common Vulnerabilities and Exposures (https://cve.mitre.org/about/) |
muteUpdateTime |
Solo output. L'ora più recente in cui questo risultato è stato disattivato o riattivato. Utilizza RFC 3339, in cui l'output generato sarà sempre normalizzato in base a Z e utilizza 0, 3, 6 o 9 cifre decimali. Sono accettati anche offset diversi da "Z". Esempi: |
externalSystems |
Solo output. I campi SIEM/SOAR di terze parti all'interno di SCC contengono informazioni sui sistemi esterni e campi di risultati dei sistemi esterni. Un oggetto contenente un elenco di coppie |
mitreAttack |
Tattiche e tecniche MITRE ATT&CK correlate a questo rilevamento. Vedi: https://attack.mitre.org |
access |
Accedi ai dettagli associati al rilevamento, ad esempio ulteriori informazioni sul chiamante, al metodo a cui è stato eseguito l'accesso e da dove. |
connections[] |
Contiene informazioni sulla connessione IP associata al rilevamento. |
muteInitiator |
Registra informazioni aggiuntive sull'operazione di disattivazione, ad esempio la configurazione di disattivazione che ha disattivato il rilevamento e l'utente che lo ha fatto. |
processes[] |
Rappresenta i processi del sistema operativo associati al rilevamento. |
contacts |
Solo output. Mappa contenente i punti di contatto per la segnalazione in questione. La chiave rappresenta il tipo di contatto, mentre il valore contiene un elenco di tutti i contatti pertinenti. Consulta la pagina https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories Un oggetto contenente un elenco di coppie |
compliances[] |
Contiene informazioni sulla conformità per gli standard di sicurezza associati al rilevamento. |
parentDisplayName |
Solo output. Il nome visualizzato leggibile dell'origine del rilevamento, ad esempio "Event Threat Detection" o "Security Health Analytics". |
description |
Contiene ulteriori dettagli sul risultato. |
exfiltration |
Rappresenta le esfiltrazioni associate al risultato. |
iamBindings[] |
Rappresenta le associazioni IAM associate al risultato. |
nextSteps |
Passaggi per risolvere il problema. |
moduleName |
Identificatore univoco del modulo che ha generato il rilevamento. Esempio: folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885 |
containers[] |
Contenitori associati al risultato. Questo campo fornisce informazioni sia per i container Kubernetes che per quelli non Kubernetes. |
kubernetes |
Risorse Kubernetes associate al rilevamento. |
database |
Database associato al rilevamento. |
attackExposure |
I risultati di una simulazione del percorso di attacco pertinente a questo risultato. |
files[] |
File associato al risultato. |
cloudDlpInspection |
I risultati dell'ispezione di Cloud Data Loss Prevention (Cloud DLP) associati al rilevamento. |
cloudDlpDataProfile |
Profilo dei dati di Cloud DLP associato al rilevamento. |
kernelRootkit |
Firma del rootkit del kernel. |
orgPolicies[] |
Contiene informazioni sulle norme dell'organizzazione associate al rilevamento. |
job |
Job associato al risultato. |
application |
Rappresenta un'applicazione associata al risultato. |
ipRules |
Regole IP associate al risultato. |
backupDisasterRecovery |
Campi relativi ai risultati di Backup e DR. |
securityPosture |
La posizione di sicurezza associata al rilevamento. |
logEntries[] |
Voci di log pertinenti al rilevamento. |
loadBalancers[] |
I bilanciatori del carico associati al rilevamento. |
cloudArmor |
Campi relativi ai risultati di Cloud Armor. |
notebook |
Notebook associato al risultato. |
toxicCombination |
Contiene dettagli su un gruppo di problemi di sicurezza che, se si verificano contemporaneamente, rappresentano un rischio maggiore rispetto a quando si verificano in modo indipendente. Un gruppo di questi problemi è definito combinazione tossica. Questo campo non può essere aggiornato. Il relativo valore viene ignorato in tutte le richieste di aggiornamento. |
groupMemberships[] |
Contiene i dettagli dei gruppi di cui fa parte questo risultato. Un gruppo è una raccolta di risultati correlati in qualche modo. Questo campo non può essere aggiornato. Il relativo valore viene ignorato in tutte le richieste di aggiornamento. |
disk |
Disco associato al risultato. |
dataAccessEvents[] |
Eventi di accesso ai dati associati al rilevamento. |
dataFlowEvents[] |
Eventi di flusso di dati associati al risultato. |
networks[] |
Rappresenta le reti VPC a cui è collegata la risorsa. |
dataRetentionDeletionEvents[] |
Eventi di eliminazione della conservazione dei dati associati al rilevamento. |
chokepoint |
Contiene i dettagli di un punto di passaggio obbligato, ovvero una risorsa o un gruppo di risorse in cui convergono percorsi di attacco ad alto rischio, in base alle simulazioni dei percorsi di attacco. Questo campo non può essere aggiornato. Il relativo valore viene ignorato in tutte le richieste di aggiornamento. |
Metodi |
|
|---|---|
|
Crea un rilevamento in una località. |
|
Filtra i risultati di un'organizzazione o di una fonte e li raggruppa in base alle proprietà specificate in una località. |
|
Elenca i risultati di un'organizzazione o di una fonte. |
|
Crea o aggiorna un esito. |
|
Aggiorna lo stato di disattivazione dell'audio di un risultato. |
|
Aggiorna lo stato di un risultato. |
|
Aggiorna i contrassegni di sicurezza. |