Esaminare e gestire i risultati nella console

Questa pagina spiega come utilizzare i risultati di Security Command Center nella console Google Cloud e nella console Security Operations.

Un risultato è un record di un problema di sicurezza creato dai servizi Security Command Center quando rilevano un problema di sicurezza. I risultati sono elencati nella pagina Risultati. Puoi fare clic su un rilevamento per visualizzarne i dettagli e il formato JSON completo.

Di seguito sono riportate alcune azioni che puoi eseguire nella pagina Risultati:

  • Risultati della query
  • Esaminare i risultati
  • Disattiva risultati
  • Aggiungere contrassegni di sicurezza ai risultati

Per informazioni su come utilizzare i risultati in modo programmatico, consulta Librerie client di Security Command Center.

Utilizzare i risultati nelle console di Security Command Center Enterprise

Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati in due console:

  • Console Google Cloud: disponibile in tutti i livelli di servizio
  • Console Security Operations: disponibile solo nel livello Enterprise

Per ulteriori informazioni, consulta Console di Security Command Center Enterprise.

Ottieni le autorizzazioni richieste

Questa sezione elenca i ruoli IAM di cui hai bisogno per gestire i risultati nella console.

Ruoli IAM della console Google Cloud

Per utilizzare i risultati nella console Google Cloud, devi disporre dei seguenti ruoli IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.
  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.
  8. Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Ruoli IAM della console Security Operations

    Se sei un cliente di Security Command Center Enterprise, puoi utilizzare i risultati nella console Security Operations. Devi disporre di uno dei seguenti ruoli IAM:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

    Visualizza risultati

    Per informazioni su come trovare la pagina Risultati, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

    Console Security Operations

    Nella console Security Operations, vai alla pagina Risultati.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    Per ulteriori informazioni su questa console, consulta la console Security Operations.

    Modificare l'intervallo di tempo per visualizzare altri risultati

    Puoi modificare l'intervallo di tempo utilizzato per le query. L'intervallo di tempo predefinito è Last 7 days.

    L'intervallo di tempo si basa sul valore dell'attributo eventTime dei risultati, che riflette l'ora dell'ultimo aggiornamento del record del risultato.

    Per informazioni su come modificare l'intervallo di tempo, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    Nella pagina Risultati della console Google Cloud, imposta il campo Intervallo di tempo.

    Console Security Operations

    Nella parte superiore dell'elenco dei risultati nella pagina Risultati della console Security Operations, imposta il campo Visualizzazione.

    Trovare la disponibilità

    In genere, puoi eseguire query su un risultato in Security Command Center meno di un minuto dopo che il servizio che lo genera lo ha archiviato nel database dei risultati di Security Command Center. I risultati dei livelli Premium ed Enterprise rimangono disponibili per le query per almeno 13 mesi. I risultati del livello Standard rimangono disponibili per almeno 35 giorni.

    Security Command Center archivia uno o più snapshot di ogni risultato. Uno screenshot di un risultato del livello Premium o Enterprise viene eliminato 13 mesi dopo il timestamp nel campo eventTime. Se vengono eliminati tutti gli snapshot di un rilevamento, non è più possibile eseguire query o recuperare il rilevamento.

    Per ulteriori informazioni sulla conservazione dei dati di Security Command Center, consulta Conservazione dei dati.

    Trovare e visualizzare risultati specifici

    Per impostazione predefinita, la pagina Risultati mostra tutti i risultati attivi non disattivati e nuovi o aggiornati negli ultimi sette giorni.

    Per visualizzare risultati specifici, modifica la query dei risultati per specificare i valori o gli attributi che i risultati che devi visualizzare devono o non devono contenere.

    L'esempio seguente è la query sui risultati predefinita:

    state="ACTIVE"
    AND NOT mute="MUTED"

    Puoi visualizzare la query sui risultati corrente nel riquadro Editor di query. Puoi modificare direttamente la query o selezionare filtri predefiniti per crearla. Per maggiori informazioni, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    Nella pagina Risultati della console Google Cloud, puoi eseguire quanto segue:

    • Nel riquadro Filtri rapidi, seleziona uno o più filtri predefiniti per gli attributi per aggiungerli a una query. Utilizza il riquadro Filtri rapidi per opzioni di filtro di alto livello di uso comune.
    • Nel menu Aggiungi filtro del riquadro Editor di query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi di risultati di livello inferiore. Per ulteriori informazioni, consulta Modificare una query sui risultati nella console.
    • Modifica la query sui risultati direttamente nel riquadro Editor di query.
    • Nella visualizzazione dettagliata di un rilevamento, seleziona un filtro predefinito per un determinato attributo dal menu a discesa corrispondente per aggiungerlo a una query.

    Console Security Operations

    Nella pagina Risultati della console Security Operations, puoi:

    • Nel riquadro Aggregazioni, seleziona uno o più filtri predefiniti per gli attributi per aggiungerli a una query. Utilizza il riquadro Aggregazioni per opzioni di filtro di alto livello di uso comune.
    • Nel menu Aggiungi filtro del riquadro Editor di query, seleziona uno o più dei filtri di attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi di risultati di livello inferiore. Per ulteriori informazioni, consulta Modificare una query sui risultati nella console.
    • Modifica la query sui risultati direttamente nel riquadro Editor di query.

    Visualizzare i dettagli di un risultato

    Per saperne di più su un rilevamento, apri la relativa visualizzazione dettagliata facendo clic sul nome del rilevamento nella colonna Categoria nei risultati della query sui rilevamenti.

    Nella visualizzazione dei dettagli puoi trovare informazioni fondamentali per comprendere un rilevamento, indagare su una minaccia o risolvere una vulnerabilità.

    La visualizzazione dettagliata dei risultati include le seguenti schede che puoi selezionare per saperne di più su un risultato ed eseguire un'azione:

    • La scheda Riepilogo, che è la visualizzazione predefinita, evidenzia informazioni e attributi chiave relativi al risultato.
    • La scheda Proprietà origine, in cui puoi vedere gli attributi dell'oggetto sourceProperties del file JSON del rilevamento.
    • La scheda JSON, in cui puoi visualizzare il formato JSON completo del rilevamento.

    Nella visualizzazione dei dettagli puoi eseguire determinate azioni sul rilevamento, nonché trovare link a informazioni aggiuntive correlate al rilevamento.

    Scopri di più sul risultato nella visualizzazione dei dettagli

    La visualizzazione dettagliata di un risultato mette in evidenza informazioni importanti sul risultato che puoi utilizzare per comprendere e risolvere il problema di sicurezza sottostante.

    Informazioni sulla scheda Riepilogo

    La scheda Riepilogo fornisce informazioni sul risultato nelle seguenti sezioni:

    Che cosa è stato rilevato (o Panoramica)

    Dettagli sul risultato rilevato, ad esempio:

    • La gravità del risultato
    • Lo stato del risultato, ACTIVE o INACTIVE
    • Eventuali campi chiave correlati al determinato risultato
    Vulnerabilità

    Informazioni del record CVE corrispondenti alla vulnerabilità, se presente. La sezione Vulnerabilità include informazioni del record CVE, ad esempio:

    • ID CVE
    • Punteggio CVE
    • Impatto
    • Attività di exploit
    Esposizione all'attacco

    Il punteggio di esposizione agli attacchi e l'ora dell'ultimo calcolo del punteggio. Se fai clic sul punteggio, si apre una rappresentazione visiva delle risorse di alto valore interessate e del percorso di attacco associato.

    Risorsa interessata

    Dettagli sulla risorsa associata al rilevamento, tra cui le seguenti informazioni:

    • Il nome completo della risorsa interessata
    • Il provider di servizi cloud della risorsa
    • I contatti tecnici e per la sicurezza
    Informazioni sulla richiesta

    Dettagli sulla richiesta associata al rilevamento, tra cui le seguenti informazioni.

    • Il nome completo della risorsa del sistema esterno associato al ritrovato
    • Il gruppo assegnato alla richiesta
    • L'ID richiesta, che rimanda alla richiesta nella console Security Operations
    • Lo stato della richiesta
    • L'ora dell'aggiornamento nel sistema di gestione delle richieste esterno
    • La scadenza concordata per la chiusura della richiesta
    Contrassegni di sicurezza

    Gli eventuali contrassegni di sicurezza associati a questo rilevamento.

    Passaggi successivi

    Indicazioni su cosa puoi fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, forniscono i passaggi successivi.

    Link correlati

    Link alle principali fonti di informazioni sulla sicurezza al di fuori di Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono link correlati.

    Servizio di rilevamento

    Dettagli sul servizio o sull'origine che ha rilevato il risultato.

    Informazioni sulla scheda Proprietà sorgente

    Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà di origine che mette in evidenza determinate proprietà dell'oggetto sourceProperties del JSON del risultato.

    Le proprietà sorgente sono diverse per ogni risultato e per ogni servizio eseguito su Security Command Center. Non è garantito che le proprietà di origine siano standardizzate in tutti i servizi. Per questo motivo, sconsigliamo vivamente di utilizzare le proprietà di origine in modo programmatico. Se vuoi che una proprietà sorgente venga standardizzata in tutti i servizi, inviaci un feedback.

    Informazioni sulla scheda JSON

    La scheda JSON contiene la struttura JSON completa del ritrovato, che può essere utile quando esamini un ritrovato o cerchi attributi da utilizzare nelle query sui risultati.

    Per copiare l'oggetto JSON negli appunti, fai clic su Copia.

    La struttura JSON di un rilevamento contiene i seguenti oggetti:

    • findings: gli attributi del rilevamento. Questi attributi sono standardizzati in tutti i servizi integrati e di sistema (noti anche come origini di sicurezza). Per ulteriori informazioni, consulta Finding.
    • resource: gli attributi della risorsa interessata. Per ulteriori informazioni, consulta Resource.
    • sourceProperties: le proprietà specifiche del servizio del rilevamento.

    Puoi anche utilizzare l'API ListFindings per elencare i risultati e ottenere le relative definizioni JSON.

    Intervenire in merito a un risultato dalla visualizzazione dei dettagli

    Puoi eseguire una serie di azioni su un rilevamento dalla relativa visualizzazione dei dettagli, ad esempio disattivarne l'audio. Se stai visualizzando la visualizzazione dettagliata del rilevamento nella console Google Cloud, puoi anche aggiungere gli attributi del rilevamento alla query sui rilevamenti corrente.

    Disattivare un risultato nella visualizzazione dei dettagli

    Dalla visualizzazione dettagliata di un rilevamento, puoi disattivare o riattivare l'audio. Puoi anche creare una regola che disattivi tutti i risultati futuri come quello attuale.

    Per istruzioni complete su come disattivare un risultato o creare una regola di disattivazione, consulta Disattivare i risultati in Security Command Center.

    Aggiungere filtri degli attributi a una query dalla visualizzazione dettagliata

    Nella console Google Cloud, nella visualizzazione dettagliata di un rilevamento, puoi aggiungere filtri per gli attributi visualizzati alla query sui rilevamenti corrente.

    Per informazioni su come aggiungere filtri degli attributi a una query dalla visualizzazione dettagliata, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del rilevamento, individua l'attributo su cui vuoi applicare il filtro.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query dei risultati nella pagina Risultati.

    Console Security Operations

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del rilevamento, individua l'attributo su cui vuoi applicare il filtro.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query dei risultati nella pagina Risultati.

    Visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dettagliata di un rilevamento

    La maggior parte degli attributi dei risultati visualizzati nella console Google Cloud ha un nome corrispondente utilizzato nell'API Security Command Center.

    Per informazioni su come visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dettagliata di un rilevamento, fai clic sulla scheda della console in uso.

    Console Google Cloud

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del risultato, puoi trovare e copiare il nome API corrispondente di ogni attributo visualizzato.

      Il nome API equivalente per ogni attributo è elencato nella stessa riga dell'attributo. Tutti i nomi delle API sono nell'ultima colonna. Ad esempio, per l'attributo Stato, il nome dell'API equivalente è state.

    Console Security Operations

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Nella visualizzazione dettagliata del rilevamento, trova l'attributo di cui vuoi copiare l'equivalente API.
    3. Accanto all'attributo, apri il menu a discesa.
    4. Fai clic su Copia equivalente API.

    Condividere la visualizzazione dettagliata di un risultato

    Per condividere la visualizzazione dettagliata di un rilevamento, puoi copiare l'URL della pagina della visualizzazione dettagliata per condividerla con altri.

    Per informazioni su come copiare l'URL della visualizzazione dettagliata di un rilevamento, fai clic sulla scheda della console in uso.

    Console Google Cloud

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Intervieni > Copia link.

    Console Security Operations

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Copia link.

    Invia un feedback sulla segnalazione a Google Cloud

    Per informazioni su come inviare un feedback su un rilevamento, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
    2. Fai clic su Intervieni > Invia feedback.
    3. Inserisci una descrizione del tuo feedback.
    4. Per includere uno screenshot, fai clic su Acquisisci screenshot.
    5. Fai clic su Invia.

    Console Security Operations

    Questa funzionalità non è disponibile nella console Security Operations.

    Mostrare i dettagli di altri risultati nei risultati della query sui risultati

    Per visualizzare i dettagli dei risultati che precedono o seguono quello visualizzato, utilizza il pulsante Avanti o Indietro per passare al risultato successivo o precedente, senza dover tornare alla pagina Risultati.

    Aggiungere contrassegni di sicurezza ai risultati

    Un segno di sicurezza è un'etichetta personalizzata chiave-valore che puoi utilizzare per annotare un rilevamento, associarlo ad altri rilevamenti che condividono lo stesso contrassegno di sicurezza e eseguire query sui rilevamenti.

    Per istruzioni complete su come impostare i contrassegni di sicurezza sui risultati o sugli asset, consulta Utilizzare i contrassegni di sicurezza.

    Disattivare i risultati nella console

    Puoi disattivare e riattivare l'audio dei risultati dalle seguenti visualizzazioni:

    • Risultati della query sui risultati nella pagina Risultati
    • Visualizzazione dettagliata di un risultato

    Puoi disattivare singoli risultati o creare regole di disattivazione che disattivano i risultati attuali e futuri in base ai filtri che definisci.

    I risultati disattivati sono nascosti e non vengono visualizzati, ma puoi comunque visualizzarli aggiungendo il filtro mute="MUTED" alla query dei risultati. I risultati disattivati continuano a essere registrati ai fini di controllo e conformità.

    Per istruzioni dettagliate su come disattivare e riattivare i risultati, consulta Disattivare i risultati in Security Command Center.

    Modificare lo stato di un risultato

    Un rilevamento può avere uno dei due stati: Active o Inactive.

    Uno stato Active indica che il problema di sicurezza identificato dal rilevamento persiste nel tuo ambiente come potenziale minaccia o vulnerabilità.

    Uno stato Inactive indica che il problema di sicurezza è stato risolto.

    Potresti voler modificare lo stato di un rilevamento per una serie di motivi, ad esempio per impostarlo su Inactive non appena viene risolto, in modo da non dover attendere la scansione successiva per la modifica.

    Per informazioni su come modificare lo stato di un rilevamento, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
    3. Nel riquadro Risultati della query sui risultati, seleziona il risultato
    4. Nella barra delle azioni del riquadro Risultati della query sui risultati, fai clic su Cambia stato attivo. Viene visualizzato un menu popup.
    5. Nel menu popup Cambia stato attivo, seleziona Attivo o Non attivo.

    Console Security Operations

    Questa funzionalità non è disponibile nella console Security Operations.

    Personalizzare la pagina Risultati

    Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati nei risultati della query sui risultati.

    Nascondere o visualizzare le colonne nei risultati della query sui risultati

    Nei risultati della query sui risultati, puoi nascondere qualsiasi colonna tranne Categoria.

    Di seguito sono riportati alcuni esempi di colonne disponibili:

    • Categoria: il nome del tipo di risultato.
    • Gravità: la gravità del risultato. Per ulteriori informazioni sui livelli di gravità dei risultati, consulta la sezione Classificazioni della gravità per i risultati.
    • Punteggio delle combinazioni dannose: un punteggio di esposizione agli attacchi su un risultato del corso Toxic combination.
    • Punteggio di esposizione agli attacchi: il punteggio di esposizione agli attacchi del risultato.
    • Ora evento: la data e l'ora in cui il risultato è stato rilevato per la prima volta o in cui è stato aggiornato per l'ultima volta.
    • Ora di creazione: l'ora in cui il risultato è stato creato in Security Command Center.
    • Classe dei risultati: la classe del risultato, ad esempio THREAT, VULNERABILITY e MISCONFIGURATION.
    • Nome visualizzato della risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
    • Nome completo della risorsa: il nome completo della risorsa in cui è stato rilevato il problema.
    • Provider di cloud delle risorse: il provider di servizi cloud su cui è ospitata la risorsa.
    • Percorso della risorsa: il percorso della risorsa in cui è stato rilevato il problema.
    • Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
    • Contrassegni di sicurezza: eventuali contrassegni di sicurezza aggiunti al risultato.

    Per informazioni su come nascondere o visualizzare le colonne nei risultati della query dei risultati, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    1. A destra della barra di azioni Risultati della query sui risultati, fai clic su Colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Fai clic su Applica per applicare le modifiche al riquadro Risultati della query sui risultati.

    Le selezioni delle colonne vengono conservate la volta successiva che visualizzi la pagina Risultati, anche se cambi progetti o organizzazioni. Per cancellare tutte le selezioni delle colonne personalizzate, fai clic su Cancella selezioni delle colonne.

    Console Security Operations

    1. Nella barra delle azioni Risultati, fai clic su Gestisci colonne. Viene visualizzato il menu Gestisci colonne.
    2. Seleziona le colonne da visualizzare.
    3. Deseleziona le colonne che vuoi nascondere.
    4. Chiudi il menu.

    Le selezioni delle colonne si applicano solo alla scheda o alla finestra corrente. Le impostazioni delle colonne vengono reimpostate al successivo accesso alla console Security Operations.

    Nascondere o mostrare i riquadri della pagina Ricerca

    Per aumentare lo spazio sullo schermo per modificare le query o visualizzare i risultati, puoi nascondere o mostrare i riquadri. Per ulteriori informazioni, fai clic sulla scheda della console che stai utilizzando.

    Console Google Cloud

    Puoi nascondere o mostrare i seguenti riquadri:

    • Riquadro Filtri rapidi
    • Riquadro Editor di query

    Per nascondere un riquadro, fai clic sull'icona Attiva/disattiva riquadro, o .

    Per visualizzare il riquadro, fai di nuovo clic sull'icona.

    Console Security Operations

    • Per nascondere il pannello laterale Aggregazioni, fai clic su chevron_left Chiudi barra laterale.
    • Per visualizzare il riquadro laterale Aggregazioni, fai clic su chevron_right Apri barra laterale.
    • Per nascondere il riquadro Editor di query, fai clic su keyboard_arrow_up Chiudi editor di query.
    • Per visualizzare il riquadro Editor di query, fai clic su keyboard_arrow_down Apri editor di query.

    Passaggi successivi