在控制台中查看和管理发现结果

本页介绍了如何在 Google Cloud 控制台和 Security Operations 控制台中处理 Security Command Center 发现结果

发现结果是 Security Command Center 服务在检测到安全问题时创建的安全问题记录。发现结果列在发现结果页面中。您可以点击某个发现结果,查看其详细信息和完整 JSON 格式。

您可以在发现结果页面上执行的操作包括:

  • 查询发现结果
  • 检查发现结果
  • 忽略发现的结果
  • 将安全标记添加到发现结果

如需了解如何以编程方式处理发现结果,请参阅 Security Command Center 客户端库

在 Security Command Center Enterprise 控制台中处理发现结果

如果您是 Security Command Center Enterprise 客户,则可以在两个控制台中处理发现结果:

  • Google Cloud 控制台:适用于所有服务层级
  • Security Operations 控制台:仅在企业版中提供

如需了解详情,请参阅 Security Command Center Enterprise 控制台

获取所需权限

本部分列出了您需要拥有的 IAM 角色,才能在控制台中处理发现结果。

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中处理发现结果,您需要具备以下 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限
  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存
  8. 如需详细了解 Security Command Center 角色和权限,请参阅适用于组织级激活的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中处理发现结果。您需要拥有以下任一 IAM 角色:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    如需了解如何向用户授予该角色,请参阅使用 IAM 映射和授权用户

    查看发现结果

    如需了解如何找到发现结果页面,请点击您所用控制台的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”页面

    2. 选择您的 Google Cloud 项目或组织。

    安全运维控制台

    在 Security Operations 控制台中,前往发现结果页面。

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    如需详细了解此控制台,请参阅安全运营控制台

    调整时间范围以查看更多发现

    您可以调整用于查询的时间范围。默认时间范围为 Last 7 days

    时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。

    如需了解如何调整时间范围,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    在 Google Cloud 控制台的发现结果页面上,设置时间范围字段。

    安全运维控制台

    在安全运营控制台的发现结果页面上,在发现结果列表顶部的显示字段中进行设置。

    发现结果可用性

    在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中心中进行查询。Premium 和企业版级别的发现结果至少可保留 13 个月以供查询。标准层级的发现结果至少可保留 35 天。

    Security Command Center 会存储每个发现结果的一个或多个快照。在 eventTime 字段中的时间戳的 13 个月后,系统会删除高级或企业版层级发现结果的快照。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。

    如需详细了解 Security Command Center 数据保留,请参阅数据保留

    查找和查看具体发现结果

    默认情况下,发现结果页面会显示未忽略的所有有效发现结果,以及过去七天内新增或更新的所有有效发现结果。

    如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性

    以下示例是默认发现结果查询:

    state="ACTIVE"
    AND NOT mute="MUTED"

    您可以在查询编辑器面板中查看当前的发现结果查询。您可以直接修改查询,也可以选择预定义的过滤条件来构建查询。如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    在 Google Cloud 控制台的发现结果页面上,您可以执行以下操作:

    • 快速过滤条件面板中,选择一个或多个预定义属性过滤条件,将其添加到查询。使用快速过滤条件面板可查看常用的高级过滤条件选项。
    • 查询编辑器面板的添加过滤条件菜单中,选择一个或多个预定义属性过滤条件,将其添加到查询。使用添加过滤条件菜单可获取基于较低级别发现结果属性的更精细和高级的过滤条件。如需了解详情,请参阅在控制台中修改发现结果查询
    • 直接在查询编辑器面板中修改发现结果查询。
    • 在发现结果的详细信息视图中,从特定属性的下拉菜单中选择该属性的预定义过滤条件,将其添加到查询。

    安全运维控制台

    在安全运营控制台中的发现结果页面上,您可以执行以下操作:

    • 汇总面板中,选择一个或多个预定义属性过滤条件,将其添加到查询。使用汇总面板可查看常用的高级过滤条件选项。
    • 查询编辑器面板的 添加过滤条件菜单中,选择一个或多个预定义属性过滤条件,将其添加到查询。使用 Add filter(添加过滤条件)菜单可获取基于较低级别发现结果属性的更精细和高级的过滤条件。如需了解详情,请参阅在控制台中修改发现结果查询
    • 直接在查询编辑器面板中修改发现结果查询。

    查看发现结果的详细信息

    如需详细了解发现结果,请通过在发现结果查询结果的类别列中点击该发现结果名称,打开该发现结果的详细视图。

    在详细信息视图中,您可以找到对了解发现结果、调查威胁或解决漏洞至关重要的信息。

    发现结果的详细视图包含以下标签页,您可以选择这些标签页来详细了解发现结果并采取措施:

    • 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
    • 来源属性标签页,您可以在其中查看发现结果 JSON 的 sourceProperties 对象的属性。
    • JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。

    您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。

    在详细信息视图中了解发现结果

    发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。

    摘要标签页上的信息

    摘要标签页在以下部分中提供了有关发现结果的信息:

    检测到的内容(或“概览”)

    有关检测到的发现结果的详细信息,如下所示:

    • 发现结果严重程度
    • 发现结果状态:ACTIVEINACTIVE
    • 与特定发现结果相关的任何关键字段
    漏洞

    CVE 记录中与漏洞对应的信息(如果有)。漏洞部分包含 CVE 记录中的信息,例如:

    • CVE ID
    • CVE 评分
    • 影响
    • 漏洞利用攻击活动
    攻击风险

    攻击风险得分以及上次计算得分的时间。点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。

    受影响的资源

    与发现结果相关联的资源的详细信息,包括以下信息:

    • 受影响资源的完整名称
    • 资源的云服务提供商
    • 技术和安全联系人
    支持请求信息

    与发现结果关联的支持请求的详细信息,包括以下信息。

    • 与发现结果关联的外部系统的完整资源名称
    • 分配给支持请求的团队
    • 支持请求 ID,用于关联到 Security Operations 控制台中的支持请求
    • 支持请求的状态
    • 外部支持请求管理系统中的更新时间
    • 承诺的关闭支持请求的截止日期
    安全标记

    与发现结果关联的安全标记(如果有)。

    后续步骤

    有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。

    相关链接

    指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。

    检测服务

    检测到发现结果的服务或来源的详细信息。

    来源属性标签页上的信息

    对于某些发现结果,详情面板中会显示一个来源属性标签页,其中会突出显示发现结果 JSON 的 sourceProperties 对象中的某些属性。

    每个发现结果和在 Security Command Center 上运行的每项服务的来源属性都不同。无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈

    JSON 标签页上的信息

    JSON 标签页包含相应发现结果的完整 JSON 结构,这对于在调查发现结果或查找可在发现结果查询中使用的属性时非常有用。

    如需将 JSON 对象复制到剪贴板,请点击 复制

    发现的 JSON 结构包含以下对象:

    • findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅 Finding
    • resource:受影响资源的特性。如需了解详情,请参阅 Resource
    • sourceProperties:发现结果的服务特定属性。

    您还可以使用 ListFindings API 列出发现结果以及获取其 JSON 定义。

    对详细信息视图中的发现结果执行操作

    您可以在发现结果的详细信息视图中对发现结果执行各种操作,例如忽略发现结果。如果您在 Google Cloud 控制台中查看发现的详细视图,还可以将发现中的属性添加到当前的发现查询。

    在详细信息视图中忽略发现结果

    在发现结果的详细信息视图中,您可以忽略或取消忽略该发现结果。您还可以创建一个规则来忽略所有未来的发现结果,例如当前的发现结果。

    如需全面了解如何忽略发现结果或创建忽略规则,请参阅在 Security Command Center 中忽略发现结果

    从详细信息视图中将特性过滤条件添加到查询

    在 Google Cloud 控制台中,您可以在发现结果的详细信息视图中,向当前发现结果查询添加所显示属性的过滤条件。

    如需了解如何从详细信息视图中将属性过滤条件添加到查询,请点击您所用控制台的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在相应发现结果的详情视图中,找到要过滤的属性。
    3. 在该属性旁边,打开下拉菜单。
    4. 为该属性选择一个预定义过滤条件。系统会将过滤条件添加到发现结果页面上的发现结果查询中。

    安全运维控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在相应发现结果的详情视图中,找到要过滤的属性。
    3. 在该属性旁边,打开下拉菜单。
    4. 为该属性选择一个预定义过滤条件。系统会将过滤条件添加到发现结果页面上的发现结果查询中。

    在发现结果的详细信息视图中查看或复制特性 API 名称

    Google Cloud 控制台中显示的大多数发现结果属性都有一个在 Security Command Center API 中使用的相应名称。

    如需了解如何在发现结果的详细信息视图中查看或复制属性 API 名称,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在发现结果的详细信息视图中,您可以找到并复制所显示的每个属性的相应 API 名称。

      每个属性的等效 API 名称会与该属性列在同一行中。所有 API 名称都在最后一列中。例如,对于 State 属性,等效的 API 名称为 state

    安全运维控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 在相应发现结果的详细信息视图中,找到您要复制的 API 等效项的属性。
    3. 在该属性旁边,打开下拉菜单。
    4. 点击复制 API 等效项

    共享发现结果的详细信息视图

    如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。

    如需了解如何复制发现结果的详细信息视图的网址,请点击您所用控制台的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 依次点击执行操作 > 复制链接

    安全运维控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 点击 复制链接

    向 Google Cloud 发送有关发现结果的反馈

    如需了解如何针对发现发送反馈,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击相应发现结果以查看其详细信息。
    2. 依次点击执行操作 > 发送反馈
    3. 输入反馈说明。
    4. 如需添加屏幕截图,请点击截取屏幕截图
    5. 点击发送

    安全运维控制台

    安全运营控制台中不提供此功能。

    在发现结果的查询结果中显示其他发现结果的详细信息

    如需详细了解您正在查看的发现结果之前或之后的发现结果,请使用 下一个或 上一个按钮转至下一个或上一个发现结果,而无需返回发现结果页面。

    将安全标记添加到发现结果

    安全标记是一个自定义键值对标签,可用于为发现结果添加注释,将发现结果与共享相同安全标记的其他发现结果相关联,以及查询发现结果。

    如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记

    在控制台中忽略发现结果

    您可以在以下视图中静音和取消静音发现结果:

    • 发现结果页面上的发现结果查询结果
    • 发现结果的详细信息视图

    您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。

    已忽略的发现结果会予以隐藏和抑制,但您仍然可以通过向发现结果查询添加 mute="MUTED" 过滤条件来查看这些发现结果。系统会继续记录已忽略的发现结果,供审核和合规之用。

    如需详细了解如何忽略和取消忽略发现结果,请参阅在 Security Command Center 中忽略发现结果

    更改发现结果的状态

    发现结果可以是以下两种状态之一:ActiveInactive

    状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。

    状态为 Inactive 表示安全问题已得到解决。

    您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。

    如需了解如何更改发现结果的状态,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”页面

    2. 选择您的 Google Cloud 项目或组织。
    3. 发现结果的查询结果面板中,选择相应发现结果
    4. 发现结果的查询结果面板的操作栏中,点击更改有效状态。系统会显示一个弹出式菜单。
    5. 更改有效状态弹出式菜单中,选择有效无效

    安全运维控制台

    安全运营控制台中不提供此功能。

    自定义“发现结果”页面

    如需控制屏幕空间,您可以自定义发现结果查询结果中显示的部分元素。

    在发现结果查询结果中隐藏或显示列

    在发现结果的查询结果中,您可以隐藏除类别之外的任何列。

    以下是可用列的示例:

    • 类别:发现结果类型的名称。
    • 严重级别:发现结果的严重级别。如需详细了解发现结果严重级别,请参阅发现结果的严重程度分类
    • 危险组合得分Toxic combination 类发现的攻击风险得分
    • 攻击风险得分:发现结果的攻击风险得分
    • 事件时间:首次检测到发现结果时或上次更新发现结果时。
    • 创建时间:在 Security Command Center 中创建发现结果时。
    • 发现结果类别:发现结果的类别,例如 THREATVULNERABILITYMISCONFIGURATION
    • 资源显示名称:检测到问题的资源的显示名称。
    • 资源全名:检测到问题的资源的全名。
    • 资源云服务提供商:托管资源的云服务提供商。
    • 资源路径:检测到问题的资源的路径。
    • 资源类型:检测到问题的资源的类型。
    • 安全标记:为发现结果添加的任何安全标记。

    如需了解如何隐藏或显示发现结果查询结果中的列,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果的查询结果操作栏的右侧,点击
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 点击应用,将更改应用于发现结果查询结果面板。

    即使您更改项目或组织,在下次查看发现结果页面时,列选择也会保留。如需清除所有自定义列选择,请点击清除列选择

    安全运维控制台

    1. 发现结果操作栏中,点击 管理列。系统随即会打开管理列菜单。
    2. 选择要显示的列。
    3. 取消选中要隐藏的列。
    4. 关闭菜单。

    您选择的列仅适用于当前的标签页或窗口。当您下次登录安全运营控制台时,系统会重置列设置。

    隐藏或显示“查找”页面面板

    如需为修改查询或查看发现结果增加屏幕空间,您可以隐藏或显示面板。如需了解详情,请点击您所用的控制台对应的标签页。

    Google Cloud 控制台

    您可以隐藏或显示以下面板:

    • 快速过滤条件面板
    • 查询编辑器面板

    如需隐藏某个面板,请点击切换面板图标

    如需显示该面板,请再次点击该图标。

    安全运维控制台

    • 如需隐藏汇总侧边栏,请点击 chevron_left Close sidebar
    • 如需显示汇总侧边栏,请点击chevron_right Open sidebar
    • 如需隐藏查询编辑器面板,请点击 keyboard_arrow_up Close query editor(关闭查询编辑器)。
    • 如需显示查询编辑器面板,请点击 keyboard_arrow_down 打开查询编辑器

    后续步骤