Inspecciona los recursos que supervisa Security Command Center

En esta página, se describe cómo ver, consultar y analizar los recursos de la nube para mejorar tu postura de seguridad, solucionar problemas de seguridad y responder a amenazas.

En Security Command Center, algunas de las acciones que puedes realizar en los recursos incluyen las siguientes:

Obtén los permisos necesarios

En esta sección, se enumeran los roles de IAM que necesitas para trabajar con recursos en la consola.

Roles de IAM de la consola deGoogle Cloud

Para trabajar con recursos en la consola de Google Cloud , necesitas los siguientes roles de IAM.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

    Roles de IAM de la consola de Operaciones de seguridad

    Si eres cliente de Security Command Center Enterprise, puedes trabajar con recursos en la consola de Operaciones de seguridad. Necesitas cualquiera de los siguientes roles de IAM:

    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)
    • Administrador de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Para obtener información sobre cómo otorgar el rol a un usuario, consulta Cómo asignar y autorizar usuarios con IAM.

    Lista de recursos en Security Command Center

    Los recursos se enumeran en los resultados de la consulta de la página Recursos en la consola deGoogle Cloud .

    Si Security Command Center está activado a nivel de la organización, puedes ver los recursos de toda tu organización o filtrarlos por proyectos, tipos de recursos y ubicación específicos.

    Si Security Command Center está activado a nivel del proyecto, puedes filtrar los recursos por tipo y ubicación en la consola deGoogle Cloud .

    Cloud Asset Inventory proporciona la lista de recursos. En la mayoría de los casos, Cloud Asset Inventory actualiza la lista en cuestión de minutos después de que se crean, modifican o quitan recursos en tu entorno de Google Cloud .

    Para obtener más información sobre Cloud Asset Inventory, consulta Introducción a Cloud Asset Inventory.

    Ver todos los recursos

    Para obtener información sobre cómo ver tus recursos, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Selecciona tu Google Cloud organización.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Selecciona tu Google Cloud organización.

    Cómo ordenar recursos

    Para ordenar los recursos, haz clic en el encabezado de la columna correspondiente al valor que deseas ordenar. Las columnas se ordenan por orden numérico y, luego, por orden alfabético.

    Cómo buscar recursos

    De forma predeterminada, todos los recursos de la organización se muestran en los resultados de la búsqueda. Para buscar recursos específicos en Security Command Center, puedes usar filtros rápidos o especificar filtros personalizados.

    Realiza una búsqueda general con filtros rápidos

    Para realizar una búsqueda general de tus recursos, puedes usar filtros rápidos. Por ejemplo, puedes buscar por proyecto, tipo de recurso o ubicación. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En el panel Filtros rápidos, selecciona uno o más filtros de atributos para agregarlos a una consulta.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haz clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de servicios en la nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
    3. Para filtrar los recursos que tienen valores de atributos específicos, sigue estos pasos:
      1. En el panel Filtros, haz clic en un valor de atributo y, luego, en Mostrar solo. La búsqueda se actualiza según corresponda.
      2. Para agregar otro valor de atributo a la búsqueda, haz clic en el valor de atributo y, luego, en y mostrar solo.
      3. Para quitar un valor de atributo de la búsqueda, haz clic en el valor del atributo y, luego, en No mostrar solo.
    4. Para copiar el valor de un atributo, haz clic en él y, luego, en Copiar.

    Edita consultas de recursos

    Para obtener información sobre cómo editar las búsquedas de activos, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Consulta de recursos.
    3. Edita la consulta de cualquiera de las siguientes maneras:
      • En la subpestaña Biblioteca de consultas, selecciona una consulta prediseñada. Haz clic en Aplicar. La consulta del panel Editar consulta se actualiza según corresponda.
      • En el panel Seleccionar tabla, haz clic en el tipo de recurso sobre el que deseas realizar la consulta. En la pestaña secundaria Schema, busca el atributo que deseas agregar a la consulta. El atributo se agrega al panel Editar consulta.
      • Edita la consulta directamente en el panel Editar consulta.
    4. Haz clic en Ejecutar. Los resultados de la búsqueda se actualizan según corresponda.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haz clic en una de las siguientes pestañas para filtrar y mostrar los recursos de un proveedor de servicios en la nube específico:
      • Recursos de Google Cloud
      • Recursos de AWS
      • Recursos de Azure
    3. Haz clic en Agregar filtro. Aparecerá el diálogo Filters. Este diálogo te permite elegir atributos y valores de recursos admitidos.
    4. En Filtro, selecciona un atributo para filtrar.
    5. Establece la opción de evaluación del filtro y el valor del atributo. Las opciones de evaluación disponibles difieren según el atributo que seleccionaste.
      • Para filtrar los recursos que tienen un valor de atributo específico, selecciona Mostrar solo. En la lista Valor, selecciona el valor del atributo.
      • Para filtrar los recursos que tienen un valor de atributo que contiene una cadena específica, selecciona Contiene. En el campo Value, ingresa la cadena.

        La opción de evaluación Contiene sigue la sintaxis de la consulta para el operador de coincidencia parcial de texto. Convierte tu término de búsqueda en uno o más tokens, usa caracteres especiales como delimitadores y requiere que coincida un token completo. Para hacer coincidir solo una parte de un token, usa un asterisco (*) como un indicador de coincidencia de prefijo de token.

      • Para filtrar los recursos según una marca de tiempo, selecciona Antes o Después. En el campo Valor, ingresa la marca de tiempo.
    6. Para agregar otro filtro, sigue estos pasos:
      1. Haga clic en Agregar filtro.
      2. Establece el atributo, la opción de evaluación y el valor del atributo.
      3. Establece la relación lógica entre los filtros. En Operador lógico, selecciona AND o OR.
    7. Haz clic en Aplicar. El editor de consultas se actualiza y los resultados de la consulta se filtran según corresponda.

    Inspecciona los detalles del activo

    En esta sección, se describe cómo puedes obtener más información sobre los detalles de un activo en particular.

    Consulta los detalles generales

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo y se mostrará un resumen de sus detalles.

    Cómo ver todos los detalles de un activo

    Para ver todos los detalles sobre un activo, incluidos los metadatos de bajo nivel, sigue estos pasos:

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Metadatos completos. Todos los nombres y valores de las propiedades del activo se muestran en una estructura de árbol.
    4. Para buscar un nombre o valor de propiedad en particular en el árbol, ingresa el nombre o el valor en el filtro.
    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Resultados. Se muestran todos los hallazgos relacionados con el activo.

    Cómo ver los cambios en un recurso

    Puedes comparar instantáneas de los metadatos de un activo para ver qué cambió.

    Para obtener información sobre cómo ver los cambios en un activo a lo largo del tiempo, haz clic en la pestaña de la consola que estás usando.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Busca el activo.
    3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del activo.
    4. En el panel de detalles del activo, haz clic en la pestaña Historial de cambios.
    5. En la pestaña Historial de cambios, selecciona una Hora de inicio y una Hora de finalización.
    6. En la lista Seleccionar un registro para comparar de la izquierda, selecciona una instantánea.
    7. En la lista Seleccionar un registro para comparar a la derecha, selecciona una instantánea para comparar con la primera que seleccionaste. Se resaltan los cambios entre las dos instantáneas.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Busca el activo.
    3. En la lista de recursos del panel de resultados, haz clic en el nombre del recurso. Se abrirá el panel de detalles del activo.
    4. En el panel de detalles del activo, haz clic en la pestaña Historial de cambios.
    5. En la lista Comparar de la izquierda, selecciona una instantánea.
    6. En la lista Comparar de la derecha, selecciona una instantánea para compararla con la primera que seleccionaste. Se resaltan los cambios entre las dos instantáneas.

    Visualiza las políticas de IAM asociadas a un recurso

    1. Busca el activo.
    2. En los resultados de la consulta, haz clic en el nombre del activo. Se abrirá el panel de detalles del activo.
    3. Haz clic en la pestaña Políticas de IAM. Se muestran las políticas de IAM asociadas con el activo.

    Cómo ver el conjunto de recursos de alto valor

    Puedes ver los recursos de alto valor que el motor de riesgo incluyó en las últimas simulaciones de rutas de ataque. También puedes ver las puntuaciones de exposición a los ataques que calculó el motor de riesgos para cada recurso. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Haz clic en la pestaña secundaria del proveedor de servicios en la nube que deseas ver:
      • Para ver los recursos Google Cloud valiosos, haz clic en Google. Para ver los detalles de un recurso, haz clic en su nombre.
      • Para ver los recursos valiosos de Amazon Web Services (AWS), haz clic en AWS.
      • Para ver los recursos de Microsoft Azure de alto valor, haz clic en Azure.
    4. Para ver los detalles de la simulación de la ruta de ataque del recurso, haz clic en su puntuación de exposición a ataques. Para obtener información sobre cómo interpretar las rutas de ataque, consulta Rutas de ataque.

    Enterprise

    Para ver el conjunto de recursos valiosos, sigue estos pasos:

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. Haz clic en la pestaña Conjunto de recursos de alto valor.
    3. Haz clic en la pestaña secundaria del proveedor de servicios en la nube que deseas ver:
      • Para ver los recursos Google Cloud de alto valor, haz clic en Recursos de Google Cloud.
      • Para ver los recursos valiosos de Amazon Web Services (AWS), haz clic en AWS resources.
      • Para ver los recursos de Microsoft Azure de alto valor, haz clic en Recursos de Azure.
    4. Para ver los detalles de un recurso, haz clic en su nombre visible.

    Filtra los recursos por su marca de tiempo de Creación o Última actualización

    Para obtener información sobre cómo filtrar recursos por marca de tiempo, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    Puedes filtrar u ordenar los recursos en el panel de resultados de la página Recursos por sus marcas de tiempo de Creación y Última actualización.

    Para aplicar un filtro según la marca de tiempo Creado, la marca de tiempo Última actualización o ambas, sigue estos pasos:

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a recursos

    2. En la parte superior del panel de resultados de la página Activos, coloca el cursor en el campo Filtro. Se abrirá un menú de filtros.
    3. Desplázate hasta la sección Fecha de creación o Fecha de actualización y selecciona una de las opciones de filtro basadas en el tiempo. Por ejemplo, Update time after. Se agrega un filtro al campo Filtro.
    4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY y presiona Intro en el teclado.

    Los recursos del panel de resultados se actualizan para mostrar solo los que coinciden con tu filtro.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

      Ir a Recursos en el nivel Enterprise

    2. En la parte superior del panel de resultados de la página Activos, coloca el cursor en el campo Filtro. Se abrirá un menú de filtros.
    3. Desplázate hasta la sección Fecha de creación o Fecha de actualización y selecciona una de las opciones de filtro basadas en el tiempo. Por ejemplo, Update time after. Se agrega un filtro al campo Filtro.
    4. En el campo de filtro, escribe una fecha con el formato MM/DD/YYYY HH:MM:SS y presiona Intro en el teclado.

    Los recursos del panel de resultados se actualizan para mostrar solo los que coinciden con tu filtro.

    Personaliza la página de resultados de la consulta de activos

    Para controlar el espacio de pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la búsqueda.

    Cómo ocultar o mostrar columnas

    Para obtener información sobre cómo ocultar o mostrar columnas en los resultados de la consulta, haz clic en la pestaña correspondiente a tu nivel de servicio.

    Estándar o Premium

    1. En la parte superior del panel de resultados, haz clic en view_column Columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Haz clic en Aplicar para aplicar los cambios a los resultados de la búsqueda.

    Enterprise

    1. En la parte superior del panel de resultados, haz clic en view_column Abrir el selector de columnas. Se abrirá el menú Administrar columnas.
    2. Selecciona las columnas que deseas mostrar.
    3. Borra las selecciones de las columnas que deseas ocultar.
    4. Cierra el menú.

    Cómo ocultar o cambiar el tamaño del panel de filtros rápidos

    Para aumentar el espacio de pantalla de los resultados de la búsqueda, puedes ocultar o cambiar el tamaño de los paneles. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

    Estándar o Premium

    • Para ocultar el panel lateral Filtros rápidos, haz clic en la flecha hacia la izquierda first_page.
    • Para mostrar el panel lateral Filtros rápidos, haz clic en la flecha hacia la derecha last_page.
    • Para cambiar el tamaño de las columnas de visualización, arrastra la línea divisoria hacia la izquierda o la derecha.

    Enterprise

    • Para ocultar el panel lateral Filtros, haz clic en chevron_left Cerrar barra lateral.
    • Para mostrar el panel lateral Filtros, haz clic en chevron_right Abrir barra lateral.

    ¿Qué sigue?