Inspecter les ressources surveillées par Security Command Center

Cette page explique comment afficher, interroger et inspecter les ressources cloud afin d'améliorer votre stratégie de sécurité, de résoudre les problèmes de sécurité et de répondre aux menaces.

Dans Security Command Center, voici quelques-unes des actions que vous pouvez effectuer sur les composants :

Obtenir les autorisations requises

Cette section liste les rôles IAM dont vous avez besoin pour travailler avec les composants dans la console.

Rôles IAM de la consoleGoogle Cloud

Pour utiliser des composants dans la console Google Cloud , vous avez besoin des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

    Rôles IAM de la console Security Operations

    Si vous êtes un client Security Command Center Enterprise, vous pouvez travailler avec des composants dans la console Security Operations. Vous devez disposer de l'un des rôles IAM suivants :

    • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser des utilisateurs à l'aide d'IAM.

    Liste des composants dans Security Command Center

    Les éléments sont listés dans les résultats de requête de la page Éléments de la consoleGoogle Cloud .

    Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les éléments de l'ensemble de votre organisation ou les filtrer par projet, type de ressource et emplacement.

    Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les composants par type de ressource et par emplacement dans la consoleGoogle Cloud .

    La liste des éléments est fournie par l'inventaire des éléments cloud. Dans la plupart des cas, l'inventaire des éléments cloud met à jour la liste quelques minutes après la création, la modification ou la suppression d'éléments dans votre environnement Google Cloud .

    Pour en savoir plus sur inventaire des éléments cloud, consultez Présentation de Cloud Asset Inventory.

    Afficher tous les éléments

    Pour savoir comment afficher vos composants, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Sélectionnez votre Google Cloud organisation.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Sélectionnez votre Google Cloud organisation.

    Trier les composants

    Pour trier les composants, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

    Rechercher des composants

    Par défaut, tous les composants de l'organisation sont affichés dans les résultats de la requête. Pour rechercher des composants spécifiques dans Security Command Center, vous pouvez utiliser des filtres rapides ou spécifier des filtres personnalisés.

    Effectuer une recherche générale à l'aide de filtres rapides

    Pour effectuer une recherche générale dans vos composants, vous pouvez utiliser des filtres rapides. Par exemple, vous pouvez effectuer une recherche par projet, par type de ressource ou par emplacement. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Dans le panneau Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs pour les ajouter à une requête.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer et afficher les ressources d'un fournisseur de services cloud spécifique :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
    3. Pour filtrer les ressources qui possèdent des valeurs d'attribut spécifiques, procédez comme suit :
      1. Dans le panneau Filtres, cliquez sur une valeur d'attribut, puis sur Afficher uniquement. La requête est mise à jour en conséquence.
      2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur la valeur d'attribut, puis sur et n'afficher que.
      3. Pour supprimer une valeur d'attribut de la requête, cliquez sur la valeur d'attribut, puis sur Ne pas afficher uniquement.
    4. Pour copier la valeur d'un attribut, cliquez dessus, puis sur Copier.

    Modifier les requêtes sur les composants

    Pour savoir comment modifier les requêtes sur les composants, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Requête sur les composants.
    3. Modifiez la requête de l'une des manières suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête du panneau Modifier la requête est mise à jour en conséquence.
      • Dans le panneau Sélectionner une table, cliquez sur le type de composant sur lequel vous souhaitez exécuter une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté au panneau Modifier la requête.
      • Modifiez la requête directement dans le panneau Modifier la requête.
    4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour en conséquence.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer et afficher les ressources d'un fournisseur de services cloud spécifique :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
    3. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les attributs et les valeurs de ressources compatibles.
    4. Pour Filter (Filtre), sélectionnez un attribut sur lequel filtrer les données.
    5. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les options d'évaluation disponibles diffèrent selon l'attribut que vous avez sélectionné.
      • Pour filtrer les ressources qui ont une valeur d'attribut spécifique, sélectionnez Afficher uniquement. Dans la liste Valeur, sélectionnez la valeur de l'attribut.
      • Pour filtrer les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Valeur, saisissez la chaîne.

        L'option d'évaluation Contient suit la syntaxe de requête de l'opérateur de correspondance partielle de texte. Il convertit votre terme de recherche en un ou plusieurs jetons, en utilisant des caractères spéciaux comme délimiteurs, et exige qu'un jeton entier corresponde. Pour ne faire correspondre qu'une partie d'un jeton, utilisez un astérisque (*) comme indicateur de correspondance de préfixe de jeton.

      • Pour filtrer les ressources en fonction d'un code temporel, sélectionnez Avant ou Après. Dans le champ Valeur, saisissez le code temporel.
    6. Pour ajouter un autre filtre :
      1. Cliquez sur Ajouter un filtre.
      2. Définissez l'attribut, l'option d'évaluation et la valeur de l'attribut.
      3. Définissez la relation logique entre les filtres. Pour Opérateur logique, sélectionnez AND ou OR.
    7. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats de la requête sont filtrés en conséquence.

    Inspecter les détails des composants

    Cette section explique comment obtenir plus d'informations sur les détails d'un élément spécifique.

    Afficher les informations générales

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre et affiche un récapitulatif de ses détails.

    Afficher tous les détails d'un composant

    Pour afficher tous les détails d'un composant, y compris les métadonnées de bas niveau, procédez comme suit :

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre.
    3. Cliquez sur l'onglet Métadonnées complètes. Tous les noms et valeurs de propriétés du composant sont affichés dans une structure arborescente.
    4. Pour rechercher un nom ou une valeur de propriété spécifique dans l'arborescence, saisissez le nom ou la valeur dans le filtre.
    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre.
    3. Cliquez sur l'onglet Résultats. Tous les résultats associés à l'élément s'affichent.

    Afficher les modifications apportées à un composant

    Vous pouvez comparer des instantanés des métadonnées d'un élément pour voir ce qui a changé.

    Pour savoir comment afficher les modifications apportées à un élément au fil du temps, cliquez sur l'onglet correspondant à la console que vous utilisez.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Recherchez le composant.
    3. Dans la liste des composants du panneau des résultats, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre.
    4. Dans le panneau des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.
    6. Dans la liste Sélectionnez un enregistrement à comparer à gauche, sélectionnez un instantané.
    7. Dans la liste Sélectionnez un enregistrement à comparer à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Recherchez le composant.
    3. Dans la liste des composants du panneau des résultats, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre.
    4. Dans le panneau des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    5. Dans la liste Comparer à gauche, sélectionnez un instantané.
    6. Dans la liste Comparer à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Afficher les stratégies IAM associées à un élément

    1. Recherchez le composant.
    2. Dans les résultats de la requête, cliquez sur le nom du composant. Le panneau d'informations sur le composant s'ouvre.
    3. Cliquez sur l'onglet Stratégies IAM. Les stratégies IAM associées à l'élément s'affichent.

    Afficher l'ensemble de ressources de forte valeur

    Vous pouvez afficher les ressources à forte valeur que Risk Engine a incluses dans les dernières simulations de chemins d'attaque. Vous pouvez également afficher les scores d'exposition aux attaques que le moteur de risque a calculés pour chaque ressource. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources à fort potentiel Google Cloud , cliquez sur Google. Pour afficher les détails d'une ressource, cliquez sur son nom.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur AWS.
      • Pour afficher les ressources Microsoft Azure à forte valeur, cliquez sur Azure.
    4. Pour afficher les détails de la simulation du chemin d'attaque pour la ressource, cliquez sur son score d'exposition aux attaques. Pour savoir comment interpréter les chemins d'attaque, consultez Chemins d'attaque.

    Entreprise

    Pour afficher l'ensemble de ressources à forte valeur, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources à forte valeur Google Cloud , cliquez sur Ressources Google Cloud.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur Ressources AWS.
      • Pour afficher les ressources Microsoft Azure à forte valeur ajoutée, cliquez sur Ressources Azure.
    4. Pour afficher les détails d'une ressource, cliquez sur son nom à afficher.

    Filtrer les composants par date de création ou de dernière modification

    Pour savoir comment filtrer les composants par code temporel, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    Vous pouvez filtrer ou trier les composants dans le panneau de résultats de la page Composants en fonction de leurs codes temporels Créé et Dernière modification.

    Pour ajouter un filtre basé sur l'horodatage Créé, Dernière modification ou les deux, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder

    2. En haut du panneau de résultats de la page Composants, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Faites défiler la page jusqu'à la section Heure de création ou Heure de modification, puis sélectionnez l'une des options de filtrage basées sur le temps. Par exemple, Update time after. Un filtre est ajouté au champ Filtre.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY, puis appuyez sur la touche Entrée de votre clavier.

    Les composants du panneau de résultats sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder aux composants dans le niveau Enterprise

    2. En haut du panneau de résultats de la page Composants, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Faites défiler la page jusqu'à la section Heure de création ou Heure de modification, puis sélectionnez l'une des options de filtrage basées sur le temps. Par exemple, Update time after. Un filtre est ajouté au champ Filtre.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY HH:MM:SS, puis appuyez sur la touche Entrée de votre clavier.

    Les composants du panneau de résultats sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

    Personnaliser la page des résultats de la requête sur les composants

    Pour contrôler l'espace d'écran, vous pouvez personnaliser certains des éléments qui s'affichent dans les résultats de requête.

    Masquer ou afficher des colonnes

    Pour savoir comment masquer ou afficher des colonnes dans les résultats de requête, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. En haut du panneau de résultats, cliquez sur view_column Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Cliquez sur Appliquer pour appliquer les modifications aux résultats de la requête.

    Entreprise

    1. En haut du panneau des résultats, cliquez sur view_column Ouvrir le sélecteur de colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Masquer ou redimensionner le panneau des filtres rapides

    Pour augmenter l'espace d'affichage dédié aux résultats de requête, vous pouvez masquer ou redimensionner les panneaux. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    • Pour masquer le panneau latéral Filtres rapides, cliquez sur la flèche vers la gauche first_page.
    • Pour afficher le panneau latéral Filtres rapides, cliquez sur la flèche vers la droite last_page.
    • Pour redimensionner les colonnes d'affichage, faites glisser la ligne de séparation vers la gauche ou vers la droite.

    Entreprise

    • Pour masquer le panneau latéral Filtres, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher le panneau latéral Filtres, cliquez sur chevron_right Ouvrir le panneau latéral.

    Étapes suivantes