Inspecter les ressources surveillées par Security Command Center

Cette page explique comment afficher, interroger et inspecter les éléments cloud dans le but d'améliorer votre stratégie de sécurité, de corriger les problèmes de sécurité et de répondre aux menaces.

Dans Security Command Center, vous pouvez effectuer les actions suivantes sur les composants:

Obtenir les autorisations requises

Cette section liste les rôles IAM dont vous avez besoin pour travailler avec les composants de la console.

Rôles IAM de la console Google Cloud

Pour utiliser des composants dans la console Google Cloud, vous avez besoin des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.
  8. Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

    Rôles IAM de la console Security Operations

    Si vous êtes client Security Command Center Enterprise, vous pouvez travailler avec des composants dans la console Security Operations. Vous avez besoin de l'un des rôles IAM suivants:

    • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez la section Mappeur et autorisation des utilisateurs à l'aide d'IAM.

    Liste des éléments dans Security Command Center

    Les éléments sont listés dans les résultats de la requête de la page Éléments de la console Google Cloud et, pour les clients Security Command Center Enterprise, sur la page Ressources de la console Security Operations.

    Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les éléments de l'ensemble de votre organisation ou les filtrer par projet, type de ressource et emplacement spécifiques.

    Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les éléments par type de ressource et par emplacement dans la console Google Cloud.

    La liste des éléments est fournie par inventaire des éléments cloud. Dans la plupart des cas, inventaire des éléments cloud met à jour la liste dans les minutes qui suivent la création, la modification ou la suppression d'éléments dans votre environnement Google Cloud.

    Pour en savoir plus sur inventaire des éléments cloud, consultez la section Présentation de Cloud Asset Inventory.

    Utiliser les éléments dans les consoles Security Command Center Enterprise

    Si vous êtes client Security Command Center Enterprise, vous pouvez travailler avec des composants dans deux consoles:

    • Page Composants de la console Google Cloud: disponible dans tous les niveaux de service
    • Page Ressources de la console Security Operations: disponible uniquement dans le niveau Enterprise

    La page Ressources de la console Security Operations est en version Preview.

    Sur cette page, les étapes à suivre pour travailler avec des composants dans les deux consoles sont décrites côte à côte dans des onglets distincts.

    Pour en savoir plus, consultez la section Consoles Security Command Center Enterprise.

    Afficher tous les éléments

    Pour savoir comment afficher vos composants, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. Sélectionnez votre projet ou votre organisation Google Cloud.

    Console Security Operations

    Dans la console Security Operations, accédez à la page Ressources.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    Pour en savoir plus sur cette console, consultez la section Console de gestion des opérations de sécurité.

    Trier les éléments

    Pour trier les éléments, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle trier. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

    Rechercher des composants

    Par défaut, tous les composants de l'organisation sont affichés dans les résultats de la requête. Pour rechercher des éléments spécifiques dans Security Command Center, vous pouvez utiliser des filtres rapides ou spécifier des filtres personnalisés.

    Effectuer une recherche d'ensemble à l'aide de filtres rapides

    Pour effectuer une recherche globale de vos composants, vous pouvez utiliser des filtres rapides. Par exemple, vous pouvez effectuer une recherche par projet, type de ressource ou emplacement. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. Dans le panneau Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs pour les ajouter à une requête.

    Console Security Operations

    1. Dans la console Security Operations, accédez à la page Ressources.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Pour filtrer les ressources Google Cloud, cliquez sur Ressources Google Cloud.
    3. Pour filtrer les ressources Amazon Web Services (AWS), cliquez sur Ressources AWS.
    4. Pour filtrer les ressources ayant des valeurs d'attribut spécifiques, procédez comme suit :
      1. Dans le panneau Filtres, cliquez sur une valeur d'attribut, puis sur Afficher uniquement. La requête est mise à jour en conséquence.
      2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur la valeur de l'attribut, puis sur Afficher uniquement.
      3. Pour supprimer une valeur d'attribut de la requête, cliquez sur la valeur de l'attribut, puis sur Ne pas afficher uniquement.
    5. Pour copier une valeur d'attribut, cliquez dessus, puis sur Copier.

    Modifier les requêtes sur les composants

    Pour savoir comment modifier des requêtes sur les composants, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Requête sur les composants.
    3. Modifiez la requête de l'une des manières suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête du volet Modifier la requête est mise à jour en conséquence.
      • Dans le panneau Sélectionner un tableau, cliquez sur le type d'asset sur lequel vous souhaitez effectuer une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté au panneau Modifier la requête.
      • Modifiez la requête directement dans le panneau Modifier la requête.
    4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour en conséquence.

    Console Security Operations

    1. Dans la console Security Operations, accédez à la page Ressources.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Pour filtrer les ressources Google Cloud, cliquez sur Ressources Google Cloud.
    3. Pour filtrer les ressources Amazon Web Services (AWS), cliquez sur Ressources AWS.
    4. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les attributs et les valeurs de ressources compatibles.
    5. Pour Filtre, sélectionnez un attribut à utiliser comme critère de filtrage.
    6. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les options d'évaluation disponibles varient en fonction de l'attribut que vous avez sélectionné.
      • Pour filtrer les ressources ayant une valeur d'attribut spécifique, sélectionnez Afficher uniquement. Dans la liste Valeur, sélectionnez la valeur de l'attribut.
      • Pour filtrer les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Value (Valeur), saisissez la chaîne.

        L'option d'évaluation Contient suit la syntaxe de requête pour l'opérateur de correspondance partielle du texte. Elle convertit votre terme de recherche en un ou plusieurs jetons, à l'aide de caractères spéciaux comme délimiteurs, et nécessite qu'un jeton entier corresponde. Pour ne faire correspondre qu'une partie d'un jeton, utilisez un astérisque (*) comme indicateur de correspondance de préfixe de jeton.

      • Pour filtrer les ressources en fonction d'un code temporel, sélectionnez Avant ou Après. Dans le champ Valeur, saisissez l'horodatage.
    7. Pour ajouter un autre filtre, procédez comme suit :
      1. Cliquez sur Ajouter un filtre.
      2. Définissez l'attribut, l'option d'évaluation et la valeur de l'attribut.
      3. Définissez la relation logique entre les filtres. Dans le champ Opérateur logique, sélectionnez AND ou OR.
    8. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats de la requête sont filtrés en conséquence.

    Inspecter les détails de l'asset

    Cette section explique comment en savoir plus sur les détails d'un élément spécifique.

    Afficher les informations générales

    1. Recherchez l'élément.
    2. Dans les résultats de la requête, cliquez sur le nom de l'élément. Le panneau d'informations de l'asset s'ouvre et affiche un résumé de ses détails.

    Afficher les détails complets d'un composant

    Pour afficher tous les détails d'un composant, y compris les métadonnées de bas niveau, procédez comme suit:

    1. Recherchez l'élément.
    2. Dans les résultats de la requête, cliquez sur le nom de l'élément. Le panneau d'informations de l'élément s'ouvre.
    3. Cliquez sur l'onglet Métadonnées complètes. Tous les noms et valeurs des propriétés de l'asset s'affichent dans une structure arborescente.
    4. Pour rechercher un nom ou une valeur de propriété spécifique dans l'arborescence, saisissez le nom ou la valeur dans le filtre.
    1. Recherchez l'élément.
    2. Dans les résultats de la requête, cliquez sur le nom de l'élément. Le panneau d'informations de l'élément s'ouvre.
    3. Cliquez sur l'onglet Résultats. Tous les résultats associés à l'élément s'affichent.

    Afficher les modifications apportées à un composant

    Vous pouvez comparer des instantanés des métadonnées d'un élément pour voir ce qui a changé.

    Pour savoir comment afficher les modifications apportées à un élément au fil du temps, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. Recherchez l'élément.
    3. Dans la liste des éléments du panneau des résultats, cliquez sur le nom de l'élément. Le panneau d'informations de l'asset s'ouvre.
    4. Dans le panneau des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    5. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.
    6. Dans la liste Sélectionner un enregistrement à comparer à gauche, sélectionnez un instantané.
    7. Dans la liste Sélectionner un enregistrement à comparer à droite, sélectionnez un instantané à comparer au premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en surbrillance.

    Console Security Operations

    1. Dans la console Security Operations, accédez à la page Ressources.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Recherchez l'élément.
    3. Dans la liste des éléments du panneau des résultats, cliquez sur le nom de l'élément. Le panneau d'informations de l'asset s'ouvre.
    4. Dans le panneau des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    5. Dans la liste Comparer située à gauche, sélectionnez un instantané.
    6. Dans la liste Comparer à droite, sélectionnez un instantané à comparer au premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en surbrillance.

    Afficher les stratégies IAM associées à un élément

    1. Recherchez l'élément.
    2. Dans les résultats de la requête, cliquez sur le nom de l'élément. Le panneau d'informations de l'élément s'ouvre.
    3. Cliquez sur l'onglet Stratégies IAM. Les stratégies IAM associées à l'élément s'affichent.

    Afficher l'ensemble de ressources à forte valeur

    Vous pouvez afficher les ressources à forte valeur que Risk Engine a incluses dans les dernières simulations de chemins d'attaque. Vous pouvez également afficher les scores d'exposition aux attaques calculés par le moteur de risque pour chaque ressource. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources Google Cloud à forte valeur ajoutée, cliquez sur Google. Pour afficher les détails d'une ressource, cliquez sur son nom.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur AWS.
      • Pour afficher les ressources Microsoft Azure à forte valeur ajoutée, cliquez sur Azure.
    4. Pour afficher les détails de la simulation du chemin d'attaque pour la ressource, cliquez sur le score d'exposition aux attaques de la ressource. Pour savoir comment interpréter les chemins d'attaque, consultez la section Chemins d'attaque.

    Console Security Operations

    Dans la console Security Operations, vous pouvez afficher l'ensemble de ressources à forte valeur, mais pas les détails de la simulation de chemin d'attaque des ressources. Pour afficher les détails de la simulation du chemin d'attaque, utilisez plutôt la console Google Cloud.

    Pour afficher l'ensemble de ressources à forte valeur ajoutée dans la console Security Operations, procédez comme suit:

    1. Dans la console Security Operations, accédez à la page Ressources.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Cliquez sur l'onglet Ensemble de ressources à forte valeur.
    3. Cliquez sur le sous-onglet du fournisseur de services cloud que vous souhaitez afficher :
      • Pour afficher les ressources Google Cloud à forte valeur ajoutée, cliquez sur Ressources Google Cloud.
      • Pour afficher les ressources Amazon Web Services (AWS) à forte valeur ajoutée, cliquez sur Ressources AWS.
    4. Pour afficher les détails d'une ressource, cliquez sur son nom à afficher.

    Filtrer les composants par code temporel de création ou de dernière modification

    Pour savoir comment filtrer les composants par code temporel, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    Vous pouvez filtrer ou trier les composants dans le panneau des résultats de la page Composants en fonction des codes temporels Créé et Dernière mise à jour.

    Pour créer un filtre basé sur l'horodatage Créé, Dernière mise à jour ou les deux, procédez comme suit:

    1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

      Accéder

    2. En haut du panneau des résultats de la page Éléments, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Faites défiler la page jusqu'à la section Heure de création ou Heure de mise à jour, puis sélectionnez l'une des options de filtre basées sur le temps. Par exemple, Update time after. Un filtre est ajouté au champ Filtre.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY, puis appuyez sur Entrée sur votre clavier.

    Les composants du panneau des résultats sont mis à jour pour n'afficher que ceux qui correspondent à votre filtre.

    Console Security Operations

    Cette fonctionnalité n'est pas disponible dans la console Security Operations.

    Personnaliser la page des résultats de la requête sur les composants

    Pour organiser l'espace d'affichage dédié aux résultats, vous pouvez personnaliser certains des éléments qui s'affichent dans les résultats de requête.

    Masquer ou afficher des colonnes

    Pour savoir comment masquer ou afficher des colonnes dans les résultats de requête, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    1. En haut du panneau des résultats, cliquez sur view_column Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Décochez les colonnes que vous souhaitez masquer.
    4. Cliquez sur Appliquer pour appliquer les modifications aux résultats de la requête.

    Console Security Operations

    1. En haut du panneau des résultats, cliquez sur view_column Ouvrir le sélecteur de colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Décochez les colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Masquer ou redimensionner le panneau des filtres rapides

    Pour augmenter l'espace d'affichage des résultats de la requête, vous pouvez masquer ou redimensionner des panneaux. Pour en savoir plus, cliquez sur l'onglet de la console que vous utilisez.

    Console Google Cloud

    • Pour masquer le panneau latéral Filtres rapides, cliquez sur la flèche vers la gauche first_page.
    • Pour afficher le panneau latéral Filtres rapides, cliquez sur la flèche vers la droite last_page.
    • Pour redimensionner les colonnes d'affichage, faites glisser la ligne de séparation vers la gauche ou vers la droite.

    Console Security Operations

    • Pour masquer le panneau latéral Filtres, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher le panneau latéral Filtres, cliquez sur chevron_right Ouvrir la barre latérale.

    Étape suivante