本页面介绍了如何在 Google Cloud 控制台和 Security Operations 控制台中处理 Security Command Center 发现结果。
发现结果是 Security Command Center 服务在检测到安全问题时创建的安全问题的记录。发现结果页面中会列出发现结果。您可以点击发现结果以查看其详细信息和完整的 JSON 格式。
您可以在发现结果页面上执行的部分操作包括:
- 查询发现结果
- 检查发现结果
- 忽略发现的结��
- 将安全标记添加到发现结果
如需了解如何使用 Security Command Center API 处理发现结果,请参阅以编程方式访问 Security Command Center。
在 Security Command Center Enterprise 控制台中处理发现结果
如果您是 Security Command Center Enterprise 客户,则可以在两个控制台中处理发现结果:
- Google Cloud 控制台:适用于所有服务层级
- Security Operations 控制台:仅在 Enterprise 层级中提供
Security Operations 控制台中的发现结果页面目前为预览版。
在本页面上,单独的标签页上并排介绍了使用这两个控制台的步骤。
如需了解详情,请参阅 Security Command Center Enterprise 控制台。
获取所需的权限
本部分列出了在控制台中处理发现结果所需的 IAM 角色。
Google Cloud 控制台 IAM 角色
如需在 Google Cloud 控制台中处理发现结果,您需要以下 IAM 角色。
确保您拥有组织的以下一个或多个角色:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer) - Security Center Findings Editor (
roles/securitycenter.findingsEditor)
检查角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
-
在主账号列中,找到您的电子邮件地址所在的行。
如果您的电子邮件地址不在此列,则表示您没有任何角色。
- 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。
授予角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
- 点击 授予访问权限。
- 在新的主账号字段中,输入您的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
如需详细了解 Security Command Center 角色和权限,请参阅用于组织级激活的 IAM。
Security Operations 控制台 IAM 角色
如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中处理发现结果。您需要以下任一 IAM 角色:
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager)
如需了解如何向用户授予角色,请参阅使用 IAM 映射和授权用户。
查看发现结果
如需了解如何查找发现结果页面,请点击您所使用的控制台对应的标签页。
Google Cloud 控制台
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
Security Operations 控制台
在 Security Operations 控制台中,转到发现结果页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
如需详细了解此控制台,请参阅安全操作控制台。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
调整时间范围以查看更多发现结果
您可以调整用于查询的时间范围。默认时间范围是 Last 7 days。
时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。
如需了解如何调整时间范围,请点击您所用控制台的标签页。
Google Cloud 控制台
在 Google Cloud 控制台的发现结果页面上,设置时间范围字段。
Security Operations 控制台
在 Security Operations 控制台中发现结果页面的发现结果列表顶部,设置显示字段。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
发现结果可用性
在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中��中进行查询。专业版和企业层级发现结果至少在 13 个月内仍可用于查询。标准层级发现结果至少仍可使用 35 天。
Security Command Center 会存储每个发现结果的一个或多个快照。优质层级或企业层级发现结果的快照将在 eventTime 字段中时间戳的 13 个月后删除。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。
如需详细了解 Security Command Center 数据保留,请参阅数据保留。
查找和查看特定发现结果
默认情况下,发现结果页面会显示过去 7 天内未被忽略的所有有效发现结果,包括新发现结果或有更新发现结果。
如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性。
以下示例是默认的发现结果查询:
state="ACTIVE" AND NOT mute="MUTED"
您可以在查询编辑器面板中查看当前的发现结果查询。您可以直接修改查询,也可以选择预定义的过滤条件来构建查询。如需了解详情,请点击您所用控制台对应的标签页。
Google Cloud 控制台
在 Google Cloud 控制台的发现结果页面上,您可以执行以下操作:
- 在快速过滤条件面板中,选择一个或多个预定义的属性过滤条件,以将其添加到查询中。使用快速过滤条件面板获取常用的高级过滤条件选项。
- 在查询编辑器面板的添加过滤条件菜单中,选择一个或多个预定义的属性过滤条件,以将其添加到查询中。使用添加过滤条件菜单可添加基于较低级别发现结果属性的更精细的高级过滤条件。如需了解详情,请参阅在控制台中修改发现结果查询。
- 直接在查询编辑器面板中修改发现结果查询。
- 在发现结果的详情视图中,从特定属性的下��菜单中选择该属性的预定义过滤条件,以将其添加到查询中。
Security Operations 控制台
在 Security Operations 控制台的发现结果页面上,您可以执行以下操作:
- 在 Aggregations 面板中,选择一个或多个预定义的属性过滤条件,以将其添加到查询中。使用 Aggregations 面板获取常用的高级过滤器选项。
- 在查询编辑器面板的 添加过滤条件菜单中,选择一个或多个预定义的属性过滤条件以将其添加到查询中。使用 添加过滤条件菜单可查看基于较低级别发现结果属性的更精细的高级过滤条件。如需了解详情,请参阅在控制台中修改发现结果查询。
- 直接在查询编辑器面板中修改发现结果查询。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
查看发现结果的详细信息
如需详细了解发现结果,请点击发现结果查询结果中类别列中的发现结果名称,从而打开发现结果的详细视图。
在详细视图中,您可以查找对了解发现结果、调查威胁或修复漏洞至关重要的信息。
发现结果的详情视图包含以下标签页,您可以选择它们来详细了解发现结果并执行操作:
- 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
- 来源属性标签页,您可以在其中查看发现结果 JSON 的
sourceProperties对象的属性。 - JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。
您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。
在详细信息视图中了解发现结果
发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。
摘要标签页上的信息
摘要标签页在以下部分中提供有关发现结果的信息:
- 检测到的内容(或概览)
有关检测到的发现结果的详细信息,如下所示:
- 发现结果严重程度
- 发现结果状态:
ACTIVE或INACTIVE - 与特定发现结果相关的任何关键字段
- 漏洞
与漏洞相对应的 CVE 记录中的信息(如果有)。漏洞部分包含 CVE 记录中的信息,例如:
- CVE ID
- CVE 得分
- 影响
- 漏洞利用攻击活动
- 攻击风险
攻击风险得分和上次计算得分的时间。 点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。
- 受影响的资源
与发现结果关联的资源的详细信息,包括:
- 受影响资源的全名
- 资源的云服务提供商
- 技术和安全联系人
- 支持请求信息
与发现结果关联的案例的详细信息,包括以下信息。
- 与发现结果关联的外部系统的完整资源名称
- 分配给支持请求的群组
- 支持请求 ID,链接到 Security Operations 控制台中的支持请求
- 支持请求的状态
- 外部案例管理系统中的更新时间
- 关闭案例的承诺截止期限
- 安全标记
与发现结果关联的安全标记(如果有)。
- 后续步骤
有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。
- 相关链接
指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。
- 检测服务
检测到发现结果的服务或来源的详细信息。
来源属性标签页上的信息
对于某些发现结果,详细信息面板包含一个来源属性标签页,其中会突出显示发现结果 JSON 的 sourceProperties 对象中的某些属性。
对于每个发现结果以及在 Security Command Center 上运行的每项服务,来源属性各不相同。无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈。
JSON 标签页上的信息
JSON 标签页包含发现结果的完整 JSON 结构,这在调查发现结果或查找可在发现结果查询中使用的属性时非常有用。
如需将 JSON 对象复制到剪贴板,请点击 复制。
发现结果的 JSON 结构包含以下对象:
findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅Finding。resource:受影响资源的特性。如需了解详情,请参阅Resource。sourceProperties:发现结果的服务特定属性。
您还可以使用 ListFindings API 列出发现结果以及获取其 JSON 定义。
对详细信息视图中的发现结果执行操作
您可以从发现结果的详情视图中对发现结果执行各种操作,例如忽略发现结果。如果您在 Google Cloud 控制台中查看发现结果的详情视图,还可以将发现结果中的属性添加到当前的发现结果查询中。
在详细信息视图中忽略发现结果
在发现结果的详情视图中,您可以将该发现结果静音或取消静音。您还可以创建一条规则,忽略所有未来的发现结果,例如当前发现结果。
如需全面了解如何忽略发现结果或创建忽略规则,请参阅在 Security Command Center 中忽略发现结果。
从详细信息视图中将特性过滤条件添加到查询
在 Google Cloud 控制台的发现结果的详情视图中,您可以将所显示属性的过滤条件添加到当前的发现结果查询。
如需了解如何从详情视图中向查询添加属性过滤条件,请点击您所用控制台对应的标签页。
Google Cloud 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 在发现结果的详情视图中,找到要过滤的属性。
- 打开属性旁边的下拉菜单。
- 为属性选择预定义的过滤条件。系统会将过滤条件添加到发现结果页面上的发现结果查询中。
Security Operations 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 在发现结果的详情视图中,找到要过滤的属性。
- 打开属性旁边的下拉菜单。
- 为属性选择预定义的过滤条件。系统会将过滤条件添加到发现结果页面上的发现结果查询中。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
在发现结果的详情视图中查看或复制属性 API 名称
Google Cloud 控制台中显示的大多数发现结果属性都有 Security Command Center API 中使用的相应名称。
如需了解如何在发现结果的详情视图中查看或复制属性 API 名称,请点击您所用控制台的标签页。
Google Cloud 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 在发现结果的详情视图中,您可以查找并复制每个显示的发现结果属性的相应 API 名称。
Security Operations 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 在发现结果的详情视图中,找到您要复制其 API 等效项的属性。
- 打开属性旁边的下拉菜单。
- 点击复制 API 等效项。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
共享发现结果的详细信息视图
如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。
如需了解如何复制发现结果的详情视图的网址,请点击您所用控制台的标签页。
Google Cloud 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 依次点击执行操作 > 复制链接。
Security Operations 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 点击 复制链接。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
向 Google Cloud 发送有关发现结果的反馈
如需了解如何发送有关发现结果的反馈,请点击您所使用的控制台对应的标签页。
Google Cloud 控制台
- 在发现结果页面上,点击发现结果以查看其详细信息。
- 依次点击采取措施 > 发送反馈。
- 输入有关您的反馈的说明。
- 要添加屏幕截图,请点击截取屏幕截图。
- 点击发送。
Security Operations 控制台
Security Operations 控制台中不提供此功能。
在发现结果查询结果中显示其他发现结果的详细信息
如需查看您正在查看的发现结果之前或之后的发现结果的详细信息,请使用 Next 或 上一个发现结果按钮,即可转到下一个或上一个发现结果,而无需返回发现结果页面。
将安全标记添加到发现结果
安全标记是一种自定义键值对标签,可用于为发现结果添加注释,将发现结果与具有相同安全标记的其他发现结果相关联,以及查询发现结果。
如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记。
在控制台中忽略发现结果
您可以在以下视图中忽略和取消忽略发现结果:
- 发现结果页面上的发现结果查询结果
- 发现结果的详情视图
您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。
已忽略的发现结果会被隐藏和静音,但您仍然可以通过向发现结果查询添加 mute="MUTED" 过滤条件来查看这些发现结果。系统会继续记录已忽略的发现结果,供审核和合规之用。
如需详细了解如何忽略和取消忽略发现结果,请参阅在 Security Command Center 中忽略发现结果。
更改发现结果的状态
发现结果可以具有以下两种状态之一:Active 或 Inactive。
状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。
状态 Inactive 表示安全问题已解决。
您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。
如需了解如何更改发现结果的状态,请点击您所使用的控制台对应的标签页。
Google Cloud 控制台
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在发现结果查询结果面板中,选择相应发现结果
- 在发现结果面板的操作栏中,点击更改活跃状态。系统会显示一个弹出式菜单。
- 在更改活跃状态弹出式菜单中,选择活跃或非活跃。
Security Operations 控制台
Security Operations 控制台中不提供此功能。
自定义“发现结果”页面
如需控制屏幕空间,您可以自定义发现结果查询结果中显示的某些元素。
调整查询结果的列
您可以在发现结果查询结果中添加或移除列。
您可以移除除类别之外的任何列。
以下是可用列的示例:
- 类别:发现结果类型的名称。
- 严重级别:发现结果的严重级别。如需详细了解发现结果严重级别,请参阅发现结果的严重程度分类。
- 攻击风险得分:发现结果的攻击风险得分。
- 事件时间:首次检测到发现结果时或上次更新发现结果时。
- 创建时间:在 Security Command Center 中创建发现结果时。
- 发现结果类别:发现结果的类别,例如
THREAT、VULNERABILITY和MISCONFIGURATION。 - 资源显示名称:检测到问题的资源的显示名称。
- 资源全名:在其中检测到问题的资源的全名。
- 资源云提供商:托管资源的云服务提供商。
- 资源路径:检测到问题的资源的路径。
- Resource type:检测到问题的资源类型。
- 安全标记:为发现结果添加的任何安全标记。
如需了解如何调整发现结果查询结果列,请点击您所用控制台对应的标签页。
Google Cloud 控制台
- 在发现结果查询结果操作栏的右侧,点击 view_column 列。
- 选择要显示的列。
- 清除您要隐藏的列的选择。
- 点击应用,将更改应用到发现结果查询结果面板。
Security Operations 控制台
- 在发现结果操作栏中,点击view_column 管理列。
- 选择要显示的列。
- 清除您要隐藏的列的选择。
此功能目前为预览版,仅供 Security Command Center Enterprise 客户使用。
隐藏或显示“发现结果页面”面板
如需了解如何调整发现结果页面面板,请点击您所使用的控制台对应的标签页。
Google Cloud 控制台
如需提供更多屏幕空间来修改查询或查看发现结果,您可以隐藏或显示以下面板:
- 快速过滤条件面板
- 查询编辑器面板
如需隐藏某个面板,请点击切换面板图标 first_page 或 first_page。
要显示该面板,请再次点击该图标。
Security Operations 控制台
Security Operations 控制台中不提供此功能。
后续步骤
- 了解检测服务。
- 了解如何使用安全标记。
- 了解如何配置 Security Command Center 服务。
- 了解如何使用 Security Command Center API 构建发现结果过滤条件。