在控制台中查看和管理发现结果

本页面介绍了如何在 Cloud 控制台中处理 Security Command Center 发现结果, Google Cloud 控制台和安全运维控制台。

发现结果是 Security Command Center 服务的安全问题记录 在检测到安全问题时创建的。发现结果会列在 发现结果页面。您可以点击发现结果以查看其详细信息和完整的 JSON 格式。

您可以在发现结果页面上执行的操作包括:

  • 查询发现结果
  • 检查发现结果
  • 忽略发现的结果
  • 将安全标记添加到发现结果

如需了解如何以编程方式处理发现结果,请参阅 Security Command Center 客户端库

在 Security Command Center Enterprise 控制台中处理发现结果

如果您是 Security Command Center Enterprise 客户,则可以处理发现结果 两个控制台中:

  • Google Cloud 控制台:适用于所有服务层级
  • Security Operations 控制台:仅在 Enterprise 层级中提供

如需了解详情,请参阅 Security Command Center Enterprise 控制台

获取所需的权限

本部分列出了您需要具备的 IAM 角色,才能在控制台中处理发现结果。

Google Cloud 控制台 IAM 角色

如需在 Google Cloud 控制台中处理发现结果,您需要以下 IAM 角色。

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存

    8. 如需详细了解 Security Command Center 角色和权限,请参阅 用于组织级激活的 IAM

    Security Operations 控制台 IAM 角色

    如果您是 Security Command Center Enterprise 客户,则可以在 Security Operations 控制台中处理发现结果。您需要使用以下任一 IAM 角色:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR 漏洞管理器 (roles/chronicle.soarVulnerabilityManager)

    如需了解如何向用户授予角色,请参阅 使用 IAM 映射用户并向其授权

    查看发现结果

    如需了解如何查找发现结果页面,请点击 您使用的控制台

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”页面

    2. 选择您的 Google Cloud 项目或组织。

    Security Operations 控制台

    在 Security Operations 控制台中,转到发现结果页面。 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

    如需详细了解此控制台,请参阅安全操作控制台

    此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

    调整时间范围以查看更多发现

    您可以调整时间 查询使用的范围默认时间范围是 Last 7 days

    时间范围基于发现结果的 eventTime 属性的值,该值反映了发现结果记录上次更新的时间。

    要了解如何调整时间范围,请点击 您使用的控制台

    Google Cloud 控制台

    发现结果页面上 在 Google Cloud 控制台中,设置时间范围 字段

    Security Operations 控制台

    位于发现结果的发现结果列表顶部 页面上,设置显示字段。

    此功能处于预览版阶段,仅适用于 Security Command Center 企业版客户。

    发现结果可用性

    在生成发现结果的服务将发现结果存储在 Security Command Center 发现结果数据库中后不到一分钟内,该查询结果通常就可供您在 Security Command Center 信息中心中进行查询。Premium 和企业版级别的发现结果至少可保留 13 个月以供查询。对于以下项目,标准层级发现结果仍然可用 至少 35 天。

    Security Command Center 会存储每个发现结果的一个或多个快照。在 eventTime 字段中的时间戳的 13 个月后,系统会删除 Premium 或企业版层级发现结果的快照。如果发现结果的所有快照都被删除,则该发现结果无法再进行查询或恢复。

    如需详细了解 Security Command Center 数据保留,请参阅数据保留

    查找和查看特定发现结果

    默认情况下,发现结果页面会显示所有未 是新增的或过去 7 天内更新的,它们都已忽略。

    如需查看特定的发现结果,请修改发现结果查询,以指定您需要查看的发现结果必须包含或不得包含的值或特性

    以下示例是默认发现结果查询:

    state="ACTIVE"
AND NOT mute="MUTED"

    您可以在查询编辑器面板中查看当前的发现结果查询。您可以 您可以直接修改查询,也可以选择预定义的过滤条件来构建查询。对于 请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    在 Google Cloud 控制台的发现结果页面上,您可以执行以下操作: 以下:

    • 快速过滤条件面板中,选择一个或多个预定义属性 过滤条件以将其添加到查询中。使用快速过滤条件面板 常用的高级过滤器选项。
    • 添加过滤条件查询编辑器面板的菜单中,选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用添加过滤条件菜单: 基于较低级别发现结果的更精细的高级过滤器 属性。如需了解详情,请参阅修改发现结果 查询
    • 直接在查询中修改发现结果查询 编辑器面板。
    • 在发现结果的详细信息视图中,从特定属性的下拉菜单中选择该属性的预定义过滤条件,将其添加到查询。

    Security Operations 控制台

    在安全运营控制台中的发现结果页面上,您可以执行以下操作:

    • 汇总面板中,选择一个或多个预定义属性过滤条件,将其添加到查询。使用 Aggregations 面板执行以下操作: 常用的高级过滤器选项。
    • 添加过滤条件查询编辑器面板的菜单中,选择一个或多个预定义的 属性过滤条件,以将其添加到查询中。使用 添加过滤条件菜单: 基于较低级别发现结果的更精细的高级过滤器 属性。如需了解详情,请参阅修改发现结果 查询
    • 直接在查询编辑器面板中修改发现结果查询。

    此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

    查看发现结果的详细信息

    如需详细了解发现结果,请打开发现结果的详细视图 点击发现结果中类别列中的发现结果名称 查询结果。

    在详细信息视图中,您可以找到 了解发现结果、调查威胁,或解决 漏洞

    发现结果的详情视图包含以下标签页, 选择即可详细了解发现结果并采取行动:

    • 摘要标签页,这是默认视图,突出显示了有关发现结果的关键信息和属性。
    • 来源属性标签页,您可以在其中查看发现结果 JSON 的 sourceProperties 对象的属性。
    • JSON 标签页,您可以在其中查看发现结果的完整 JSON 格式。

    您可以在详细信息视图中对发现结果执行某些操作,以及查找指向与发现结果相关的其他信息的链接。

    在详细信息视图中了解发现结果

    发现结果的详细信息视图突出显示有关发现结果的重要信息,您可以使用这些信息来了解和解决潜在的安全问题。

    摘要标签页上的信息

    摘要标签页在以下部分中提供有关发现结果的信息 部分:

    检测到的内容(或概览)

    有关检测到的发现结果的详细信息,如下所示:

    • 发现结果严重程度
    • 发现结果状态:ACTIVEINACTIVE
    • 与特定发现结果相关的任何关键字段
    漏洞

    与以下各项对应的 CVE 记录中的信息: (如果有)。漏洞部分 包含 CVE 记录中的信息,例如:

    • CVE ID
    • CVE 得分
    • 影响
    • 漏洞利用攻击活动
    攻击风险

    通过 攻击风险得分 以及上次计算得分的时间。 点击该得分会直观地显示受影响的高价值资源和关联的攻击路径。

    受影响的资源

    与发现结果关联的资源的详细信息,包括 以下信息:

    • 受影响资源的全名
    • 资源的云服务提供商
    • 技术和安全联系人
    支持请求信息

    与发现结果相关的支持请求的详细信息,包括 以下信息。

    • 与 正在查找
    • 分配给支持请求的群组
    • 支持请求 ID,链接到 Security Operations 控制台中的支持请求
    • 支持请求的状态
    • 外部案例管理系统中的更新时间
    • 关闭案例的承诺截止期限
    安全标记

    与发现结果关联的安全标记(如果有)。

    后续步骤

    有关如何解决检测到的问题的指导。只有某些服务(例如 Security Health Analytics)会提供后续步骤。

    相关链接

    指向 Security Command Center 外部的关键安全信息来源的链接。只有某些服务(例如 Event Threat Detection)会提供相关链接。

    检测服务

    检测到发现结果的服务或来源的详细信息。

    来源属性标签页上的信息

    对于某些发现结果,详细信息面板会包含来源属性标签页 的 sourceProperties 对象中突出显示了 查找 JSON。

    对于每个发现结果以及执行相应检查的每项服务,来源属性各不相同 在 Security Command Center 上运行 无法保证所有服务的来源属性都是标准化的。因此,我们强烈建议不要以编程方式使用源属性。如果您希望使所有服务中的来源属性标准化,请向我们发送反馈

    JSON 标签页上的信息

    JSON 标签包含完整的 JSON 结构, 这在调查问题时非常有用 查找或查询可在发现结果查询中使用的属性。

    如需将 JSON 对象复制到剪贴板,请点击 复制

    发现结果的 JSON 结构包含以下对象:

    • findings:发现结果的特性。这些特性针对所有内置和集成的服务(也称为安全来源)进行了标准化处理。如需了解详情,请参阅 Finding
    • resource:受影响资源的特性。如需了解详情,请参阅 Resource
    • sourceProperties:发现结果的服务特定属性。

    您还可以使用 ListFindings API:用于列出 并获取其 JSON 定义。

    对详细信息视图中的发现结果执行操作

    您可以在发现结果的详情视图中对发现结果执行各种操作, 例如忽略发现结果。如果您在以下位置查看发现结果的详情视图: 使用 Google Cloud 控制台 当前发现结果查询的特征。

    在详细信息视图中忽略发现结果

    在发现结果的详情视图中,您可以将该发现结果静音或取消静音。您可以 还创建了一条规则,以忽略所有未来的发现结果,例如当前发现结果。

    如需查看忽略发现结果或创建忽略规则的完整说明,请参阅 在 Security Command Center 中忽略发现结果

    从详细信息视图中将特性过滤条件添加到查询

    在 Google Cloud 控制台中,您可以在发现结果的详情视图中添加 当前发现结果查询的所显示属性的过滤条件。

    有关如何从详细信息页面向查询添加属性过滤条件的信息 视图中,点击您所使用的控制台所对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击发现结果以查看其详细信息。
    2. 在相应发现结果的详情视图中,找到要过滤的属性。
    3. 打开属性旁边的下拉菜单。
    4. 为属性选择预定义的过滤条件。通过 过滤条件会添加到发现结果页面上的发现结果查询中。

    Security Operations 控制台

    1. 发现结果页面上,点击发现结果以查看其 。
    2. 在发现结果的详情视图中,找到所需的属性 过滤器。
    3. 打开属性旁边的下拉菜单。
    4. 为属性选择预定义的过滤条件。通过 过滤条件已添加到针对发现结果的发现结果查询中 页面。

    此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

    在发现结果的详细信息视图中查看或复制特性 API 名称

    Google Cloud 控制台中显示的大多数发现结果属性 具有 Security Command Center API 中使用的相应名称。

    了解如何在详细视图中查看或复制属性 API 名称 点击您正在使用的控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击发现结果以查看其详细信息。

    2. 在发现结果的详细信息视图中,您可以找到并复制所显示的每个属性的相应 API 名称。

      每个属性的等效 API 名称会与该属性列在同一行中。所有 API 名称都位于最后一列中。例如,对于 State 属性,等效的 API 名称为 state

    Security Operations 控制台

    1. 发现结果页面上,点击发现结果以查看其 。
    2. 在相应发现结果的详细信息视图中,找到您要复制的 API 等效项的属性。
    3. 在该属性旁边,打开下拉菜单。
    4. 点击复制 API 等效项

    此功能目前处于预览版阶段,可供以下人员使用: 仅适用于 Security Command Center Enterprise 客户。

    共享发现结果的详细信息视图

    如需共享发现结果的详细信息视图,您可以复制详细信息视图页面的网址,以便与他人共享。

    如需了解如何复制发现结果详情视图的网址,请点击 当前所用控制台对应的标签页

    Google Cloud 控制台

    1. 发现结果页面上,点击发现结果以查看其详细信息。
    2. 依次点击执行操作 > 复制链接

    Security Operations 控制台

    1. 发现结果页面上,点击发现结果以查看其 。
    2. 点击 复制链接

    此功能处于预览版阶段,仅适用于 Security Command Center 企业版客户。

    向 Google Cloud 发送有关发现结果的反馈

    如需了解如何针对发现发送反馈,请点击您所用控制台对应的标签页。

    Google Cloud 控制台

    1. 发现结果页面上,点击发现结果以查看其详细信息。
    2. 依次点击采取行动 > 发送反馈
    3. 输入有关您的反馈的说明。
    4. 要添加屏幕截图,请点击截取屏幕截图
    5. 点击发送

    Security Operations 控制台

    Security Operations 控制台中不提供此功能。

    在发现结果查询结果中显示其他发现结果的详细信息

    为了更详细地了解 请使用 下一个或 还有 个按钮可执行 而不必返回 发现结果页面。

    将安全标记添加到发现结果

    安全标记是一个自定义键值对标签,可用于为发现结果添加注释,将发现结果与共享相同安全标记的其他发现结果相关联,以及查询发现结果。

    如需全面了解如何为发现结果或资产设置安全标记,请参阅使用安全标记

    在控制台中忽略发现结果

    您可以在以下视图中静音和取消静音发现结果:

    • 发现结果页面上的发现结果查询结果
    • 发现结果的详情视图

    您可以忽略各个发现结果,也可以创建忽略规则,以根据您定义的过滤条件忽略当前和未来的发现结果。

    已忽略的发现结果会被隐藏和静音,但您仍然可以通过添加 将 mute="MUTED" 过滤条件添加到您的发现结果查询中。系统会继续记录已忽略的发现结果,供审核和合规之用。

    如需详细了解如何忽略和取消忽略发现结果,请参阅 在 Security Command Center 中忽略发现结果

    更改发现结果的状态

    发现结果可以具有以下两种状态之一:ActiveInactive

    状态为 Active 表示发现结果所发现的安全问题作为潜在威胁或漏洞,在您的环境中持续存在。

    状态 Inactive 表示安全问题已解决。

    您可能出于各种原因想要更改发现结果的状态(例如在处理发现结果后将其状态更改为 Inactive),因此不必等待下一次扫描为您更改状态。

    如需了解如何更改发现结果状态,请点击 您使用的控制台

    Google Cloud 控制台

    1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

      前往“发现结果”

    2. 选择您的 Google Cloud 项目或组织。
    3. 发现结果的查询结果面板中,选择相应发现结果
    4. 发现结果查询结果面板的操作栏中,点击 更改活跃状态。系统会显示一个弹出式菜单。
    5. 更改活跃状态弹出式菜单中,选择活跃无效

    Security Operations 控制台

    Security Operations 控制台中不提供此功能。

    自定义“发现结果”页面

    要控制屏幕空间,你可以自定义某些 发现结果查询结果。

    调整查询结果的列

    您可以在发现结果查询结果中添加或移除列。

    您可以移除除类别之外的任何列。

    以下是可用列的示例:

    • 类别:发现结果类型的名称。
    • 严重级别:发现结果的严重级别。如需详细了解 查找严重级别,请参见 发现结果的严重程度分类
    • 危险组合得分Toxic combination 类发现的攻击风险得分
    • 攻击风险得分攻击风险得分 结果。
    • 事件时间:首次检测到发现结果时或上次更新发现结果时。
    • 创建时间:在 Security Command Center 中创建发现结果时。
    • 发现结果类别:发现结果的类别,例如 THREATVULNERABILITYMISCONFIGURATION
    • 资源显示名称:检测到问题的资源的显示名称。
    • 资源全名:出现问题的资源的全名 。
    • 资源云提供商: 资源。
    • 资源路径:指向出现问题的资源的路径 。
    • Resource type:检测到问题的资源类型。
    • 安全标记:为发现结果添加的任何安全标记。

    如需了解如何调整发现结果查询结果列, 点击您当前使用的控制台所对应的标签页。

    Google Cloud 控制台

    1. 发现结果查询结果操作栏的右侧,点击
    2. 选择要显示的列。
    3. 清除您要隐藏的列的选择。
    4. 点击应用,将更改应用到 发现结果查询结果面板。
    当您下次查看发现结果页面时,系统会保留对列的选择, 即便您更换了项目或组织。清除所有自定义列 点击清除列选择

    Security Operations 控制台

    1. 发现结果操作栏中,点击 管理列。系统随即会打开管理列菜单。
    2. 选择要显示的列。
    3. 清除您要隐藏的列的选择。
    4. 关闭菜单。

    此功能处于预览版阶段,仅适用于 Security Command Center 企业版客户。

    隐藏或显示“发现结果页面”面板

    如需了解如何调整发现结果页面面板,请点击标签页 访问该控制台

    Google Cloud 控制台

    如需为修改查询或查看发现结果提供更多屏幕空间,您可以隐藏或显示以下面板:

    • 快速过滤条件面板
    • 查询编辑器面板

    如需隐藏某个面板,请点击切换面板图标

    如需显示该面板,请再次点击该图标。

    Security Operations 控制台

    Security Operations 控制台中不提供此功能。

    后续步骤