Inspecionar recursos relacionados às descobertas

Esta página descreve como trabalhar com recursos de nuvem para melhorar sua postura de segurança, corrigir problemas de segurança e responder a ameaças.

No Security Command Center, algumas das ações que podem ser realizadas nos recursos incluem:

  • Acessar recursos
  • Recursos de consulta
  • Inspecionar detalhes do recurso
  • Analisar as descobertas relacionadas a um recurso

Conseguir as permissões necessárias

Nesta seção, listamos os papéis do IAM necessários para trabalhar com recursos no console.

Papéis do IAM no console do Google Cloud

Para trabalhar com recursos no console do Google Cloud, você precisa dos papéis do IAM a seguir.

Verifique se você tem os seguintes papéis na organização:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Verificar os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM
  2. Selecionar uma organização.

  3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

    Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

  4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acesse o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos participantes, digite seu endereço de e-mail.
  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Save.

Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

Papéis do IAM do console de Operações de segurança

Se você é cliente do Security Command Center Enterprise, pode trabalhar com recursos no console de Operações de Segurança. Você precisa de qualquer um dos seguintes papéis do IAM:

  • Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)
  • Gerenciador de ameaças do Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gerenciador de vulnerabilidades do Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

Para informações sobre como conceder o papel a um usuário, consulte Mapear e autorizar usuários usando o IAM.

A página de recursos

Os recursos são listados nos resultados da consulta da página Recursos no console do Google Cloud e, para clientes do Security Command Center Enterprise, na página Recursos no console de operações de segurança.

Se o Security Command Center estiver ativado no nível da organização, será possível visualizar recursos de toda a organização ou filtrá-los por projetos, tipos de recursos e locais específicos.

Se o Security Command Center estiver ativado no nível do projeto, será possível filtrar recursos por tipo e local de recurso no console do Google Cloud.

A lista de recursos é fornecida pelo Inventário de recursos do Cloud. Na maioria dos casos, o Inventário de recursos do Cloud atualiza a lista alguns minutos depois que os recursos são criados, modificados ou removidos no ambiente do Google Cloud.

Para mais informações sobre o Inventário de recursos do Cloud, consulte Introdução ao Inventário de recursos do Cloud.

Como trabalhar com recursos nos consoles do Security Command Center Enterprise

Se você é cliente do Security Command Center Enterprise, é possível trabalhar com recursos em dois consoles:

  • Página Recursos do console do Google Cloud: disponível em todos os níveis de serviço
  • Página Recursos do console de Operações de Segurança: disponível apenas no nível Enterprise

A página Recursos no console de operações de segurança está em pré-lançamento.

Nesta página, as etapas para trabalhar com recursos nos dois consoles são descritas lado a lado em guias separadas.

Para mais informações, consulte Consoles do Security Command Center Enterprise.

Acessar recursos

Para informações sobre como visualizar seus recursos, clique na guia do console que você está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. Selecione a organização ou o projeto do Google Cloud.

Console de operações de segurança

No console de Operações de Segurança, acesse a página Recursos. 

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

Esse recurso está em Pré-lançamento e disponível apenas para clientes do Security Command Center Enterprise.

Para mais informações, consulte Console de operações de segurança.

Ordenar recursos

Para classificar os recursos, clique no cabeçalho da coluna do valor que você quer usar. As colunas são classificadas por ordem numérica e, em seguida, alfabética.

Filtrar recursos

Nesta seção, descrevemos como executar consultas comuns para analisar seus recursos no Security Command Center.

Por padrão, todos os recursos no projeto, na pasta ou na organização selecionada são mostrados nos resultados da consulta. Você pode filtrar os resultados para recursos específicos usando filtros rápidos ou especificando filtros mais personalizados. Para obter mais informações, clique na guia do console que você está usando.

Console do Google Cloud

Para filtrar os resultados por tipo de recurso, ID do projeto ou local, use o painel Filtros rápidos.

Para visualizar os recursos de alto valor que o Risk Engine incluiu na última simulação do caminho de ataque, clique na guia Conjunto de recursos de alto valor. Também é possível visualizar as pontuações de exposição a ataques que o Risk Engine calculou para cada recurso.

Para aplicar filtros pré-criados e analisar dados de recursos, clique na guia Consulta de recursos.

Console de operações de segurança

Na guia Recursos do Google Cloud, no painel Filtros, é possível filtrar os resultados por tipo de recurso, ID do projeto ou local.

A guia Conjunto de recursos de alto valor permite visualizar os recursos de alto valor que o Risk Engine incluiu nas últimas simulações de caminho de ataque, bem como as pontuações de exposição a ataques que o Risk Engine calculou para cada recurso.

Esse recurso está em Pré-lançamento e disponível apenas para clientes do Security Command Center Enterprise.

Filtrar recursos

Nos filtros rápidos, você pode filtrar por ID do projeto, tipo de recurso e local.

Para informações sobre como usar filtros rápidos, clique na guia do console que você está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. No painel Filtros rápidos, selecione um ou mais filtros de atributos para adicioná-los a uma consulta.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Para filtrar recursos que têm valores de atributos específicos, siga estas etapas:
    1. No painel Filtros, clique em um valor de atributo e em Mostrar apenas. A consulta é atualizada de acordo.
    2. Para adicionar outro valor de atributo à consulta, clique no valor do atributo e em and show only.
    3. Para remover um valor de atributo da consulta, clique no valor do atributo e em Não mostrar apenas.
  3. Para copiar um valor de atributo, clique nele e, depois, em Copiar.

Esse recurso está em Pré-lançamento e disponível apenas para clientes do Security Command Center Enterprise.

Editar consultas de recursos

Para informações sobre como editar consultas de recursos, clique na guia do console que você está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. Clique na guia Consulta de recursos.
  3. Edite a consulta de uma das seguintes maneiras:
    • Na subguia Biblioteca de consultas, selecione uma consulta pré-criada. Clique em Aplicar. A consulta no painel Editar consulta será atualizada de acordo.
    • No painel Selecionar tabela, clique no tipo de recurso que você quer consultar. Na subguia Esquema, encontre o atributo que você quer adicionar à consulta. O atributo é adicionado ao painel Editar consulta.
    • Edite a consulta diretamente no painel Editar consulta.
  4. Clique em Executar. Os resultados da consulta são atualizados de acordo.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Clique em Adicionar filtro. A caixa de diálogo Filtros será exibida. Esta caixa de diálogo permite escolher atributos e valores de recursos compatíveis.
  3. Em Filtro, selecione um atributo para filtrar.
  4. Defina a opção de avaliação de filtro e o valor do atributo. As opções de avaliação disponíveis diferem de acordo com o atributo selecionado.
    • Para filtrar recursos que têm um valor de atributo específico, selecione Mostrar apenas. Na lista Valor, selecione o valor do atributo.
    • Para filtrar recursos que têm um valor de atributo com uma string específica, selecione Contains. No campo Valor, insira a string.
    • Para filtrar recursos com base em um carimbo de data/hora, selecione Antes ou Depois. No campo Valor, digite o carimbo de data/hora.
  5. Para adicionar outro filtro, siga estas etapas:
    1. Clique em Adicionar filtro.
    2. Defina o atributo, a opção de avaliação e o valor do atributo.
    3. Define a relação lógica entre os filtros. Em Operador lógico, selecione AND ou OR.
  6. Clique em Aplicar. O editor de consultas é atualizado e os resultados são filtrados de acordo.

Esse recurso está em Pré-lançamento e disponível apenas para clientes do Security Command Center Enterprise.

Visualizar as alterações em um recurso

É possível comparar snapshots dos metadados de um recurso para ver o que mudou.

Para informações sobre como consultar as alterações de um recurso ao longo do tempo, clique na guia do console que você está usando.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. Localize o recurso que você precisa revisar rolando ou aplicando os filtros apropriados aos recursos listados.
  3. Na lista de recursos do painel de resultados, clique no nome do recurso. O painel de detalhes do recurso é aberto.
  4. No painel de detalhes do recurso, clique na guia Histórico de alterações.
  5. Na guia Histórico de alterações, selecione um Horário de início e um Horário de término.
  6. Na lista Selecione um registro para comparar à esquerda, selecione um snapshot.
  7. Na lista Selecione um registro para comparar à direita, selecione um snapshot para comparar com o primeiro selecionado. As alterações entre os dois snapshots serão destacadas.

Console de operações de segurança

  1. No console de Operações de Segurança, acesse a página Recursos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Localize o recurso que você precisa revisar rolando ou aplicando os filtros apropriados aos recursos listados.
  3. Na lista de recursos do painel de resultados, clique no nome do recurso. O painel de detalhes do recurso é aberto.
  4. No painel de detalhes do recurso, clique na guia Histórico de alterações.
  5. Na lista Comparar à esquerda, selecione um snapshot.
  6. Na lista Comparar à direita, selecione um snapshot para comparar com o primeiro snapshot selecionado. As alterações entre os dois snapshots serão destacadas.

Esse recurso está em Pré-lançamento e disponível apenas para clientes do Security Command Center Enterprise.

Filtrar recursos pelo carimbo de data/hora de criação ou última atualização

Para informações sobre como filtrar recursos por carimbo de data/hora, clique na guia do console que você está usando.

Console do Google Cloud

É possível filtrar ou classificar os recursos no painel de resultados da página Recursos pelos carimbos de data/hora Criado e Última atualização.

Para um filtro com base no carimbo de data/hora Criado, Última atualização ou ambos, siga estas etapas:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. Na parte superior do painel de resultados na página Recursos, coloque o cursor no campo Filtro. Um menu de filtros será aberto.
  3. Role até a seção Horário de criação ou Horário de atualização e selecione uma das opções de filtro com base em tempo. Por exemplo, Update time after. Um filtro é adicionado ao campo Filtro.
  4. No campo de filtro, digite uma data no formato MM/DD/YYYY e pressione Enter no teclado.

Os recursos no painel de resultados são atualizados para mostrar apenas os recursos que correspondem ao filtro.

Console de operações de segurança

Este recurso não está disponível no console de Operações de Segurança.

Personalizar a página "Recursos" no console do Google Cloud

Para controlar o espaço na tela, personalize alguns dos elementos que aparecem na página Recursos.

Ocultar ou exibir colunas

É possível ocultar qualquer coluna, exceto o Nome de exibição. Para ocultar a coluna, siga estas etapas:

  1. No console do Google Cloud, acesse a página Recursos do Security Command Center.

    Acessar Recursos

  2. Na parte superior do painel de resultados à direita, clique no ícone de Opções de exibição da coluna, .

  3. No menu exibido, é possível exibir ou ocultar uma coluna marcando ou desmarcando a caixa de seleção ao lado do nome dela.

Ocultar ou redimensionar o painel "Filtros rápidos"

Para controlar o espaço na tela da página Recursos, altere as seguintes opções:

  • Para ocultar o painel lateral Filtros rápidos, clique na seta para a esquerda, .
  • Redimensione as colunas de exibição arrastando a linha divisória para a esquerda ou direita.

A seguir