Vous pouvez afficher et filtrer les résultats concernant les failles sur les pages suivantes de la Google Cloud console :
- Page Failles
- Page Résultats
Après avoir affiché les résultats concernant les failles qui vous intéressent, vous pouvez afficher des informations détaillées sur un résultat particulier en sélectionnant la faille dans Security Command Center. Cela inclut une description de la faille et du risque, ainsi que des recommandations pour y remédier.
Sur cette page, le terme faille fait référence aux résultats des classes Vulnerability et Misconfiguration.
Comparaison des pages "Failles" et "Résultats"
Les options de filtre de la page Failles sont limitées par rapport aux options de filtre et de requête disponibles sur la page Résultats.
La page Failles affiche toutes les catégories de résultats des classes Vulnerability et Misconfiguration, ainsi que le nombre actuel de résultats actifs dans chaque catégorie et les normes de conformité auxquelles chaque catégorie de résultats est associée. Si aucune faille active n'est présente dans une catégorie particulière, 0 s'affiche dans la colonne Résultats actifs.
En revanche, la page Résultats peut afficher des catégories de résultats de n'importe quelle classe de résultats, mais n'affiche une catégorie de résultats que si un problème de sécurité a été détecté dans cette catégorie dans votre environnement au cours de la période spécifiée.
Pour en savoir plus, consultez les pages suivantes :
Appliquer des préréglages de requête
Sur la page Failles, vous pouvez sélectionner des requêtes prédéfinies, appelées préréglages de requête, qui renvoient des résultats liés à des objectifs de sécurité spécifiques.
Par exemple, si vous êtes responsable de la gestion des droits d'accès à l'infrastructure cloud (CIEM) pour Google Cloud, vous pouvez sélectionner le préréglage de requête **Erreurs de configuration des identités et des accès** pour afficher tous les résultats liés aux comptes principaux mal configurés ou auxquels des autorisations excessives ou sensibles ont été accordées.
Si votre objectif est de limiter les comptes principaux aux seules autorisations dont ils ont réellement besoin, vous pouvez sélectionner le préréglage de requête Recommandations IAM pour afficher les résultats du service Recommandations IAM pour les comptes principaux qui disposent de plus d'autorisations que nécessaire.
Pour sélectionner un préréglage de requête, procédez comme suit :
Accédez à l'ancienne page Failles :
Dans la section Préréglages de requête, cliquez sur l'un des sélecteurs de requête.
L'affichage est mis à jour pour n'afficher que les catégories de failles spécifiées dans la requête.
Afficher les résultats concernant les failles par projet
Pour afficher les résultats concernant les failles par projet sur l'ancienne page Failles de la Google Cloud console, procédez comme suit :
Accédez à l'ancienne page Failles de la Google Cloud console.
Dans le sélecteur de projet en haut de la page, sélectionnez le projet pour lequel vous devez afficher les résultats concernant les failles.
La page Failles n'affiche les résultats que pour le projet que vous avez sélectionné.
Vous pouvez également filtrer les résultats concernant les failles par un ou plusieurs ID de projet à l'aide des Filtres rapides sur la page "Résultats" si la vue de votre console est définie sur votre organisation.
Afficher les résultats concernant les failles par catégorie de résultat
Pour afficher les résultats concernant les failles par catégorie, procédez comme suit :
Accédez à l'ancienne page Failles de la Google Cloud console.
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
Dans la colonne Catégorie, sélectionnez le type de résultat que vous souhaitez afficher.
La pâge Résultats charge et affiche la liste des résultats correspondant au type que vous avez sélectionné.
Pour en savoir plus sur les catégories de résultats, consultez la page Résultats concernant les failles.
Afficher les résultats par type d'élément
Pour afficher les résultats concernant les failles pour un type d'élément spécifique, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans la Google Cloud console.
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
Dans le panneau Filtres rapides, sélectionnez les éléments suivants :
- Dans la section Classe du résultat, sélectionnez Faille et Erreur de configuration.
- (Facultatif) Dans la section ID du projet, sélectionnez l'ID du projet dans lequel afficher les éléments.
- Dans la section Type de ressource, sélectionnez le type de ressource que vous devez afficher.
La liste des résultats dans le panneau Résultats de la requête est mise à jour pour n'afficher que les résultats correspondant à vos sélections.
Afficher les résultats concernant les failles par score d'exposition aux attaques
Les résultats concernant les failles désignées comme étant à forte valeur et compatibles avec les simulations de chemins d'attaque se voient attribuer un score d'exposition aux attaques. Vous pouvez filtrer les résultats en fonction de ce score.
Pour afficher les résultats concernant les failles par score d'exposition aux attaques, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans la Google Cloud console.
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
À droite du panneau Aperçu de la requête, cliquez sur Modifier la requête.
En haut du panneau Éditeur de requête, cliquez sur Ajouter un filtre.
Dans la boîte de dialogue Sélectionner un filtre, procédez comme suit :
Sélectionnez Niveau d'exposition au piratage, puis saisissez une valeur de score dans le champ Niveau d'exposition au piratage supérieur à.
Cliquez sur Appliquer.
L'instruction de filtre est ajoutée à votre requête, et les résultats du panneau Résultats de la requête sont mis à jour pour n'afficher que les résultats dont le score d'exposition aux attaques est supérieur à la valeur spécifiée dans la nouvelle instruction de filtre.
Afficher les résultats concernant les failles par ID CVE
Vous pouvez afficher les résultats par ID CVE correspondant sur la page Présentation ou la page Résultats.
Sur la page Présentation, accédez au tableau de bord Failles. Pour en savoir plus sur les panneaux du tableau de bord, consultez la section Évaluer les risques en un coup d'œil.
Sur la page Résultats, vous pouvez interroger les résultats par ID CVE.
Pour interroger les résultats concernant les failles par ID CVE, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans la Google Cloud console.
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
À droite du champ Aperçu de la requête, cliquez sur Modifier la requête.
Dans l'Éditeur de requête, modifiez la requête pour inclure l'ID CVE que vous recherchez. Exemple :
state="ACTIVE" AND NOT mute="MUTED" AND vulnerability.cve.id="CVE-2016-5195"
Les Résultats de la requête sont mis à jour pour afficher tous les résultats actifs qui ne sont pas ignorés et qui contiennent l'ID CVE.
Afficher les résultats concernant les failles par gravité
Pour afficher les résultats concernant les failles par gravité, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans la Google Cloud console.
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
Dans le panneau Filtres rapides, accédez à la section Classe du résultat et sélectionnez Faille et Erreur de configuration.
Les résultats affichés sont mis à jour pour n'afficher que les résultats des classes
VulnerabilityetMisconfiguration.Toujours dans le panneau Filtres rapides, accédez à la section Gravité et sélectionnez les niveaux de gravité des résultats que vous devez afficher.
Les résultats affichés sont mis à jour pour n'afficher que les résultats concernant les failles des niveaux de gravité sélectionnés.
Afficher les catégories de résultats par nombre de résultats actifs
Pour afficher les catégories de résultats par nombre de résultats actifs qu'elles contiennent, vous pouvez utiliser la Google Cloud console ou les commandes de Google Cloud CLI.
Console
Pour afficher les catégories de résultats par nombre de résultats actifs qu'elles contiennent sur l'ancienne page Failles, vous pouvez trier les catégories par la colonne Résultats actifs ou les filtrer par le nombre de résultats actifs qu'elles contiennent.
Pour filtrer les catégories de résultats concernant les failles par nombre de résultats actifs qu'elles contiennent, procédez comme suit :
Ouvrez l'ancienne page Failles dans la Google Cloud console :
Dans le sélecteur de projet, sélectionnez votre organisation, votre dossier ou votre projet.
Placez le curseur dans le champ de filtre pour afficher une liste de filtres.
Dans la liste des filtres, sélectionnez Résultats actifs. Une liste d'opérateurs logiques s'affiche.
Sélectionnez un opérateur logique à utiliser dans votre filtre, tel que
>=.Saisissez un nombre et appuyez sur Entrée.
L'affichage est mis à jour pour n'afficher que les catégories de failles qui contiennent un nombre de résultats actifs correspondant à votre filtre.
gcloud
Pour utiliser gcloud CLI afin d'obtenir le décompte de tous les résultats actifs, vous devez d'abord interroger Security Command Center pour obtenir l'ID source d'un service de failles, puis utiliser cet ID source pour interroger le nombre de résultats actifs.
Étape 1 : Obtenir l'ID source
Pour effectuer cette étape, vous devez obtenir l'ID de votre organisation, puis l'ID source de l'un des services de détection des failles, également appelés sources de résultats. Si vous ne l'avez pas encore fait, vous êtes invité à activer l'API Security Command Center.
- Obtenez l'ID de votre organisation en exécutant
gcloud organizations list, puis notez le numéro situé à côté du nom de l'organisation. Obtenez l'ID source de Security Health Analytics en exécutant la commande suivante :
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='SOURCE_DISPLAY_NAME'
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de votre organisation. Un ID d'organisation est requis, quel que soit le niveau d'activation de Security Command Center.SOURCE_DISPLAY_NAME: nom à afficher du service de détection des failles pour lequel vous devez afficher les résultats. Exemple :Security Health Analytics.
Si vous y êtes invité, activez l'API Security Command Center, puis exécutez la commande précédente pour obtenir à nouveau l'ID source.
La commande permettant d'obtenir l'ID source doit afficher un résultat semblable à celui-ci :
description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Notez la valeur de SOURCE_ID afin de pouvoir l'utiliser à l'étape suivante.
Étape 2 : Obtenir le nombre de résultats actifs
Utilisez la valeur de SOURCE_ID que vous avez notée à l'étape précédente pour filtrer les résultats. La commande de gcloud CLI suivante renvoie un nombre de résultats par catégorie :
gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
--group-by=category --page-size=PAGE_SIZE
Vous pouvez définir la taille de la page sur une valeur ne dépassant pas 1 000. La commande doit afficher un résultat semblable à celui-ci, avec les résultats de votre organisation ou projet :
groupByResults:
- count: '1'
properties:
category: MFA_NOT_ENFORCED
- count: '3'
properties:
category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
category: API_KEY_EXISTS
- count: '10'
properties:
category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
category: BUCKET_LOGGING_DISABLED
nextPageToken: token
readTime: '2019-08-05T21:56:13.862Z'
totalSize: 50