צפייה בממצאי נקודות החולשה ב-Security Command Center

אפשר לראות ולסנן את הממצאים של פגיעויות בדפים הבאים במסוףGoogle Cloud :

  • הדף נקודות חולשה.
  • בדף ממצאים.

אחרי שמציגים את הממצאים לגבי נקודות החולשה שחשובים לכם, אפשר לבחור את נקודת החולשה ב-Security Command Center כדי לראות מידע מפורט לגבי ממצא מסוים. המידע הזה כולל תיאור של נקודת החולשה והסיכון, והמלצות לתיקון.

בדף הזה, המונח נקודת חולשה מתייחס גם לVulnerability וגם לMisconfiguration ממצאים.

השוואה בין הדף 'פגיעויות' לבין הדף 'ממצאים'

אפשרויות הסינון בדף Vulnerabilities (נקודות חולשה) מוגבלות בהשוואה לאפשרויות הסינון והשאילתות שזמינות בדף Findings (ממצאים).

בדף Vulnerabilities (נקודות חולשה) מוצגות כל קטגוריות הממצאים בכיתות הממצאים Vulnerability ו-Misconfiguration, יחד עם המספר הנוכחי של ממצאים פעילים בכל קטגוריה, ותקני התאימות שכל קטגוריה של ממצאים ממופה אליהם. אם אין פגיעויות פעילות בקטגוריה מסוימת, הסמל 0 מוצג בעמודה Active findings (ממצאים פעילים).

לעומת זאת, בדף ממצאים יכולות להופיע קטגוריות של ממצאים מכל סוג של ממצא, אבל קטגוריה של ממצא תופיע רק אם זוהתה בעיית אבטחה בקטגוריה הזו בסביבה שלכם בטווח הזמן שציינתם.

מידע נוסף זמין בדפים הבאים:

איך משתמשים בפילטרים מוגדרים מראש של שאילתות

בדף Vulnerabilities (נקודות חולשה), אפשר לבחור שאילתות מוגדרות מראש, query presets, שמחזירות ממצאים שקשורים למטרות אבטחה ספציפיות.

לדוגמה, אם אתם אחראים לניהול הרשאות של תשתית ענן (CIEM) ב- Google Cloud, תוכלו לבחור את ההגדרה הקבועה מראש של השאילתה Identity and access misconfigurations כדי לראות את כל הממצאים שקשורים לחשבונות ראשיים שההגדרות שלהם שגויות או שקיבלו הרשאות רגישות או הרשאות יתר.

לחלופין, אם המטרה שלכם היא להגביל את חשבונות המשתמשים רק להרשאות שהם באמת צריכים, אתם יכולים לבחור בהגדרה הקבועה מראש של שאילתת IAM Recommender כדי להציג ממצאים מ-IAM Recommender לגבי חשבונות משתמשים שיש להם יותר הרשאות ממה שהם צריכים.

כדי לבחור הגדרה קבועה מראש של שאילתה:

  1. עוברים לדף Vulnerabilities (פגיעויות) בגרסה הקודמת:

    כניסה לדף Vulnerabilities

  2. בקטע הגדרות קבועות מראש של שאילתות, לוחצים על אחת מהאפשרויות לבחירת שאילתה.

    התצוגה מתעדכנת כך שמוצגות בה רק קטגוריות הפגיעות שצוינו בשאילתה.

צפייה בממצאים של נקודות חולשה לפי פרויקט

כדי לראות את הממצאים של נקודות החולשה לפי פרויקט בדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud :

  1. נכנסים לדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud .

    כניסה לדף Vulnerabilities

  2. בחלק העליון של הדף, בתפריט לבחירת הפרויקט, בוחרים את הפרויקט שרוצים לראות בו את הממצאים לגבי נקודות החולשה.

בדף Vulnerabilities (נקודות חולשה) מוצגות תוצאות רק לגבי הפרויקט שבחרתם.

לחלופין, אם התצוגה במסוף מוגדרת לארגון שלכם, אתם יכולים לסנן את הממצאים של נקודות החולשה לפי מזהה פרויקט אחד או יותר באמצעות מסננים מהירים בדף הממצאים.

צפייה בממצאי נקודות חולשה לפי קטגוריית הממצאים

כדי לראות את הממצאים לגבי נקודות החולשה לפי קטגוריה:

  1. נכנסים לדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud .

    כניסה לדף Vulnerabilities

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בעמודה Category, בוחרים את סוג הממצאים שרוצים להציג.

הדף Findings נטען ומוצגת בו רשימה של ממצאים שתואמים לסוג שבחרתם.

מידע נוסף על קטגוריות זמין במאמר ממצאים של נקודות חולשה.

צפייה בממצאים לפי סוג הנכס

כדי לראות את הממצאים של נקודות חולשה בסוג נכס ספציפי:

  1. נכנסים לדף Findings במסוף Google Cloud של Security Command Center.

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בחלונית Quick filters, בוחרים באפשרויות הבאות:

    • בקטע Finding class, בוחרים באפשרויות Vulnerability (פגיעות) ו-Misconfiguration (הגדרה שגויה).
    • אופציונלי: בקטע Project ID, בוחרים את מזהה הפרויקט שבו רוצים להציג נכסים.
    • בקטע Resource type, בוחרים את סוג המשאב שרוצים לראות.

רשימת הממצאים בחלונית Findings query results מתעדכנת כך שיוצגו רק הממצאים שתואמים לבחירות שלכם.

צפייה בממצאים של נקודות חולשה לפי ציון החשיפה להתקפה

לממצאי פגיעות שמסווגים כבעלי ערך גבוה ונתמכים על ידי סימולציות של נתיבי תקיפה מוקצה ציון חשיפה להתקפה. אפשר לסנן את הממצאים לפי הציון הזה.

כדי לראות את הממצאים לגבי נקודות חולשה לפי ציון החשיפה למתקפות:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. משמאל לחלונית תצוגה מקדימה של השאילתה, לוחצים על עריכת השאילתה.

  4. בחלק העליון של החלונית עורך השאילתות, לוחצים על הוספת מסנן.

  5. בתיבת הדו-שיח Select filter (בחירת מסנן), מבצעים את הפעולות הבאות:

  6. בוחרים באפשרות Attack exposure (חשיפה להתקפות) ומזינים ערך ניקוד בשדה Attack exposure greater than (חשיפה להתקפות גבוהה מ).

  7. לוחצים על אישור.

    הצהרת המסנן נוספת לשאילתה, והממצאים בחלונית תוצאות השאילתה של הממצאים מתעדכנים כך שיוצגו רק ממצאים עם ציון חשיפה להתקפה שגבוה מהערך שצוין בהצהרת המסנן החדשה.

צפייה בתוצאות של איתור נקודות חולשה לפי מזהה CVE

אפשר לראות את הממצאים לפי מזהה ה-CVE המתאים בדף סקירה כללית או בדף ממצאים.

  • בדף סקירה כללית עוברים אל לוח הבקרה פגיעויות. מידע על החלוניות בלוח הבקרה זמין במאמר הערכת הסיכון במבט חטוף.

  • בדף Findings, אפשר לשלוח שאילתות לגבי ממצאים לפי מספר ה-CVE שלהם.

    כדי לשלוח שאילתה לגבי ממצאי נקודות חולשה לפי מזהה CVE:

    1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

      כניסה לדף Findings

    2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

    3. בצד שמאל בשדה תצוגה מקדימה של השאילתה, לוחצים על עריכת השאילתה.

    4. בעורך השאילתות, עורכים את השאילתה כדי לכלול את מזהה ה-CVE שאתם מחפשים. לדוגמה:

    state="ACTIVE"
  AND NOT mute="MUTED"
  AND vulnerability.cve.id="CVE-2016-5195"

    תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו כל הממצאים הפעילים שלא הושתקו ושכוללים את מזהה ה-CVE.

צפייה בתוצאות של נקודות חולשה לפי רמת חומרה

כדי לראות את הממצאים לגבי נקודות החולשה לפי רמת החומרה שלהן:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בחלונית Quick filters, עוברים לקטע Finding class ובוחרים באפשרויות Vulnerability ו-Misconfiguration.

    העדכון של הממצאים שמוצגים יכלול רק ממצאים מסוג Vulnerability ו-Misconfiguration.

  4. בנוסף, בחלונית Quick filters, עוברים לקטע Severity ובוחרים את רמות החומרה של הממצאים שרוצים לראות.

    התוצאות שמוצגות מתעדכנות כך שיוצגו רק תוצאות של פגיעויות ברמות החומרה שנבחרו.

הצגת קטגוריות של ממצאים לפי מספר הממצאים הפעילים

כדי לראות את קטגוריות הממצאים לפי מספר הממצאים הפעילים שהן מכילות, אפשר להשתמש במסוף Google Cloud או בפקודות של Google Cloud CLI.

המסוף

כדי לראות את קטגוריות הממצאים לפי מספר הממצאים הפעילים שהן מכילות בדף Vulnerabilities (פגיעויות) בגרסה הקודמת, אפשר למיין את הקטגוריות לפי העמודה Active findings (ממצאים פעילים) או לסנן את הקטגוריות לפי מספר הממצאים הפעילים שכל אחת מהן מכילה.

כדי לסנן קטגוריות של ממצאי נקודות חולשה לפי מספר הממצאים הפעילים שהן מכילות, בצעו את השלבים הבאים:

  1. פותחים את הדף Vulnerabilities (פגיעויות) בגרסה הקודמת של מסוף Google Cloud :

    כניסה לדף Vulnerabilities

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. מציבים את הסמן בשדה המסנן כדי להציג רשימה של מסננים.

  4. ברשימת המסננים, בוחרים באפשרות ממצאים פעילים. תוצג רשימה של אופרטורים לוגיים.

  5. בוחרים אופרטור לוגי לשימוש במסנן, כמו >=.

  6. מקלידים מספר ומקישים על Enter.

התצוגה מתעדכנת ומוצגות בה רק קטגוריות של פגיעויות שמכילות מספר ממצאים פעילים שתואם למסנן.

gcloud

כדי להשתמש ב-CLI של gcloud כדי לקבל את מספר הממצאים הפעילים, קודם שולחים שאילתה ל-Security Command Center כדי לקבל את מזהה המקור של שירות פגיעויות, ואז משתמשים במזהה המקור כדי לשלוח שאילתה לגבי מספר הממצאים הפעילים.

שלב 1: קבלת מזהה המקור

כדי להשלים את השלב הזה, צריך לקבל את מזהה הארגון ואז לקבל את מזהה המקור של אחד משירותי זיהוי נקודות החולשה, שנקראים גם מקורות ממצאים. אם עדיין לא הפעלתם את Security Command Center API, תתבקשו להפעיל אותו.

  1. מריצים את הפקודה gcloud organizations list כדי לקבל את מספר הארגון, ורושמים את המספר שמופיע לצד שם הארגון.

  2. כדי לקבל את מזהה המקור של Security Health Analytics, מריצים את הפקודה:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון. נדרש מזהה ארגון, ללא קשר לרמת ההפעלה של Security Command Center.
    • SOURCE_DISPLAY_NAME: השם המוצג של שירות זיהוי נקודות החולשה שרוצים להציג את הממצאים שלו. לדוגמה, Security Health Analytics.

  3. אם תתבקשו, תצטרכו להפעיל את Security Command Center API ואז להריץ שוב את הפקודה הקודמת כדי לקבל את מזהה המקור.

הפלט של הפקודה לקבלת מזהה המקור אמור להיראות כך:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

חשוב לשים לב לSOURCE_ID כדי להשתמש בו בשלב הבא.

שלב 2: קבלת מספר הממצאים הפעילים

משתמשים ב-SOURCE_ID שרשמתם בשלב הקודם כדי לסנן את הממצאים. הפקודה הבאה בכלי ה-CLI של gcloud מחזירה את מספר הממצאים לפי קטגוריה:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

אפשר להגדיר את גודל הדף לכל ערך עד 1,000. הפלט של הפקודה אמור להיראות כך, עם תוצאות שרלוונטיות לארגון או לפרויקט שלכם:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50