Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

חקירת Security Graph באמצעות שאילתות

גרף האבטחה ב-Security Command Center הוא מסד נתונים שמודע לקשרים וממפה משאבי ענן, את ההגדרות שלהם ואת אינדיקטורים הסיכון שמשויכים אליהם, כמו נקודות חולשה, הרשאות גישה, רגישות נתונים וחשיפה לרשת. הגרף מספק תצוגה מקיפה של נכסי הענן והקשרים ביניהם.

במאמר הזה מוסבר על חיפוש ב-Security Graph, תכונה שמאפשרת לכם לחקור את Security Graph על ידי יצירת שאילתות מותאמות אישית, כדי לזהות בעיות אבטחה פוטנציאליות בסביבה שלכם.

חיפוש בגרף לא זמין בהפעלות ברמת הפרויקט. מידע נוסף זמין במאמר בנושא זמינות התכונות בהפעלות ברמת הפרויקט.

רכיבי שאילתה

שאילתות של Security Graph מורכבות משלושה סוגים עיקריים של רכיבים:

צומת: ממצא אבטחה או משאב בענן.
פסקה של Where (מסנן): מסנן שמוחל על צומת כדי לשפר את השאילתה על סמך המאפיינים הספציפיים של הצומת.
חיבור: קשר חד-כיווני בין שני צמתים.

בדוגמה הבאה מוצגת שאילתה כפי שהיא מופיעה במסוף Google Cloud , עם הרכיבים האלה.

דוגמה לשאילתת גרף ב-Security Command Center באמצעות מגוון רכיבים — דוגמה לשאילתת גרף של Security Command Center באמצעות מגוון רכיבים

מבנה השאילתה לדוגמה הזה מזהה קשר בין ישויות אבטחה כדי לעזור לזהות סיכון. קודם כול, השאילתה מגדירה את הנושאים העיקריים, או הצמתים, של החקירה: CVE Vulnerability ו-Virtual Machine (GCE). הקשר, שמזוהה על ידי הביטוי that affects, מקשר באופן מפורש בין שני הצמתים האלה. לבסוף, השאילתה עוברת כוונון מדויק באמצעות כמה מאפיינים, שנקראים סעיפי where או מסננים, בכל צומת. המסננים שבהם נעשה שימוש כאן כוללים את חומרת הפגיעות ואת הנגישות של המכונה הווירטואלית לרשת. השילוב של כל הרכיבים האלה עוזר לזהות סיכונים פוטנציאליים בסביבה.

צומת

צומת מייצג ממצא אבטחה או משאב בענן.

דוגמאות לצומת במסוף Google Cloud :

נקודת חולשה מסוג CVE: נקודת חולשה מסוג Common Vulnerabilities and Exposures (חשיפות ונקודות חולשה נפוצות) שהוגדרה על ידי MITRE Corporation.
מכונה וירטואלית (GCE): מכונה של Compute Engine.
פריסת GKE: משאב של Google Kubernetes Engine.
חשבון שירות ב-IAM: חשבון שירות בניהול זהויות והרשאות גישה (IAM).
מערך נתונים ב-BigQuery: מאגר נתונים ב-BigQuery. מידע נוסף זמין במאמר מבוא למערכי נתונים.

הצמתים מקובצים לפי קטגוריות כמו Compute,‏ Kubernetes,‏ Identity ו-Databases. אתם יכולים לעיין בכל סוגי הצמתים הזמינים או לחפש אותם בGoogle Cloud מסוף כשאתם יוצרים את השאילתה.

סעיף Where (מסנן)

פסוקית where היא מסנן שמוחל על צומת כדי לצמצם את השאילתה על סמך המאפיינים הספציפיים שמשויכים לצומת.

הנה כמה דוגמאות למסננים:

חומרה = קריטית: פריט ברמת חומרה קריטית, לדוגמה, CVE.
‫Has Full API Access = True: מציין שהצומת מוגדר עם גישה מלאה לכל ממשקי ה-API. Google Cloud
פעילות ניצול לרעה = אושרה: מציין מקרים ידועים, מדווחים או צפויים של ניצול לרעה של פגיעות בטבע.

המסננים שמוצגים במסוף Google Cloud תלויים בהקשר ובסוג הצומת שבחרתם.

חיבור

חיבור הוא קשר חד-כיווני בין שני צמתים.

דוגמאות לחיבורים:

‫that affects (שמשפיע על): מגדיר את הקשר בין שני צמתים נבחרים – לדוגמה, פגיעות CVE ביחס למכונה וירטואלית (GCE)
that uses: מגדיר את הקשר בין שני צמתים שנבחרו – לדוגמה, מכונה וירטואלית (GCE) ביחס לחשבון שירות של IAM

החיבורים תלויים בהקשר, ומוצגים רק קשרים תקפים לסוג הצומת שנבחר.

יצירת שאילתה

אתם יכולים להריץ שאילתות ב-Security Graph כדי לבחון את סביבת הענן על סמך קריטריונים שחשובים לכם. ביצוע שאילתות בגרף ושיפור שלהן יכול לעזור לכם לזהות נקודות חולשה ספציפיות באבטחה שאתם רוצים לעקוב אחריהן.

במסוף Google Cloud , נכנסים לדף Graph search של Security Command Center.

מעבר לחיפוש גרפים
משתמשים בעורך השאילתות כדי ליצור את השאילתה. בוחרים באחת מהאפשרויות הבאות:
- יצירת שאילתה מותאמת אישית.
- בוחרים הצעה לחיפוש מוגדר מראש ומשתמשים בה כמו שהיא.
- לשנות הצעה מוגדרת מראש לחיפוש כדי להתאים אותה לצרכים שלכם.
מריצים את השאילתה.
בודקים את תוצאות השאילתה בטבלה. אפשר להתאים אישית את תצוגת התוצאות על ידי בחירת העמודות שיוצגו. אפשר גם למיין כל עמודה בסדר עולה או יורד.
אופציונלי: כדי לייצא את תוצאות השאילתה כקובץ CSV, לוחצים על הורדת קובץ CSV.

הערה: הייצוא מוגבל ל-1,000 שורות.

יצירת שאילתות בהתאמה אישית

אתם יכולים להגדיר שאילתות מותאמות אישית כדי לזהות פגיעויות אבטחה שספציפיות לסביבה שלכם.

כדי ליצור שאילתה בהתאמה אישית, אפשר להתחיל שאילתה חדשה או להתאים אישית הצעה קיימת לחיפוש באמצעות השלבים הבאים:

במסוף Google Cloud , נכנסים לדף Graph search של Security Command Center.

מעבר לחיפוש גרפים
בשדה הצגה, לוחצים על הוספה, בוחרים משאב או ממצא כצומת הראשי של השאילתה ולוחצים על המשך. מופיעה תיבת דו-שיח עבור הצומת שנבחר.
כדי לשפר את השאילתה, אפשר לבצע אחת מהפעולות הבאות:
- כדי לסנן לפי אחד מהמאפיינים של הצומת, לוחצים על המתג Where של המאפיין. בשדה Filter value שמופיע, מזינים או בוחרים ערך שהמאפיין צריך להכיל.
- כדי לסנן לפי החיבורים של הצומת לצמתים אחרים, לוחצים על המתג לצד סוג החיבור, כמו that affects (שמשפיע על) או that uses (שמשתמש ב), כדי להפעיל אותו.
הערה: בכלי לעריכת שאילתות מוצגים רק המסננים והחיבורים שתקפים לסוג הצומת שנבחר.
כדי לשנות את השאילתה, אפשר לבצע כל אחת מהפעולות הבאות:
- כדי להוסיף רכיבים לשאילתה, לוחצים על הוספה לצד צומת או חיבור.
- כדי להסיר רכיב מהשאילתה, לוחצים על סגירה.
לוחצים על Run query.

הצמתים, המסננים והחיבורים הזמינים מתעדכנים במסוף Google Cloud .

איך משתמשים בהצעות לחיפוש או משנים אותן

מוצגות כמה הצעות לחיפוש כנקודות התחלה. אפשר להשתמש בהצעות האלה כמו שהן או להתאים אותן אישית לדרישות הספציפיות שלכם.

במסוף Google Cloud , נכנסים לדף Graph search של Security Command Center.

מעבר לחיפוש גרפים
בוחרים הצעה לחיפוש כדי לראות מידע מפורט יותר על השאילתה.
לוחצים על שימוש בהצעה.
אופציונלי: משנים את פרטי השאילתה בעורך בהתאם לצרכים שלכם. מידע נוסף זמין במאמר יצירת שאילתות בהתאמה אישית.
לוחצים על Run query.

פתרון בעיות בשאילתות שלא מחזירות תוצאות

אם השאילתה לא מחזירה תוצאות, אפשר לנסות את השלבים הבאים כדי לפתור את הבעיה ולבצע שינויים.

שימוש בהצעה מוגדרת מראש לחיפוש

ההצעות המוגדרות מראש לחיפוש הן דוגמאות שנועדו להחזיר תוצאות שרלוונטיות למגוון סביבות. אתם יכולים לשנות את ההצעות לחיפוש בהתאם לצרכים הספציפיים שלכם.

שינוי או פישוט של השאילתה

כדי להרחיב את היקף השאילתה, צריך להסיר או לצמצם את המסננים.
כדאי לנסות לשלוח שאילתה לגבי סוג נכס או מאפיין יחיד כדי לוודא שהנתונים מוחזרים.
אל תשלבו יותר מדי אילוצים. פעולה כזו עלולה לגרום להחרגה לא מכוונת של תוצאות.

אימות הרשאות הגישה

חשוב לוודא שיש לכם את ההרשאות הנדרשות כדי לראות את הנתונים שאתם שולחים לגביהם שאילתות. אם אין לכם את הגישה הנכונה, יכול להיות שחלק מהנכסים או מהקשרים יהיו מוסתרים או לא יוצגו בתוצאות.

המתנה לסנכרון הנתונים

יכול להיות שיעברו כמה דקות או שעות עד שמשאבים שנוצרו או עודכנו לאחרונה יופיעו בתרשים. לדוגמה, יכולים להיות עיכובים אם הרגע הוספתם משאב או עדכנתם מדיניות IAM. אם ביצעתם שינויים בסביבת הענן, נסו להריץ את השאילתה שוב אחרי זמן מה.

כיסוי הגרף

יכול להיות שסוגים מסוימים של נתונים או קשרים לא יהיו זמינים ב-Security Graph, בהתאם לסביבה ולסוגי הנתונים הנתמכים. אם אתם לא רואים את הנתונים שציפיתם לראות, יכול להיות שהם לא זמינים בתרשים.

עזרה נוספת

אם ניסיתם את השלבים הקודמים ואתם עדיין לא רואים את התוצאות הצפויות, אתם יכולים לפנות לאדמין של הפרויקט או לעיין במאמר קבלת תמיכה כדי לקבל עזרה בבדיקת ההגדרות וההרשאות של השאילתה.