Explorar o gráfico de segurança usando consultas

O gráfico de segurança do Security Command Center é um banco de dados com reconhecimento de relacionamento que mapeia recursos de nuvem, configurações e indicadores de risco associados, como vulnerabilidades, permissões de acesso, sensibilidade de dados e exposição de rede. O gráfico oferece uma visão abrangente dos seus recursos de nuvem e dos relacionamentos deles.

Este documento explica a pesquisa por gráficos, um recurso que permite explorar o gráfico de segurança criando consultas personalizadas para ajudar a identificar possíveis problemas de segurança no seu ambiente.

Componentes de consulta

As consultas de gráficos de segurança consistem em três tipos principais de componentes:

  • : uma descoberta de segurança ou um recurso de nuvem.
  • Cláusula WHERE (filtro): um filtro aplicado a um nó para refinar a consulta com base nas propriedades específicas do nó.
  • Conexão: um relacionamento direcional entre dois nós.

Confira a seguir um exemplo de consulta no Google Cloud console usando esses componentes.

Exemplo de consulta de gráfico do Security Command Center usando vários componentes
Exemplo de consulta de gráfico do Security Command Center usando vários componentes

Essa estrutura de consulta de exemplo identifica um relacionamento entre entidades de segurança para ajudar a identificar o risco. Primeiro, a consulta estabelece os principais assuntos ou nós da investigação, a vulnerabilidade CVE e a máquina virtual (GCE). A conexão, identificada pela frase que afeta, vincula explicitamente esses dois nós. Por fim, a consulta é ajustada usando vários atributos, conhecidos como cláusulas WHERE ou filtros, em cada nó. Os filtros usados aqui incluem a gravidade da vulnerabilidade e a acessibilidade da rede da VM. Juntos, esses componentes ajudam a identificar possíveis riscos em um ambiente.

Um nó representa uma descoberta de segurança ou um recurso de nuvem.

Confira alguns exemplos de um nó no Google Cloud console:

Os nós são agrupados por categorias, como computação, Kubernetes, identidade e bancos de dados. É possível navegar ou pesquisar todos os tipos de nós disponíveis no Google Cloud console ao criar a consulta.

Cláusula WHERE (filtro)

Uma cláusula WHERE é um filtro aplicado a um nó para refinar a consulta com base nas propriedades específicas associadas ao nó.

Confira alguns exemplos de filtros:

  • Gravidade = Crítica: um item de gravidade crítica, por exemplo, uma CVE.
  • Tem acesso total à API = Verdadeiro: indica que um nó está configurado com acesso total a todas as Google Cloud APIs.
  • Atividade de exploração = Confirmada: indica instâncias conhecidas, informadas ou previstas de uma vulnerabilidade sendo explorada na natureza.

Os filtros mostrados no Google Cloud console são sensíveis ao contexto e dependem de o tipo de nó selecionado.

Conexão

Uma conexão é um relacionamento direcional entre dois nós.

Confira alguns exemplos de conexões:

  • que afeta: define o relacionamento entre dois nós selecionados , por exemplo, uma vulnerabilidade CVE em relação a uma máquina virtual (GCE)
  • que usa: define o relacionamento entre dois nós selecionados, por exemplo, uma máquina virtual (GCE) em relação a uma conta de serviço do IAM

As conexões são sensíveis ao contexto, e apenas relacionamentos válidos são mostrados para o tipo de nó selecionado.

Criar uma consulta

É possível consultar o gráfico de segurança para explorar seu ambiente de nuvem com base em critérios importantes para você. A realização e o refinamento de consultas no gráfico podem ajudar a identificar fraquezas de segurança específicas que você quer monitorar.

  1. No Google Cloud console, acesse a página Pesquisa por gráficos do Security Command Center.

    Acessar a pesquisa por gráficos

  2. Use o editor de consultas para criar sua consulta. Escolha uma das seguintes opções:

  3. Execute a consulta.

  4. Analise os resultados da consulta na tabela. É possível personalizar a visualização dos resultados selecionando as colunas que serão mostradas. Também é possível classificar cada coluna em ordem crescente ou decrescente.

  5. Opcional: para exportar os resultados da consulta como um arquivo CSV, clique em Fazer o download do CSV.

Criar consultas personalizadas

É possível definir consultas personalizadas para identificar vulnerabilidades de segurança específicas do seu ambiente.

Para criar uma consulta personalizada, inicie uma nova consulta ou personalize uma sugestão de pesquisa existente seguindo estas etapas:

  1. No Google Cloud console, acesse a página Pesquisa por gráficos do Security Command Center.

    Acessar a pesquisa por gráficos

  2. No campo Mostrar, clique em Adicionar e selecione um recurso ou descoberta como o nó principal da consulta e clique em Continuar. Uma caixa de diálogo aparece para o nó selecionado.

  3. Para refinar a consulta, faça o seguinte:

    • Para filtrar por uma das propriedades do nó, clique no botão Onde dessa propriedade. No campo Valor do filtro que aparece, insira ou selecione um valor que a propriedade precisa conter.
    • Para filtrar pelas conexões do nó com outros nós, clique no botão ao lado de um tipo de conexão, como que afeta ou que usa, para ativá-lo.

  4. Para modificar a consulta, faça o seguinte:

    • Para adicionar componentes à consulta, clique em Adicionar ao lado de um nó ou conexão.
    • Para remover um componente da consulta, clique em Fechar.

  5. Selecione Executar consulta.

    Os nós, filtros e conexões disponíveis são atualizados em o Google Cloud console.

Usar ou personalizar uma sugestão de pesquisa

Várias sugestões de pesquisa são fornecidas como pontos de partida. É possível usar essas sugestões como estão ou personalizá-las para atender aos seus requisitos específicos.

  1. No Google Cloud console, acesse a página Pesquisa por gráficos do Security Command Center.

    Acessar a pesquisa por gráficos

  2. Selecione uma sugestão de pesquisa para ver informações mais detalhadas sobre a consulta.

  3. Clique em Usar sugestão.

  4. Opcional: modifique os detalhes da consulta no editor para atender às suas necessidades. Para mais informações, consulte Criar consultas personalizadas.

  5. Clique em Executar consulta.

Resolver problemas com consultas que não retornam resultados

Se a consulta não retornar resultados, siga as etapas abaixo para resolver o problema e ajustar.

Usar uma sugestão de pesquisa predefinida

As sugestões de pesquisa predefinidas fornecidas são exemplos projetados para retornar resultados relevantes para uma variedade de ambientes. É possível modificar as sugestões de pesquisa para atender às suas necessidades específicas.

Simplificar ou ajustar a consulta

  • Remova ou reduza os filtros para ampliar o escopo da consulta.

  • Tente consultar um único tipo de recurso ou propriedade para validar se os dados estão sendo retornados.

  • Evite combinar muitas restrições. Isso pode excluir resultados involuntariamente.

Verificar permissões de acesso

Verifique se você tem as permissões necessárias para visualizar os dados que está consultando. Sem o acesso correto, alguns recursos ou relacionamentos podem ser ocultos ou excluídos dos resultados.

Aguardar a sincronização de dados

Os recursos criados ou atualizados recentemente podem levar alguns minutos ou horas para aparecer no gráfico. Por exemplo, atrasos podem ocorrer se você acabou de adicionar um recurso ou atualizar as políticas do IAM. Se você acabou de fazer mudanças no ambiente de nuvem, tente executar a consulta novamente após algum tempo.

Cobertura do gráfico

Alguns tipos de dados ou relacionamentos podem não estar disponíveis no gráfico de segurança, dependendo do seu ambiente e dos tipos de dados compatíveis. Se você não encontrar os dados esperados, eles podem não estar disponíveis no gráfico.

Mais ajuda

Se você tentou as etapas anteriores e ainda não está vendo os resultados esperados, entre em contato com o administrador do projeto ou consulte Receber suporte para assistência na revisão da configuração e das permissões da consulta.

A seguir