Explora el gráfico de seguridad con consultas

El gráfico de seguridad de Security Command Center es una base de datos que tiene en cuenta las relaciones y que asigna los recursos de la nube, sus configuraciones y los indicadores de riesgo asociados, como las vulnerabilidades, los permisos de acceso, la sensibilidad de los datos y la exposición de la red. El gráfico proporciona una vista integral de tus recursos de nube y sus relaciones.

En este documento, se explica la búsqueda en el gráfico, una función que te permite explorar el gráfico de seguridad creando consultas personalizadas para identificar posibles problemas de seguridad en tu entorno.

Componentes de la consulta

Las consultas del gráfico de seguridad constan de tres tipos de componentes principales:

Nodo: Es un hallazgo de seguridad o un recurso de nube.
Cláusula WHERE (filtro): Es un filtro que se aplica a un nodo para refinar la búsqueda según las propiedades específicas del nodo.
Conexión: Es una relación direccional entre dos nodos.

A continuación, se muestra un ejemplo de una consulta tal como se ve en la consola de Google Cloud , con estos componentes.

Ejemplo de consulta de Security Command Center Graph con una variedad de componentes — Ejemplo de consulta del gráfico de Security Command Center con una variedad de componentes

Esta estructura de ejemplo de la búsqueda identifica una relación entre entidades de seguridad para ayudar a determinar el riesgo. Primero, la búsqueda establece los temas clave, o nodos, de la investigación, la vulnerabilidad del CVE y la máquina virtual (GCE). La conexión, identificada por la frase que afecta, vincula explícitamente estos dos nodos. Por último, la búsqueda se ajusta con precisión usando varios atributos, conocidos como cláusulas where o filtros, en cada nodo. Los filtros que se usan aquí incluyen la gravedad de la vulnerabilidad y la accesibilidad a la red de la VM. En conjunto, estos componentes ayudan a identificar los posibles riesgos en un entorno.

Nodo

Un nodo representa un hallazgo de seguridad o un recurso de nube.

Estos son algunos ejemplos de un nodo en la consola de Google Cloud :

Vulnerabilidad CVE: Es una vulnerabilidad de Common Vulnerabilities and Exposures definida por The MITRE Corporation.
Máquina virtual (GCE): Es una instancia de Compute Engine.
Implementación de GKE: Es un recurso de Google Kubernetes Engine.
Cuenta de servicio de IAM: Es una cuenta de servicio de Identity and Access Management (IAM).
Conjunto de datos de BigQuery: Es un contenedor de datos en BigQuery. Para obtener más información, consulta Introducción a los conjuntos de datos.

Los nodos se agrupan por categorías, como Compute, Kubernetes, Identity y Databases. Puedes explorar o buscar todos los tipos de nodos disponibles en la consola deGoogle Cloud cuando construyas tu consulta.

Cláusula WHERE (filtro)

Una cláusula where es un filtro que se aplica a un nodo para refinar la consulta según las propiedades específicas asociadas al nodo.

Estos son algunos ejemplos de filtros:

Gravedad = Crítica: Es un elemento de gravedad crítica, por ejemplo, una CVE.
Has Full API Access = True: Indica que un nodo está configurado con acceso completo a todas las APIs de Google Cloud .
Exploitation Activity = Confirmed: Indica instancias conocidas, informadas o previstas de una vulnerabilidad que se explota en el entorno real.

Los filtros que se muestran en la Google Cloud consola son sensibles al contexto y dependen del tipo de nodo que seleccionaste.

Conexión

Una conexión es una relación direccional entre dos nodos.

A continuación, se incluyen ejemplos de conexiones:

that affects: Define la relación entre dos nodos seleccionados, por ejemplo, una vulnerabilidad de CVE en relación con una máquina virtual (GCE).
que usa: Define la relación entre dos nodos seleccionados, por ejemplo, una máquina virtual (GCE) en relación con una cuenta de servicio de IAM.

Las conexiones tienen en cuenta el contexto, y solo se muestran las relaciones válidas para el tipo de nodo seleccionado.

Cómo crear una consulta

Puedes consultar el gráfico de seguridad para explorar tu entorno de nube según los criterios que te resulten importantes. Realizar y refinar consultas en el gráfico puede ayudarte a identificar las debilidades de seguridad específicas que deseas supervisar.

En la consola de Google Cloud , ve a la página Graph search de Security Command Center.

Ir a Búsqueda de gráficos
Usa el editor de consultas para crear tu consulta. Elige una de las siguientes opciones:
- Crea tu propia consulta personalizada.
- Selecciona una sugerencia de búsqueda predefinida y úsala tal como está.
- Modificar una sugerencia de búsqueda predefinida para que se adapte a tus necesidades
Ejecuta tu consulta.
Revisa los resultados de la consulta en la tabla. Puedes personalizar la vista de resultados seleccionando las columnas que deseas mostrar. También puedes ordenar cada columna de forma ascendente o descendente.
Opcional: Para exportar los resultados de la búsqueda como un archivo CSV, haz clic en Descargar CSV.

Nota: Las exportaciones se limitan a 1,000 filas.

Crea consultas personalizadas

Puedes definir consultas personalizadas para identificar vulnerabilidades de seguridad específicas de tu entorno.

Para crear una búsqueda personalizada, comienza una búsqueda nueva o personaliza una sugerencia de búsqueda existente siguiendo estos pasos:

En la consola de Google Cloud , ve a la página deBúsqueda de gráficos de Security Command Center.

Ir a Búsqueda de gráficos
En el campo Mostrar, haz clic en Agregar, selecciona un recurso o un hallazgo como el nodo principal de tu búsqueda y, luego, haz clic en Continuar. Aparecerá un diálogo para el nodo seleccionado.
Para definir mejor tu búsqueda, realiza una de las siguientes acciones:
- Para filtrar por una de las propiedades del nodo, haz clic en el botón de activación Where de esa propiedad. En el campo Valor del filtro que aparece, ingresa o selecciona un valor que debe contener la propiedad.
- Para filtrar por las conexiones del nodo a otros nodos, haz clic en el botón de activación junto a un tipo de conexión, como que afecta o que usa, para habilitarlo.
Nota: El editor de consultas solo muestra los filtros y las conexiones que son válidos para el tipo de nodo seleccionado.
Para modificar tu búsqueda, realiza una de las siguientes acciones:
- Para agregar componentes a tu búsqueda, haz clic en Agregar junto a un nodo o una conexión.
- Para quitar un componente de tu búsqueda, haz clic en Cerrar.
Selecciona Ejecutar consulta.

Los nodos, los filtros y las conexiones disponibles se actualizan en la Google Cloud consola.

Cómo usar o personalizar una sugerencia de búsqueda

Se proporcionan varias sugerencias de búsqueda como puntos de partida. Puedes usar estas sugerencias tal como están o personalizarlas para que se ajusten a tus requisitos específicos.

En la consola de Google Cloud , ve a la página deBúsqueda de gráficos de Security Command Center.

Ir a Búsqueda de gráficos
Selecciona una sugerencia de búsqueda para ver información más detallada sobre la búsqueda.
Haz clic en Usar sugerencia.
Opcional: Modifica los detalles de la consulta en el editor según tus necesidades. Para obtener más información, consulta Crea consultas personalizadas.
Haz clic en Ejecutar consulta.

Soluciona problemas de consultas que no muestran resultados

Si tu búsqueda no arroja resultados, prueba los siguientes pasos para solucionar el problema y realizar ajustes.

Cómo usar una sugerencia de búsqueda predefinida

Las sugerencias de búsqueda predefinidas que se proporcionan son ejemplos diseñados para devolver resultados pertinentes para una variedad de entornos. Puedes modificar las sugerencias de búsqueda para que se adapten a tus necesidades específicas.

Simplifica o ajusta tu búsqueda

Quita o reduce los filtros para ampliar el alcance de tu búsqueda.
Intenta consultar un solo tipo de activo o propiedad para validar que se devuelvan los datos.
Evita combinar demasiadas restricciones. De lo contrario, es posible que se excluyan resultados sin querer.

Verifica los permisos de acceso

Asegúrate de tener los permisos necesarios para ver los datos sobre los que realizas la consulta. Sin el acceso correcto, es posible que algunos activos o relaciones estén ocultos o excluidos de los resultados.

Permite que se sincronicen los datos

Es posible que los recursos creados o actualizados recientemente tarden unos minutos u horas en aparecer en el gráfico. Por ejemplo, pueden ocurrir demoras si acabas de agregar un recurso o actualizar las políticas de IAM. Si acabas de realizar cambios en tu entorno de nube, intenta ejecutar la consulta de nuevo después de un tiempo.

Cobertura del gráfico

Es posible que algunos tipos de datos o relaciones no estén disponibles en el gráfico de seguridad, según tu entorno y los tipos de datos admitidos. Si no ves los datos esperados, es posible que no estén disponibles en el gráfico.

Ayuda adicional

Si probaste los pasos anteriores y aún no ves los resultados esperados, comunícate con el administrador de tu proyecto o consulta Cómo obtener asistencia para obtener ayuda con la revisión de la configuración y los permisos de tu consulta.

¿Qué sigue?

Obtén más información sobre los problemas de Security Command Center.
Administra y soluciona problemas.