Esplorare il grafico della sicurezza utilizzando le query

Il grafico di sicurezza di Security Command Center è un database che riconosce le relazioni e mappa le risorse cloud, le relative configurazioni e gli indicatori di rischio associati, come vulnerabilità, autorizzazioni di accesso, sensibilità dei dati ed esposizione della rete. Il grafico fornisce una visione completa delle risorse cloud e delle relative relazioni.

Questo documento spiega la ricerca nel grafico, una funzionalità che consente di esplorare il grafico di sicurezza creando query personalizzate per individuare potenziali problemi di sicurezza nel tuo ambiente.

Componenti delle query

Le query del grafico di sicurezza sono costituite da tre tipi di componenti principali:

• Nodo: un risultato di sicurezza o una risorsa cloud.
• Clausola WHERE (filtro): un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche del nodo.
• Connessione: una relazione direzionale tra due nodi.

Di seguito è riportato un esempio di query visualizzata nella Google Cloud console, che utilizza questi componenti.

Questa struttura di query di esempio identifica una relazione tra le entità di sicurezza per individuare il rischio. Innanzitutto, la query stabilisce i soggetti chiave, o nodi, dell'indagine, la vulnerabilità CVE e la macchina virtuale (GCE). La connessione, identificata dalla frase che interessa, collega esplicitamente questi due nodi. Infine, la query viene ottimizzata utilizzando più attributi, noti come clausole WHERE o filtri, su ogni nodo. I filtri utilizzati qui includono la gravità della vulnerabilità e la raggiungibilità della rete della VM. Insieme, questi componenti aiutano a identificare i potenziali rischi in un ambiente.

Nodo

Un nodo rappresenta un risultato di sicurezza o una risorsa cloud.

Ecco alcuni esempi di nodi nella Google Cloud console:

• Vulnerabilità CVE: una vulnerabilità di vulnerabilità ed esposizioni comuni definita da The MITRE Corporation.
• Macchina virtuale (GCE): un'istanza di Compute Engine.
• Deployment GKE: una risorsa Google Kubernetes Engine.
• Service account IAM: un service account Identity and Access Management (IAM).
• Set di dati BigQuery: un container di dati in BigQuery. Per saperne di più, consulta Introduzione ai set di dati.

I nodi sono raggruppati per categorie come Compute, Kubernetes, Identity e Database. Puoi sfogliare o cercare tutti i tipi di nodi disponibili nella Google Cloud console durante la creazione della query.

Clausola WHERE (filtro)

Una clausola WHERE è un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche associate al nodo.

Di seguito sono riportati alcuni esempi di filtri:

• Gravità = Critica: un elemento di gravità critica, ad esempio una vulnerabilità CVE.
• Accesso API completo = True: indica che un nodo è configurato con l'accesso completo a tutte le Google Cloud API.
• Attività di sfruttamento = Confermato: indica istanze note, segnalate o previste di una vulnerabilità sfruttata in circolazione.

I filtri visualizzati nella Google Cloud console sono sensibili al contesto e dipendono dal tipo di nodo selezionato.

Connessione

Una connessione è una relazione direzionale tra due nodi.

Di seguito sono riportati alcuni esempi di connessioni:

• che interessa: definisce la relazione tra due nodi selezionati, ad esempio una vulnerabilità CVE in relazione a una macchina virtuale (GCE)
• che utilizza: definisce la relazione tra due nodi selezionati, ad esempio una macchina virtuale (GCE) in relazione a un service account IAM

Le connessioni sono sensibili al contesto e vengono visualizzate solo le relazioni valide per il tipo di nodo selezionato.

Creare una query

Puoi eseguire query sul grafico di sicurezza per esplorare il tuo ambiente cloud in base a criteri importanti per te. L'esecuzione e il perfezionamento delle query sul grafico possono aiutarti a identificare le vulnerabilità di sicurezza specifiche che vuoi monitorare.

1. Nella Google Cloud console, vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai a Ricerca nel grafico

2. Utilizza l'editor di query per creare la query. Scegli una delle seguenti opzioni:

   • Crea una query personalizzata.
   • Seleziona un suggerimento di ricerca predefinito e utilizzalo così com'è.
   • Modifica un suggerimento di ricerca predefinito in base alle tue esigenze.

3. Esegui la query.

4. Esamina i risultati della query nella tabella. Puoi personalizzare la visualizzazione dei risultati selezionando le colonne da visualizzare. Puoi anche ordinare ogni colonna in ordine crescente o decrescente.

5. (Facoltativo) Per esportare i risultati della query come file CSV, fai clic su Scarica CSV.

Creare query personalizzate

Puoi definire query personalizzate per identificare le vulnerabilità di sicurezza specifiche del tuo ambiente.

Per creare una query personalizzata, avvia una nuova query o personalizza un suggerimento di ricerca esistente seguendo questi passaggi:

1. Nella Google Cloud console, vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai a Ricerca nel grafico

2. Nel campo Mostra, fai clic su add Aggiungi e seleziona una risorsa o un risultato come nodo principale per la query, quindi fai clic su Continua. Viene visualizzata una finestra di dialogo per il nodo selezionato.

3. Per perfezionare la query, esegui una delle seguenti operazioni:

   • Per filtrare in base a una delle proprietà del nodo, fai clic sul pulsante di attivazione/disattivazione WHERE per quella proprietà. Nel campo Valore filtro visualizzato, inserisci o seleziona un valore che la proprietà deve contenere.
   • Per filtrare in base alle connessioni del nodo ad altri nodi, fai clic sul pulsante di attivazione/disattivazione accanto a un tipo di connessione, ad esempio che interessa o che utilizza, per attivarlo.

4. Per modificare la query, esegui una delle seguenti operazioni:

   • Per aggiungere componenti alla query, fai clic su add Aggiungi accanto a un nodo o a una connessione.
   • Per rimuovere un componente dalla query, fai clic su close Chiudi.

5. Seleziona Esegui query.

   I nodi, i filtri e le connessioni disponibili vengono aggiornati in the Google Cloud console.

Utilizzare o personalizzare un suggerimento di ricerca

Vengono forniti diversi suggerimenti di ricerca come punti di partenza. Puoi utilizzare questi suggerimenti così come sono o personalizzarli in base alle tue esigenze specifiche.

1. Nella Google Cloud console, vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai a Ricerca nel grafico

2. Seleziona un suggerimento di ricerca per visualizzare informazioni più dettagliate sulla query.

3. Fai clic su Utilizza suggerimento.

4. (Facoltativo) Modifica i dettagli della query nell'editor in base alle tue esigenze. Per saperne di più, consulta Creare query personalizzate.

5. Fai clic su Esegui query.

Risolvere i problemi relativi alle query che non restituiscono risultati

Se la query non restituisce risultati, prova a seguire questi passaggi per risolvere il problema e apportare le modifiche necessarie.

Utilizzare un suggerimento di ricerca predefinito

I suggerimenti di ricerca predefiniti forniti sono esempi progettati per restituire risultati pertinenti a una varietà di ambienti. Puoi modificare i suggerimenti di ricerca in base alle tue esigenze specifiche.

Semplificare o modificare la query

• Rimuovi o riduci i filtri per ampliare l'ambito della query.

• Prova a eseguire una query su un singolo tipo di risorsa o proprietà per verificare che i dati vengano restituiti.

• Evita di combinare troppi vincoli. In questo modo potresti escludere involontariamente i risultati.

Verificare le autorizzazioni di accesso

Assicurati di disporre delle autorizzazioni necessarie per visualizzare i dati su cui stai eseguendo la query. Senza l'accesso corretto, alcune risorse o relazioni potrebbero essere nascoste o escluse dai risultati.

Attendere la sincronizzazione dei dati

Potrebbero essere necessari alcuni minuti o ore prima che le risorse create o aggiornate di recente vengano visualizzate nel grafico. Ad esempio, possono verificarsi ritardi se hai appena aggiunto una risorsa o aggiornato i criteri IAM. Se hai appena apportato modifiche al tuo ambiente cloud, prova a eseguire di nuovo la query dopo un po' di tempo.

Copertura del grafico

Alcuni tipi di dati o relazioni potrebbero non essere disponibili nel grafico di sicurezza, a seconda dell'ambiente e dei tipi di dati supportati. Se non vedi i dati previsti, è possibile che non siano disponibili nel grafico.

Ulteriore assistenza

Se hai provato i passaggi precedenti e non vedi ancora i risultati previsti, contatta l'amministratore del progetto o consulta Richiedere assistenza per esaminare la configurazione e le autorizzazioni della query.

Passaggi successivi

• Scopri di più sui problemi di Security Command Center .
• Gestisci e risolvi i problemi