Sicherheitsdiagramm mit Abfragen untersuchen

Der Sicherheitsgraph von Security Command Center ist eine beziehungsbezogene Datenbank, in der Cloud-Ressourcen, ihre Konfigurationen und zugehörige Risikoindikatoren wie Sicherheitslücken, Zugriffsberechtigungen, Datensensibilität und Netzwerkexposition abgebildet werden. Das Diagramm bietet einen umfassenden Überblick über Ihre Cloud-Assets und ihre Beziehungen.

In diesem Dokument wird die Diagrammsuche beschrieben. Mit dieser Funktion können Sie das Sicherheitsdiagramm untersuchen, indem Sie benutzerdefinierte Abfragen erstellen, um potenzielle Sicherheitsrisiken in Ihrer Umgebung zu ermitteln.

Abfragekomponenten

Sicherheitsdiagramm-Abfragen bestehen aus drei Hauptkomponententypen:

Knoten: Ein Sicherheitsergebnis oder eine Cloud-Ressource.
WHERE-Anweisung (Filter): Ein Filter, der auf einen Knoten angewendet wird, um die Abfrage basierend auf den spezifischen Attributen des Knotens zu verfeinern.
Verbindung: Eine gerichtete Beziehung zwischen zwei Knoten.

Das Folgende ist ein Beispiel für eine Abfrage, wie sie in der Google Cloud Konsole mit diesen Komponenten zu sehen ist.

Beispiel für eine Security Command Center-Graphabfrage mit verschiedenen Komponenten — Beispiel für eine Security Command Center Graph-Abfrage mit verschiedenen Komponenten

In dieser Beispielabfragestruktur wird eine Beziehung zwischen Sicherheitsentitäten identifiziert, um das Risiko zu ermitteln. Zuerst werden mit der Abfrage die wichtigsten Themen oder Knoten der Untersuchung festgelegt: die CVE-Sicherheitslücke und die VM (GCE). Die Verbindung, die durch den Ausdruck betrifft gekennzeichnet ist, verknüpft diese beiden Knoten explizit. Schließlich wird die Abfrage mit mehreren Attributen, den sogenannten WHERE-Klauseln oder Filtern, für jeden Knoten optimiert. Die hier verwendeten Filter umfassen den Schweregrad der Sicherheitslücke und die Erreichbarkeit der VM im Netzwerk. Zusammen helfen diese Komponenten, potenzielle Risiken in einer Umgebung zu erkennen.

Knoten

Ein Knoten stellt ein Sicherheitsergebnis oder eine Cloud-Ressource dar.

Einige Beispiele für Knoten in der Google Cloud Konsole:

CVE-Sicherheitslücke: Eine Sicherheitslücke vom Typ „Common Vulnerabilities and Exposures“, die von The MITRE Corporation definiert wird.
Virtuelle Maschine (GCE): eine Compute Engine-Instanz.
GKE-Bereitstellung: eine Google Kubernetes Engine-Ressource.
IAM-Dienstkonto: Ein Dienstkonto für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).
BigQuery-Dataset: Ein Container mit Daten in BigQuery. Weitere Informationen finden Sie unter Einführung in Datasets.

Knoten werden nach Kategorien wie Compute, Kubernetes, Identität und Datenbanken gruppiert. Sie können alle verfügbaren Knotentypen in derGoogle Cloud Konsole durchsuchen oder danach suchen, wenn Sie Ihre Anfrage erstellen.

WHERE-Klausel (Filter)

Eine WHERE-Anweisung ist ein Filter, der auf einen Knoten angewendet wird, um die Abfrage basierend auf den spezifischen Eigenschaften des Knotens zu verfeinern.

Hier einige Beispiele für Filter:

Schweregrad = Kritisch: Ein Element mit kritischem Schweregrad, z. B. eine CVE.
Has Full API Access = True: Gibt an, dass ein Knoten mit vollem Zugriff auf alle Google Cloud APIs konfiguriert ist.
Exploitation Activity = Confirmed (Ausnutzungsaktivität = Bestätigt): Gibt bekannte, gemeldete oder erwartete Instanzen einer Sicherheitslücke an, die aktiv ausgenutzt werden.

Die in der Google Cloud Console angezeigten Filter sind kontextbezogen und hängen vom ausgewählten Knotentyp ab.

Verbindung

Eine Verbindung ist eine gerichtete Beziehung zwischen zwei Knoten.

Hier einige Beispiele für Verbindungen:

that affects (betrifft): Definiert die Beziehung zwischen zwei ausgewählten Knoten, z. B. eine CVE-Sicherheitslücke in Bezug auf eine virtuelle Maschine (GCE).
that uses (verwendet): definiert die Beziehung zwischen zwei ausgewählten Knoten, z. B. einer virtuellen Maschine (GCE) in Bezug auf ein IAM-Dienstkonto.

Verbindungen sind kontextbezogen und es werden nur gültige Beziehungen für den ausgewählten Knotentyp angezeigt.

Abfrage erstellen

Sie können den Sicherheitsgraphen abfragen, um Ihre Cloud-Umgebung anhand von Kriterien zu untersuchen, die für Sie wichtig sind. Durch das Ausführen und Optimieren von Abfragen im Diagramm können Sie bestimmte Sicherheitsschwachstellen identifizieren, die Sie überwachen möchten.

Rufen Sie in der Google Cloud Console die Seite Graph-Suche des Security Command Center auf.

Zur Graphsuche
Erstellen Sie Ihre Abfrage im Abfrageeditor. Wählen Sie eine der folgenden Optionen aus:
- Eigene benutzerdefinierte Abfrage erstellen
- Wählen Sie einen vordefinierten Suchvorschlag aus und verwenden Sie ihn unverändert.
- Sie können einen vordefinierten Suchvorschlag an Ihre Anforderungen anpassen.
Führen Sie die Abfrage aus.
Sehen Sie sich die Abfrageergebnisse in der Tabelle an. Sie können die Ergebnisansicht anpassen, indem Sie auswählen, welche Spalten angezeigt werden sollen. Sie können jede Spalte auch in auf- oder absteigender Reihenfolge sortieren.
Optional: Wenn Sie die Abfrageergebnisse als CSV-Datei exportieren möchten, klicken Sie auf CSV-Datei herunterladen.

Hinweis :Exporte sind auf 1.000 Zeilen begrenzt.

Benutzerdefinierte Abfragen erstellen

Sie können benutzerdefinierte Abfragen definieren, um Sicherheitslücken zu identifizieren, die für Ihre Umgebung spezifisch sind.

So erstellen Sie eine benutzerdefinierte Abfrage: Beginnen Sie entweder mit einer neuen Abfrage oder passen Sie einen vorhandenen Suchvorschlag an. Gehen Sie dazu so vor:

Rufen Sie in der Google Cloud Console die Seite Graphensuche des Security Command Center auf.

Zur Graphsuche
Klicken Sie im Feld Anzeigen auf Hinzufügen und wählen Sie eine Ressource oder ein Ergebnis als primären Knoten für Ihre Anfrage aus. Klicken Sie dann auf Weiter. Ein Dialogfeld für den ausgewählten Knoten wird angezeigt.
Führen Sie einen der folgenden Schritte aus, um Ihre Anfrage zu optimieren:
- Wenn Sie nach einer der Eigenschaften des Knotens filtern möchten, klicken Sie für diese Eigenschaft auf die Ein/Aus-Schaltfläche Where. Geben Sie im Feld Filterwert, das angezeigt wird, einen Wert ein oder wählen Sie einen Wert aus, den die Eigenschaft enthalten muss.
- Wenn Sie nach den Verbindungen des Knotens zu anderen Knoten filtern möchten, klicken Sie auf den Schalter neben einem Verbindungstyp wie Betrifft oder Verwendet, um ihn zu aktivieren.
Hinweis: Im Abfrageeditor werden nur die Filter und Verbindungen angezeigt, die für den ausgewählten Knotentyp gültig sind.
So ändern Sie Ihre Anfrage:
- Wenn Sie Ihrer Anfrage Komponenten hinzufügen möchten, klicken Sie neben einem Knoten oder einer Verbindung auf Hinzufügen.
- Wenn Sie eine Komponente aus Ihrer Anfrage entfernen möchten, klicken Sie auf Schließen.
Wählen Sie Abfrage ausführen aus.

Die verfügbaren Knoten, Filter und Verbindungen werden in der Google Cloud Console aktualisiert.

Suchvorschläge verwenden oder anpassen

Es werden mehrere Suchvorschläge als Ausgangspunkt angezeigt. Sie können diese Vorschläge unverändert verwenden oder an Ihre speziellen Anforderungen anpassen.

Rufen Sie in der Google Cloud Console die Seite Graphensuche des Security Command Center auf.

Zur Graphsuche
Wählen Sie einen Suchvorschlag aus, um detailliertere Informationen zur Abfrage aufzurufen.
Klicken Sie auf Vorschlag verwenden.
Optional: Passen Sie die Abfragedetails im Editor an Ihre Anforderungen an. Weitere Informationen finden Sie unter Benutzerdefinierte Abfragen erstellen.
Klicken Sie auf Abfrage ausführen.

Fehlerbehebung bei Abfragen, die keine Ergebnisse zurückgeben

Wenn bei Ihrer Abfrage keine Ergebnisse zurückgegeben werden, können Sie die folgenden Schritte zur Fehlerbehebung und Anpassung ausführen.

Vordefinierten Suchvorschlag verwenden

Die vordefinierten Suchvorschläge sind Beispiele, die Ergebnisse liefern sollen, die für eine Vielzahl von Umgebungen relevant sind. Sie können Suchvorschläge an Ihre spezifischen Anforderungen anpassen.

Anfrage vereinfachen oder anpassen

Entfernen oder reduzieren Sie Filter, um den Umfang Ihrer Anfrage zu erweitern.
Führen Sie eine Abfrage für einen einzelnen Asset-Typ oder eine einzelne Eigenschaft aus, um zu prüfen, ob Daten zurückgegeben werden.
Kombinieren Sie nicht zu viele Einschränkungen. Dadurch könnten Ergebnisse unbeabsichtigt ausgeschlossen werden.

Zugriffsberechtigungen prüfen

Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben, um die Daten abzurufen, die Sie abfragen. Ohne den richtigen Zugriff werden einige Assets oder Beziehungen möglicherweise ausgeblendet oder aus den Ergebnissen ausgeschlossen.

Zeit für die Datensynchronisierung einplanen

Es kann einige Minuten oder Stunden dauern, bis neu erstellte oder aktualisierte Ressourcen im Diagramm angezeigt werden. Verzögerungen können beispielsweise auftreten, wenn Sie gerade eine Ressource hinzugefügt oder IAM-Richtlinien aktualisiert haben. Wenn Sie gerade Änderungen an Ihrer Cloud-Umgebung vorgenommen haben, versuchen Sie es nach einiger Zeit noch einmal.

Abdeckung des Graphen

Einige Datentypen oder Beziehungen sind im Sicherheitsdiagramm möglicherweise nicht verfügbar, je nach Ihrer Umgebung und den unterstützten Datentypen. Wenn Sie nicht die erwarteten Daten sehen, sind sie möglicherweise nicht im Diagramm verfügbar.

Zusätzliche Hilfe

Wenn Sie die oben genannten Schritte ausprobiert haben und immer noch nicht die erwarteten Ergebnisse sehen, wenden Sie sich an Ihren Projektadministrator oder lesen Sie den Abschnitt Support erhalten, um Hilfe bei der Überprüfung Ihrer Abfragekonfiguration und Berechtigungen zu erhalten.