Esplorare il grafico della sicurezza utilizzando le query

Il grafico della sicurezza di Security Command Center è un database sensibile alle relazioni che mappa le risorse cloud, le loro configurazioni e gli indicatori di rischio associati, come vulnerabilità, autorizzazioni di accesso, sensibilità dei dati ed esposizione della rete. Il grafico fornisce una visione completa delle tue risorse cloud e delle loro relazioni.

Questo documento descrive la ricerca nel grafico, una funzionalità che ti consente di esplorare il grafico della sicurezza creando query personalizzate per identificare potenziali problemi di sicurezza nel tuo ambiente.

Componenti della query

Le query del grafico di sicurezza sono costituite da tre tipi di componenti principali:

• Nodo: un risultato di sicurezza o una risorsa cloud.
• Clausola WHERE (filtro): un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche del nodo.
• Connessione: una relazione direzionale tra due nodi.

Di seguito è riportato un esempio di query visualizzata nella console Google Cloud , che utilizza questi componenti.

Questa struttura di query di esempio identifica una relazione tra entità di sicurezza per contribuire a individuare il rischio. Innanzitutto, la query stabilisce i soggetti chiave, o nodi, dell'indagine, la vulnerabilità CVE e la macchina virtuale (GCE). La connessione, identificata dalla frase che influisce su, collega esplicitamente questi due nodi. Infine, la query viene ottimizzata utilizzando più attributi, noti come clausole WHERE o filtri, su ogni nodo. I filtri utilizzati qui includono la gravità della vulnerabilità e la raggiungibilità di rete della VM. Insieme, questi componenti aiutano a identificare i potenziali rischi in un ambiente.

Nodo

Un nodo rappresenta un risultato di sicurezza o una risorsa cloud.

Ecco alcuni esempi di un nodo nella console Google Cloud :

• Vulnerabilità CVE: una vulnerabilità Common Vulnerabilities and Exposures definita da The MITRE Corporation.
• Macchina virtuale (GCE): un'istanza di Compute Engine.
• Deployment GKE: una risorsa Google Kubernetes Engine.
• Service account IAM: un service account Identity and Access Management (IAM).
• Set di dati BigQuery: un contenitore di dati in BigQuery. Per saperne di più, consulta la pagina introduttiva ai set di dati.

I nodi sono raggruppati per categorie, ad esempio Compute, Kubernetes, Identity e Database. Puoi sfogliare o cercare tutti i tipi di nodi disponibili nella consoleGoogle Cloud durante la creazione della query.

Clausola WHERE (filtro)

Una clausola where è un filtro applicato a un nodo per perfezionare la query in base alle proprietà specifiche associate al nodo.

Di seguito sono riportati alcuni esempi di filtri:

• Gravità = Critica: un elemento di gravità critica, ad esempio una CVE.
• Has Full API Access = True: indica che un nodo è configurato con accesso completo a tutte le API Google Cloud .
• Exploitation Activity = Confirmed: indica istanze note, segnalate o previste di una vulnerabilità sfruttata in circolazione.

I filtri visualizzati nella console Google Cloud sono sensibili al contesto e dipendono dal tipo di nodo selezionato.

Connessione

Una connessione è una relazione direzionale tra due nodi.

Di seguito sono riportati alcuni esempi di connessioni:

• che influisce su: definisce la relazione tra due nodi selezionati, ad esempio una vulnerabilità CVE in relazione a una macchina virtuale (GCE)
• che utilizza: definisce la relazione tra due nodi selezionati, ad esempio una macchina virtuale (GCE) in relazione a un service account IAM

Le connessioni sono sensibili al contesto e vengono mostrate solo le relazioni valide per il tipo di nodo selezionato.

Creare una query

Puoi eseguire query sul grafico di sicurezza per esplorare il tuo ambiente cloud in base a criteri importanti per te. L'esecuzione e il perfezionamento delle query sul grafico possono aiutarti a identificare punti deboli specifici della sicurezza che vuoi monitorare.

1. Nella console Google Cloud , vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai alla ricerca nel grafico

2. Utilizza l'editor di query per creare la query. Scegli una delle seguenti opzioni:

   • Crea una query personalizzata.
   • Seleziona un suggerimento di ricerca predefinito e utilizzalo così com'è.
   • Modifica un suggerimento di ricerca predefinito in base alle tue esigenze.

3. Esegui la query.

4. Esamina i risultati della query nella tabella. Puoi personalizzare la visualizzazione dei risultati selezionando le colonne da visualizzare. Puoi anche ordinare ogni colonna in ordine crescente o decrescente.

5. (Facoltativo) Per esportare i risultati della query come file CSV, fai clic su Scarica CSV.

Creare query personalizzate

Puoi definire query personalizzate per identificare le vulnerabilità di sicurezza specifiche del tuo ambiente.

Per creare una query personalizzata, avvia una nuova query o personalizza un suggerimento di ricerca esistente seguendo questi passaggi:

1. Nella console Google Cloud , vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai alla ricerca nel grafico

2. Nel campo Mostra, fai clic su add Aggiungi e seleziona una risorsa o un risultato come nodo principale per la query, quindi fai clic su Continua. Viene visualizzata una finestra di dialogo per il nodo selezionato.

3. Per perfezionare la query, esegui una delle seguenti operazioni:

   • Per filtrare in base a una delle proprietà del nodo, fai clic sul pulsante di attivazione/disattivazione Dove per quella proprietà. Nel campo Valore filtro visualizzato, inserisci o seleziona un valore che la proprietà deve contenere.
   • Per filtrare in base alle connessioni del nodo ad altri nodi, fai clic sul pulsante di attivazione/disattivazione accanto a un tipo di connessione, ad esempio che influisce su o che utilizza, per attivarlo.

4. Per modificare la query, esegui una delle seguenti operazioni:

   • Per aggiungere componenti alla query, fai clic su add Aggiungi accanto a un nodo o una connessione.
   • Per rimuovere un componente dalla query, fai clic su close Chiudi.

5. Seleziona Esegui query.

   I nodi, i filtri e le connessioni disponibili vengono aggiornati nella console Google Cloud .

Utilizzare o personalizzare un suggerimento di ricerca

Vengono forniti diversi suggerimenti di ricerca come punti di partenza. Puoi utilizzare questi suggerimenti così come sono o personalizzarli in base alle tue esigenze specifiche.

1. Nella console Google Cloud , vai alla pagina Ricerca nel grafico di Security Command Center.

   Vai alla ricerca nel grafico

2. Seleziona un suggerimento di ricerca per visualizzare informazioni più dettagliate sulla query.

3. Fai clic su Usa suggerimento.

4. (Facoltativo) Modifica i dettagli della query nell'editor in base alle tue esigenze. Per maggiori informazioni, consulta Creare query personalizzate.

5. Fai clic su Esegui query.

Risolvere i problemi relativi alle query che non restituiscono risultati

Se la query non restituisce risultati, prova a seguire questi passaggi per risolvere il problema e apportare le modifiche necessarie.

Utilizzare un suggerimento di ricerca predefinito

I suggerimenti di ricerca predefiniti forniti sono esempi progettati per restituire risultati pertinenti a una serie di ambienti. Puoi modificare i suggerimenti di ricerca in base alle tue esigenze specifiche.

Semplificare o modificare la query

• Rimuovi o riduci i filtri per ampliare l'ambito della query.

• Prova a eseguire una query su un singolo tipo di asset o proprietà per verificare che i dati vengano restituiti.

• Evita di combinare troppi vincoli. In questo modo, potresti escludere involontariamente i risultati.

Verifica delle autorizzazioni di accesso

Assicurati di disporre delle autorizzazioni necessarie per visualizzare i dati che stai interrogando. Senza l'accesso corretto, alcune risorse o relazioni potrebbero essere nascoste o escluse dai risultati.

Attendere la sincronizzazione dei dati

Potrebbero essere necessari alcuni minuti o ore prima che le risorse create o aggiornate di recente vengano visualizzate nel grafico. Ad esempio, possono verificarsi ritardi se hai appena aggiunto una risorsa o aggiornato i criteri IAM. Se hai appena apportato modifiche al tuo ambiente cloud, prova a eseguire di nuovo la query dopo un po' di tempo.

Copertura del grafico

A seconda dell'ambiente e dei tipi di dati supportati, alcuni tipi di dati o relazioni potrebbero non essere disponibili nel grafico della sicurezza. Se non visualizzi i dati previsti, è possibile che non siano disponibili nel grafico.

Ulteriore assistenza

Se hai provato i passaggi precedenti e non visualizzi ancora i risultati previsti, contatta l'amministratore del progetto o consulta la sezione Richiedere assistenza per ricevere aiuto per la revisione della configurazione e delle autorizzazioni della query.

Passaggi successivi

• Scopri di più sui problemi di Security Command Center.
• Gestire e risolvere i problemi