חקירת Security Graph באמצעות שאילתות

Security Graph ב-Security Command Center הוא מסד נתונים שמודע לקשרים בין המשאבים בענן, המידע על ההגדרות שלהם ומדדי הסיכון שמשויכים אליהם, כמו נקודות חולשה, הרשאות גישה, רגישות הנתונים וחשיפה לרשת. הגרף מספק תצוגה מקיפה של נכסי הענן והקשרים ביניהם.

במסמך הזה, תוכלו ללמוד על Graph Search, תכונה שמאפשרת לכם לחקור את Security Graph על ידי יצירת שאילתות בהתאמה אישית, כדי לעזור לזהות בעיות אבטחה פוטנציאליות בסביבה שלכם.

רכיבי שאילתה

שאילתות של Security Graph מורכבות משלושה סוגים עיקריים של רכיבים:

  • צומת: ממצא אבטחה או משאב בענן.
  • פסוקית WHERE (מסנן): מסנן שמוחל על צומת כדי לשפר את השאילתה על סמך המאפיינים הספציפיים של הצומת.
  • חיבור: קשר חד-כיווני בין שני צמתים.

בדוגמה הבאה מוצגת שאילתה כפי שהיא מופיעה במסוף Google Cloud , עם הרכיבים האלה.

דוגמה לשאילתת גרף ב-Security Command Center באמצעות מגוון רכיבים
דוגמה לשאילתת גרף של Security Command Center באמצעות מגוון רכיבים

מבנה השאילתה לדוגמה הזה מזהה קשר בין ישויות אבטחה כדי לעזור לזהות סיכון. קודם כול, השאילתה מגדירה את הנושאים העיקריים, או הצמתים, של החקירה: CVE Vulnerability ו-Virtual Machine (GCE). הקשר, שמזוהה על ידי הביטוי that affects, מקשר באופן מפורש בין שני הצמתים האלה. לבסוף, השאילתה עוברת כוונון מדויק באמצעות כמה מאפיינים, שנקראים סעיפי where או מסננים, בכל צומת. המסננים שבהם נעשה שימוש כאן כוללים את חומרת הפגיעות ואת הנגישות של המכונה הווירטואלית לרשת. השילוב של כל הרכיבים האלה עוזר לזהות סיכונים פוטנציאליים בסביבה.

צומת

צומת מייצג ממצא אבטחה או משאב בענן.

דוגמאות לצומת במסוף Google Cloud :

  • נקודת חולשה מסוג CVE: נקודת חולשה מסוג Common Vulnerabilities and Exposures (חשיפות ונקודות חולשה נפוצות) שהוגדרה על ידי MITRE Corporation.
  • מכונה וירטואלית (GCE): מכונה ב-Compute Engine.
  • GKE Deployment: משאב Google Kubernetes Engine.
  • חשבון שירות ב-IAM: חשבון שירות בניהול זהויות והרשאות גישה (IAM).
  • מערך נתונים ב-BigQuery: מאגר נתונים ב-BigQuery. מידע נוסף זמין במאמר מבוא למערכי נתונים.

הצמתים מקובצים לפי קטגוריות כמו Compute,‏ Kubernetes,‏ Identity ו-Databases. כשמנסחים את השאילתה, אפשר לעיין בכל סוגי הצמתים הזמינים או לחפש אותם במסוףGoogle Cloud .

פסקה של Where (מסנן)

פסוקית where היא מסנן שמוחל על צומת כדי לצמצם את השאילתה על סמך המאפיינים הספציפיים שמשויכים לצומת.

לפניכם כמה דוגמאות למסננים:

  • חומרה = קריטית: פריט ברמת חומרה קריטית, לדוגמה, CVE.
  • Has Full API Access = True: מציין שהצומת מוגדר עם גישה מלאה לכל ממשקי ה-API‏ Google Cloud .
  • פעילות ניצול = אושרה: מציין מקרים ידועים, מדווחים או צפויים של ניצול פגיעות בטבע.

המסננים שמוצגים במסוף Google Cloud תלויים בהקשר ובסוג הצומת שבחרתם.

חיבור

חיבור הוא קשר חד-כיווני בין שני צמתים.

דוגמאות לחיבורים:

  • that affects: מגדיר את הקשר בין שני צמתים נבחרים – לדוגמה, נקודת חולשה של CVE ביחס למכונה וירטואלית (GCE).
  • משתמש ב: מגדיר את הקשר בין שני צמתים שנבחרו – לדוגמה, מכונה וירטואלית (GCE) ביחס לחשבון שירות של IAM.

החיבורים תלויים בהקשר, ומוצגים רק קשרים תקפים לסוג הצומת שנבחר.

יצירת שאילתה

אתם יכולים להריץ שאילתות ב-Security Graph כדי לבחון את סביבת הענן על סמך קריטריונים שחשובים לכם. ביצוע שאילתות בגרף ושיפור שלהן יכול לעזור לכם לזהות נקודות חולשה ספציפיות באבטחה שאתם רוצים לעקוב אחריהן.

פרימיום

  1. כדי לפתוח את דף השאילתות של Security Graph, עוברים לדף חיפוש בתרשים ב-Security Command Center.

    מעבר אל Graph Search

  2. משתמשים בעורך השאילתות כדי ליצור את השאילתה.

    1. יוצרים שאילתה מותאמת אישית משלכם.

    2. בוחרים אפשרות:

  3. מריצים את השאילתה.

  4. בודקים את תוצאות השאילתה בטבלה. אתם יכולים להתאים אישית את תצוגת התוצאות על ידי בחירת העמודות שיוצגו. אפשר גם למיין כל עמודה בסדר עולה או יורד.

  5. מייצאים את תוצאות השאילתה כקובץ CSV באמצעות האפשרות הורדת CSV.

Enterprise

  1. כדי לפתוח את דף השאילתות של Security Graph, עוברים לדף סקירת הסיכונים > חיפוש בגרף ב-Security Command Center.

    מעבר אל Graph Search

  2. משתמשים בעורך השאילתות כדי ליצור את השאילתה.

    1. יוצרים שאילתה מותאמת אישית משלכם.

    2. בוחרים אפשרות:

  3. מריצים את השאילתה.

  4. בודקים את תוצאות השאילתה בטבלה. אתם יכולים להתאים אישית את תצוגת התוצאות על ידי בחירת העמודות שיוצגו. אפשר גם למיין כל עמודה בסדר עולה או יורד.

  5. מייצאים את תוצאות השאילתה כקובץ CSV באמצעות האפשרות הורדת CSV.

יצירת שאילתות בהתאמה אישית

אתם יכולים להגדיר שאילתות מותאמות אישית כדי לזהות נקודות חולשה באבטחה שספציפיות לסביבה שלכם.

כדי ליצור שאילתה מותאמת אישית, אפשר להתחיל שאילתה חדשה או להתאים אישית הצעה קיימת לחיפוש באמצעות השלבים הבאים:

פרימיום

  1. במסוף Google Cloud , נכנסים לדף Graph Search של Security Command Center.

    מעבר אל Graph Search

  2. בשדה הצגה, לוחצים על ובוחרים משאב או ממצא כצומת הראשי של השאילתה, ואז לוחצים על המשך.

  3. כדי לשפר את השאילתה, לוחצים על המתג של מסנן או חיבור כלשהו כדי להפעיל אותו עבור הצומת שנבחר. מגדירים את הערך של כל מסנן שמפעילים.

    ווידג'ט של הכלי ליצירת שאילתות עם אפשרויות סינון של קטגוריה של Cloud Storage (לחצו כדי להגדיל)

  4. כדי לבצע שינויים נוספים, לוחצים על סמל הפלוס () שמשויך לצומת או לחיבור כדי לבצע עדכונים. כדי להסיר רכיב מהשאילתה, לוחצים על הסמל .

  5. לוחצים על Run query.

    ככל שסכימת הגרף מתפתחת, הצמתים, המסננים והחיבורים הזמינים מתעדכנים במסוף Google Cloud .

Enterprise

  1. במסוף Google Cloud , נכנסים לדף Graph Search של Security Command Center.

    מעבר אל Graph Search

  2. בשדה הצגה, לוחצים על ובוחרים משאב או ממצא כצומת הראשי של השאילתה, ואז לוחצים על המשך.

  3. כדי לשפר את השאילתה, לוחצים על המתג של מסנן או חיבור כלשהו כדי להפעיל אותו עבור הצומת שנבחר. מגדירים את הערך של כל מסנן שמפעילים.

    ווידג'ט של הכלי ליצירת שאילתות עם אפשרויות סינון של קטגוריה של Cloud Storage (לחצו כדי להגדיל)

  4. כדי לשנות את השאילתה עוד יותר, לוחצים על סמל הפלוס () שמשויך לצומת או לחיבור כדי לבצע עדכונים. כדי להסיר רכיב מהשאילתה, לוחצים על הסמל .

  5. לוחצים על Run query.

    ככל שסכימת הגרף מתפתחת, הצמתים, המסננים והחיבורים הזמינים מתעדכנים במסוף Google Cloud .

שימוש בהצעה לחיפוש או התאמה אישית שלה

מוצגות כמה הצעות חיפוש כנקודות התחלה. אפשר להשתמש בהצעות האלה כמו שהן או להתאים אותן אישית לדרישות הספציפיות שלכם.

פרימיום

  1. במסוף Google Cloud , נכנסים לדף Graph Search של Security Command Center.

    מעבר אל Graph Search

  2. בוחרים הצעה לחיפוש כדי לראות מידע מפורט יותר על השאילתה.

  3. לוחצים על שימוש בהצעה.

  4. אופציונלי: משנים את פרטי השאילתה בכלי העריכה לפי הצורך. מידע נוסף זמין במאמר יצירת שאילתות בהתאמה אישית.

  5. לוחצים על Run query.

Enterprise

  1. במסוף Google Cloud , נכנסים לדף Security Command Center Risk Overview > Graph Search.

    מעבר אל Graph Search

  2. בוחרים הצעה לחיפוש כדי לראות מידע מפורט יותר על השאילתה.

  3. לוחצים על שימוש בהצעה.

  4. אופציונלי: משנים את פרטי השאילתה בכלי העריכה לפי הצורך. מידע נוסף זמין במאמר יצירת שאילתות בהתאמה אישית.

  5. לוחצים על Run query.

פתרון בעיות בשאילתות שלא מחזירות תוצאות

אם השאילתה לא מחזירה תוצאות, אפשר לנסות את השלבים הבאים כדי לפתור את הבעיה ולבצע שינויים.

שימוש בהצעה מוגדרת מראש לחיפוש

ההצעות המוגדרות מראש לחיפוש הן דוגמאות שנועדו להחזיר תוצאות שרלוונטיות למגוון סביבות. אתם יכולים לשנות את ההצעות לחיפוש בהתאם לצרכים הספציפיים שלכם.

שינוי או פישוט של השאילתה

  • כדי להרחיב את היקף השאילתה, מסירים או מצמצמים את המסננים.

  • כדי לוודא שהנתונים מוחזרים, כדאי לנסות לשלוח שאילתה לגבי סוג נכס או מאפיין יחיד.

  • אל תשלבו יותר מדי אילוצים. פעולה כזו עלולה לגרום להחרגה לא מכוונת של תוצאות.

אימות הרשאות הגישה

חשוב לוודא שיש לכם את ההרשאות הנדרשות כדי לראות את הנתונים שאתם שולחים לגביהם שאילתות. אם אין לכם את הגישה הנכונה, יכול להיות שחלק מהנכסים או מהקשרים יהיו מוסתרים או לא יופיעו בתוצאות.

המתנה לסנכרון הנתונים

יכול להיות שיעברו כמה דקות או שעות עד שמשאבים שנוצרו או עודכנו לאחרונה יופיעו בתרשים. לדוגמה, יכולים להיות עיכובים אם הרגע הוספתם משאב או עדכנתם מדיניות IAM. אם ביצעתם שינויים בסביבת הענן, כדאי להריץ את השאילתה שוב אחרי זמן מה.

כיסוי הגרף

יכול להיות שסוגים מסוימים של נתונים או קשרים לא יהיו זמינים ב-Security Graph, בהתאם לסביבה ולסוגי הנתונים הנתמכים. אם אתם לא רואים את הנתונים שציפיתם לראות, יכול להיות שהם לא זמינים בתרשים.

עזרה נוספת

אם ניסיתם את השלבים הקודמים ואתם עדיין לא רואים את התוצאות הצפויות, תוכלו לפנות לאדמין של הפרויקט או לעיין במאמר בנושא קבלת תמיכה כדי לקבל עזרה בבדיקת ההגדרות וההרשאות של השאילתה.

המאמרים הבאים