使用查詢探索安全圖表

Security Command Center 安全圖表是可感知關係的資料庫,可對應雲端資源、其設定和相關聯的風險指標,例如安全漏洞、存取權、資料機密程度和網路曝光。這張圖表會全面顯示雲端資產及其關係。

本文說明圖表搜尋功能,這項功能可讓您建立自訂查詢,探索安全防護圖表,找出環境中潛在的安全疑慮。

查詢元件

安全圖形查詢包含三種主要元件類型:

  • 節點:安全性發現項目或雲端資源。
  • Where 子句 (篩選器):套用至節點的篩選器,可根據節點的特定屬性調整查詢。
  • 連線:兩個節點之間的單向關係。

以下是使用這些元件的查詢範例,如 Google Cloud 控制台中所示。

使用各種元件的 Security Command Center 圖表查詢範例
Security Command Center 圖表查詢範例 (使用各種元件)

這個查詢結構範例會找出安全實體之間的關係,協助您找出風險。首先,查詢會建立調查的關鍵主體,也就是「節點」,包括 CVE 安全漏洞虛擬機器 (GCE)連結 (以「影響」一詞識別) 會明確連結這兩個節點。最後,系統會使用多個屬性 (稱為WHERE 子句或篩選器) 對每個節點進行微調。這裡使用的篩選條件包括安全漏洞的嚴重程度和 VM 的網路可連線性。這些元件共同運作,可協助找出環境中的潛在風險。

節點

節點代表安全發現項目或雲端資源。

Google Cloud 控制台中的節點範例如下:

  • CVE 安全漏洞:由 MITRE Corporation 定義的常見安全漏洞與暴露。
  • 虛擬機器 (GCE)Compute Engine 執行個體。
  • GKE 部署作業Google Kubernetes Engine 資源。
  • IAM 服務帳戶:Identity and Access Management (IAM) 服務帳戶
  • BigQuery 資料集:BigQuery 中的資料容器。詳情請參閱「資料集簡介」。

節點會依類別分組,例如運算、Kubernetes、身分識別和資料庫。建構查詢時,您可以在Google Cloud 控制台中瀏覽或搜尋所有可用的節點類型。

Where 子句 (篩選器)

where 子句是套用至節點的篩選器,可根據與節點相關聯的特定屬性,精簡查詢。

以下列舉幾個篩選器範例:

  • 嚴重程度 = 重大:嚴重程度為重大的項目,例如 CVE。
  • Has Full API Access = True:表示節點已設定所有 Google Cloud API 的完整存取權。
  • 攻擊活動 = 已確認:表示已知、已回報或預期的安全漏洞遭人利用。

Google Cloud 控制台顯示的篩選器會根據您選取的節點類型,提供相關篩選條件。

連線

連結是兩個節點之間的單向關係。

以下是連線範例:

  • 影響:定義兩個所選節點之間的關係,例如與虛擬機器 (GCE) 相關的 CVE 安全漏洞
  • 使用:定義兩個所選節點之間的關係,例如虛擬機器 (GCE) 與 IAM 服務帳戶之間的關係

連線會根據內容顯示,且只會顯示所選節點類型的有效關係。

建立查詢

您可以查詢安全圖表,根據對您而言重要的條件探索雲端環境。在圖表上執行及調整查詢,有助於找出要監控的特定安全弱點。

  1. 前往 Google Cloud 控制台的 Security Command Center「圖形搜尋」頁面。

    前往圖表搜尋

  2. 使用查詢編輯器建構查詢。選擇下列其中一個選項:

  3. 執行查詢。

  4. 查看表格中的查詢結果。您可以選取要顯示的資料欄,自訂結果檢視畫面。你也可以依遞增或遞減順序排序各欄。

  5. 選用:如要將查詢結果匯出為 CSV 檔案,請按一下「下載 CSV」

建立自訂查詢

您可以定義自訂查詢,找出環境中的特定安全漏洞。

如要建立自訂查詢,請按照下列步驟操作,建立新查詢或自訂現有的搜尋建議

  1. 前往 Google Cloud 控制台的「Security Command Center Graph search」頁面。

    前往圖表搜尋

  2. 在「顯示」欄位中,按一下 「新增」,然後選取資源或發現項目做為查詢的主要節點,接著按一下「繼續」。系統會顯示所選節點的對話方塊。

  3. 如要修正查詢,請執行下列任一操作:

    • 如要依節點的其中一個屬性篩選,請點選該屬性的「Where」切換鈕。在隨即顯示的「篩選器值」欄位中,輸入或選取屬性必須包含的值。
    • 如要依節點與其他節點的連線篩選,請按一下連線類型旁的切換按鈕 (例如「影響」或「使用」),即可啟用。

  4. 如要修改查詢,請執行下列任一操作:

    • 如要在查詢中新增元件,請按一下節點或連線旁的「新增」
    • 如要從查詢中移除元件,請按一下「關閉」圖示

  5. 選取「Run query」(執行查詢)

    主控台會更新可用的節點、篩選器和連線。 Google Cloud

使用或自訂搜尋建議

系統會提供多個搜尋建議,做為搜尋起點。您可以直接使用這些建議,也可以根據特定需求自訂建議。

  1. 前往 Google Cloud 控制台的「Security Command Center Graph search」頁面。

    前往圖表搜尋

  2. 選取「搜尋建議」,即可查看查詢的詳細資訊。

  3. 按一下「使用建議」

  4. 選用:視需要修改編輯器中的查詢詳細資料。詳情請參閱「建立自訂查詢」。

  5. 點選「執行查詢」

排解查詢未傳回結果的問題

如果查詢未傳回任何結果,請嘗試下列步驟進行疑難排解及調整。

使用預先定義的搜尋建議

預先定義的搜尋建議僅為範例,目的是傳回與各種環境相關的結果。您可以修改搜尋建議,以符合特定需求。

簡化或調整查詢

  • 移除或減少篩選器,擴大查詢範圍。

  • 請嘗試查詢單一資產類型或屬性,確認系統會傳回資料。

  • 避免合併過多限制。否則可能會無意間排除結果。

驗證存取權限

請確認您具備必要權限,可查看要查詢的資料。如果沒有正確的存取權,系統可能會隱藏部分資產或關係,或將其排除在結果之外。

等待資料同步

新建立或更新的資源可能需要幾分鐘或幾小時才會顯示在圖表中。舉例來說,如果您剛新增資源或更新 IAM 政策,就可能會發生延遲情形。如果您剛變更雲端環境,請稍後再試一次查詢。

圖表涵蓋範圍

視環境和支援的資料類型而定,安全性圖表可能不會顯示某些資料類型或關係。如果圖表未顯示預期資料,可能是因為該資料不適用於圖表。

其他說明

如果嘗試上述步驟後仍未看到預期結果,請與專案管理員聯絡,或參閱「取得支援」一文,尋求協助檢查查詢設定和權限。

後續步驟