Security Command Center 中的安全性圖表是可感知關係的資料庫,可對應雲端資源、其設定和相關風險指標,例如安全漏洞、存取權、資料機密程度和網路曝光。這張圖表會全面顯示雲端資產及其關係。
本文將介紹 Graph Search,這項功能可讓您建立自訂查詢來探索安全圖表,找出環境中潛在的安全疑慮。
查詢元件
安全圖形查詢包含三種主要元件類型:
- 節點:安全性發現項目或雲端資源。
- Where 子句 (篩選器):套用至節點的篩選器,可根據節點的特定屬性,精確查詢。
- 連線:兩個節點之間的單向關係。
以下是在 Google Cloud 控制台中看到的查詢範例,使用這些元件。
這個查詢結構範例會找出安全實體之間的關係,協助您找出風險。首先,查詢會建立調查的主要主體,也就是節點,包括 CVE 安全漏洞和 Virtual Machine (GCE)。連結 (以「影響」一詞表示) 會明確連結這兩個節點。最後,系統會使用多個屬性 (稱為WHERE 子句或篩選器) 對每個節點進行微調。這裡使用的篩選條件包括安全漏洞的嚴重程度和 VM 的網路可連線性。這些元件共同運作,可協助找出環境中的潛在風險。
節點
節點代表安全性發現項目或雲端資源。
Google Cloud 控制台中的節點範例如下:
- CVE 安全漏洞:由 MITRE Corporation 定義的常見安全漏洞與暴露。
- 虛擬機器 (GCE):Compute Engine 執行個體。
- GKE 部署作業:Google Kubernetes Engine 資源。
- IAM 服務帳戶:Identity and Access Management (IAM) 服務帳戶。
- BigQuery 資料集:BigQuery 中的資料容器。詳情請參閱「資料集簡介」。
節點會依類別分組,例如 Compute、Kubernetes、Identity 和 Databases。建構查詢時,您可以在Google Cloud 控制台中瀏覽或搜尋所有可用的節點類型。
Where 子句 (篩選器)
where 子句是套用至節點的篩選器,可根據與節點相關聯的特定屬性,精簡查詢。
以下列舉幾個篩選器範例:
- 嚴重程度 = 重大:嚴重程度為重大的項目,例如 CVE。
- Has Full API Access = True:表示節點已設定為可完整存取所有 Google Cloud API。
- 攻擊活動 = 已確認:表示已知、已回報或預期的安全漏洞遭人利用。
Google Cloud 控制台中顯示的篩選器會根據您選取的節點類型,提供相關的篩選條件。
連線
連結是兩個節點之間的單向關係。
以下是連線範例:
- 影響:定義兩個所選節點之間的關係,例如與虛擬機器 (GCE) 相關的 CVE 安全漏洞。
- 使用:定義兩個所選節點之間的關係,例如虛擬機器 (GCE) 與 IAM 服務帳戶之間的關係。
連線會根據內容顯示,且只會顯示所選節點類型的有效關係。
建立查詢
您可以查詢安全圖表,根據對您而言重要的條件探索雲端環境。在圖表上執行及調整查詢,有助於找出要監控的特定安全弱點。
Premium
如要開啟安全圖表查詢頁面,請前往 Security Command Center 的「圖表搜尋」頁面。
使用查詢編輯器建構查詢。
執行查詢。
查看表格中的查詢結果。 您可以選取要顯示的資料欄,自訂結果檢視畫面。你也可以依遞增或遞減順序排序每個資料欄。
使用「下載 CSV」選項,將查詢結果匯出為 CSV 檔案。
企業版
如要開啟安全圖表查詢頁面,請前往 Security Command Center 的「風險總覽」>「圖表搜尋」頁面。
使用查詢編輯器建構查詢。
執行查詢。
查看表格中的查詢結果。 您可以選取要顯示的資料欄,自訂結果檢視畫面。你也可以依遞增或遞減順序排序每個資料欄。
使用「下載 CSV」選項,將查詢結果匯出為 CSV 檔案。
建立自訂查詢
您可以定義自訂查詢,找出環境中的特定安全漏洞。
如要建立自訂查詢,請按照下列步驟操作,建立新查詢或自訂現有的搜尋建議:
Premium
在 Google Cloud 控制台中,前往 Security Command Center 的「圖形搜尋」頁面。
在「顯示」欄位中,按一下 ,然後選取資源或發現項目做為查詢的主要節點,再按一下「選取」。
如要修正查詢,請按一下任何篩選器或連線的切換鈕,為所選節點啟用篩選器或連線。為啟用的每個篩選器定義值,然後按一下「選取」。
Security Command Center 圖表搜尋小工具 (按一下放大) 如要進行其他變更,請按一下與節點或連線相關聯的加號圖示 () 來更新。按一下 ,即可從查詢中移除元件。
選取「Run query」(執行查詢)。
隨著圖表結構定義演進, Google Cloud 控制台會更新可用的節點、篩選器和連線。
企業版
在 Google Cloud 控制台中,前往 Security Command Center 的「圖形搜尋」頁面。
在「顯示」欄位中,按一下 ,然後選取資源或發現項目做為查詢的主要節點,再按一下「選取」。
如要修正查詢,請按一下任何篩選器或連線的切換鈕,為所選節點啟用篩選器或連線。為啟用的每個篩選器定義值,然後按一下「選取」。
Security Command Center 圖表搜尋小工具 (按一下放大) 如要進一步修改查詢,請按一下與節點或連線相關聯的加號圖示 () 進行更新。按一下 ,即可從查詢中移除元件。
選取「Run query」(執行查詢)。
隨著圖表結構定義演進, Google Cloud 控制台會更新可用的節點、篩選器和連線。
使用或自訂搜尋建議
系統會提供多個搜尋建議做為起點。您可以直接使用這些建議,也可以根據特定需求自訂建議。
Premium
在 Google Cloud 控制台中,前往 Security Command Center 的「圖形搜尋」頁面。
選取搜尋建議,即可查看查詢的詳細資訊。
按一下「使用建議」。
選用:視需要修改編輯器中的查詢詳細資料。詳情請參閱「建立自訂查詢」。
點選「執行查詢」
企業版
在 Google Cloud 控制台,依序前往 Security Command Center「風險總覽」>「圖表搜尋」頁面。
選取搜尋建議,即可查看查詢的詳細資訊。
按一下「使用建議」。
選用:視需要修改編輯器中的查詢詳細資料。詳情請參閱「建立自訂查詢」。
點選「執行查詢」
排解查詢未傳回結果的問題
如果查詢未傳回任何結果,請嘗試下列步驟進行疑難排解及調整。
使用預先定義的搜尋建議
預先定義的搜尋建議僅為範例,目的是傳回與各種環境相關的結果。您可以修改搜尋建議,以符合特定需求。
簡化或調整查詢
移除或減少篩選器,擴大查詢範圍。
請嘗試查詢單一資產類型或屬性,驗證是否會傳回資料。
避免合併過多限制。否則可能會導致結果遭到排除。
驗證存取權限
請確認您具備必要權限,可查看要查詢的資料。如果沒有正確的存取權,系統可能會隱藏部分資產或關係,或將其排除在結果之外。
等待資料同步
新建立或更新的資源可能需要幾分鐘或幾小時才會顯示在圖表中。舉例來說,如果您剛新增資源或更新 IAM 政策,就可能會發生延遲情形。如果您剛變更雲端環境,請稍後再試一次查詢。
圖表涵蓋範圍
視環境和支援的資料類型而定,安全性圖表可能不會顯示某些資料類型或關係。如果沒有看到預期資料,可能是因為圖表未提供該資料。
其他說明
如果嘗試上述步驟後仍未看到預期結果,請與專案管理員聯絡,或參閱「取得支援」一文,尋求協助檢查查詢設定和權限。