使用查詢探索安全圖表

Security Command Center 中的安全性圖表是可感知關係的資料庫，可對應雲端資源、其設定和相關聯的風險指標，例如安全漏洞、存取權、資料機密程度和網路曝光。這張圖表會全面顯示雲端資產及其關係。

本文將介紹 Graph Search，這項功能可讓您建立自訂查詢來探索安全圖表，找出環境中潛在的安全疑慮。

查詢元件

安全圖形查詢包含三種主要元件類型：

• 節點：安全性發現項目或雲端資源。
• Where 子句 (篩選器)：套用至節點的篩選器，可根據節點的特定屬性，精確查詢。
• 連線：兩個節點之間的單向關係。

以下範例顯示在 Google Cloud 控制台中，使用這些元件的查詢。

這個查詢結構範例會找出安全實體之間的關係，協助您找出風險。首先，查詢會建立調查的關鍵主體，也就是「節點」，包括 CVE 安全漏洞和 Virtual Machine (GCE)。連結 (以「影響」一詞識別) 會明確連結這兩個節點。最後，系統會使用多個屬性 (稱為WHERE 子句或篩選器) 針對每個節點微調查詢。這裡使用的篩選條件包括安全漏洞的嚴重程度和 VM 的網路可連線性。這些元件共同運作，可協助找出環境中的潛在風險。

節點

節點代表安全發現項目或雲端資源。

以下是 Google Cloud 控制台中的節點範例：

• CVE 安全漏洞：由 MITRE Corporation 定義的常見安全漏洞與暴露。
• 虛擬機器 (GCE)：Compute Engine 執行個體。
• GKE 部署作業：Google Kubernetes Engine 資源。
• IAM 服務帳戶：Identity and Access Management (IAM) 服務帳戶。
• BigQuery 資料集：BigQuery 中的資料容器。詳情請參閱「資料集簡介」。

節點會依類別分組，例如 Compute、Kubernetes、Identity 和 Databases。建構查詢時，您可以在Google Cloud 控制台中瀏覽或搜尋所有可用的節點類型。

Where 子句 (篩選器)

where 子句是套用至節點的篩選器，可根據與節點相關聯的特定屬性，精簡查詢。

以下列舉幾個篩選器範例：

• 嚴重性 = 重大：嚴重性為重大的項目，例如 CVE。
• Has Full API Access = True：表示節點已設為可完整存取所有 Google Cloud API。
• 攻擊活動 = 已確認：表示已知、已回報或預期的安全漏洞遭人利用。

Google Cloud 控制台中顯示的篩選器會根據您選取的節點類型，提供相關的篩選條件。

連線

連結是指兩個節點間的單向關係。

以下是連線範例：

• 影響：定義兩個所選節點之間的關係，例如與虛擬機器 (GCE) 相關的 CVE 安全漏洞。
• 使用：定義兩個所選節點之間的關係，例如虛擬機器 (GCE) 與 IAM 服務帳戶的關係。

連線會根據內容顯示，且只會顯示所選節點類型的有效關係。

建立查詢

您可以查詢安全圖表，根據對您而言重要的條件探索雲端環境。在圖表上執行及調整查詢，有助於找出要監控的特定安全弱點。

建立自訂查詢

您可以定義自訂查詢，找出環境中的特定安全漏洞。

如要建立自訂查詢，請按照下列步驟操作，建立新查詢或自訂現有的搜尋建議：

使用或自訂搜尋建議

系統會提供多個搜尋建議做為起點。您可以直接使用這些建議，也可以根據特定需求自訂建議。

排解未傳回任何結果的查詢

如果查詢未傳回任何結果，請嘗試下列步驟進行疑難排解及調整。

使用預先定義的搜尋建議

預先定義的搜尋建議僅為範例，目的是傳回與各種環境相關的結果。您可以修改搜尋建議，以符合特定需求。

簡化或調整查詢

• 移除或減少篩選條件，擴大查詢範圍。

• 請嘗試查詢單一資產類型或屬性，驗證是否會傳回資料。

• 避免合併過多限制。否則可能會導致結果遭到排除。

驗證存取權限

請確認您具備必要權限，可查看要查詢的資料。如果沒有正確的存取權，系統可能會隱藏部分資產或關係，或將其排除在結果之外。

等待資料同步

新建立或更新的資源可能需要幾分鐘或幾小時才會顯示在圖表中。舉例來說，如果您剛新增資源或更新 IAM 政策，就可能會發生延遲情形。如果您剛變更雲端環境，請稍後再試一次查詢。

圖表涵蓋範圍

視環境和支援的資料類型而定，安全性圖表可能不會顯示某些資料類型或關係。如果圖表未顯示預期資料，可能是因為該資料不適用於圖表。

其他說明

如果嘗試上述步驟後仍未看到預期結果，請與專案管理員聯絡，或參閱「取得支援」一文，尋求協助檢查查詢設定和權限。

後續步驟

• 進一步瞭解 Security Command Center 問題。
• 管理及修復問題