本頁說明如何處理 Security Command Center 發現項目。發現項目是 Security Command Center 服務偵測到安全性問題時建立的記錄。發現項目會列在「發現項目」頁面中。您可以點選發現項目,查看詳細資料和完整 JSON 格式。
您可以在「發現」頁面執行下列操作:
- 查詢結果。
- 檢查發現項目。
- 忽略發現項目。
- 為發現項目新增安全標記。
如要瞭解如何透過程式處理發現項目,請參閱「Security Command Center 用戶端程式庫」。
取得必要權限
本節列出在控制台中處理調查結果時所需的 IAM 角色。
Google Cloud 主控台 IAM 角色
如要在 Google Cloud 控制台中處理發現項目,您必須具備下列 IAM 角色。
請確認您在機構中具備下列角色:
- 安全中心發現項目檢視者 (
roles/securitycenter.findingsViewer) - 安全中心發現項目編輯者 (
roles/securitycenter.findingsEditor)
檢查角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「IAM」頁面 - 選取機構。
-
在「主體」欄中,找出所有識別您或您所屬群組的資料列。如要瞭解自己所屬的群組,請與管理員聯絡。
- 針對指定或包含您的所有列,請檢查「角色」欄,確認角色清單是否包含必要角色。
授予角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「IAM」頁面 - 選取機構。
- 按一下「Grant access」(授予存取權)。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是指 Google 帳戶的電子郵件地址。
- 按一下「Select a role」(選取角色),然後搜尋角色。
- 如要授予其他角色,請按一下「Add another role」(新增其他角色),然後新增其他角色。
- 按一下「Save」(儲存)。
如要進一步瞭解 Security Command Center 角色和權限,請參閱「機構層級啟用作業的 IAM」。
查看發現項目
- 開啟「發現項目」頁面。
-
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
選取 Google Cloud 機構、資料夾或專案。
顯示的調查結果適用於您選取的 Google Cloud 資源 (組織、資料夾或專案)。舉例來說,選取專案只會顯示與該專案相關的調查結果,而選取包含多個專案的資料夾,則會顯示所有內含專案的調查結果。
如要更新「發現項目查詢結果」中的發現項目清單,請按一下「自動更新」「重新整理發現項目」。
調整時間範圍,查看更多發現
您可以調整查詢所用的時間範圍。預設時間範圍為 Last 7 days。
時間範圍是根據發現項目的 eventTime 屬性值而定,該屬性值反映發現項目記錄上次更新的時間。
在 Google Cloud 控制台的「發現」頁面中,設定「時間範圍」欄位。
查詢供應情形
服務產生發現項目並儲存在 Security Command Center 發現項目資料庫後,您通常會在不到一分鐘內,就能在 Security Command Center 中查詢該發現項目。如要進一步瞭解啟用 Security Command Center 後會發生什麼情況,請參閱「何時會在 Security Command Center 中看到發現項目」。
視 Security Command Center 層級而定,您可以在特定時間內列出或查詢調查結果。如要進一步瞭解 Security Command Center 資料保留機制,請參閱「資料保留」。
尋找及查看特定發現項目
根據預設,「發現項目」頁面會顯示所有未設為忽略的有效發現項目,以及過去七天內的新發現項目或更新項目。如要顯示無效或已忽略的發現項目,請在「快速篩選器」面板中選取「無效」或「已忽略」。
使用預先定義的篩選器檢視畫面
如要顯示特定類別的發現項目,請按一下下列預先定義的篩選器檢視畫面,系統會傳回特定類別的發現項目:
- Standard-legacy 層級:所有發現項目、安全漏洞和身分識別
- 標準層級:所有發現項目、安全漏洞、身分識別、資料和威脅
- 進階層級:所有發現項目、安全漏洞、身分、資料和威脅
- 企業級:所有發現項目、安全漏洞、身分識別、威脅和資料
系統會套用並執行預先定義的查詢。
在 Security Command Center Enterprise 中,按一下「顯示全部」,即可依雲端服務供應商篩選結果: Google Cloud、Amazon Web Services (AWS) 或 Microsoft Azure。如要瞭解如何設定與其他雲端服務供應商的連線,請參閱下列文章:
使用查詢編輯器
本節說明如何在 Google Cloud 控制台中自訂調查結果查詢,篩選特定調查結果。
以下是預設的發現項目查詢:
state="ACTIVE" AND NOT mute="MUTED" AND launch_state="LAUNCH_STATE_DEPRECATED"
如要瞭解 launch_state 欄位設為 LAUNCH_STATE_DEPRECATED 時的調查結果,請參閱部分客戶的標準層級已自動啟用加強功能。
您可以在「查詢編輯器」面板中查看目前的調查結果查詢。您可以直接編輯查詢,或選取預先定義的篩選器來建構查詢。如需更多資訊,請按一下服務層級的分頁標籤。
在 Google Cloud 控制台的「Findings」頁面中,您可以執行下列操作:
- 在「快速篩選條件」面板中,選取一或多個預先定義的屬性篩選條件,並新增至查詢。使用「快速篩選條件」面板,可快速套用常用的高階篩選選項。
- 在「查詢編輯器」面板的「新增篩選條件」選單中,選取一或多個預先定義的屬性篩選條件,並新增至查詢。使用「新增篩選條件」選單,根據較低層級的發現項目屬性,取得更精細的進階篩選條件。詳情請參閱「在控制台中編輯發現項目查詢」。
- 直接在「查詢編輯器」面板中編輯發現項目查詢。
- 在調查結果的詳細資料檢視畫面中,從特定屬性的下拉式選單選取該屬性的預先定義篩選條件,即可將其新增至查詢。
查看發現項目的詳細資料
如要進一步瞭解發現項目,請在發現項目查詢結果的「Category」(類別) 欄中,按一下發現項目名稱,開啟發現項目詳細資料檢視畫面。
在詳細資料檢視畫面中,您可以找到重要資訊,有助於瞭解發現項目、調查威脅或解決安全漏洞。
發現項目的詳細檢視畫面包含下列分頁標籤,您可以選取這些分頁標籤,進一步瞭解發現項目並採取行動:
- 預設檢視畫面「摘要」分頁會醒目顯示發現項目的重要資訊和屬性。
- 「來源屬性」分頁,您可以在這裡查看發現項目 JSON 的
sourceProperties物件屬性。 - 「JSON」分頁,這裡會顯示發現項目的完整 JSON 格式。
您可以在詳細資料檢視畫面中對發現項目採取特定動作,以及找到與發現項目相關的其他資訊連結。
瞭解詳細資料檢視畫面中的發現項目
調查結果的詳細資料檢視畫面會醒目顯示調查結果的重要資訊,方便您瞭解並解決潛在的安全問題。
「摘要」分頁中的資訊
「摘要」分頁會提供發現項目的相關資訊,包括下列部分:
- 偵測到的內容 (或總覽)
偵測到的發現項目詳細資料,例如:
- 發現項目的嚴重性
- 發現項目的狀態,
ACTIVE或INACTIVE - 與特定發現項目相關的任何重要欄位
- 安全漏洞
與安全漏洞相應的 CVE 記錄資訊 (如有)。「安全漏洞」部分包含 CVE 記錄中的資訊,例如:
- CVE ID
- CVE 分數
- 影響
- 漏洞攻擊活動
- 遭受攻擊的風險
受攻擊風險分數,以及上次計算分數的時間。按一下分數,即可查看受影響高價值資源和相關聯攻擊路徑的圖像。
- 受影響的資源
與發現項目相關聯的資源詳細資料,包括下列資訊:
- 受影響資源的完整名稱
- 資源的雲端服務供應商
- 技術和安全聯絡人
- 案件資訊
與發現項目相關的案件詳細資料,包括下列資訊。
- 與發現項目相關聯的外部系統完整資源名稱
- 指派給案件的群組
- 案件 ID,可連結至 Security Operations 控制台中的案件
- 案件狀態
- 外部案件管理系統中的更新時間
- 承諾的結案截止日期
- 安全標記
與這項發現項目相關聯的安全標記 (如有)。
- 後續步驟
針對如何修復偵測到的問題提供指引。 只有特定服務 (例如 Security Health Analytics) 會提供後續步驟。
- 相關連結
連結至 Security Command Center 以外的重要安全資訊來源。只有特定服務 (例如 Event Threat Detection) 會提供相關連結。
- 偵測服務
偵測到發現項目的服務或來源詳細資料。
「來源資源」分頁中的資訊
對於部分發現項目,詳細資料面板會顯示「來源屬性」分頁,醒目顯示發現項目 JSON 的 sourceProperties 物件中特定屬性。
每個發現項目和在 Security Command Center 上執行的每個服務,來源資源都不盡相同。我們無法保證所有服務的來源資源都會標準化。因此,我們強烈建議不要以程式輔助方式使用來源資源。如要讓所有服務的來源資源標準化,請傳送意見回饋告訴我們。
「JSON」分頁的資訊
「JSON」分頁包含發現項目的完整 JSON 結構,有助於調查發現項目,或查詢可在發現項目查詢中使用的屬性。
如要將 JSON 物件複製到剪貼簿,請按一下 「複製」。
發現項目的 JSON 結構包含下列物件:
findings:調查結果的屬性。這些屬性會在所有內建和整合式服務 (也稱為「安全性來源」) 中標準化。詳情請參閱Finding。resource:受影響資源的屬性。詳情請參閱Resource的說明。sourceProperties:這項發現項目服務專屬屬性。
您也可以使用 ListFindings API 列出調查結果,並取得其 JSON 定義。
查看向應用程式註冊的資源發現項目
如要篩選及顯示與註冊至 App Hub 應用程式的資源相關的調查結果,請按照下列步驟操作。
使用「選取應用程式」選單選取應用程式。這會將查詢附加至字詞,只顯示與該應用程式相關的發現。
在「快速篩選器」面板的「應用程式 ID」部分,選取一或多個應用程式。
選取發現項目後,「發現項目詳細資料」面板會顯示資源註冊的應用程式相關資訊。
在詳細資料檢視畫面中對發現項目採取行動
您可以在詳細資料檢視畫面中對發現項目採取各種行動,例如將發現項目設為靜音。如果您在 Google Cloud 控制台中查看調查結果的詳細資料檢視畫面,也可以將調查結果中的屬性新增至目前的調查結果查詢。
在詳細檢視畫面中忽略發現項目
在發現項目的詳細資料檢視畫面中,您可以將發現項目設為靜音或取消靜音。您也可以建立規則,忽略所有與目前發現項目類似的未來發現項目。
如需略過發現項目或建立忽略規則的完整操作說明,請參閱「略過 Security Command Center 中的發現項目」。
從詳細資料檢視畫面將屬性篩選器新增至查詢
在 Google Cloud 控制台中,您可以在調查結果的詳細資料檢視畫面中,為顯示的屬性新增篩選條件,以查詢目前的調查結果。
如要從詳細資料檢視畫面將屬性篩選器新增至查詢,請按照下列步驟操作:
- 在「發現項目」頁面上,按一下發現項目即可查看詳細資料。
- 在發現項目的詳細資料檢視畫面中,找出要用來篩選的屬性。
- 開啟屬性旁的下拉式選單。
- 選取屬性的預先定義篩選條件。篩選條件會新增至「發現項目」頁面的發現項目查詢。
在發現項目的詳細資料檢視畫面中查看或複製屬性 API 名稱
顯示在 Google Cloud 控制台中的大多數發現項目屬性,都有對應的 Security Command Center API 名稱。
在「發現項目」頁面上,按一下發現項目即可查看詳細資料。
在發現項目的詳細資料檢視畫面中,您可以找到並複製顯示的每個屬性對應 API 名稱。
每個屬性的對等 API 名稱都列在與屬性相同的資料列中。所有 API 名稱都位於最後一欄。舉例來說,State 屬性的對等 API 名稱為
state。
分享發現項目的詳細資料檢視畫面
如要分享發現項目的詳細資料檢視畫面,可以複製詳細資料檢視頁面的網址,然後分享給其他人。
如要瞭解如何複製發現項目詳細資料檢視畫面的網址,請按一下您使用的控制台分頁標籤。
- 在「發現項目」頁面上,按一下發現項目即可查看詳細資料。
- 依序點選「採取行動」>「複製連結」。
將發現項目的意見回饋傳送給 Google Cloud
如要瞭解如何針對發現項目傳送意見回饋,請按一下服務層級的分頁標籤。
- 在「發現項目」頁面上,按一下發現項目即可查看詳細資料。
- 依序點選「採取行動」>「提供意見」。
- 輸入意見回饋說明。
- 如要附上螢幕截圖,請按一下「擷取螢幕截圖」。
- 按一下 [傳送]。
在發現項目查詢結果中顯示其他發現項目的詳細資料
如要查看目前所看發現項目之前或之後的發現項目詳細資料,請使用「下一個」或「上一個」按鈕前往下一個或上一個發現項目,不必返回「發現項目」頁面。
為發現項目新增安全標記
安全標記是自訂鍵/值標籤,可用於註解發現項目、將發現項目與共用相同安全標記的其他發現項目建立關聯,以及查詢發現項目。
如需為搜尋結果或資產設定安全性標記的完整操作說明,請參閱「使用安全性標記」。
在控制台中忽略發現項目
您可以在下列檢視畫面中將調查結果設為靜音或取消靜音:
- 「發現項目」頁面上的發現項目查詢結果
- 發現項目的詳細資料檢視畫面
您可以忽略個別發現項目,也可以建立忽略規則,根據您定義的篩選條件,忽略目前和日後的發現項目。
系統會隱藏並停用已靜音的結果,但您仍可將 mute="MUTED" 篩選器新增至結果查詢,查看這些結果。系統仍會記錄已靜音的發現,以利稽核和法規遵循。
如需如何略過及取消略過發現項目的詳細操作說明,請參閱「略過 Security Command Center 中的發現項目」。
變更發現項目的狀態
調查結果有兩種狀態:Active 或 Inactive。
Active 狀態表示系統在環境中發現的安全性問題仍存在,可能造成威脅或漏洞。
Inactive 狀態表示安全性問題已解決。
您可能基於各種原因想要變更發現項目的狀態,例如在解決發現項目後立即將狀態變更為 Inactive,這樣就不必等待下次掃描作業變更狀態。
如要瞭解如何變更發現項目的狀態,請按一下服務層級的分頁標籤。
-
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「發現項目查詢結果」面板中,選取發現項目
- 在「發現項目查詢結果」面板的動作列中,按一下「變更有效狀態」。
- 在「變更啟用狀態」選單中,選取「啟用」或「停用」。
自訂「發現項目」頁面
如要控管螢幕空間,您可以自訂調查結果查詢結果中顯示的部分元素。
在發現項目查詢結果中隱藏或顯示資料欄
在發現項目查詢結果中,您可以隱藏「類別」以外的任何資料欄。
以下是可用的資料欄範例:
- 類別:發現項目的類型名稱。
- 嚴重性:發現項目的嚴重程度。如要進一步瞭解發現項目的嚴重程度,請參閱「發現項目的嚴重性分類」。
- 應用程式階段:偵測到發現項目的應用程式生命週期階段,例如「設計」或「運作」。
- 應用程式重要性:與發現項目相關聯的應用程式業務重要性。
- 有害組合分數:受攻擊風險分數,適用於
Toxic combination類別的發現項目。 - 受攻擊風險分數:發現項目的受攻擊風險分數。
- 事件時間:首次偵測到發現項目或上次更新的時間。
- 建立時間:發現項目在 Security Command Center 中建立的時間。
- 發現項目類別:發現項目的類別,例如
THREAT、VULNERABILITY和MISCONFIGURATION。 - 資源顯示名稱:偵測到問題的資源顯示名稱。
- 資源完整名稱:偵測到問題的資源完整名稱。
- 資源雲端服務供應商:資源的代管雲端服務供應商。
- 資源路徑:偵測到問題的資源路徑。
- 資源類型:偵測到問題的資源類型。
- 安全標記:新增至發現項目的安全標記。
如要瞭解如何隱藏或顯示調查結果查詢結果中的資料欄,請按一下服務層級的分頁標籤。
- 在「發現項目查詢結果」動作列右側,按一下「資料欄」圖示 view_column。
- 選取要顯示的資料欄。
- 取消選取要隱藏的資料欄。
- 按一下「套用」,將變更套用至「發現項目查詢結果」面板。
下次查看「發現項目」頁面時,系統會保留您選取的自訂欄,即使您變更專案或機構也是如此。如要清除所有自訂欄選取項目,請按一下「清除自訂欄選取項目」。
隱藏或顯示「發現項目」頁面面板
如要增加螢幕空間,以便編輯查詢或查看結果,可以隱藏或顯示面板。詳情請按一下服務層級的分頁標籤。
你可以隱藏或顯示下列面板:
- 「快速篩選器」面板
- 「查詢編輯器」面板
如要隱藏面板,請按一下「切換面板」圖示 first_page 或 first_page。
如要顯示面板,請再次點選該圖示。
後續步驟
- 瞭解偵測服務。
- 瞭解如何使用安全標記。
- 瞭解如何設定 Security Command Center 服務。
- 瞭解如何使用 Security Command Center API 建立調查結果篩選器。