Revisar y gestionar resultados

Para obtener más información sobre los roles y permisos de Security Command Center, consulta el artículo sobre la gestión de identidades y accesos para activaciones a nivel de organización.

Ver resultados

1. Abre la página Resultados.
2. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

   Ir a Resultados

3. Selecciona tu Google Cloud organización, carpeta o proyecto.

   Los resultados que aparecen corresponden al Google Cloud recurso (organización, carpeta o proyecto) que selecciones. Por ejemplo, si seleccionas un proyecto, solo se mostrarán las detecciones asociadas a ese proyecto, mientras que, si seleccionas una carpeta con varios proyectos, se mostrarán las detecciones de todos los proyectos incluidos.

4. Para actualizar la lista de resultados de la consulta Resultados de la consulta de detecciones, haz clic en autorenewActualizar detecciones.

Ajustar el periodo para ver más resultados

Puedes ajustar el intervalo de tiempo que se usa en tus consultas. El intervalo de tiempo predeterminado es Last 7 days.

El intervalo de tiempo se basa en el valor del atributo eventTime de los resultados, que refleja la hora en la que se actualizó por última vez el registro de resultados.

En la página Resultados de la consola Google Cloud , define el campo Intervalo de tiempo.

Consultar disponibilidad

Normalmente, puedes consultar un resultado en Security Command Center menos de un minuto después de que el servicio que lo genera lo almacene en la base de datos de resultados de Security Command Center. Para obtener información más detallada sobre lo que ocurre después de activar Security Command Center, consulta el artículo Cuándo se muestran los resultados en Security Command Center.

En función de tu nivel de Security Command Center, los resultados estarán disponibles para que los consultes o los busques durante un periodo determinado. Para obtener más información sobre la conservación de datos de Security Command Center, consulta el artículo Conservación de datos.

Buscar y ver resultados específicos

De forma predeterminada, la página Resultados muestra todos los resultados activos que no están silenciados y que son nuevos o se han actualizado en los últimos siete días. Para mostrar las detecciones inactivas o silenciadas, selecciona Inactivo o Silenciado en el panel Filtros rápidos.

Usar vistas de filtro predefinidas

Para mostrar una categoría específica de resultados, haga clic en las siguientes vistas de filtro predefinidas, que devuelven una categoría específica de resultados:

• Nivel de servicio Premium: Todos los resultados, Vulnerabilidades, Identidad y Amenazas
• Nivel de servicio Enterprise: Todos los resultados, Vulnerabilidades, Identidad, Amenazas, Datos y Código

La vista aplica y ejecuta la consulta predefinida.

En Security Command Center Enterprise, haga clic en Mostrar todo para filtrar los resultados por proveedor de nube: Google CloudAmazon Web Services (AWS) o Microsoft Azure. Para obtener información sobre cómo configurar una conexión con otros proveedores de servicios en la nube, consulta lo siguiente:

• Conectarse a AWS para recoger datos de configuración y recursos
• Conectarse a Microsoft Azure para configurar y recoger datos de recursos

Usar el editor de consultas

En esta sección se describen las diferentes formas de personalizar la consulta de resultados en la Google Cloud consola para filtrar resultados específicos.

El siguiente ejemplo es la consulta de resultados predeterminada:

state="ACTIVE"
AND NOT mute="MUTED"

Puedes ver la consulta de resultados actual en el panel Editor de consultas. Puede editar la consulta directamente o seleccionar filtros predefinidos para crearla. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

En la página Resultados de la consola de Google Cloud , puedes hacer lo siguiente:

• En el panel Filtros rápidos, selecciona uno o varios filtros de atributos predefinidos para añadirlos a una consulta. Usa el panel Filtros rápidos para acceder a las opciones de filtro de alto nivel que se usan con frecuencia.
• En el menú Añadir filtro del panel Editor de consultas, seleccione uno o varios filtros de atributo predefinidos para añadirlos a una consulta. Use el menú Añadir filtro para aplicar filtros más específicos y avanzados basados en atributos de hallazgos de nivel inferior. Para obtener más información, consulta Editar una consulta de resultados en la consola.
• Edita la consulta de resultados directamente en el panel Editor de consultas.
• En la vista de detalles de una detección, en el menú desplegable de un atributo concreto, seleccione un filtro predefinido para ese atributo y añádalo a una consulta.

Ver los detalles de un hallazgo

Para obtener más información sobre un resultado, abre la vista detallada del resultado haciendo clic en su nombre en la columna Categoría de los resultados de la consulta.

En la vista de detalles, puede encontrar información fundamental para entender un resultado, investigar una amenaza o abordar una vulnerabilidad.

La vista detallada de los resultados incluye las siguientes pestañas, que puedes seleccionar para obtener más información sobre un resultado y tomar medidas:

• La pestaña Resumen, que es la vista predeterminada, destaca la información y los atributos clave de la detección.
• La pestaña Propiedades de la fuente, donde puede ver los atributos del objeto sourceProperties del JSON del hallazgo.
• La pestaña JSON, donde puedes ver el formato JSON completo de la detección.

Puedes llevar a cabo determinadas acciones en el resultado en la vista de detalles, así como encontrar enlaces a información adicional relacionada con el resultado.

Información sobre el hallazgo en la vista detallada

En la vista de detalles de una detección se destaca información importante sobre la detección que puedes usar para comprender y solucionar el problema de seguridad subyacente.

Información de la pestaña Resumen

La pestaña Resumen proporciona información sobre la detección en las siguientes secciones:

Qué se detectó (o Vista general)

Detalles sobre el hallazgo detectado, como los siguientes:

• La gravedad del resultado
• El estado del resultado, ACTIVE o INACTIVE
• Cualquier campo clave relacionado con el resultado específico

Vulnerabilidad

Información del registro de CVE que corresponde a la vulnerabilidad, si la hay. La sección Vulnerabilidad incluye información del registro CVE, como la siguiente:

• ID de CVE
• Puntuación de CVE
• Impacto
• Actividad de explotación

Exposición a ataques

La puntuación de exposición a ataques y la hora en la que se calculó por última vez. Al hacer clic en la puntuación, se abre una representación visual de los recursos de alto valor afectados y de la ruta de ataque asociada.

Recurso afectado

Detalles sobre el recurso asociado a la detección, incluida la siguiente información:

• Nombre completo del recurso afectado
• El proveedor de servicios en la nube del recurso
• Los contactos técnicos y de seguridad

Información sobre el caso

Detalles sobre el caso asociado a la detección, incluida la siguiente información.

• Nombre de recurso completo del sistema externo asociado al hallazgo.
• El grupo asignado al caso
• El ID del caso, que enlaza al caso en la consola de Security Operations
• El estado del caso
• La hora de actualización del sistema de gestión de casos externo
• Fecha límite comprometida para cerrar el caso

Marcas de seguridad

Las marcas de seguridad asociadas a este resultado, si las hubiera.

Pasos siguientes

Orientación sobre lo que puedes hacer para solucionar el problema detectado. Solo algunos servicios, como Security Health Analytics, ofrecen pasos siguientes.

Enlaces relacionados

Enlaces a fuentes clave de información de seguridad fuera de Security Command Center. Solo algunos servicios, como Event Threat Detection, proporcionan enlaces relacionados.

Servicio de detección

Detalles sobre el servicio o la fuente que ha detectado el resultado.

Información de la pestaña Propiedades fuente

En algunas detecciones, el panel de detalles incluye una pestaña Propiedades de origen que destaca determinadas propiedades del objeto sourceProperties del JSON de la detección.

Las propiedades de origen varían en función de cada hallazgo y de cada servicio que se ejecute en Security Command Center. No hay ninguna garantía de que las propiedades de origen estén estandarizadas en todos los servicios. Por este motivo, no recomendamos consumir propiedades de origen de forma programática. Si quieres que una propiedad fuente se estandarice en todos los servicios, envíanos tus comentarios.

Información de la pestaña JSON

La pestaña JSON contiene la estructura JSON completa de la detección, que puede ser útil cuando investigas una detección o buscas atributos que puedes usar en tus consultas de detecciones.

Para copiar el objeto JSON en el portapapeles, haz clic en content_copy Copiar.

La estructura JSON de una detección contiene los siguientes objetos:

• findings: los atributos del resultado. Estos atributos se estandarizan en todos los servicios integrados (también conocidos como fuentes de seguridad). Para obtener más información, consulta Finding.
• resource: los atributos del recurso afectado. Para obtener más información, consulta Resource.
• sourceProperties: las propiedades específicas del servicio del hallazgo.

También puedes usar la API ListFindings para enumerar las detecciones y obtener sus definiciones JSON.

Tomar medidas en función de un resultado de la vista detallada

Puedes realizar varias acciones en un resultado desde la vista detallada del resultado, como silenciarlo. Si estás viendo la vista de detalles de la detección en la Google Cloud consola, también puedes añadir atributos de la detección a la consulta de detecciones actual.

Silenciar un resultado en la vista detallada

En la vista de detalles de un hallazgo, puedes silenciarlo o reactivarlo. También puedes crear una regla que silencie todos los resultados futuros que sean como el actual.

Para obtener instrucciones completas sobre cómo silenciar un resultado o crear una regla de silencio, consulta el artículo Silenciar resultados en Security Command Center.

Añadir filtros de atributos a una consulta desde la vista de detalles

En la Google Cloud consola, en la vista de detalles de una detección, puede añadir filtros para los atributos mostrados a la consulta de detecciones actual.

Para añadir filtros de atributos a una consulta desde la vista de detalles, sigue estos pasos:

• En la página Resultados, haz clic en el resultado para ver sus detalles.
• En la vista de detalles de la incidencia, busque el atributo por el que quiere filtrar.
• Junto al atributo, abre el menú desplegable.
• Seleccione un filtro predefinido para el atributo. El filtro se añade a la consulta de hallazgos en la página Hallazgos.

Ver o copiar nombres de APIs de atributos en la vista de detalles de un resultado

La mayoría de los atributos de los resultados que se muestran en la Google Cloud consola tienen un nombre correspondiente que se usa en la API de Security Command Center.

1. En la página Resultados, haz clic en el resultado para ver sus detalles.

2. En la vista de detalles del resultado, puede buscar y copiar el nombre de API correspondiente de cada atributo que se muestra.

   El nombre de la API equivalente de cada atributo se indica en la misma fila que el atributo. Todos los nombres de las APIs se encuentran en la última columna. Por ejemplo, en el caso del atributo State (Estado), el nombre de la API equivalente es state.

Compartir la vista detallada de un resultado

Para compartir la vista detallada de un resultado, puede copiar la URL de la página de vista detallada y compartirla con otros usuarios.

Para obtener información sobre cómo copiar la URL de la vista de detalles de una detección, haga clic en la pestaña de la consola que esté usando.

1. En la página Resultados, haz clic en el resultado para ver sus detalles.
2. Haz clic en Tomar medidas > Copiar enlace.

Envía tus comentarios sobre el resultado a Google Cloud.

Para obtener información sobre cómo enviar comentarios sobre un resultado, haz clic en la pestaña correspondiente a tu nivel de servicio.

1. En la página Resultados, haz clic en el resultado para ver sus detalles.
2. Haz clic en Tomar medidas > Enviar comentarios.
3. Escribe una descripción de tus comentarios.
4. Para incluir una captura de pantalla, haz clic en Hacer captura de pantalla.
5. Haz clic en Enviar.

Mostrar los detalles de otros resultados en los resultados de la consulta de resultados

Para ver los detalles de los resultados que preceden o siguen al que estás consultando, usa los botones navigate_nextSiguiente o navigate_beforeAnterior para ir al resultado siguiente o anterior sin tener que volver a la página Resultados.

Añadir marcas de seguridad a los resultados

Una marca de seguridad es una etiqueta personalizada de par clave-valor que puedes usar para anotar un resultado, asociarlo con otros resultados que compartan la misma marca de seguridad y consultar resultados.

Para obtener instrucciones completas sobre cómo definir marcas de seguridad en resultados o recursos, consulta el artículo Usar marcas de seguridad.

Silenciar resultados en la consola

Puedes silenciar y reactivar las detecciones en las siguientes vistas:

• Resultados de la consulta de hallazgos en la página Hallazgos
• Vista detallada de un hallazgo

Puedes silenciar resultados concretos o crear reglas de silencio que silencien los resultados actuales y futuros en función de los filtros que definas.

Las detecciones silenciadas se ocultan y se silencian, pero puedes seguir viéndolas añadiendo el filtro mute="MUTED" a tu consulta de detecciones. Las detecciones silenciadas se seguirán registrando con fines de auditoría y cumplimiento.

Para obtener instrucciones detalladas sobre cómo silenciar y reactivar resultados, consulta el artículo Silenciar resultados en Security Command Center.

Cambiar el estado de un resultado

Una detección puede tener uno de estos dos estados: Active o Inactive.

El estado Active significa que el problema de seguridad identificado por el resultado persiste en tu entorno como amenaza o vulnerabilidad potencial.

El estado Inactive significa que el problema de seguridad se ha resuelto.

Puede que quieras cambiar el estado de un resultado por varios motivos, como cambiar el estado de un resultado a Inactive en cuanto se haya solucionado, para no tener que esperar a que se realice el siguiente análisis para que se cambie el estado.

Para obtener información sobre cómo cambiar el estado de una detección, haz clic en la pestaña de tu nivel de servicio.

1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

   Ir a Resultados

2. Selecciona tu Google Cloud proyecto u organización.
3. En el panel Resultados de la consulta de resultados, selecciona el resultado.
4. En la barra de acciones del panel Resultados de la consulta de hallazgos, haz clic en Cambiar estado activo.
5. En el menú Cambiar estado activo, selecciona Activo o Inactivo.

Personalizar la página Resultados

Para controlar el espacio de la pantalla, puedes personalizar algunos de los elementos que aparecen en los resultados de la consulta de detecciones.

Ocultar o mostrar columnas en los resultados de la consulta de hallazgos

En los resultados de la consulta de detecciones, puedes ocultar cualquier columna, excepto Categoría.

Estos son algunos ejemplos de columnas disponibles:

• Categoría: el nombre del tipo de resultado.
• Gravedad: la gravedad del resultado. Para obtener más información sobre cómo encontrar los niveles de gravedad, consulta Clasificaciones de gravedad de las detecciones.
• Puntuación de combinación tóxica: una puntuación de exposición a ataques en un resultado de clase Toxic combination.
• Puntuación de exposición a ataques: la puntuación de exposición a ataques del hallazgo.
• Hora del evento: la hora en la que se detectó por primera vez el resultado o la hora en la que se actualizó por última vez.
• Hora de creación: hora en la que se creó el resultado en Security Command Center.
• Clase de hallazgo: la clase del hallazgo, como THREAT, VULNERABILITY y MISCONFIGURATION.
• Nombre visible del recurso: el nombre visible del recurso en el que se ha detectado el problema.
• Nombre completo del recurso: el nombre completo del recurso en el que se ha detectado el problema.
• Proveedor de servicios en la nube de recurso: el proveedor de servicios en la nube en el que se aloja el recurso.
• Ruta del recurso: la ruta al recurso en el que se ha detectado el problema.
• Tipo de recurso: el tipo de recurso en el que se ha detectado el problema.
• Marcas de seguridad: las marcas de seguridad que se añadan al resultado.

Para obtener información sobre cómo ocultar o mostrar las columnas de los resultados de la consulta de detecciones, haz clic en la pestaña de tu nivel de servicio.

1. En la barra de acciones Resultados de la consulta de detecciones, situada a la derecha, haz clic en view_column Columnas.
2. Selecciona las columnas que quieras mostrar.
3. Desmarque las columnas que quiera ocultar.
4. Haz clic en Aplicar para aplicar los cambios al panel Resultados de la consulta de detecciones.

Las columnas seleccionadas se conservan la próxima vez que veas la página Resultados, aunque cambies de proyecto u organización. Para borrar todas las selecciones de columnas personalizadas, haz clic en Borrar selecciones de columnas.

Ocultar o mostrar los paneles de la página Resultados

Para aumentar el espacio de la pantalla y poder editar consultas o ver resultados, puedes ocultar o mostrar paneles. Para obtener más información, haz clic en la pestaña de tu nivel de servicio.

Puedes ocultar o mostrar los siguientes paneles:

• Panel Filtros rápidos
• Panel Editor de consultas

Para ocultar un panel, haz clic en el icono Alternar panel, first_page o first_page.

Para mostrar el panel, vuelve a hacer clic en el icono.

Siguientes pasos

• Consulta información sobre los servicios de detección.
• Consulta cómo usar marcas de seguridad.
• Consulta cómo configurar los servicios de Security Command Center.
• Consulta cómo crear un filtro de resultados con la API de Security Command Center.