Revisione e gestione dei risultati

Per saperne di più su ruoli e autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

Visualizza risultati

1. Apri la pagina Risultati.
2. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai a Risultati

3. Seleziona l'organizzazione, la cartella o il progetto Google Cloud .

   I risultati visualizzati si riferiscono alla risorsa (organizzazione, cartella o progetto) che selezioni. Google Cloud Ad esempio, se selezioni un progetto, vengono visualizzati solo i risultati associati a quel progetto, mentre se selezioni una cartella con più progetti, vengono visualizzati i risultati per tutti i progetti inclusi.

4. Per aggiornare l'elenco dei risultati nella sezione Risultati della query sui risultati, fai clic su autorenewAggiorna risultati.

Modificare l'intervallo di tempo per visualizzare più risultati

Puoi regolare l'intervallo di tempo utilizzato per le query. L'intervallo di tempo predefinito è Last 7 days.

L'intervallo di tempo si basa sul valore dell'attributo eventTime dei risultati, che riflette l'ora in cui il record del risultato è stato aggiornato l'ultima volta.

Nella pagina Risultati della console Google Cloud , imposta il campo Intervallo di tempo.

Trovare la disponibilità

Un risultato diventa in genere disponibile per le query in Security Command Center meno di un minuto dopo che il servizio che lo genera lo memorizza nel database dei risultati di Security Command Center. Per informazioni più dettagliate su cosa succede dopo l'attivazione di Security Command Center, consulta Quando aspettarsi i risultati in Security Command Center.

A seconda del livello di Security Command Center, i risultati rimangono disponibili per essere elencati o interrogati per periodi di tempo specifici. Per saperne di più sulla conservazione dei dati di Security Command Center, vedi Conservazione dei dati.

Trovare e visualizzare risultati specifici

Per impostazione predefinita, la pagina Risultati mostra tutti i risultati attivi che non sono disattivati e che sono nuovi o aggiornati negli ultimi sette giorni. Per visualizzare i risultati non attivi o disattivati, seleziona Non attivi o Disattivati nel riquadro Filtri rapidi.

Utilizzare le visualizzazioni filtrate predefinite

Per visualizzare una categoria specifica di risultati, fai clic sulle seguenti visualizzazioni dei filtri predefiniti che restituiscono una categoria specifica di risultati:

• Livello di servizio Premium: Tutti i risultati, Vulnerabilità, Identità e Minacce
• Livello di servizio Enterprise: Tutti i risultati, Vulnerabilità, Identità, Minacce, Dati e Codice

La vista applica ed esegue la query predefinita.

In Security Command Center Enterprise, fai clic su Mostra tutto per filtrare i risultati in base al provider di servizi cloud: Google Cloud, Amazon Web Services (AWS) o Microsoft Azure. Per informazioni sulla configurazione di una connessione ad altri cloud provider, consulta quanto segue:

• Connettiti ad AWS per la raccolta di dati di configurazione e risorse
• Connettersi a Microsoft Azure per la configurazione e la raccolta dei dati delle risorse

Utilizzare l'editor di query

Questa sezione descrive i diversi modi in cui puoi personalizzare la query dei risultati nella console Google Cloud per filtrare risultati specifici.

Il seguente esempio è la query dei risultati predefinita:

state="ACTIVE"
AND NOT mute="MUTED"

Puoi visualizzare la query sui risultati attuale nel riquadro Editor di query. Puoi modificare direttamente la query o selezionare filtri predefiniti per crearla. Per ulteriori informazioni, fai clic sulla scheda del tuo livello di servizio.

Nella pagina Risultati della console Google Cloud , puoi eseguire le seguenti operazioni:

• Nel riquadro Filtri rapidi, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il riquadro Filtri rapidi per le opzioni di filtro di alto livello utilizzate di frequente.
• Nel menu Aggiungi filtro del riquadro Editor di query, seleziona uno o più filtri degli attributi predefiniti per aggiungerli a una query. Utilizza il menu Aggiungi filtro per filtri più granulari e avanzati basati su attributi di ricerca di livello inferiore. Per saperne di più, consulta Modificare una query sui risultati nella console.
• Modifica la query sui risultati direttamente nel riquadro Editor query.
• Nella visualizzazione dettagliata di un risultato, dal menu a discesa per un determinato attributo, seleziona un filtro predefinito per quell'attributo per aggiungerlo a una query.

Visualizzare i dettagli di un risultato

Per saperne di più su un risultato, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria nei risultati della query.

Nella visualizzazione dettagliata, puoi trovare informazioni fondamentali per comprendere un risultato, esaminare una minaccia o risolvere una vulnerabilità.

La visualizzazione dettagliata dei risultati include le seguenti schede che puoi selezionare per saperne di più su un risultato e intraprendere un'azione:

• La scheda Riepilogo, che è la visualizzazione predefinita, evidenzia attributi e informazioni chiave relativi al risultato.
• La scheda Proprietà origine, dove puoi visualizzare gli attributi dell'oggetto sourceProperties del JSON del risultato.
• La scheda JSON, dove puoi vedere il formato JSON completo del problema.

Puoi eseguire determinate azioni sul risultato nella visualizzazione dettagliata, nonché trovare link a ulteriori informazioni correlate al risultato.

Scopri di più sul risultato nella visualizzazione dei dettagli

La visualizzazione dettagliata di un risultato evidenzia informazioni importanti sul risultato che puoi utilizzare per comprendere e risolvere il problema di sicurezza sottostante.

Informazioni sulla scheda Riepilogo

La scheda Riepilogo fornisce informazioni sul risultato nelle seguenti sezioni:

Che cosa è stato rilevato (o Panoramica)

Dettagli del risultato rilevato, ad esempio:

• Gravità del risultato
• Lo stato del risultato, ACTIVE o INACTIVE
• Qualsiasi campo chiave correlato al risultato specifico

Vulnerabilità

Informazioni del record CVE corrispondenti alla vulnerabilità, se presenti. La sezione Vulnerabilità include informazioni del record CVE, ad esempio:

• ID CVE
• Punteggio CVE
• Impatto
• Attività di exploit

Esposizione all'attacco

Il punteggio di esposizione all'attacco e l'ora in cui è stato calcolato l'ultima volta. Se fai clic sul punteggio, si apre una rappresentazione visiva delle risorse di alto valore interessate e del percorso di attacco associato.

Risorsa interessata

Dettagli sulla risorsa associata al risultato, tra cui le seguenti informazioni:

• Il nome completo della risorsa interessata
• Il provider di servizi cloud della risorsa
• Contatti tecnici e per la sicurezza

Informazioni sulla richiesta

Dettagli del caso associato al risultato, tra cui le seguenti informazioni.

• Il nome completo della risorsa del sistema esterno associato al risultato
• Il gruppo assegnato alla richiesta
• L'ID richiesta, che rimanda alla richiesta nella console Security Operations
• Lo stato della richiesta
• L'ora di aggiornamento nel sistema di gestione dei casi esterno
• La scadenza impegnata per la chiusura della richiesta

Contrassegni di sicurezza

Eventuali indicatori di sicurezza associati a questo risultato.

Passaggi successivi

Indicazioni su cosa puoi fare per risolvere il problema rilevato. Solo alcuni servizi, come Security Health Analytics, forniscono i passaggi successivi.

Link correlati

Link a fonti chiave di informazioni sulla sicurezza al di fuori di Security Command Center. Solo alcuni servizi, come Event Threat Detection, forniscono link correlati.

Servizio di rilevamento

Dettagli sul servizio o sull'origine che ha rilevato il risultato.

Informazioni sulla scheda Proprietà sorgente

Per alcuni risultati, il riquadro dei dettagli include una scheda Proprietà sorgente che evidenzia alcune proprietà dell'oggetto sourceProperties del JSON del risultato.

Le proprietà sorgente variano per ogni risultato e per ogni servizio in esecuzione su Security Command Center. Non è garantito che le proprietà sorgente siano standardizzate in tutti i servizi. Per questo motivo, sconsigliamo vivamente di utilizzare le proprietà delle origini in modo programmatico. Se vuoi che una proprietà sorgente venga standardizzata in tutti i servizi, comunicacelo inviando il tuo feedback.

Informazioni sulla scheda JSON

La scheda JSON contiene la struttura JSON completa del risultato, che può essere utile quando esamini un risultato o cerchi attributi che puoi utilizzare nelle query sui risultati.

Per copiare l'oggetto JSON negli appunti, fai clic su content_copy Copia.

La struttura JSON di un risultato contiene i seguenti oggetti:

• findings: gli attributi del problema. Questi attributi sono standardizzati in tutti i servizi integrati (noti anche come origini di sicurezza). Per ulteriori informazioni, vedi Finding.
• resource: gli attributi della risorsa interessata. Per ulteriori informazioni, vedi Resource.
• sourceProperties: le proprietà specifiche del servizio del problema.

Puoi anche utilizzare l'API ListFindings per elencare i risultati e ottenere le relative definizioni JSON.

Intervenire su un risultato dalla visualizzazione dei dettagli

Puoi eseguire una serie di azioni su un risultato dalla visualizzazione dei dettagli del risultato, ad esempio disattivarlo. Se visualizzi la visualizzazione dettagli del problema nella console Google Cloud , puoi anche aggiungere attributi dal problema alla query sui problemi corrente.

Disattivare un risultato nella visualizzazione dettagliata

Dalla visualizzazione dettagliata di un risultato, puoi disattivare o riattivare l'audio. Puoi anche creare una regola che disattiva tutti i risultati futuri simili a quello attuale.

Per istruzioni complete sulla disattivazione di un risultato o sulla creazione di una regola di disattivazione, vedi Disattivare i risultati in Security Command Center.

Aggiungere filtri degli attributi a una query dalla visualizzazione dettagliata

Nella console Google Cloud , nella visualizzazione dettagliata di un risultato, puoi aggiungere filtri per gli attributi visualizzati alla query sui risultati corrente.

Per aggiungere filtri degli attributi a una query dalla visualizzazione dettagli:

• Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
• Nella visualizzazione dettagliata del problema, individua l'attributo in base al quale vuoi filtrare.
• Accanto all'attributo, apri il menu a discesa.
• Seleziona un filtro predefinito per l'attributo. Il filtro viene aggiunto alla query sui risultati nella pagina Risultati.

Visualizzare o copiare i nomi delle API degli attributi nella visualizzazione dettagliata di un risultato

La maggior parte degli attributi dei risultati visualizzati nella console Google Cloud ha un nome corrispondente utilizzato nell'API Security Command Center.

1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.

2. Nella visualizzazione dettagliata del risultato, puoi trovare e copiare il nome API corrispondente di ogni attributo visualizzato.

   Il nome API equivalente per ogni attributo è elencato nella stessa riga dell'attributo. Tutti i nomi delle API si trovano nell'ultima colonna. Ad esempio, per l'attributo State [stato], il nome API equivalente è state.

Condividere la visualizzazione dettagliata di un risultato

Per condividere la visualizzazione dettagliata di un risultato, puoi copiare l'URL della pagina della visualizzazione dettagliata e condividerlo con altri.

Per informazioni su come copiare l'URL della visualizzazione dettagliata di un risultato, fai clic sulla scheda della console che stai utilizzando.

1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
2. Fai clic su Intervieni > Copia link.

Invia un feedback sul risultato a Google Cloud

Per informazioni su come inviare feedback su un risultato, fai clic sulla scheda relativa al tuo livello di servizio.

1. Nella pagina Risultati, fai clic sul risultato per visualizzarne i dettagli.
2. Fai clic su Intervieni > Invia feedback.
3. Inserisci una descrizione del tuo feedback.
4. Per includere uno screenshot, fai clic su Acquisisci screenshot.
5. Fai clic su Invia.

Visualizzare i dettagli di altri risultati nei risultati della query sui risultati

Per visualizzare i dettagli dei risultati che precedono o seguono quello che stai visualizzando, utilizza il pulsante navigate_next Avanti o navigate_before Precedente per passare al risultato successivo o precedente, senza dover tornare alla pagina Risultati.

Aggiungere contrassegni di sicurezza agli esiti

Un indicatore di sicurezza è un'etichetta personalizzata chiave-valore che puoi utilizzare per annotare un risultato, associarlo ad altri risultati che condividono lo stesso contrassegno di sicurezza ed eseguire query sui risultati.

Per istruzioni complete su come impostare i contrassegni di sicurezza sui risultati o sugli asset, consulta Utilizzo dei contrassegni di sicurezza.

Disattivare i risultati nella console

Puoi disattivare e riattivare le risultanze dalle seguenti visualizzazioni:

• Risultati della query sui risultati nella pagina Risultati
• Visualizzazione dettagliata di un risultato

Puoi disattivare singoli risultati o creare regole di disattivazione che disattivino i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati sono nascosti e silenziati, ma puoi comunque visualizzarli aggiungendo il filtro mute="MUTED" alla query sui risultati. I risultati disattivati continuano a essere registrati ai fini di audit e conformità.

Per istruzioni dettagliate su come disattivare e riattivare i risultati, vedi Disattivazione dei risultati in Security Command Center.

Modificare lo stato di un risultato

Un risultato può avere uno dei due stati seguenti: Active o Inactive.

Uno stato Active indica che il problema di sicurezza identificato dal risultato persiste nel tuo ambiente come potenziale minaccia o vulnerabilità.

Uno stato Inactive indica che il problema di sicurezza è stato risolto.

Potresti voler modificare lo stato di un risultato per vari motivi, ad esempio per impostare lo stato di un risultato su Inactive non appena viene risolto, in modo da non dover attendere la scansione successiva per modificare lo stato per te.

Per informazioni su come modificare lo stato di un risultato, fai clic sulla scheda relativa al tuo livello di servizio.

1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai a Risultati

2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
3. Nel riquadro Risultati della query sui risultati, seleziona il risultato.
4. Nella barra delle azioni del riquadro Risultati della query sui risultati, fai clic su Modifica stato attivo.
5. Nel menu Modifica stato attivo, seleziona Attivo o Non attivo.

Personalizzare la pagina Risultati

Per controllare lo spazio sullo schermo, puoi personalizzare alcuni degli elementi visualizzati nei risultati della query sui risultati.

Nascondere o visualizzare le colonne nei risultati della query sui risultati

Nei risultati della query sui risultati, puoi nascondere qualsiasi colonna, ad eccezione di Categoria.

Di seguito sono riportati alcuni esempi di colonne disponibili:

• Categoria: il nome del tipo di risultato.
• Gravità: la gravità del risultato. Per ulteriori informazioni sui livelli di gravità dei risultati, consulta Classificazioni della gravità per i risultati.
• Punteggio delle combinazioni tossiche: un punteggio di esposizione all'attacco in un risultato della classe Toxic combination.
• Punteggio di esposizione agli attacchi: il punteggio di esposizione agli attacchi del risultato.
• Ora evento: la data/ora in cui il risultato è stato rilevato per la prima volta o l'ultima volta che è stato aggiornato.
• Ora di creazione: quando è stato creato il risultato in Security Command Center.
• Classe di risultati: la classe del risultato, ad esempio THREAT, VULNERABILITY e MISCONFIGURATION.
• Nome visualizzato risorsa: il nome visualizzato della risorsa in cui è stato rilevato il problema.
• Nome completo risorsa: il nome completo della risorsa in cui è stato rilevato il problema.
• Cloud provider risorsa: il provider di servizi cloud su cui è ospitata la risorsa.
• Percorso della risorsa: il percorso della risorsa in cui è stato rilevato il problema.
• Tipo di risorsa: il tipo di risorsa in cui è stato rilevato il problema.
• Contrassegni di sicurezza: eventuali contrassegni di sicurezza aggiunti al risultato.

Per informazioni su come nascondere o visualizzare le colonne nei risultati della query sui risultati, fai clic sulla scheda del tuo livello di servizio.

1. A destra della barra delle azioni Risultati query sui risultati, fai clic su view_column Colonne.
2. Seleziona le colonne da visualizzare.
3. Deseleziona le colonne che vuoi nascondere.
4. Fai clic su Applica per applicare le modifiche al riquadro Risultati della query sui risultati.

Le selezioni delle colonne vengono mantenute la volta successiva che visualizzi la pagina Risultati, anche se modifichi progetti o organizzazioni. Per cancellare tutte le selezioni delle colonne personalizzate, fai clic su Cancella selezioni colonne.

Nascondere o mostrare i riquadri della pagina Risultati

Per aumentare lo spazio sullo schermo per modificare le query o visualizzare i risultati, puoi nascondere o visualizzare i riquadri. Per ulteriori informazioni, fai clic sulla scheda del tuo livello di servizio.

Puoi nascondere o visualizzare i seguenti riquadri:

• Pannello Filtri rapidi
• Riquadro Editor query

Per nascondere un riquadro, fai clic sull'icona Attiva/disattiva riquadro, first_page o first_page.

Per visualizzare il riquadro, fai di nuovo clic sull'icona.

Passaggi successivi

• Scopri di più sui servizi di rilevamento.
• Scopri come utilizzare i contrassegni di sicurezza.
• Scopri come configurare i servizi di Security Command Center.
• Scopri come creare un filtro dei risultati utilizzando l'API Security Command Center.