בדיקת נכסים שנמצאים במעקב על ידי Security Command Center

בדף הזה מוסבר איך לצפות בנכסים בענן, לשלוח אליהם שאילתות ולבדוק אותם. כך תוכלו לשפר את מצב האבטחה, לפתור בעיות אבטחה ולהגיב לאיומים.

ב-Security Command Center, חלק מהפעולות שאפשר לבצע בנכסים כוללות את הפעולות הבאות:

במהדורות Premium ו-Enterprise, אפשר לערוך שאילתות של נכסים ולהציג קבוצות של משאבים בעלי ערך גבוה.

קבלת ההרשאות הנדרשות

בקטע הזה מפורטים תפקידי ה-IAM שנדרשים כדי לעבוד עם נכסים במסוף.

Google Cloud תפקידי IAM במסוף

כדי לעבוד עם נכסים במסוף Google Cloud , צריך את תפקידי ה-IAM הבאים.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. מידע נוסף על תפקידים והרשאות ב-Security Command Center זמין במאמר IAM להפעלות ברמת הארגון.

    תפקידים ב-IAM במסוף Security Operations

    לקוחות Security Command Center Enterprise יכולים לעבוד עם נכסים במסוף Security Operations. צריך אחד מהתפקידים הבאים ב-IAM:

    • אדמין ב-Chronicle SOAR (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

    במאמר מיפוי משתמשים והרשאתם באמצעות IAM מוסבר איך מקצים את התפקיד למשתמש.

    רשימת הנכסים ב-Security Command Center

    הנכסים מופיעים בתוצאות השאילתה בדף Assets במסוףGoogle Cloud .

    אם Security Command Center מופעל ברמת הארגון, אפשר לראות את הנכסים של כל הארגון או לסנן את הנכסים לפי פרויקטים ספציפיים, סוגי משאבים ומיקום.

    אם Security Command Center מופעל ברמת הפרויקט, תוכלו לסנן את הנכסים לפי סוג המשאב והמיקום במסוףGoogle Cloud .

    רשימת הנכסים מסופקת על ידי מאגר משאבי הענן. ברוב המקרים, מאגר משאבי הענן מעדכן את הרשימה תוך דקות אחרי שמשאבים נוצרים, משתנים או מוסרים בסביבת Google Cloud .

    מידע נוסף על מאגר משאבי ענן זמין במאמר מבוא למאגר משאבי ענן.

    הצגת כל הנכסים

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. בוחרים את Google Cloud הארגון.

    מיון נכסים

    כדי למיין נכסים, לוחצים על כותרת העמודה של הערך שלפיו רוצים למיין. העמודות ממוינות לפי סדר מספרי ואז לפי סדר אלפביתי.

    חיפוש נכסים

    כברירת מחדל, כל הנכסים בארגון מוצגים בתוצאות השאילתה. כדי לחפש נכסים ספציפיים ב-Security Command Center, אפשר להשתמש במסננים מהירים או לציין מסננים בהתאמה אישית.

    ביצוע חיפוש ברמה גבוהה באמצעות מסננים מהירים

    כדי לבצע חיפוש ברמה גבוהה של הנכסים, אפשר להשתמש במסננים מהירים. לדוגמה, אתם יכולים לחפש לפי פרויקט, סוג משאב או מיקום. למידע נוסף, לוחצים על הכרטיסייה של מסלול השירות.

    ‫Standard-legacy,‏ Standard או Premium

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. בקטע Quick filters, בוחרים מסנן מאפיינים אחד או יותר כדי להוסיף אותם לשאילתה.

    Enterprise

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. לוחצים על אחת מהכרטיסיות הבאות כדי לסנן את המשאבים:
      • משאבים של Google Cloud
      • משאבי AWS
      • משאבי Azure
      • מקורות מידע בנושא AI
      • מערך משאבים בעל ערך גבוה
    3. בכרטיסייה AI resources בלבד: אם רוצים לסנן לפי אוסף ספציפי של פריטים שמשתמשים ב-AI, בוחרים מודל, נקודת קצה, מקור נתונים, צינור, סוכן או קטגוריה של מחברת. בתצוגת ברירת המחדל מוצגים מודלים בסיסיים.
    4. כדי לסנן משאבים עם ערכי מאפיינים ספציפיים, פועלים לפי השלבים הבאים:
      1. בקטע מסננים, לוחצים על ערך מאפיין ואז על הצגה בלבד. השאילתה מתעדכנת בהתאם.
      2. כדי להוסיף עוד ערך מאפיין לשאילתה, לוחצים על ערך המאפיין ואז על and show only (והצגה רק של).
      3. כדי להסיר ערך מאפיין מהשאילתה, לוחצים על ערך המאפיין ואז על לא להציג רק.
    5. כדי להעתיק ערך של מאפיין, לוחצים על ערך המאפיין ואז על העתקה.

    עריכת שאילתות של נכסים

    כדי ללמוד איך לערוך שאילתות של נכסים, לוחצים על הכרטיסייה של רמת השירות.

    פרימיום

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. לוחצים על הכרטיסייה שאילתת נכסים.
    3. עורכים את השאילתה באחת מהדרכים הבאות:
      • בכרטיסיית המשנה ספריית שאילתות, לוחצים על החלת שאילתה לצד שאילתה מוכנה מראש כדי לבחור אותה. השאילתה בקטע עריכת שאילתה מתעדכנת.
      • בכרטיסיית המשנה ספריית השאילתות, בוחרים שאילתה מוכנה מראש. לוחצים על אישור. השאילתה בקטע עריכת שאילתה מתעדכנת.
      • בקטע Select table (בחירת טבלה), לוחצים על סוג הנכס שרוצים לשלוח לגביו שאילתה. בכרטיסיית המשנה Schema, מחפשים את המאפיין שרוצים להוסיף לשאילתה. המאפיין יתווסף לקטע Edit query.
      • עורכים את השאילתה ישירות בקטע עריכת שאילתה.
    4. לוחצים על Run. תוצאות השאילתה מתעדכנות.

    Enterprise

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      איך ניגשים לנכסים במהדורת Enterprise

    2. מוודאים שאתם בכרטיסייה משאבי Google Cloud.
    3. לוחצים על שאילתת נכסים.
    4. עורכים את השאילתה באחת מהדרכים הבאות:
      • בכרטיסיית המשנה ספריית שאילתות, לוחצים על החלת שאילתה לצד שאילתה מוכנה מראש כדי לבחור אותה. השאילתה בקטע עריכת שאילתה מתעדכנת.
      • בכרטיסיית המשנה ספריית השאילתות, בוחרים שאילתה מוכנה מראש. לוחצים על אישור. השאילתה בקטע עריכת שאילתה מתעדכנת.
      • בקטע Select table (בחירת טבלה), לוחצים על סוג הנכס שרוצים לשלוח לגביו שאילתה. בכרטיסיית המשנה Schema, מחפשים את המאפיין שרוצים להוסיף לשאילתה. המאפיין יתווסף לקטע Edit query.
      • עורכים את השאילתה ישירות בקטע עריכת שאילתה.
    5. לוחצים על Run. תוצאות השאילתה מתעדכנות.

    סינון נכסים

    כדי לקבל מידע על סינון נכסים, לוחצים על הכרטיסייה של רמת השירות.

    ‫Standard-legacy,‏ Standard או Premium

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. בכרטיסיית המשנה Resource, לוחצים על השדה שליד Filter. ייפתח תפריט עם אפשרויות סינון.
    3. כדי לסנן את הרשימה, בוחרים מאפיין ומזינים ערך. מקישים על Enter כדי לסנן את הנכסים או כדי להוסיף עוד מאפייני סינון.
    4. כדי להוסיף עוד מסנן, פועלים לפי השלבים הבאים:
      1. לוחצים בשדה שליד מסנן.
      2. אפשר להגדיר את הקשר הלוגי בין הנכסים. לוחצים על OR. אחרת, Security Command Center משתמש ב-AND כאופרטור לוגי כברירת מחדל.
      3. בוחרים מאפיין ומזינים ערך.
      4. חוזרים על השלבים האלה כדי להמשיך לסנן.
    5. מקישים על Enter כדי לסנן את הנכסים.

      Enterprise

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      איך ניגשים לנכסים במהדורת Enterprise

    2. לוחצים על אחת מהכרטיסיות הבאות כדי לסנן את המשאבים:
      • משאבים של Google Cloud
      • משאבי AWS
      • משאבי Azure
      • מקורות מידע בנושא AI
      • מערך משאבים בעל ערך גבוה
    3. לוחצים על הוספת מסנן. מופיעה תיבת הדו-שיח Filters (מסננים). בתיבת הדו-שיח הזו אפשר לבחור מאפיינים וערכים נתמכים של משאבים.
    4. בקטע Filter, בוחרים מאפיין לסינון.
    5. מגדירים את אפשרות ההערכה של המסנן ואת ערך המאפיין. אפשרויות ההערכה הזמינות משתנות בהתאם למאפיין שבחרתם.
      • כדי לסנן משאבים עם ערך מאפיין ספציפי, בוחרים באפשרות הצגה רק של. ברשימה Value, בוחרים את ערך המאפיין.
      • כדי לסנן משאבים שערך המאפיין שלהם מכיל מחרוזת ספציפית, בוחרים באפשרות מכיל. בשדה ערך, מזינים את המחרוזת.

        אפשרות ההערכה Contains פועלת לפי תחביר השאילתות של אופרטור ההתאמה החלקית של הטקסט. היא ממירה את מונח החיפוש לאסימון אחד או יותר, באמצעות תווים מיוחדים כמפרידים, ונדרש התאמה של אסימון שלם. כדי להתאים רק חלק מטוקן, משתמשים בכוכבית (*) בתור אינדיקטור להתאמה של קידומת טוקן.

      • כדי לסנן את המשאבים לפי חותמת זמן, בוחרים באפשרות לפני או אחרי. בשדה ערך, מזינים את חותמת הזמן.
    6. כדי להוסיף עוד מסנן, פועלים לפי השלבים הבאים:
      1. לוחצים על הוספת מסנן.
      2. מגדירים את המאפיין, את אפשרות ההערכה ואת ערך המאפיין.
      3. הגדרת הקשר הלוגי בין המסננים. בקטע Logical operator (אופרטור לוגי), בוחרים באפשרות AND או OR.
    7. לוחצים על אישור. עורך השאילתות מתעדכן ותוצאות השאילתה מסוננות בהתאם.

    בדיקת פרטי הנכס

    בקטע הזה מוסבר איך אפשר לקבל פרטים נוספים על נכס מסוים.

    צפייה בפרטים הכלליים

    1. חיפוש הנכס
    2. בתוצאות השאילתה, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס ותוצג בו סיכום של הפרטים.

    צפייה בפרטים המלאים של נכס

    כדי לראות את כל הפרטים על נכס, כולל מטא-נתונים ברמה נמוכה, פועלים לפי השלבים הבאים:

    1. חיפוש הנכס
    2. בתוצאות השאילתה, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס.
    3. לוחצים על הכרטיסייה מטא-נתונים מלאים. כל שמות הנכסים והערכים של הנכס מוצגים במבנה עץ.
    4. כדי לחפש שם או ערך מסוימים של נכס בעץ, מזינים את השם או הערך במסנן.
    1. חיפוש הנכס
    2. בתוצאות השאילתה, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס.
    3. לוחצים על הכרטיסייה ממצאים. כל הממצאים שקשורים לנכס מוצגים.

    הצגת השינויים בנכס

    אפשר להשוות בין תמונות מצב של המטא-נתונים של נכס כדי לראות מה השתנה.

    כדי לראות את השינויים בנכס לאורך זמן, לוחצים על הכרטיסייה של המסוף שבו אתם משתמשים.

    ‫Standard-legacy,‏ Standard או Premium

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. ברשימת הנכסים, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס.
    3. בקטע הפרטים של הנכס, לוחצים על הכרטיסייה היסטוריית שינויים.
    4. בכרטיסייה היסטוריית שינויים, בוחרים שעת התחלה ושעת סיום.
    5. ברשימה Select a record to compare (בחירת רשומה להשוואה) בצד ימין, בוחרים תמונת מצב.
    6. ברשימה Select a record to compare בצד שמאל, בוחרים תמונת מצב להשוואה עם תמונת המצב הראשונה שבחרתם. השינויים בין שתי התמונות יסומנו.

    Enterprise

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      איך ניגשים לנכסים במהדורת Enterprise

    2. ברשימת הנכסים, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס.
    3. בקטע הפרטים של הנכס, לוחצים על הכרטיסייה היסטוריית שינויים.
    4. ברשימה השוואה שמימין, בוחרים תמונת מצב.
    5. ברשימה השוואה בצד שמאל, בוחרים תמונת מצב להשוואה עם תמונת המצב הראשונה שבחרתם. השינויים בין שתי התמונות יסומנו.

    צפייה במדיניות IAM שמשויכת לנכס

    1. חיפוש הנכס
    2. בתוצאות השאילתה, לוחצים על שם הנכס. ייפתח קטע הפרטים של הנכס.
    3. לוחצים על הכרטיסייה כללי מדיניות של IAM. מדיניות ה-IAM שמשויכת לנכס מוצגת.

    הצגת קבוצת המשאבים בעלי הערך הגבוה

    אפשר לראות את הנכסים בעלי הערך הגבוה שמנוע הסיכון כלל בסימולציות האחרונות של נתיבי התקפה. אפשר גם לראות את הציונים של רמת החשיפה להתקפות שחושבו על ידי מנוע הסיכונים לכל משאב. למידע נוסף, לוחצים על הכרטיסייה של רמת השירות.

    פרימיום

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. לוחצים על הכרטיסייה High value resource set (קבוצת משאבים עם ערך גבוה).
    3. כדי לראות את פרטי הסימולציה של נתיב התקיפה של המשאב, לוחצים על ציון החשיפה להתקפה של המשאב. במאמר נתיבי תקיפה מוסבר איך לפרש את נתיבי התקיפה.

    Enterprise

    כדי לראות את קבוצת המשאבים בעלי הערך הגבוה, פועלים לפי השלבים הבאים:

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. לוחצים על הכרטיסייה High value resource set (קבוצת משאבים עם ערך גבוה).
    3. לוחצים על כרטיסיית המשנה של ספק שירותי הענן שרוצים לראות:
      • כדי לראות משאבים בעלי ערך גבוה Google Cloud , לוחצים על משאבים של Google Cloud.
      • כדי לראות משאבים בעלי ערך גבוה ב-Amazon Web Services ‏(AWS), לוחצים על AWS resources (משאבי AWS).
      • כדי לראות משאבים חשובים ב-Microsoft Azure, לוחצים על Azure resources (משאבי Azure).
    4. כדי לראות את הפרטים של משאב, לוחצים על השם המוצג של המשאב.

    סינון נכסים לפי חותמת זמן

    אפשר לסנן או למיין את הנכסים בקטע התוצאות של הדף נכסים לפי חותמות הזמן נוצר ועודכן לאחרונה.

    כדי לסנן לפי חותמת הזמן Created או Last updated, או לפי שתיהן, לוחצים על הכרטיסייה של רמת השירות.

    ‫Standard-legacy,‏ Standard או Premium

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      כניסה לדף 'נכסים'

    2. בחלק העליון של קטע התוצאות בדף נכסים, מציבים את הסמן בשדה מסנן. ייפתח תפריט של מסננים.
    3. עוברים לקטע Create time או Update time ובוחרים אחת מהאפשרויות של המסנן לפי זמן. לדוגמה, Update time after. מסנן נוסף לשדה מסנן.
    4. בשדה המסנן, מקלידים תאריך בפורמט MM/DD/YYYY ומקישים על Enter במקלדת.

    הנכסים בקטע התוצאות מתעדכנים ומוצגים רק הנכסים שתואמים למסנן.

    Enterprise

    1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

      איך ניגשים לנכסים במהדורת Enterprise

    2. לוחצים על אחת מהכרטיסיות הבאות כדי לסנן את המשאבים:
      • משאבים של Google Cloud
      • משאבי AWS
      • משאבי Azure
      • מקורות מידע בנושא AI
    3. לוחצים על הוספת מסנן. מופיעה תיבת הדו-שיח Filters (מסננים). בתיבת הדו-שיח הזו אפשר לבחור מאפיינים וערכים נתמכים של משאבים.
    4. בשדה Filter, בוחרים באפשרות Create time או Update time.
    5. בוחרים באפשרות לפני או אחרי.
    6. בשדה Value (ערך), מקלידים תאריך בפורמט MM/DD/YYYY HH:MM:SS.
    7. לוחצים על אישור.

    הנכסים בקטע התוצאות מתעדכנים ומוצגים רק הנכסים שתואמים למסנן.

    התאמה אישית של דף תוצאות שאילתת הנכסים

    כדי לשלוט בשטח המסך, אתם יכולים להתאים אישית חלק מהרכיבים שמופיעים בתוצאות השאילתה.

    הסתרה או הצגה של עמודות

    כדי להציג או להסתיר עמודות בתוצאות השאילתה, לוחצים על הכרטיסייה של מסלול השירות.

    ‫Standard-legacy,‏ Standard או Premium

    1. בחלק העליון של קטע התוצאות, לוחצים על עמודות.
    2. בוחרים את העמודות שרוצים להציג.
    3. מבטלים את הבחירה של העמודות שרוצים להסתיר.
    4. לוחצים על אישור כדי להחיל את השינויים על תוצאות השאילתה.

    Enterprise

    1. בחלק העליון של קטע התוצאות, לוחצים על view_column Open column selector. נפתח התפריט ניהול עמודות.
    2. בוחרים את העמודות שרוצים להציג.
    3. מבטלים את הבחירה של העמודות שרוצים להסתיר.
    4. סוגרים את התפריט.

    הסתרה או שינוי הגודל של הקטע 'מסננים מהירים'

    כדי להגדיל את שטח המסך שמוקדש לתוצאות השאילתות, אפשר להסתיר או לשנות את הגודל של חלקים. למידע נוסף, לוחצים על הכרטיסייה של מסלול השירות.

    ‫Standard-legacy,‏ Standard או Premium

    • כדי להסתיר את החלק הצדדי מסננים מהירים, לוחצים על החץ שמאלה first_page.
    • כדי להציג את החלק הצדדי מסננים מהירים, לוחצים על החץ שמאלה last_page.
    • כדי לשנות את הגודל של עמודות התצוגה, גוררים את הקו המפריד שמאלה או ימינה.

    Enterprise

    • כדי להסתיר את החלק הצדדי Filters, לוחצים על chevron_left Close sidebar.
    • כדי להציג את הקטע הצדדי Filters, לוחצים על chevron_right Open sidebar.

    המאמרים הבאים