Inspecter les assets surveillés par Security Command Center

Cette page explique comment afficher, interroger et inspecter les assets cloud afin d'améliorer votre stratégie de sécurité, de résoudre les problèmes de sécurité et de répondre aux menaces.

Voici quelques-unes des actions que vous pouvez effectuer sur les assets dans Security Command Center :

Pour les niveaux de service Premium et Enterprise, vous pouvez modifier les requêtes sur les assets et afficher les ensembles de ressources de forte valeur.

Obtenir les autorisations requises

Cette section liste les rôles IAM dont vous avez besoin pour travailler avec des assets dans la console.

Rôles IAM de la consoleGoogle Cloud

Pour travailler avec des assets dans la console Google Cloud , vous avez besoin des rôles IAM suivants.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur  Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

    Rôles IAM pour la console Security Operations

    Si vous êtes un client Security Command Center Enterprise, vous pouvez travailler avec des assets dans la console Security Operations. Vous devez disposer de l'un des rôles IAM suivants :

    • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
    • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser les utilisateurs à l'aide d'IAM.

    Liste des assets dans Security Command Center

    Les assets sont listés dans les résultats de requête de la page Éléments de la consoleGoogle Cloud .

    Si Security Command Center est activé au niveau de l'organisation, vous pouvez afficher les assets de l'ensemble de votre organisation ou filtrer les assets par projets, types de ressources et emplacements spécifiques.

    Si Security Command Center est activé au niveau du projet, vous pouvez filtrer les composants par type de ressource et par emplacement dans la consoleGoogle Cloud .

    La liste des assets est fournie par l'inventaire des éléments cloud. Dans la plupart des cas, l'inventaire des éléments cloud met à jour la liste quelques minutes après la création, la modification ou la suppression d'assets dans votre environnement Google Cloud .

    Pour en savoir plus sur l'inventaire des éléments cloud, consultez la présentation de l'inventaire des éléments cloud.

    Afficher tous les assets

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Sélectionnez votre organisation Google Cloud .

    Trier les assets

    Pour trier les assets, cliquez sur l'en-tête de colonne correspondant à la valeur selon laquelle vous souhaitez effectuer le tri. Les colonnes sont triées par ordre numérique, puis par ordre alphabétique.

    Rechercher des assets

    Par défaut, tous les assets de l'organisation sont présentés dans les résultats de la requête. Pour rechercher des assets spécifiques dans Security Command Center, vous pouvez utiliser les filtres rapides ou spécifier des filtres personnalisés.

    Effectuer une recherche générale à l'aide de filtres rapides

    Pour effectuer une recherche générale parmi vos assets, vous pouvez utiliser les filtres rapides. Par exemple, vous pouvez effectuer une recherche par projet, par type de ressource ou par emplacement. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Dans la section Filtres rapides, sélectionnez un ou plusieurs filtres d'attributs pour les ajouter à une requête.

    Enterprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Cliquez sur l'un des onglets suivants pour filtrer les ressources :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
      • Ressources IA
      • Ensemble de ressources de forte valeur
    3. Pour l'onglet **Ressources IA** uniquement : si vous souhaitez filtrer sur une collection spécifique d'assets utilisant l'IA, sélectionnez une catégorie de modèle, de point de terminaison, de source de données, de pipeline, d'agent ou de notebook. La vue par défaut présente les modèles de fondation.
    4. Pour filtrer les ressources qui possèdent des valeurs d'attribut spécifiques, procédez comme suit :
      1. Dans la section Filtres, cliquez sur une valeur d'attribut, puis sur Afficher uniquement. La requête est mise à jour en conséquence.
      2. Pour ajouter une autre valeur d'attribut à la requête, cliquez sur la valeur d'attribut, puis sur et afficher uniquement.
      3. Pour retirer une valeur d'attribut de la requête, cliquez sur la valeur d'attribut, puis sur Ne pas afficher uniquement.
    5. Pour copier la valeur d'un attribut, cliquez sur celle-ci, puis sur Copier.

    Modifier les requêtes portant sur les assets

    Pour savoir comment modifier les requêtes portant sur les assets, cliquez sur l'onglet correspondant à votre niveau de service.

    Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Cliquez sur l'onglet Requête sur un élément.
    3. Modifiez la requête de l'une des façons suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, cliquez sur Appliquer la requête à côté d'une requête prédéfinie pour la sélectionner. La requête affichée dans la section Modifier la requête est mise à jour.
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête affichée dans la section Modifier la requête est mise à jour.
      • Dans la section Sélectionner une table, cliquez sur le type d'asset sur lequel vous souhaitez effectuer une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté à la section Modifier la requête.
      • Modifiez la requête directement dans la section Modifier la requête.
    4. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour.

    Enterprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments" dans le niveau Enterprise

    2. Assurez-vous que vous vous trouvez bien dans l'onglet Ressources Google Cloud.
    3. Cliquez sur Interroger des éléments.
    4. Modifiez la requête de l'une des façons suivantes :
      • Dans le sous-onglet Bibliothèque de requêtes, cliquez sur Appliquer la requête à côté d'une requête prédéfinie pour la sélectionner. La requête affichée dans la section Modifier la requête est mise à jour.
      • Dans le sous-onglet Bibliothèque de requêtes, sélectionnez une requête prédéfinie. Cliquez sur Appliquer. La requête affichée dans la section Modifier la requête est mise à jour.
      • Dans la section Sélectionner une table, cliquez sur le type d'asset sur lequel vous souhaitez effectuer une requête. Dans le sous-onglet Schéma, recherchez l'attribut que vous souhaitez ajouter à la requête. L'attribut est ajouté à la section Modifier la requête.
      • Modifiez la requête directement dans la section Modifier la requête.
    5. Cliquez sur Exécuter. Les résultats de la requête sont mis à jour.

    Filtrer les assets

    Pour savoir comment filtrer les assets, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Dans le sous-onglet Ressource, cliquez dans le champ à côté de Filtrer. Un menu d'options de filtrage s'ouvre.
    3. Pour filtrer la liste, sélectionnez une propriété et saisissez une valeur. Appuyez sur Entrée pour filtrer les assets ou ajouter d'autres propriétés de filtrage.
    4. Pour ajouter un autre filtre :
      1. Cliquez dans le champ à côté de Filtrer.
      2. Vous pouvez définir la relation logique entre les propriétés. Vous pouvez sélectionner OR. Sinon, Security Command Center utilise AND comme opérateur logique par défaut.
      3. Sélectionnez un attribut et saisissez une valeur.
      4. Répétez ces étapes pour continuer à filtrer.
    5. Appuyez sur Entrée pour filtrer les assets.

      Enterprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments" dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer les ressources :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
      • Ressources IA
      • Ensemble de ressources de forte valeur
    3. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Cette boîte de dialogue vous permet de choisir les valeurs de ressources et les attributs acceptés.
    4. Pour Filtrer, sélectionnez un attribut à filtrer.
    5. Définissez l'option d'évaluation du filtre et la valeur de l'attribut. Les options d'évaluation disponibles diffèrent selon l'attribut que vous avez sélectionné.
      • Pour filtrer sur les ressources qui ont une valeur d'attribut spécifique, sélectionnez Afficher uniquement. Dans la liste Valeur, sélectionnez la valeur d'attribut.
      • Pour filtrer sur les ressources dont la valeur d'attribut contient une chaîne spécifique, sélectionnez Contient. Dans le champ Valeur, indiquez la chaîne.

        L'option d'évaluation Contient suit la syntaxe de requête pour l'opérateur de correspondance partielle de texte. Celui-ci convertit votre terme de recherche en un ou plusieurs jetons, en utilisant des caractères spéciaux en guise de délimiteurs, et exige qu'un jeton entier corresponde. Pour ne mettre en correspondance qu'une partie d'un jeton, utilisez un astérisque (*) comme indicateur de correspondance de préfixe de jeton.

      • Pour filtrer les ressources en fonction d'un code temporel, sélectionnez Avant ou Après. Dans le champ Valeur, saisissez un code temporel.
    6. Pour ajouter un autre filtre :
      1. Cliquez sur Ajouter un filtre.
      2. Définissez l'attribut, l'option d'évaluation et la valeur de l'attribut.
      3. Définissez la relation logique entre les filtres. Pour Opérateur logique, sélectionnez AND ou OR.
    7. Cliquez sur Appliquer. L'éditeur de requête est mis à jour et les résultats de la requête sont filtrés en conséquence.

    Inspecter les détails des assets

    Cette section explique comment obtenir plus de détails sur un asset spécifique.

    Afficher les informations générales

    1. Recherchez l'asset.
    2. Dans les résultats de la requête, cliquez sur le nom de l'asset. La section "Détails" concernant l'asset s'ouvre. Elle présente un récapitulatif des informations sur l'asset.

    Afficher tous les détails d'un asset

    Pour afficher tous les détails concernant un asset, y compris les métadonnées de bas niveau, procédez comme suit :

    1. Recherchez l'asset.
    2. Dans les résultats de la requête, cliquez sur le nom de l'asset. La section des détails de l'asset s'ouvre.
    3. Cliquez sur l'onglet Métadonnées complètes. L'ensemble des noms et valeurs des propriétés de l'asset sont présentés dans une structure arborescente.
    4. Pour rechercher un nom ou une valeur de propriété spécifique dans l'arborescence, saisissez le nom ou la valeur dans le filtre.
    1. Recherchez l'asset.
    2. Dans les résultats de la requête, cliquez sur le nom de l'asset. La section des détails de l'asset s'ouvre.
    3. Cliquez sur l'onglet Résultats. Tous les résultats associés à l'asset s'affichent.

    Afficher les modifications apportées à un asset

    Vous pouvez comparer des instantanés des métadonnées d'un asset pour identifier ce qui a été modifié.

    Pour savoir comment afficher les modifications apportées à un asset au cours du temps, cliquez sur l'onglet correspondant à la console que vous utilisez.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Dans la liste des assets, cliquez sur le nom de l'asset. La section des détails de l'asset s'ouvre.
    3. Dans la section des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    4. Dans l'onglet Historique des modifications, sélectionnez une heure de début et une heure de fin.
    5. Dans la liste Sélectionnez un enregistrement à comparer située à gauche, sélectionnez un instantané.
    6. Dans la liste Sélectionnez un enregistrement à comparer située à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Enterprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments" dans le niveau Enterprise

    2. Dans la liste des assets, cliquez sur le nom de l'asset. La section des détails de l'asset s'ouvre.
    3. Dans la section des détails de l'asset, cliquez sur l'onglet Historique des modifications.
    4. Dans la liste Comparer à gauche, sélectionnez un instantané.
    5. Dans la liste Comparer à droite, sélectionnez un instantané à comparer avec le premier instantané que vous avez sélectionné. Les modifications entre les deux instantanés sont mises en évidence.

    Afficher les stratégies IAM associées à un asset

    1. Recherchez l'asset.
    2. Dans les résultats de la requête, cliquez sur le nom de l'asset. La section des détails de l'asset s'ouvre.
    3. Cliquez sur l'onglet Stratégies IAM. Les stratégies IAM associées à l'asset s'affichent.

    Afficher l'ensemble de ressources de forte valeur

    Vous pouvez afficher les ressources de forte valeur que Risk Engine a incluses dans les dernières simulations de chemins d'attaque. Vous pouvez également afficher les scores d'exposition aux attaques que Risk Engine a calculés pour chaque ressource. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Cliquez sur l'onglet Ensemble de ressources de forte valeur.
    3. Pour afficher les détails de la simulation de chemin d'attaque pour la ressource, cliquez sur son score d'exposition aux attaques. Pour savoir comment interpréter les chemins d'attaque, consultez Chemins d'attaque.

    Enterprise

    Pour afficher l'ensemble de ressources de forte valeur, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. Cliquez sur l'onglet Ensemble de ressources de forte valeur.
    3. Cliquez sur le sous-onglet correspondant au fournisseur de services cloud pour lequel vous souhaitez afficher les informations :
      • Pour afficher les ressources Google Cloud de forte valeur, cliquez sur Ressources Google Cloud.
      • Pour afficher les ressources Amazon Web Services (AWS) de forte valeur, cliquez sur Ressources AWS.
      • Pour afficher les ressources Microsoft Azure de forte valeur, cliquez sur Ressources Azure.
    4. Pour afficher les détails d'une ressource, cliquez sur son nom à afficher.

    Filtrer les assets par code temporel de création ou de dernière modification

    Vous pouvez filtrer ou trier les assets dans la section des résultats de la page Éléments, en fonction de leur code temporel de création ou de dernière modification.

    Pour effectuer un filtrage en fonction du code temporel Création, du code temporel Dernière mise à jour ou des deux, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments"

    2. En haut de la section des résultats de la page Éléments, placez le curseur dans le champ Filtrer. Un menu de filtres s'ouvre.
    3. Accédez à la section Heure de création ou Heure de mise à jour, puis sélectionnez l'une des options de filtrage basées sur le temps. Exemple : Update time after. Un filtre est ajouté au champ Filtrer.
    4. Dans le champ de filtre, saisissez une date au format MM/DD/YYYY, puis appuyez sur la touche Entrée de votre clavier.

    La section des résultats est mise à jour pour n'afficher que les assets correspondant à votre filtre.

    Enterprise

    1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

      Accéder à la page "Éléments" dans le niveau Enterprise

    2. Cliquez sur l'un des onglets suivants pour filtrer les ressources :
      • Ressources Google Cloud
      • Ressources AWS
      • Ressources Azure
      • Ressources IA
    3. Cliquez sur Ajouter un filtre. La boîte de dialogue Filtres s'affiche. Dans cette boîte de dialogue, vous pouvez choisir les valeurs de ressources et les attributs acceptés.
    4. Dans le champ Filtrer, sélectionnez Heure de création ou Heure de modification.
    5. Sélectionnez Avant ou Après.
    6. Dans le champ Valeur, saisissez une date au format MM/DD/YYYY HH:MM:SS.
    7. Cliquez sur Appliquer.

    La section des résultats est mise à jour pour n'afficher que les assets correspondant à votre filtre.

    Personnaliser la page des résultats de requête sur les assets

    Pour contrôler l'espace sur votre écran, vous pouvez personnaliser certains des éléments qui s'affichent dans les résultats de requête.

    Masquer ou afficher des colonnes

    Pour savoir comment masquer ou afficher des colonnes dans les résultats de requête, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    1. En haut de la section "Résultats", cliquez sur Colonnes.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Cliquez sur OK pour appliquer les modifications aux résultats de la requête.

    Enterprise

    1. En haut de la section des résultats, cliquez sur view_column Ouvrir le sélecteur de colonnes. Le menu Gérer les colonnes s'ouvre.
    2. Sélectionnez les colonnes que vous souhaitez afficher.
    3. Désélectionnez les colonnes que vous souhaitez masquer.
    4. Fermez le menu.

    Masquer ou redimensionner la section des filtres rapides

    Pour augmenter l'espace d'affichage dédié aux résultats de la requête, vous pouvez masquer ou redimensionner des sections. Pour en savoir plus, cliquez sur l'onglet correspondant à votre niveau de service.

    Standard ou Premium

    • Pour masquer la section latérale Filtres rapides, cliquez sur la flèche vers la gauche first_page.
    • Pour afficher la section latérale Filtres rapides, cliquez sur la flèche vers la droite last_page.
    • Pour redimensionner les colonnes d'affichage, faites glisser la ligne de séparation vers la gauche ou vers la droite.

    Enterprise

    • Pour masquer la section latérale Filtres, cliquez sur chevron_left Fermer la barre latérale.
    • Pour afficher la section latérale Filtres, cliquez sur chevron_right Ouvrir la barre latérale.

    Étape suivante