Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Explora el gráfico de seguridad con consultas

El gráfico de seguridad de Security Command Center es una base de datos que reconoce las relaciones y que asigna recursos en la nube, sus configuraciones y los indicadores de riesgo asociados, como vulnerabilidades, permisos de acceso, sensibilidad de los datos y exposición de la red. El gráfico proporciona una vista completa de tus activos en la nube y sus relaciones.

En este documento, se explica la búsqueda de gráficos, una función que te permite explorar el gráfico de seguridad mediante la creación de consultas personalizadas para ayudarte a identificar posibles problemas de seguridad en tu entorno.

Componentes de la consulta

Las consultas de gráficos de seguridad constan de tres tipos de componentes principales:

Nodo: Es un hallazgo de seguridad o un recurso en la nube.
Cláusula WHERE (filtro): Es un filtro que se aplica a un nodo para definir mejor la consulta en función de las propiedades específicas del nodo.
Conexión: Es una relación direccional entre dos nodos.

A continuación, se muestra un ejemplo de una consulta en la Google Cloud consola de, con estos componentes.

Ejemplo de consulta de Security Command Center Graph con una variedad de componentes — Ejemplo de consulta de gráficos de Security Command Center con una variedad de componentes

Esta estructura de consulta de ejemplo identifica una relación entre entidades de seguridad para ayudar a identificar el riesgo. Primero, la consulta establece los temas clave, o nodos, de la investigación, la vulnerabilidad CVE y la máquina virtual (GCE). La conexión, identificada por la frase que afecta, vincula explícitamente estos dos nodos. Por último, la consulta se ajusta con precisión mediante varios atributos, conocidos como cláusulas WHERE o filtros, en cada nodo. Los filtros que se usan aquí incluyen la gravedad de la vulnerabilidad y la accesibilidad de la red de la VM. En conjunto, estos componentes ayudan a identificar posibles riesgos en un entorno.

Nodo

Un nodo representa un hallazgo de seguridad o un recurso en la nube.

Estos son algunos ejemplos de un nodo en la Google Cloud consola de:

Vulnerabilidad CVE: Es una vulnerabilidad de vulnerabilidades y exposiciones comunes definida por The MITRE Corporation.
Máquina virtual (GCE): Es una instancia de Compute Engine.
Implementación de GKE: Es un recurso de Google Kubernetes Engine.
Cuenta de servicio de IAM: Es una cuenta de servicio de Identity and Access Management (IAM).
Conjunto de datos de BigQuery: Es un contenedor de datos en BigQuery. Para obtener más información, consulta Introducción a los conjuntos de datos.

Los nodos se agrupan por categorías, como Compute, Kubernetes, Identity y Databases. Puedes explorar o buscar todos los tipos de nodos disponibles en la Google Cloud consola cuando crees tu consulta.

Cláusula WHERE (filtro)

Una cláusula WHERE es un filtro que se aplica a un nodo para definir mejor la consulta en función de las propiedades específicas asociadas con el nodo.

A continuación, hay algunos ejemplos de filtros:

Gravedad = Crítica: Es un elemento de gravedad crítica, por ejemplo, una CVE.
Tiene acceso completo a la API = Verdadero: Indica que un nodo está configurado con acceso completo a todas las Google Cloud APIs.
Actividad de explotación = Confirmada: Indica instancias conocidas, informadas o previstas de una vulnerabilidad que se explota en el exterior.

Los filtros que se muestran en la Google Cloud consola de son sensibles al contexto y dependen de l tipo de nodo que seleccionaste.

Conexión

Una conexión es una relación direccional entre dos nodos.

A continuación, se muestran ejemplos de conexiones:

que afecta: Define la relación entre dos nodos seleccionados, por ejemplo, una vulnerabilidad CVE en relación con una máquina virtual (GCE).
que usa: Define la relación entre dos nodos seleccionados, por ejemplo, una máquina virtual (GCE) en relación con una cuenta de servicio de IAM.

Las conexiones son sensibles al contexto, y solo se muestran las relaciones válidas para el tipo de nodo seleccionado.

Crea una consulta

Puedes consultar el gráfico de seguridad para explorar tu entorno de nube en función de los criterios que sean importantes para ti. Realizar y definir mejor las consultas en el gráfico puede ayudarte a identificar debilidades de seguridad específicas que deseas supervisar.

En la Google Cloud consola de, ve a la página Búsqueda de gráficos de Security Command Center.

Ir a Búsqueda de gráficos
Usa el editor de consultas para crear tu consulta. Elige una de las siguientes opciones:
- Crea tu propia consulta personalizada.
- Selecciona una sugerencia de búsqueda predefinida y úsala tal como está.
- Modifica una sugerencia de búsqueda predefinida para que se adapte a tus necesidades.
Ejecuta tu consulta.
Revisa los resultados de la consulta en la tabla. Puedes personalizar la vista de resultados seleccionando las columnas que se mostrarán. También puedes ordenar cada columna de forma ascendente o descendente.
Opcional: Para exportar los resultados de la consulta como un archivo CSV, haz clic en Descargar CSV.

Nota: Las exportaciones se limitan a 1,000 filas.

Crea consultas personalizadas

Puedes definir consultas personalizadas para identificar vulnerabilidades de seguridad específicas de tu entorno.

Para crear una consulta personalizada, inicia una consulta nueva o personaliza una sugerencia de búsqueda existente con los siguientes pasos:

En la Google Cloud consola de, ve a la página Búsqueda de gráficos de Security Command Center.

Ir a Búsqueda de gráficos
En el campo Mostrar, haz clic en Agregar y selecciona un recurso o hallazgo como el nodo principal de tu consulta y, luego, haz clic en Continuar. Aparecerá un diálogo para el nodo seleccionado.
Para definir mejor tu consulta, haz lo siguiente:
- Para filtrar por una de las propiedades del nodo, haz clic en el botón de activación WHERE de esa propiedad. En el campo Valor del filtro que aparece, ingresa o selecciona un valor que debe contener la propiedad.
- Para filtrar por las conexiones del nodo a otros nodos, haz clic en el botón de activación junto a un tipo de conexión, como que afecta o que usa, para habilitarlo.
Nota: El editor de consultas solo muestra los filtros y las conexiones que son válidos para el tipo de nodo seleccionado.
Para modificar tu consulta, haz lo siguiente:
- Para agregar componentes a tu consulta, haz clic en Agregar junto a un nodo o una conexión.
- Para quitar un componente de tu consulta, haz clic en Cerrar.
Selecciona Ejecutar consulta.

Los nodos, filtros y conexiones disponibles se actualizan en la Google Cloud consola.

Usa o personaliza una sugerencia de búsqueda

Se proporcionan varias sugerencias de búsqueda como puntos de partida. Puedes usar estas sugerencias tal como están o personalizarlas para que se adapten a tus requisitos específicos.

En la Google Cloud consola de, ve a la página Búsqueda de gráficos de Security Command Center.

Ir a Búsqueda de gráficos
Selecciona una sugerencia de búsqueda para ver información más detallada sobre la consulta.
Haz clic en Usar sugerencia.
Opcional: Modifica los detalles de la consulta en el editor para que se adapten a tus necesidades. Para obtener más información, consulta Crea consultas personalizadas.
Haz clic en Ejecutar consulta.

Soluciona problemas de consultas que no muestran resultados

Si tu consulta no muestra resultados, prueba los siguientes pasos para solucionar problemas y realizar ajustes.

Usa una sugerencia de búsqueda predefinida

Las sugerencias de búsqueda predefinidas que se proporcionan son ejemplos diseñados para mostrar resultados relevantes para una variedad de entornos. Puedes modificar las sugerencias de búsqueda para que se adapten a tus necesidades específicas.

Simplifica o ajusta tu consulta

Quita o reduce los filtros para ampliar el alcance de tu consulta.
Intenta consultar un solo tipo de activo o propiedad para validar que se muestren los datos.
Evita combinar demasiadas restricciones. Si lo haces, podrías excluir resultados de forma involuntaria.

Verifica los permisos de acceso

Asegúrate de tener los permisos necesarios para ver los datos que consultas. Sin el acceso correcto, es posible que algunos activos o relaciones estén ocultos o excluidos de los resultados.

Permite que se sincronicen los datos

Es posible que los recursos creados o actualizados recientemente tarden unos minutos o horas en aparecer en el gráfico. Por ejemplo, pueden producirse demoras si acabas de agregar un recurso o actualizar las políticas de IAM. Si acabas de realizar cambios en tu entorno de nube, intenta ejecutar la consulta de nuevo después de un tiempo.

Cobertura del gráfico

Es posible que algunos tipos de datos o relaciones no estén disponibles en el gráfico de seguridad, según tu entorno y los tipos de datos admitidos. Si no ves los datos esperados, es posible que no estén disponibles en el gráfico.

Ayuda adicional

Si probaste los pasos anteriores y aún no ves los resultados esperados, comunícate con el administrador del proyecto o consulta Obtén asistencia para revisar la configuración y los permisos de tu consulta.

¿Qué sigue?

Obtén más información sobre los problemas de Security Command Center.
Administra y soluciona problemas.