בדיקה וניהול של ממצאים

בדף הזה מוסבר איך לעבוד עם ממצאים ב-Security Command Center. ממצא הוא רשומה שנוצרת על ידי שירותי Security Command Center כשהם מזהים בעיית אבטחה. הממצאים מפורטים בדף ממצאים. אפשר ללחוץ על ממצא כדי לראות את הפרטים שלו ואת הפורמט המלא של ה-JSON.

אלה חלק מהפעולות שאפשר לבצע בדף ממצאים:

  • ממצאי השאילתה.
  • בודקים את הממצאים.
  • השתקת ממצאים.
  • הוספת סימני אבטחה לממצאים.

מידע על עבודה עם ממצאים באופן פרוגרמטי זמין במאמר ספריות לקוח של Security Command Center.

קבלת ההרשאות הנדרשות

בקטע הזה מפורטים תפקידי ה-IAM שנדרשים כדי לעבוד עם ממצאים במסוף.

Google Cloud תפקידי IAM במסוף

כדי לעבוד עם ממצאים במסוף Google Cloud , אתם צריכים את תפקידי ה-IAM הבאים.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. מידע נוסף על תפקידים והרשאות ב-Security Command Center זמין במאמר IAM להפעלות ברמת הארגון.

    צפייה בממצאים

    1. פותחים את הדף ממצאים.

    2. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

      כניסה לדף Findings

    3. בוחרים את Google Cloud הארגון, התיקייה או הפרויקט.

      הממצאים שמופיעים הם לגבי Google Cloud המשאב (ארגון, תיקייה או פרויקט) שבחרתם. לדוגמה, אם בוחרים פרויקט, מוצגים רק הממצאים שמשויכים לפרויקט הזה. לעומת זאת, אם בוחרים תיקייה עם כמה פרויקטים, מוצגים הממצאים של כל הפרויקטים שנכללים בתיקייה.

    4. כדי לעדכן את רשימת הממצאים בתוצאות השאילתה של הממצאים, לוחצים על autorenewרענון הממצאים.

    שינוי טווח הזמן כדי לראות עוד ממצאים

    אפשר לשנות את טווח הזמן שמשמש לשאילתות. טווח הזמן שמוגדר כברירת מחדל הוא Last 7 days.

    טווח הזמן מבוסס על הערך של המאפיין eventTime של הממצאים, שמשקף את השעה שבה רשומת הממצא עודכנה לאחרונה.

    בדף Findings במסוף Google Cloud , מגדירים את השדה Time range.

    איך בודקים את הזמינות

    בדרך כלל, ממצא זמין להרצת שאילתה ב-Security Command Center תוך פחות מדקה אחרי שהשירות שיצר את הממצא מאחסן אותו במסד הנתונים של הממצאים ב-Security Command Center. מידע מפורט יותר על מה שקורה אחרי שמפעילים את Security Command Center זמין במאמר מתי אפשר לצפות לתוצאות ב-Security Command Center.

    בהתאם לרמת השירות של Security Command Center, הממצאים זמינים לכם לפרקי זמן מסוימים, ואפשר להציג אותם או להריץ עליהם שאילתות. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.

    חיפוש ומציאת ממצאים ספציפיים

    כברירת מחדל, בדף ממצאים מוצגים כל הממצאים הפעילים שלא הושתקו, ושנוספו או עודכנו ב-7 הימים האחרונים. כדי להציג ממצאים לא פעילים או מושתקים, בוחרים באפשרות לא פעיל או מושתק בחלונית מסננים מהירים.

    שימוש בתצוגות מסוננות שהוגדרו מראש

    כדי להציג קטגוריה ספציפית של ממצאים, לוחצים על תצוגות המסננים המוגדרות מראש הבאות שמחזירות קטגוריה ספציפית של ממצאים:

    • רמת Standard (גרסה קודמת): כל הממצאים, פגיעויות וזהות
    • רמת Standard: כל הממצאים, פגיעויות, זהות, נתונים ואיומים
    • רמת Premium: כל הממצאים, פגיעויות, זהויות, נתונים ואיומים
    • מהדורת Enterprise: כל הממצאים, פגיעויות, זהות, איומים, נתונים וקוד

    התצוגה מוחלת והשאילתה המוגדרת מראש מופעלת.

    ב-Security Command Center Enterprise, לוחצים על הצגת כל התוצאות כדי לסנן את התוצאות לפי ספק שירותי ענן: Google Cloud, Amazon Web Services ‏ (AWS) או Microsoft Azure. למידע על הגדרת חיבור לספקי ענן אחרים, אפשר לעיין במאמרים הבאים:

    שימוש בכלי לעריכת שאילתות

    בקטע הזה מתוארות הדרכים השונות שבהן אפשר להתאים אישית את שאילתת הממצאים במסוף Google Cloud כדי לסנן ממצאים ספציפיים.

    הדוגמה הבאה היא שאילתת ברירת המחדל של הממצאים:

    state="ACTIVE"
AND NOT mute="MUTED"
AND launch_state="LAUNCH_STATE_DEPRECATED"

    מידע על הממצאים עם ההגדרה launch_state בשדה LAUNCH_STATE_DEPRECATED זמין במאמר השדרוג לרמה רגילה מופעל אוטומטית עבור חלק מהלקוחות.

    אפשר לראות את השאילתה הנוכחית של הממצאים בחלונית עורך השאילתות. אפשר לערוך את השאילתה ישירות או לבחור מסננים מוגדרים מראש כדי לבנות את השאילתה. למידע נוסף, לוחצים על הכרטיסייה של רמת השירות.

    בדף Findings במסוף Google Cloud , אפשר לבצע את הפעולות הבאות:

    • בחלונית Quick filters, בוחרים מסנן אחד או יותר של מאפיינים מוגדרים מראש כדי להוסיף אותם לשאילתה. משתמשים בחלונית Quick filters כדי להשתמש באפשרויות סינון נפוצות וכלליות.
    • בתפריט הוספת מסנן בחלונית עורך השאילתות, בוחרים מסנן מאפיינים מוגדר מראש אחד או יותר כדי להוסיף אותו לשאילתה. אפשר להשתמש בתפריט הוספת מסנן כדי להוסיף מסננים מפורטים ומתקדמים יותר שמבוססים על מאפיינים של ממצאים ברמה נמוכה יותר. מידע נוסף מופיע במאמר בנושא עריכת שאילתת ממצאים במסוף.
    • עורכים את שאילתת הממצאים ישירות בחלונית Query editor.
    • בתצוגת הפרטים של ממצא, בתפריט הנפתח של מאפיין מסוים, בוחרים מסנן מוגדר מראש למאפיין הזה כדי להוסיף אותו לשאילתה.

    הצגת הפרטים של ממצא

    כדי לקבל מידע נוסף על ממצא, לוחצים על שם הממצא בעמודה קטגוריה בתוצאות השאילתה של הממצאים כדי לפתוח את התצוגה המפורטת של הממצא.

    בתצוגה המפורטת אפשר למצוא מידע שחשוב להבנת הממצא, לחקירת איום או לטיפול בפגיעות.

    בתצוגת הפרטים של הממצאים יש כרטיסיות שונות שאפשר לבחור כדי לקבל מידע נוסף על ממצא מסוים ולבצע פעולות:

    • בכרטיסייה סיכום, שהיא תצוגת ברירת המחדל, מודגשים מידע ומאפיינים חשובים לגבי הממצא.
    • בכרטיסייה מאפייני המקור אפשר לראות את המאפיינים של אובייקט sourceProperties ב-JSON של הממצא.
    • הכרטיסייה JSON, שבה אפשר לראות את הפורמט המלא של הממצא ב-JSON.

    בתצוגת הפרטים אפשר לבצע פעולות מסוימות לגבי הממצא, וגם למצוא קישורים למידע נוסף שקשור לממצא.

    מידע על הממצא בתצוגת הפרטים

    בתצוגת הפרטים של ממצא מודגש מידע חשוב לגבי הממצא, שיכול לעזור לכם להבין את בעיית האבטחה הבסיסית ולטפל בה.

    מידע בכרטיסייה סיכום

    בכרטיסייה סיכום מופיע מידע על הממצא בקטעים הבאים:

    מה זוהה (או סקירה כללית)

    פרטים על הממצא שזוהה, כמו:

    • רמת החומרה של הממצא
    • מצב הממצא, ACTIVE או INACTIVE
    • כל שדות המפתח שקשורים לממצא הספציפי
    נקודת חולשה

    מידע מרשומת ה-CVE שמתאים לנקודת החולשה, אם יש כזה. הקטע Vulnerability כולל מידע מרשומת ה-CVE, כמו:

    • מזהה CVE
    • ציון CVE
    • השפעה
    • פעילות ניצול
    חשיפה להתקפות

    ציון החשיפה להתקפות והשעה שבה הציון חושב לאחרונה. כשלוחצים על הניקוד, נפתחת תצוגה חזותית של המשאבים המושפעים בעלי הערך הגבוה ושל נתיב ההתקפה שמשויך אליהם.

    משאב מושפע

    פרטים על המשאב שמשויך לממצא, כולל המידע הבא:

    • השם המלא של המשאב המושפע
    • ספק שירותי הענן של המשאב
    • אנשי הקשר הטכניים ואנשי הקשר בנושא אבטחה
    פרטי בקשת התמיכה

    פרטים על הפנייה שמשויכת לממצא, כולל המידע הבא.

    • השם המלא של המשאב במערכת החיצונית שמשויך לממצא
    • הקבוצה שהוקצתה לטיפול בפנייה
    • מספר הפנייה, שמקשר לפנייה במסוף Security Operations
    • הסטטוס של בקשת התמיכה
    • זמן העדכון במערכת החיצונית לניהול בקשות תמיכה
    • הדדליין המחייב לסגירת הפנייה
    סימני אבטחה

    סימני האבטחה שמשויכים לממצא הזה, אם יש כאלה.

    השלבים הבאים

    הנחיות לגבי הפעולות שאפשר לבצע כדי לפתור את הבעיה שזוהתה. רק שירותים מסוימים, כמו Security Health Analytics, מספקים שלבים להמשך.

    קישורים רלוונטיים

    קישורים למקורות מידע חשובים בנושא אבטחה מחוץ ל-Security Command Center. רק שירותים מסוימים, כמו Event Threat Detection, מספקים קישורים קשורים.

    שירות זיהוי

    פרטים על השירות או המקור שזיהה את הממצא.

    מידע בכרטיסייה נכסי מקור

    בחלק מהממצאים, חלונית הפרטים כוללת את הכרטיסייה מאפייני מקור שבה מודגשים מאפיינים מסוימים מאובייקט sourceProperties של ה-JSON של הממצא.

    נכסי המקור שונים לכל ממצא ולכל שירות שפועל ב-Security Command Center. אין ערובה לכך שנכסי המקור יהיו סטנדרטיים בכל השירותים. לכן, אנחנו ממליצים מאוד להימנע משימוש בתכונות של מקורות נתונים באופן פרוגרמטי. אם אתם רוצים שנכס מקור יהיה סטנדרטי בכל השירותים, אתם יכולים לשלוח לנו משוב.

    מידע בכרטיסייה JSON

    בכרטיסייה JSON מוצגת מבנה ה-JSON המלא של הממצא. המידע הזה יכול להיות שימושי כשבודקים ממצא או מחפשים מאפיינים שאפשר להשתמש בהם בשאילתות של ממצאים.

    כדי להעתיק את אובייקט ה-JSON ללוח, לוחצים על העתקה.

    מבנה ה-JSON של ממצא מכיל את האובייקטים הבאים:

    • findings: מאפייני הממצא. המאפיינים האלה הם סטנדרטיים בכל השירותים המובנים והמשולבים (שנקראים גם מקורות אבטחה). מידע נוסף זמין במאמר Finding.
    • resource: המאפיינים של המשאב המושפע. מידע נוסף זמין במאמר Resource.
    • sourceProperties: המאפיינים הספציפיים לשירות של הממצא.

    אפשר גם להשתמש ב-ListFindings API כדי לקבל רשימה של ממצאים ואת הגדרות ה-JSON שלהם.

    הצגת הממצאים לגבי משאבים שרשומים באפליקציה

    כדי לסנן ולהציג ממצאים שקשורים למשאב שרשום באפליקציה של App Hub, צריך לבצע את הפעולות הבאות.

    • משתמשים בתפריט בחירת אפליקציה כדי לבחור אפליקציה. הפעולה הזו מוסיפה לחיפוש מונח כדי להציג רק ממצאים שקשורים לאפליקציה הזו.

    • בחלונית Quick filters, בוחרים אפליקציה אחת או יותר בקטע App ID.

    כשבוחרים ממצא, בחלונית פרטי הממצא מוצג המידע על האפליקציה שהמשאב רשום בה.

    ביצוע פעולה על ממצא מתצוגת הפרטים

    אפשר לבצע מגוון פעולות לגבי ממצא מתצוגת הפרטים שלו, למשל להשתיק אותו. אם אתם צופים בתצוגת הפרטים של הממצא במסוף Google Cloud , אתם יכולים גם להוסיף מאפיינים מהממצא לשאילתת הממצאים הנוכחית.

    השתקת ממצא בתצוגת הפרטים

    בתצוגה המפורטת של ממצא, אפשר להשתיק או לבטל את ההשתקה של הממצא. אפשר גם ליצור כלל להשתקת כל הממצאים העתידיים כמו הממצא הנוכחי.

    הוראות מלאות להשתקת ממצא או ליצירת כלל להשתקת ממצאים, ראו השתקת ממצאים ב-Security Command Center.

    הוספת מסנני מאפיינים לשאילתה מהתצוגה המפורטת

    ב Google Cloud מסוף, בתצוגת הפרטים של ממצא, אפשר להוסיף מסננים למאפיינים שמוצגים לשאילתת הממצאים הנוכחית.

    כדי להוסיף מסנני מאפיינים לשאילתה מתצוגת הפרטים:

    • בדף ממצאים, לוחצים על הממצא כדי לראות את הפרטים שלו.
    • בתצוגת הפרטים של הממצא, מחפשים את המאפיין שרוצים לסנן לפיו.
    • פותחים את התפריט הנפתח לצד המאפיין.
    • בוחרים מסנן מוגדר מראש למאפיין. המסנן מתווסף לשאילתת הממצאים בדף ממצאים.

    הצגה או העתקה של שמות מאפיינים ב-API בתצוגת הפרטים של ממצא

    לרוב מאפייני הממצאים שמוצגים ב Google Cloud מסוף יש שם תואם שמשמש ב-Security Command Center API.

    1. בדף ממצאים, לוחצים על הממצא כדי לראות את הפרטים שלו.

    2. בתצוגת הפרטים של הממצא, אפשר למצוא ולהעתיק את שם ה-API המתאים של כל מאפיין שמוצג.

      שם ה-API המקביל לכל מאפיין מופיע באותה שורה של המאפיין. כל שמות ה-API מופיעים בעמודה האחרונה. לדוגמה, שם ה-API המקביל למאפיין State הוא state.

    שיתוף תצוגת הפרטים של ממצא

    כדי לשתף את התצוגה המפורטת של ממצא, אפשר להעתיק את כתובת ה-URL של דף התצוגה המפורטת ולשתף אותה עם אחרים.

    כדי להעתיק את כתובת ה-URL של תצוגת הפרטים של ממצא, לוחצים על הכרטיסייה של המסוף שבו אתם משתמשים.

    1. בדף ממצאים, לוחצים על הממצא כדי לראות את הפרטים שלו.
    2. לוחצים על בחירת פעולה > העתקת הקישור.

    שליחת משוב על הממצא אל Google Cloud

    כדי לקבל מידע על שליחת משוב לגבי ממצא, לוחצים על הכרטיסייה של רמת השירות.

    1. בדף ממצאים, לוחצים על הממצא כדי לראות את הפרטים שלו.
    2. לוחצים על פעולה > שליחת משוב.
    3. מזינים תיאור של המשוב.
    4. כדי לצרף צילום מסך, לוחצים על יצירת צילום מסך.
    5. לוחצים על שליחה.

    הצגת פרטים של ממצאים אחרים בתוצאות של שאילתת הממצאים

    כדי לראות את הפרטים של הממצאים שקדמו לממצא שמוצג או שבאים אחריו, משתמשים בלחצן הבא או הקודם כדי לעבור לממצא הבא או הקודם, בלי לחזור לדף ממצאים.

    הוספת סימני אבטחה לממצאים

    סימן אבטחה הוא תווית מותאמת אישית של זוג מפתח/ערך שאפשר להשתמש בה כדי להוסיף הערות לממצא, לשייך ממצא לממצאים אחרים שמשותף להם אותו סימן אבטחה ולשאילתת ממצאים.

    הוראות מלאות להגדרת תגי סיווג אבטחה בממצאים או בנכסים מופיעות במאמר בנושא שימוש בתגי סיווג אבטחה.

    השתקת הממצאים במסוף

    אפשר להשתיק ולבטל את ההשתקה של ממצאים בתצוגות הבאות:

    • תוצאות של שאילתות ממצאים בדף ממצאים
    • תצוגה מפורטת של ממצא

    אתם יכולים להשתיק ממצאים ספציפיים או ליצור כללי השתקה שישתיקו ממצאים נוכחיים ועתידיים על סמך מסננים שתגדירו.

    ממצאים שהושתקו מוסתרים ומושתקים, אבל עדיין אפשר לראות אותם על ידי הוספת המסנן mute="MUTED" לשאילתת הממצאים. הממצאים שהושתקו ממשיכים להירשם ביומן למטרות ביקורת ותאימות.

    הוראות מפורטות להשתקת ממצאים ולביטול ההשתקה שלהם מופיעות במאמר השתקת ממצאים ב-Security Command Center.

    שינוי המצב של ממצא

    לממצא יכול להיות אחד משני סטטוסים: Active או Inactive.

    סטטוס Active מציין שבעיית האבטחה שזוהתה בתוצאה עדיין קיימת בסביבה שלכם כאיום או כנקודת חולשה פוטנציאליים.

    סטטוס Inactive מציין שבעיית האבטחה נפתרה.

    יכולות להיות סיבות שונות לשינוי הסטטוס של ממצא, למשל, כדי לשנות את הסטטוס של ממצא לInactive ברגע שמטפלים בו, כך שלא צריך לחכות לסריקה הבאה כדי שהסטטוס ישתנה.

    כדי לקבל מידע על שינוי הסטטוס של ממצא, לוחצים על הכרטיסייה של רמת השירות שלכם.

    1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

      כניסה לדף Findings

    2. בוחרים את הפרויקט או הארגון. Google Cloud
    3. בחלונית תוצאות השאילתה של הממצאים, בוחרים את הממצא.
    4. בסרגל הפעולות של החלונית תוצאות השאילתה של הממצאים, לוחצים על שינוי הסטטוס הפעיל.
    5. בתפריט שינוי מצב פעיל, בוחרים באפשרות פעיל או לא פעיל.

    התאמה אישית של הדף 'ממצאים'

    כדי לשלוט בשטח המסך, אתם יכולים להתאים אישית חלק מהרכיבים שמופיעים בתוצאות של שאילתת הממצאים.

    הסתרה או הצגה של עמודות בתוצאות של שאילתת הממצאים

    בתוצאות של שאילתת הממצאים, אפשר להסתיר כל עמודה חוץ מהעמודה קטגוריה.

    דוגמאות לעמודות שזמינות:

    • קטגוריה: השם של סוג הממצא.
    • רמת החומרה: רמת החומרה של הממצא. מידע נוסף על רמות חומרה זמין במאמר סיווגי חומרה של ממצאים.
    • ציון שילוב רעיל: ציון החשיפה להתקפה בממצא מסוג Toxic combination.
    • ציון החשיפה להתקפה: ציון החשיפה להתקפה של הממצא.
    • השעה של האירוע: השעה שבה הממצא זוהה לראשונה או השעה שבה הוא עודכן לאחרונה.
    • שעת היצירה: השעה שבה הממצא נוצר ב-Security Command Center.
    • Finding class: הכיתה של הממצא, למשל THREAT,‏ VULNERABILITY ו-MISCONFIGURATION.
    • השם המוצג של המשאב: השם המוצג של המשאב שבו זוהתה הבעיה.
    • שם מלא של משאב: השם המלא של המשאב שבו זוהתה הבעיה.
    • ספק משאבים בענן: ספק שירותי הענן שבו מתארח המשאב.
    • נתיב המשאב: הנתיב למשאב שבו זוהתה הבעיה.
    • סוג המשאב: סוג המשאב שבו זוהתה הבעיה.
    • סימני אבטחה: כל סימני האבטחה שנוספו לממצא.

    כדי להסתיר או להציג את העמודות בתוצאות של שאילתת הממצאים, לוחצים על הכרטיסייה של רמת השירות.

    1. בצד שמאל של סרגל הפעולות תוצאות השאילתה של הממצאים, לוחצים על עמודות.
    2. בוחרים את העמודות שרוצים להציג.
    3. מבטלים את הבחירה של העמודות שרוצים להסתיר.
    4. לוחצים על החלה כדי להחיל את השינויים על החלונית תוצאות השאילתה של הממצאים.

    הבחירות שלכם בעמודות נשמרות לפעם הבאה שבה תצפו בדף Findings, גם אם תשנו את הפרויקטים או הארגונים. כדי לנקות את כל הבחירות של עמודות בהתאמה אישית, לוחצים על ניקוי הבחירות של העמודות.

    הסתרה או הצגה של חלוניות בדף הממצאים

    כדי להגדיל את שטח המסך לעריכת שאילתות או לצפייה בתוצאות, אפשר להסתיר או להציג חלוניות. כדי לקבל מידע נוסף, לוחצים על הכרטיסייה של רמת השירות.

    אפשר להסתיר או להציג את החלוניות הבאות:

    • החלונית מסננים מהירים
    • החלונית עורך השאילתות

    כדי להסתיר חלונית, לוחצים על סמל החלפת חלונית, או .

    כדי להציג את החלונית, לוחצים שוב על הסמל.

    המאמרים הבאים