צפייה בממצאי נקודות החולשה ב-Security Command Center

אפשר לראות ולסנן את ממצאי הפגיעות בדפים הבאים במסוףGoogle Cloud :

  • הדף נקודות חולשה.
  • בדף ממצאים.

אחרי שמציגים את הממצאים לגבי נקודות החולשה שחשובים לכם, אפשר לבחור את נקודת החולשה ב-Security Command Center כדי לראות מידע מפורט לגבי ממצא מסוים. המידע הזה כולל תיאור של נקודת החולשה והסיכון, והמלצות לתיקון.

בדף הזה, המונח פגיעות מתייחס גם לתוצאות של מחלקות Vulnerability וגם לתוצאות של מחלקות Misconfiguration.

השוואה בין הדף 'פגיעויות' לבין הדף 'ממצאים'

אפשרויות הסינון בדף Vulnerabilities (נקודות חולשה) מוגבלות בהשוואה לאפשרויות הסינון והשאילתות שזמינות בדף Findings (ממצאים).

בדף Vulnerabilities (נקודות חולשה) מוצגות כל קטגוריות הממצאים בכיתות Vulnerability ו-Misconfiguration של הממצאים, יחד עם המספר הנוכחי של הממצאים הפעילים בכל קטגוריה ותקני התאימות שכל קטגוריה של ממצאים ממופה אליהם. אם אין פגיעויות פעילות בקטגוריה מסוימת, הסמל 0 מוצג בעמודה ממצאים פעילים.

לעומת זאת, בדף ממצאים יכולות להופיע קטגוריות ממצאים מכל סוג ממצא, אבל קטגוריית ממצאים תופיע רק אם זוהתה בעיית אבטחה בקטגוריה הזו בסביבה שלכם בטווח הזמן שצוין.

מידע נוסף זמין בדפים הבאים:

איך משתמשים בפילטרים מוגדרים מראש של שאילתות

בדף Vulnerabilities (נקודות חולשה), אפשר לבחור שאילתות מוגדרות מראש, query presets, שמחזירות ממצאים שקשורים ליעדי אבטחה ספציפיים.

לדוגמה, אם אתם אחראים לניהול הרשאות של תשתית ענן (CIEM) ב- Google Cloud, תוכלו לבחור את ההגדרה הקבועה מראש של השאילתה Identity and access misconfigurations כדי לראות את כל הממצאים שקשורים לחשבונות ראשיים שהוגדרו בצורה שגויה או שקיבלו הרשאות רגישות או הרשאות יתר.

לחלופין, אם המטרה שלכם היא להגביל את חשבונות המשתמשים רק להרשאות שהם צריכים בפועל, אתם יכולים לבחור בהגדרה הקבועה מראש של שאילתת IAM Recommender כדי להציג ממצאים מ-IAM Recommender לגבי חשבונות משתמשים שיש להם יותר הרשאות ממה שהם צריכים.

כדי לבחור הגדרה קבועה מראש של שאילתה:

  1. עוברים לדף Vulnerabilities (פגיעויות) בגרסה הקודמת:

    כניסה לדף Vulnerabilities

  2. בקטע הגדרות קבועות מראש של שאילתות, לוחצים על אחת מהאפשרויות לבחירת שאילתה.

    התצוגה מתעדכנת כך שמוצגות בה רק קטגוריות הפגיעות שצוינו בשאילתה.

צפייה בממצאים של נקודות חולשה לפי פרויקט

כדי לראות את הממצאים של נקודות החולשה לפי פרויקט בדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud :

  1. נכנסים לדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud .

    כניסה לדף Vulnerabilities

  2. בחלק העליון של הדף, בתפריט לבחירת הפרויקט, בוחרים את הפרויקט שרוצים לראות בו את הממצאים לגבי נקודות החולשה.

בדף Vulnerabilities מוצגים ממצאים רק לגבי הפרויקט שבחרתם.

לחלופין, אם התצוגה במסוף מוגדרת לארגון שלכם, אתם יכולים לסנן את הממצאים של נקודות החולשה לפי מזהה פרויקט אחד או יותר באמצעות מסננים מהירים בדף הממצאים.

צפייה בממצאי נקודות חולשה לפי קטגוריית ממצאים

כדי לראות את הממצאים לגבי נקודות החולשה לפי קטגוריה:

  1. נכנסים לדף Vulnerabilities בגרסה הקודמת של מסוף Google Cloud .

    כניסה לדף Vulnerabilities

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בעמודה Category, בוחרים את סוג הממצאים שרוצים להציג.

הדף Findings נטען ומוצגת בו רשימה של ממצאים שתואמים לסוג שבחרתם.

מידע נוסף על איתור קטגוריות זמין במאמר בנושא ממצאים של נקודות חולשה.

צפייה בממצאים לפי סוג הנכס

כדי לראות את הממצאים לגבי נקודות חולשה בסוג מסוים של נכס:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בחלונית Quick filters, בוחרים באפשרויות הבאות:

    • בקטע Finding class, בוחרים באפשרויות Vulnerability ו-Misconfiguration.
    • אופציונלי: בקטע Project ID, בוחרים את מזהה הפרויקט שרוצים להציג בו את הנכסים.
    • בקטע Resource type, בוחרים את סוג המשאב שרוצים לראות.

רשימת הממצאים בחלונית Findings query results מתעדכנת כך שיוצגו בה רק הממצאים שתואמים לבחירות שלכם.

צפייה בממצאים של נקודות חולשה לפי ציון החשיפה להתקפה

לממצאי פגיעות שמסווגים כבעלי ערך גבוה ונתמכים על ידי סימולציות של נתיבי תקיפה מוקצה ציון חשיפה להתקפה. אפשר לסנן את הממצאים לפי הציון הזה.

כדי לראות את הממצאים לגבי נקודות חולשה לפי ציון החשיפה למתקפות:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. משמאל לחלונית תצוגה מקדימה של השאילתה, לוחצים על עריכת השאילתה.

  4. בחלק העליון של החלונית עורך השאילתות, לוחצים על הוספת מסנן.

  5. בתיבת הדו-שיח Select filter (בחירת מסנן), מבצעים את הפעולות הבאות:

  6. בוחרים באפשרות Attack exposure (חשיפה להתקפות) ומזינים ערך של ניקוד בשדה Attack exposure greater than (חשיפה להתקפות גבוהה מ).

  7. לוחצים על אישור.

    הצהרת המסנן נוספת לשאילתה, והממצאים בחלונית תוצאות השאילתה של הממצאים מתעדכנים כך שיוצגו רק ממצאים עם ציון חשיפה להתקפה שגבוה מהערך שצוין בהצהרת המסנן החדשה.

צפייה בתוצאות של איתור נקודות חולשה לפי מזהה CVE

אפשר לראות את הממצאים לפי מזהה ה-CVE המתאים בדף סקירה כללית או בדף ממצאים.

  • בדף סקירה כללית עוברים אל לוח הבקרה פגיעויות. מידע על החלוניות בלוח הבקרה זמין במאמר הערכת הסיכון במבט חטוף.

  • בדף Findings, אפשר לשלוח שאילתות לגבי ממצאים לפי מספר ה-CVE שלהם.

    כדי לשלוח שאילתה לגבי ממצאי נקודות חולשה לפי מזהה CVE:

    1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

      כניסה לדף Findings

    2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

    3. משמאל לשדה תצוגה מקדימה של השאילתה, לוחצים על עריכת השאילתה.

    4. בעורך השאילתות, עורכים את השאילתה כך שתכלול את מזהה ה-CVE שאתם מחפשים. לדוגמה:

    state="ACTIVE"
  AND NOT mute="MUTED"
  AND vulnerability.cve.id="CVE-2016-5195"

    תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו כל הממצאים הפעילים שלא הושתקו ושכוללים את מזהה ה-CVE.

צפייה בתוצאות של סריקת נקודות חולשה לפי רמת חומרה

כדי לראות את הממצאים לגבי נקודות החולשה לפי רמת החומרה:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. בחלונית Quick filters, עוברים לקטע Finding class ובוחרים באפשרויות Vulnerability ו-Misconfiguration.

    התוצאות שמוצגות מתעדכנות כך שיוצגו רק תוצאות של סיווגים Vulnerability ו-Misconfiguration.

  4. בנוסף, בחלונית Quick filters, עוברים לקטע Severity ובוחרים את רמות החומרה של הממצאים שרוצים לראות.

    התוצאות שמוצגות מתעדכנות כך שיוצגו רק תוצאות של פגיעויות ברמות החומרה שנבחרו.

צפייה בקטגוריות של ממצאים לפי מספר הממצאים הפעילים

כדי לראות את קטגוריות הממצאים לפי מספר הממצאים הפעילים שהן מכילות, אפשר להשתמש במסוף Google Cloud או בפקודות של Google Cloud CLI.

המסוף

כדי לראות את קטגוריות הממצאים לפי מספר הממצאים הפעילים שהן מכילות בדף Vulnerabilities (פגיעויות) בגרסה הקודמת, אפשר למיין את הקטגוריות לפי העמודה Active findings (ממצאים פעילים) או לסנן את הקטגוריות לפי מספר הממצאים הפעילים שכל אחת מהן מכילה.

כדי לסנן את הקטגוריות של ממצאי פגיעות לפי מספר הממצאים הפעילים שהן מכילות, פועלים לפי השלבים הבאים:

  1. פותחים את הדף Vulnerabilities (פגיעויות) בגרסה הקודמת של מסוף Google Cloud :

    כניסה לדף Vulnerabilities

  2. בוחרים את הארגון, התיקייה או הפרויקט מרשימת הפרויקטים.

  3. מציבים את הסמן בשדה המסנן כדי להציג רשימה של מסננים.

  4. ברשימת המסננים, בוחרים באפשרות ממצאים פעילים. תוצג רשימה של אופרטורים לוגיים.

  5. בוחרים אופרטור לוגי לשימוש במסנן, כמו >=.

  6. מקלידים מספר ומקישים על Enter.

התצוגה מתעדכנת ומוצגות בה רק קטגוריות של פגיעויות שמכילות מספר ממצאים פעילים שתואם למסנן.

gcloud

כדי להשתמש ב-CLI של gcloud כדי לקבל את מספר הממצאים הפעילים, קודם שולחים שאילתה ל-Security Command Center כדי לקבל את מזהה המקור של שירות פגיעויות, ואז משתמשים במזהה המקור כדי לשלוח שאילתה לגבי מספר הממצאים הפעילים.

שלב 1: קבלת מזהה המקור

כדי להשלים את השלב הזה, צריך לקבל את מזהה הארגון ואז לקבל את מזהה המקור של אחד משירותי זיהוי נקודות החולשה, שנקראים גם מקורות ממצאים. אם עדיין לא הפעלתם את Security Command Center API, תתבקשו להפעיל אותו.

  1. מריצים את הפקודה gcloud organizations list כדי לקבל את מספר הארגון, ורושמים את המספר שמופיע לצד שם הארגון.

  2. כדי לקבל את מזהה המקור של Security Health Analytics, מריצים את הפקודה:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון. נדרש מזהה ארגון, ללא קשר לרמת ההפעלה של Security Command Center.
    • SOURCE_DISPLAY_NAME: השם המוצג של שירות זיהוי הפגיעויות שאת הממצאים שלו רוצים להציג. לדוגמה, Security Health Analytics.

  3. אם מוצגת בקשה, מפעילים את Security Command Center API ומריצים שוב את הפקודה הקודמת כדי לקבל שוב את מזהה המקור.

הפלט של הפקודה לקבלת מזהה המקור אמור להיראות כך:

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

חשוב לשים לב לSOURCE_ID כדי להשתמש בו בשלב הבא.

שלב 2: קבלת מספר הממצאים הפעילים

משתמשים בSOURCE_ID שרשמתם בשלב הקודם כדי לסנן את הממצאים. הפקודה הבאה בכלי ה-CLI של gcloud מחזירה את מספר הממצאים לפי קטגוריה:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

אפשר להגדיר את גודל הדף לכל ערך עד 1,000. הפלט של הפקודה אמור להיראות כך, עם תוצאות שרלוונטיות לארגון או לפרויקט שלכם:

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50