Berichte zu Sicherheitslücken aufrufen


Sicherheitslücken in Software sind Schwachstellen, die entweder zu einem Systemausfall oder zu böswilligen Aktivitäten führen können. Weitere Informationen finden Sie unter Berichte zu Sicherheitslücken.

In diesem Dokument wird beschrieben, wie Sie Ihre VMs mit VM Manager einrichten und die Berichte zu Sicherheitslücken für Ihre Betriebssysteme aufrufen.

Hinweise

  • Prüfen Sie die OS Config-Kontingente.
  • VM Manager einrichten
  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Unterstützte Betriebssysteme

Eine vollständige Liste der Betriebssysteme und Versionen, für die Sie Berichte zu Sicherheitslücken mit VM Manager erhalten können, finden Sie unter Details zu Betriebssystemen.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Berichten zu Sicherheitslücken benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zusätzlich zu diesen Rollen benötigen Sie eine Rolle mit der Berechtigung compute.projects.get für das Projekt, um über die Google Cloud Console auf Compute Engine-Ressourcen zuzugreifen.

Berichte zu Sicherheitslücken aufrufen

Wenn Sie Berichte zu Sicherheitslücken aufrufen möchten, haben Sie folgende Möglichkeiten:

Bericht zu Sicherheitslücken mit dem gcloud CLI oder der API aufrufen

Verwenden Sie eine der folgenden Methoden, um Berichte zu Sicherheitslücken für Ihre VMs aufzurufen.

Console

Führen Sie die folgenden Schritte aus, um Berichte zu Betriebssystemsicherheitslücken für eine VM mithilfe der Google Cloud Console aufzurufen:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie auf den Namen der Instanz, für die Sie die Betriebssysteminformationen aufrufen möchten. Die Seite mit den Instanzdetails wird angezeigt.
  3. Klicken Sie auf den Tab Betriebssysteminformationen.
    Damit Sie die Inventardaten Ihres Betriebssystems aufrufen können, müssen Sie VM Manager aktivieren. Wenn Sie von der Google Cloud Console aufgefordert werden, VM Manager zu aktivieren, wählen Sie eine der folgenden Optionen aus:
    • : Für aktuelles Projekt aktivieren: aktiviert VM Manager für alle VMs im ausgewählten Projekt
    • Für diese VM aktivieren: Aktiviert VM Manager nur für die ausgewählte VM
  4. Sehen Sie sich die Liste der Sicherheitslücken von Betriebssystemen auf dem Tab Betriebssysteminformationen an.

gcloud

  • Um Berichte zu Sicherheitslücken für VMs in einer bestimmten Zone aufzurufen, verwenden Sie den Befehl os-config vulnerability-reports list.

    Führen Sie beispielsweise den folgenden Befehl aus, um alle VMs mit Inventardaten aufzulisten:

    gcloud compute os-config vulnerability-reports list \
       --location=ZONE
    

    Ersetzen Sie ZONE durch die Zone, in der sich die VM-Instanz befindet.

    Beispiel

    gcloud compute os-config vulnerability-reports list \
       --location=us-west2-a
    

    Beispielausgabe

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
    29255009728795105   2                    2021-04-13T19:10:10.303046Z
    307058717116242358  1                    2021-04-13T19:10:10.303046Z
    
  • Um Berichte zu Sicherheitslücken für eine bestimmte VM aufzurufen, führen Sie den Befehl os-config vulnerability-reports describe aus und geben Sie die INSTANCE_ID an, die im vorherigen Schritt zurückgegeben wurde oder den INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
       --location=ZONE
    

    Dabei gilt:

    • VM_NAME: der Name Ihrer VM.
    • ZONE: die Zone, in der sich die VM-Instanz befindet.

    Beispiel

    gcloud compute os-config vulnerability-reports describe vm1-centos \
       --location=us-west2-a
    

    Beispielausgabe

    ┌───────────────────────────────────────────────────────────────────┐
    │                          Vulnerabilities                          │
    ├──────────────────┬──────────┬───────────────┬─────────────────────┤
    │       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
    ├──────────────────┼──────────┼───────────────┼─────────────────────┤
    │ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
    │ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
    │ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
    │ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
    │ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
    │ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
    └──────────────────┴──────────┴───────────────┴─────────────────────┘
    name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
    updateTime: '2021-05-11T22:29:50'
    

REST

  • Um Berichte zu Sicherheitslücken für VMs in einer bestimmten Zone aufzurufen, senden Sie eine GET-Anfrage an die Methode projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projekt-ID.
    • ZONE: die Zone, in der sich die VMs befinden
  • Um Berichte zu Sicherheitslücken für eine bestimmte VM aufzurufen, senden Sie eine GET-Anfrage an die Methode projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projekt-ID.
    • ZONE: die Zone, in der sich die VM-Instanz befindet.
    • INSTANCE: Geben Sie entweder die Instanz-ID oder den Namen für Ihre VM an.

Berichte zu Sicherheitslücken über das Security Command Center-Dashboard aufrufen

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud.

Als Nutzer der Premium-Stufe von Security Command Center können Sie auf Berichtsdaten zu Sicherheitslücken für die Betriebssysteme zugreifen, die auf VMs in Ihrer Organisation ausgeführt werden.

Auf der Seite Ergebnisse im Dashboard von Security Command Center können Sie die CVE-IDs (Common Vulnerabilities and Exposures) für alle identifizierten Sicherheitslücken prüfen, die sich auf Ihr Betriebssystem auswirken.

Informationen zum Verwenden des Security Command Center-Dashboards für den Zugriff auf und die Prüfung von Daten zu Sicherheitslücken von Betriebssystemen finden Sie unter VM Manager.

Daten aus Berichten zu Sicherheitslücken aus Cloud Asset Inventory ansehen

OS Inventory Management speichert und leitet Inventardaten und Berichtsdaten zu Sicherheitslücken an Cloud Asset Inventory weiter. Cloud Asset Inventory ist ein Metadaten-Inventardienst, mit dem Sie Assets in Google Cloud aufrufen, überwachen und analysieren können. Über Cloud Asset Inventory können Sie die Daten abfragen und Änderungen an den Daten ansehen.

Für den Zugriff auf OS Inventory- und Sicherheitslückenberichtsdaten aus Cloud Asset Inventory müssen Sie die folgenden Schritte ausführen:

Weitere Informationen finden Sie unter VM Manager-Daten ansehen.

Nächste Schritte