Ver relatórios de vulnerabilidade

Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em uma atividade mal-intencionada. Para mais informações, consulte Relatórios de vulnerabilidade.

Neste documento, descrevemos como configurar suas VMs usando o VM Manager e visualizar os relatórios de vulnerabilidade dos seus sistemas operacionais.

Antes de começar

  • Revise as cotas de configuração do SO.
  • Configure o VM Manager.
  • Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine da seguinte maneira.

    Selecione a guia para como planeja usar as amostras nesta página:

    Console

    Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.

    gcloud

    1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando: 

      gcloud init
    2. Defina uma região e uma zona padrão.

    REST

    Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.

      Instale a Google Cloud CLI e inicialize-a executando o seguinte comando: 

      gcloud init

Sistemas operacionais compatíveis

Para ver a lista completa de sistemas operacionais e versões em que você pode receber relatórios de vulnerabilidade usando o VM Manager, consulte Detalhes do sistema operacional.

Papéis e permissões necessárias

Para ter as permissões necessárias para ver os relatórios de vulnerabilidade, peça ao administrador para conceder a você os seguintes papéis de IAM no projeto:

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Além desses papéis, para acessar os recursos do Compute Engine usando o console do Google Cloud, você precisa ter um papel que contenha a permissão compute.projects.get no projeto.

Ver relatórios de vulnerabilidade

Para exibir relatórios de vulnerabilidade, você pode usar as seguintes opções:

Ver relatório de vulnerabilidade usando a ferramenta CLI gcloud ou a API

Use um dos métodos a seguir para ver relatórios de vulnerabilidade das suas VMs.

Console

Para ver os relatórios de vulnerabilidade do SO de uma VM usando o console do Google Cloud, siga estas etapas:

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Clique no nome da instância com as informações do SO que você quer ver. A página Detalhes da instância é exibida.
  3. Clique na guia Informações do SO.
    Para visualizar os dados de inventário do SO, é preciso ativar o VM Manager. Se o console do Google Cloud solicitar a ativação do VM Manager, selecione uma das seguintes opções:
    • Ativar para o projeto atual: ativa o VM Manager para todas as VMs no projeto selecionado.
    • Ativar para esta VM: ativa o VM Manager apenas para a VM selecionada
  4. Consulte a lista de vulnerabilidades do SO na guia Informações do SO.

gcloud

  • Para visualizar os relatórios de vulnerabilidade das VMs em uma zona específica, use o comando os-config vulnerability-reports list.

    Por exemplo, para listar todas as VMs que têm dados de inventário, execute o seguinte comando:

    gcloud compute os-config vulnerability-reports list \
   --location=ZONE

    Substitua ZONE pela zona em que a VM está localizada.

    Exemplo

    gcloud compute os-config vulnerability-reports list \
   --location=us-west2-a

    Exemplo de saída

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
29255009728795105   2                    2021-04-13T19:10:10.303046Z
307058717116242358  1                    2021-04-13T19:10:10.303046Z

  • Para visualizar o relatório de vulnerabilidade de uma VM específica, execute o comando os-config vulnerability-reports describe especificando o INSTANCE_ID retornado da etapa anterior ou INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
   --location=ZONE

    Substitua:

    • VM_NAME: o nome da VM.
    • ZONE: a zona em que a instância de VM está localizada.

    Exemplo

    gcloud compute os-config vulnerability-reports describe vm1-centos \
   --location=us-west2-a

    Exemplo de saída

    ┌───────────────────────────────────────────────────────────────────┐
│                          Vulnerabilities                          │
├──────────────────┬──────────┬───────────────┬─────────────────────┤
│       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
├──────────────────┼──────────┼───────────────┼─────────────────────┤
│ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
│ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
│ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
│ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
│ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
│ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
└──────────────────┴──────────┴───────────────┴─────────────────────┘
name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
updateTime: '2021-05-11T22:29:50'

REST

  • Para visualizar os relatórios de vulnerabilidade de VMs em uma zona específica, crie uma solicitação GET para o método projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports

    Substitua:

    • PROJECT_ID: ID do projeto;
    • ZONE: a zona em que as VMs estão localizadas

  • Para visualizar o relatório de vulnerabilidade de uma VM específica, crie uma solicitação GET para o método projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport

    Substitua:

    • PROJECT_ID: ID do projeto;
    • ZONE: a zona em que a instância de VM está localizada.
    • INSTANCE: especifique o código da instância ou o nome da sua VM.

Ver relatórios de vulnerabilidade usando o painel do Security Command Center

O Security Command Center é o serviço centralizado de vulnerabilidade e relatórios de ameaças do Google Cloud.

Se você for um usuário de nível Premium do Security Command Center, será possível acessar dados de relatórios de vulnerabilidade dos sistemas operacionais em execução nas VMs em toda a organização.

Na página Descobertas, no painel do Security Command Center, é possível revisar os IDs de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) de todas as vulnerabilidades identificadas que afetam seu sistema operacional.

Para informações sobre como usar o painel do Security Command Center para acessar e analisar os dados de vulnerabilidade do sistema operacional, consulte VM Manager.

Ver dados dos relatórios de vulnerabilidade do Cloud Asset Inventory

O Gerenciamento de inventário do SO armazena e encaminha dados do relatório de inventário e vulnerabilidades para o Inventário de recursos do Cloud. O Inventário de recursos do Cloud é um serviço de inventário de metadados que permite visualizar, monitorar e analisar recursos no Google Cloud. No Inventário de recursos do Cloud, é possível pesquisar as informações e visualizar as alterações nos dados.

Para acessar os dados de inventário do SO e relatório de vulnerabilidade do Inventário de recursos do Cloud, é necessário concluir a seguinte configuração:

Para mais informações, consulte Como visualizar dados do VM Manager.

A seguir