Gerenciamento de inventário do SO

Nesta página, você encontra uma visão geral do Gerenciamento de inventário do SO. Para informações sobre como configurar e usar o Gerenciamento de inventário do SO, consulte Como ver detalhes do sistema operacional.

Use o gerenciamento de inventário do SO para coletar e visualizar detalhes do sistema operacional para suas instâncias de máquina virtual (VM). Esses detalhes incluem informações como nome do host, sistema operacional e versão do kernel. Também é possível receber informações sobre pacotes de SO instalados, atualizações de pacotes do SO disponíveis, aplicativos do Windows e vulnerabilidades do SO.

Quando usar o OS Inventory Management

O OS Inventory Management pode ser usado para concluir as tarefas a seguir:

  • Identificação das VMs que executam uma versão específica de um sistema operacional
  • Visualizar pacotes do sistema operacional instalados em uma VM
  • Gerar uma lista de atualizações de pacotes do sistema operacional disponíveis para cada VM.
  • Identificar pacotes do sistema operacional, atualizações ou patches ausentes para uma VM
  • Ver relatórios de vulnerabilidade de uma VM

Como o Gerenciamento de inventário do SO funciona

Quando o Gerenciamento de inventário do SO é ativado, o agente de configuração do SO executa uma verificação de inventário para coletar dados e, depois, envia essas informações ao servidor de metadados e aos vários streams de registros. Essa verificação é executada a cada 10 minutos na instância da VM.

Para ativar o Gerenciamento de inventário do SO, é preciso configurar o VM Manager na VM. Consulte Configurar o VM Manager.

Depois de configurar o Deployment Manager, é possível consultar os atributos de convidado ou a API OS Config para recuperar informações sobre o sistema operacional em execução em uma VM. Consulte Ver detalhes do sistema operacional.

Como os dados do sistema operacional são coletados

Em VMs do Linux, o agente de configuração do SO é executado na VM e analisa o /etc/os-release ou o arquivo equivalente da distribuição do Linux para coletar detalhes do sistema operacional. O agente de configuração do SO também usa gerenciadores de pacotes, como apt, yum ou GooGet, para coletar informações sobre pacotes instalados e atualizações disponíveis para a instância.

Para VMs do Windows, o agente de configuração do SO usa as APIs de sistema do Windows para coletar os detalhes das informações do sistema operacional. O agente do Windows Update também é usado para encontrar as atualizações instaladas e disponíveis.

Onde os dados do sistema operacional são armazenados

Os dados de inventário são armazenados na API OS Config. O conteúdo dos pacotes instalados e das atualizações de pacotes é compactado com gzip e codificado em base64 para economizar espaço.

Geração de registros

Durante a coleta e o armazenamento de dados, o agente de configuração do SO grava registros de atividades nos vários streams de registros no Compute Engine. São eles:

  • A porta serial
  • Registros do sistema: log de eventos do Windows e registro do sistema do Linux
  • Streams padrão: stdout
  • Registros do Cloud Logging: esses registros só estarão disponíveis se o Cloud Logging estiver ativado na instância de VM.

Informações fornecidas pelo Gerenciamento de inventário do SO

O Gerenciamento de inventário do SO fornece as informações a seguir sobre o sistema operacional em execução na instância de VM:

  • Nome do host
  • LongName: o nome detalhado do sistema operacional. Por exemplo, Microsoft Windows Server 2016 Datacenter.
  • ShortName: a forma abreviada do nome do sistema operacional. Por exemplo, Windows
  • Versão do kernel
  • Arquitetura do sistema operacional.
  • Versão do SO
  • Versão do agente de configuração do SO
  • Última atualização: um carimbo de data/hora da última vez que o agente verificou com êxito o sistema e atualizou os atributos de convidado com dados de inventário do SO.

Informações de aplicativos e pacotes do sistema operacional instalados

A tabela a seguir resume as informações que o gerenciamento de inventário do SO fornece para pacotes de sistema operacional instalados em VMs do Linux e do Windows. Ele também descreve as informações disponíveis para aplicativos em execução no Windows.

Sistema operacional Gerenciador de pacotes Campos disponíveis
Linux e Windows Server As informações do pacote instalado estão disponíveis nos gerenciadores de pacotes a seguir:
  • RPM para o Red Hat Enterprise Linux (RHEL)
  • DEB para Debian e Ubuntu
  • GooGet para Windows Server
Para cada pacote instalado, são fornecidas as seguintes informações:
  • Nome do pacote
  • Arquitetura
  • Versão
Windows Server Windows Update Agent Os campos a seguir são listados para as atualizações do Windows:
  • Título
  • Descrição
  • Categorias
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime
Windows Server Atualizações do Windows Quick Fix Engineering Os campos a seguir estão listados para as atualizações do QuickFixEngineering:
  • Legenda
  • Descrição
  • HotFixID
  • InstalledOn
Windows Server Windows Installer 2 Os campos a seguir são listados para o Windows Installer:
  • DisplayName
  • DisplayVersion
  • Editor
  • InstallDate
  • HelpLink

1Esse campo está oculto na saída de linha de comando gcloud compute instances os-inventory describe padrão. Para visualizar esse campo, é preciso visualizar a saída no formato JSON. Para visualizar a saída no formato JSON, anexe o --format=JSON ao comando gcloud. Para mais informações sobre a formatação de saída, consulte gcloud topic formats.

2Para ver as propriedades do instalador dos aplicativos do Windows, você precisa da versão 20210811 ou mais recente do agente de configuração do SO. Para ver a versão do agente, consulte Visualizar versão do agente de configuração do SO.

Informações de atualização de pacotes do sistema operacional disponíveis

Na tabela a seguir, há um resumo das informações fornecidas pelo Gerenciamento de inventário do SO sobre os pacotes do sistema operacional instalados.

Sistema operacional Gerenciador de pacotes Campos disponíveis
Linux e Windows Server As informações de atualização de pacotes estão disponíveis nos gerenciadores de pacotes a seguir:
  • Yum para o Red Hat Enterprise Linux (RHEL)
  • Apt para Debian e Ubuntu
  • GooGet para Windows Server
Para cada atualização de pacote disponível, são fornecidas as seguintes informações:
  • Nome do pacote
  • Arquitetura
  • Versão
Windows Server Windows Update Agent Os campos a seguir são listados para as atualizações do Windows:
  • Título
  • Descrição
  • Categorias
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime

1Esse campo está oculto na saída de linha de comando gcloud compute instances os-inventory describe padrão. Para visualizar esse campo, é preciso visualizar a saída no formato JSON. Para visualizar a saída no formato JSON, anexe o --format=JSON ao comando gcloud. Para mais informações sobre a formatação de saída, consulte gcloud topic formats.

Relatórios de vulnerabilidades

Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em uma atividade mal-intencionada. Para VMs, uma vulnerabilidade pode ser um problema no código ou na lógica de operação para pacotes de sistema operacional ou aplicativos de software.

As vulnerabilidades associadas aos pacotes do sistema operacional instalado geralmente são armazenadas em um repositório de origem de vulnerabilidades. Para mais informações sobre essas origens de vulnerabilidade, consulte Fontes de vulnerabilidade. É possível usar o OS Inventory Management para visualizar relatórios de vulnerabilidades para problemas com pacotes instalados do SO.

Para receber dados de vulnerabilidade de uma VM, o VM Manager precisa estar configurado e a versão do agente de configuração do SO com a data 20201110 ou posterior precisa estar em execução na VM. Consulte Como configurar o VM Manager.

Depois que o agente de configuração do SO é configurado e gera relatórios de inventário, o serviço da API OS Config verifica e verifica continuamente a origem de vulnerabilidades do sistema operacional em relação aos dados de inventário disponíveis. Quando uma vulnerabilidade é detectada nos pacotes do sistema operacional, o serviço gera um relatório de vulnerabilidade. Esses relatórios são gerados da seguinte forma:

  • Quando um pacote é instalado ou atualizado no sistema operacional de uma VM, é possível ver informações de Vulnerabilidades e Exposições Comuns (CVEs) da VM no VM Manager, no Security Command Center e no Inventário de recursos do Cloud em até duas horas após a mudança.
  • Quando novos avisos de segurança são publicados para um sistema operacional, as CVEs atualizadas normalmente ficam disponíveis em até 24 horas após o fornecedor do sistema operacional publicar o aviso.

Para ver esses relatórios de vulnerabilidade, consulte Ver relatórios de vulnerabilidades.

Como os relatórios de vulnerabilidade são gerados

O VM Manager conclui periodicamente as seguintes tarefas:

  1. Lê os relatórios coletados de dados de inventário do SO na VM.
  2. Busca dados de classificação na origem de vulnerabilidade de cada sistema operacional e ordena esses dados com base na gravidade (do maior para o menor), pelo menos uma vez por dia.
  3. Mostra os dados de CVE de uma VM no console do Google Cloud. Você também pode visualizar os relatórios de vulnerabilidade usando o Security Command Center ou o Inventário de recursos do Cloud.

Origens de vulnerabilidade

A tabela a seguir resume a origem da vulnerabilidade usada para cada sistema operacional. Para conferir uma lista completa de sistemas operacionais compatíveis e suas versões, consulte Detalhes do sistema operacional.

Sistema operacional Pacote de origem da vulnerabilidade
RHEL e CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux N/A

O relatório de vulnerabilidades não é compatível com o Rocky Linux.

Windows Dados de vulnerabilidade publicados pelo Microsoft Security Response Center.

Retenção de dados

Os dados de relatórios de vulnerabilidade e inventário do SO são armazenados até que a VM seja excluída. No entanto, se por algum motivo o agente de configuração do SO parar de informar o serviço da API de configuração do SO por alguns dias, o VM Manager excluirá os dados do relatório de vulnerabilidade e inventário do SO coletados até esse ponto. Nenhum dado estará disponível para essa VM até que o agente de configuração do SO comece a ser executado novamente.

Preços

Para mais informações sobre preços, consulte Preços do VM Manager.

A seguir