Ver relatórios de vulnerabilidade

Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em uma atividade mal-intencionada. Para mais informações, consulte Relatórios de vulnerabilidade.

Neste documento, descrevemos como configurar suas VMs usando o VM Manager e visualizar os relatórios de vulnerabilidade dos seus sistemas operacionais.

Antes de começar

  • Revise as cotas de configuração do SO.
  • Configure o VM Manager.
  • Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Sistemas operacionais compatíveis

Para ver a lista completa de sistemas operacionais e versões em que você pode receber relatórios de vulnerabilidade usando o VM Manager, consulte Detalhes do sistema operacional.

Papéis e permissões necessárias

Para ter as permissões necessárias para ver os relatórios de vulnerabilidade, peça ao administrador para conceder a você os seguintes papéis de IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Além desses papéis, para acessar os recursos do Compute Engine usando o console do Google Cloud, você precisa ter um papel que contenha a permissão compute.projects.get no projeto.

Ver relatórios de vulnerabilidade

Para exibir relatórios de vulnerabilidade, você pode usar as seguintes opções:

Ver relatório de vulnerabilidade usando a ferramenta CLI gcloud ou a API

Use um dos métodos a seguir para ver relatórios de vulnerabilidade das suas VMs.

Console

Para ver os relatórios de vulnerabilidade do SO de uma VM usando o console do Google Cloud, siga estas etapas:

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Clique no nome da instância com as informações do SO que você quer ver. A página Detalhes da instância é exibida.
  3. Clique na guia Informações do SO.
    Para visualizar os dados de inventário do SO, é preciso ativar o VM Manager. Se o console do Google Cloud solicitar a ativação do VM Manager, selecione uma das seguintes opções:
    • Ativar para o projeto atual: ativa o VM Manager para todas as VMs no projeto selecionado.
    • Ativar para esta VM: ativa o VM Manager apenas para a VM selecionada
  4. Consulte a lista de vulnerabilidades do SO na guia Informações do SO.

gcloud

  • Para visualizar os relatórios de vulnerabilidade das VMs em uma zona específica, use o comando os-config vulnerability-reports list.

    Por exemplo, para listar todas as VMs que têm dados de inventário, execute o seguinte comando:

    gcloud compute os-config vulnerability-reports list \
       --location=ZONE
    

    Substitua ZONE pela zona em que a VM está localizada.

    Exemplo

    gcloud compute os-config vulnerability-reports list \
       --location=us-west2-a
    

    Exemplo de saída

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
    29255009728795105   2                    2021-04-13T19:10:10.303046Z
    307058717116242358  1                    2021-04-13T19:10:10.303046Z
    
  • Para visualizar o relatório de vulnerabilidade de uma VM específica, execute o comando os-config vulnerability-reports describe especificando o INSTANCE_ID retornado da etapa anterior ou INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
       --location=ZONE
    

    Substitua:

    • VM_NAME: o nome da VM.
    • ZONE: a zona em que a instância de VM está localizada.

    Exemplo

    gcloud compute os-config vulnerability-reports describe vm1-centos \
       --location=us-west2-a
    

    Exemplo de saída

    ┌───────────────────────────────────────────────────────────────────┐
    │                          Vulnerabilities                          │
    ├──────────────────┬──────────┬───────────────┬─────────────────────┤
    │       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
    ├──────────────────┼──────────┼───────────────┼─────────────────────┤
    │ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
    │ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
    │ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
    │ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
    │ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
    │ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
    └──────────────────┴──────────┴───────────────┴─────────────────────┘
    name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
    updateTime: '2021-05-11T22:29:50'
    

REST

  • Para visualizar os relatórios de vulnerabilidade de VMs em uma zona específica, crie uma solicitação GET para o método projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
    

    Substitua:

    • PROJECT_ID: ID do projeto;
    • ZONE: a zona em que as VMs estão localizadas
  • Para visualizar o relatório de vulnerabilidade de uma VM específica, crie uma solicitação GET para o método projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
    

    Substitua:

    • PROJECT_ID: ID do projeto;
    • ZONE: a zona em que a instância de VM está localizada.
    • INSTANCE: especifique o código da instância ou o nome da sua VM.

Ver relatórios de vulnerabilidade usando o painel do Security Command Center

O Security Command Center é o serviço centralizado de vulnerabilidade e relatórios de ameaças do Google Cloud.

Se você for um usuário de nível Premium do Security Command Center, será possível acessar dados de relatórios de vulnerabilidade dos sistemas operacionais em execução nas VMs em toda a organização.

Na página Descobertas, no painel do Security Command Center, é possível revisar os IDs de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) de todas as vulnerabilidades identificadas que afetam seu sistema operacional.

Para informações sobre como usar o painel do Security Command Center para acessar e analisar os dados de vulnerabilidade do sistema operacional, consulte VM Manager.

Ver dados dos relatórios de vulnerabilidade do Cloud Asset Inventory

O Gerenciamento de inventário do SO armazena e encaminha dados do relatório de inventário e vulnerabilidades para o Inventário de recursos do Cloud. O Inventário de recursos do Cloud é um serviço de inventário de metadados que permite visualizar, monitorar e analisar recursos no Google Cloud. No Inventário de recursos do Cloud, é possível pesquisar as informações e visualizar as alterações nos dados.

Para acessar os dados de inventário do SO e relatório de vulnerabilidade do Inventário de recursos do Cloud, é necessário concluir a seguinte configuração:

Para mais informações, consulte Como visualizar dados do VM Manager.

A seguir