查看漏洞报告

软件漏洞可能会导致意外的系统故障或恶意活动。如需了解详情,请参阅漏洞报告

本文档介绍了如何使用虚拟机管理器设置虚拟机,并查看操作系统的漏洞报告。

准备工作

  • 查看 OS Config 配额
  • 设置虚拟机管理器
  • 设置身份验证(如果尚未设置)。身份验证是通过其进行身份验证以访问 Google Cloud 服务和 API 的过程。如需从本地开发环境运行代码或示例,您可以按如下方式向 Compute Engine 进行身份验证。

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭据。

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证

支持的操作系统

如需查看您可以使用虚拟机管理器获取其漏洞报告的操作系统和版本的完整列表,请参阅操作系统详细信息

所需的角色和权限

如需获得查看漏洞报告所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

除了这些角色之外,如需使用 Google Cloud 控制台访问 Compute Engine 资源,您必须拥有一个可提供项目的 compute.projects.get 权限的角色。

查看漏洞报告

如需查看漏洞报告,您可以使用以下任一选项:

使用 gcloud CLI 或 API 查看漏洞报告

使用以下任一方法查看虚拟机的漏洞报告。

控制台

如需使用 Google Cloud 控制台查看虚拟机的操作系统漏洞报告,请执行以下步骤:

  1. 在 Google Cloud 控制台中,打开虚拟机实例页面。

    进入“虚拟机实例”

  2. 点击您要查看其操作系统信息的实例的名称。系统会显示实例详情页面。
  3. 点击操作系统信息标签页。
    如需查看操作系统清点数据,您必须启用虚拟机管理器。如果 Google Cloud 控制台提示您启用虚拟机管理器,请选择以下选项之一:
    • 为当前项目启用:为所选项目中的所有虚拟机启用虚拟机管理器
    • 为此虚拟机启用:仅为所选虚拟机启用虚拟机管理器
  4. 查看操作系统信息标签页中的操作系统漏洞列表。

gcloud

  • 如需查看特定可用区中虚拟机的漏洞报告,请使用 os-config vulnerability-reports list 命令

    例如,如需列出具有清点数据的所有虚拟机,请运行以下命令:

    gcloud compute os-config vulnerability-reports list \
       --location=ZONE
    

    ZONE 替换为虚拟机所在的可用区。

    示例

    gcloud compute os-config vulnerability-reports list \
       --location=us-west2-a
    

    输出示例

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
    29255009728795105   2                    2021-04-13T19:10:10.303046Z
    307058717116242358  1                    2021-04-13T19:10:10.303046Z
    
  • 如需查看特定虚拟机的漏洞报告,请运行 os-config vulnerability-reports describe 命令,指定上一步中返回的 INSTANCE_ID 或者 INSTANCE_NAME

    gcloud compute os-config vulnerability-reports describe VM_NAME \
       --location=ZONE
    

    请替换以下内容:

    • VM_NAME:您的虚拟机的名称
    • ZONE:虚拟机实例所在的区域

    示例

    gcloud compute os-config vulnerability-reports describe vm1-centos \
       --location=us-west2-a
    

    输出示例

    ┌───────────────────────────────────────────────────────────────────┐
    │                          Vulnerabilities                          │
    ├──────────────────┬──────────┬───────────────┬─────────────────────┤
    │       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
    ├──────────────────┼──────────┼───────────────┼─────────────────────┤
    │ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
    │ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
    │ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
    │ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
    │ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
    │ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
    └──────────────────┴──────────┴───────────────┴─────────────────────┘
    name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
    updateTime: '2021-05-11T22:29:50'
    

REST

  • 如需查看特定可用区中虚拟机的漏洞报告,请创建对 projects.locations.instances.vulnerabilityReports 方法GET 请求。

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
    

    请替换以下内容:

    • PROJECT_ID:您的项目 ID
    • ZONE:虚拟机所在的可用区
  • 如需查看特定虚拟机的漏洞报告,请创建对 projects.locations.instances.getVulnerabilityReport 方法GET 请求。

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
    

    请替换以下内容:

    • PROJECT_ID:您的项目 ID
    • ZONE:虚拟机实例所在的区域
    • INSTANCE:指定虚拟机的实例 ID 或名称

使用 Security Command Center 信息中心查看漏洞报告

Security Command Center 是 Google Cloud 的集中式漏洞和威胁报告服务。

如果您是 Security Command Center 高级层级用户,则可以访问在您组织的虚拟机上运行的操作系统的漏洞报告数据。

在 Security Command Center 信息中心的发现结果页面上,您可以查看影响操作系统的所有已识别漏洞的常见漏洞和披露 (CVE) ID。

如需了解如何使用 Security Command Center 信息中心访问和查看操作系统漏洞数据,请参阅虚拟机管理器

查看来自 Cloud Asset Inventory 的漏洞报告数据

OS Inventory Management 会存储清点和漏洞报告数据,并将其转发到 Cloud Asset Inventory。Cloud Asset Inventory 是一种元数据清点服务,可让您查看、监控和分析整个 Google Cloud 中的资产。借助 Cloud Asset Inventory,您可以轮询信息并查看数据中的更改。

如需从 Cloud Asset Inventory 访问操作系统清点和漏洞报告数据,您需要完成以下设置:

如需了解详情,请参阅查看虚拟机管理器数据

后续步骤