Informações gerais sobre a detecção rápida de vulnerabilidades

Nesta página, você encontra uma visão geral da detecção rápida de vulnerabilidades, incluindo:

A verificação é compatível com a detecção rápida de vulnerabilidades
Os tipos de verificação que a Detecção rápida de vulnerabilidades realiza
Os tipos de vulnerabilidades (descobertas de verificação) que a Detecção rápida de vulnerabilidades detecta

Esta página também inclui algumas práticas recomendadas para testar as verificações de Detecção rápida de vulnerabilidades.

Visão geral

A Detecção rápida de vulnerabilidades, um serviço integrado do Security Command Center Premium, é uma rede de configuração zero e um verificador de aplicativos da Web que verifica ativamente os endpoints públicos para detectar vulnerabilidades com alta probabilidade de serem exploradas. como credenciais fracas, instalações de software incompletas e interfaces do usuário do administrador expostas. O serviço descobre automaticamente endpoints de rede, protocolos, portas abertas, serviços de rede e pacotes de software instalados.

As descobertas da detecção de vulnerabilidades rápida são avisos antecipados de vulnerabilidades que recomendamos que você corrija imediatamente. Veja as descobertas no Security Command Center.

Destinos de verificação compatíveis

A detecção rápida de vulnerabilidades é compatível com os seguintes recursos:

Compute Engine
- A detecção rápida de vulnerabilidades é compatível apenas com VMs que têm um endereço IP público. As VMs que estão protegidas por firewall ou que não têm um endereço IP público são excluídas das verificações.
Cloud Load Balancing
- A detecção rápida de vulnerabilidades é compatível apenas com balanceadores de carga externos.
Entrada do Google Kubernetes Engine
Cloud Run
- A detecção rápida de vulnerabilidades verifica domínios padrão fornecidos pelo Cloud Run para seus aplicativos ou domínios personalizados configurados para serviços do Cloud Run por trás de balanceadores de carga externos. Os domínios personalizados que usam mapeamento de domínio integrado não são compatíveis. No entanto, os domínios padrão estão sempre disponíveis, mesmo quando o mapeamento de domínios é usado.
App Engine
- A Detecção rápida de vulnerabilidades verifica apenas os domínios padrão que o App Engine oferece para seus aplicativos. Domínios personalizados não são compatíveis. Mas os domínios padrão estão sempre disponíveis, mesmo quando domínios personalizados são usados.

Verificações

A detecção rápida de vulnerabilidades executa verificações gerenciadas que detectam vulnerabilidades de N dias, que são vulnerabilidades conhecidas que podem ser exploradas para ter acesso arbitrário a dados e permitir a execução remota de código. Essas vulnerabilidades incluem credenciais fracas, instalações de software incompletas e interfaces do usuário de um administrador exposto.

Quando você ativa o serviço, as verificações são configuradas e gerenciadas automaticamente pelo Security Command Center; as equipes de segurança não precisam fornecer URLs de destino ou iniciar verificações manualmente. A detecção rápida de vulnerabilidades usa o Inventário de recursos do Cloud para recuperar informações sobre novas VMs e aplicativos nos projetos e executa verificações uma vez por semana para encontrar endpoints públicos e detectar vulnerabilidades. O user agent que executa a detecção rápida de vulnerabilidades é chamado de TsunamiSecurityScanner na Análise de registros.

A detecção rápida de vulnerabilidades verifica os destinos compatíveis com portas abertas (HTTP, HTTPS, SSH, MySQL e outros) e avalia os destinos de verificação para saber mais sobre os aplicativos da Web instalados e os serviços de rede expostos. Como a detecção rápida de vulnerabilidades realiza várias verificações em endpoints públicos e usa "impressões digitais" para identificar serviços conhecidos, vulnerabilidades de alto risco e alta gravidade são relatadas com uma taxa mínima de falsos positivos.

Para saber mais sobre os recursos de destino de verificação que têm suporte da Detecção rápida de vulnerabilidades, consulte Destinos de verificação compatíveis.

Verificação de descobertas e correções

A tabela a seguir lista os tipos de descoberta do Rapid Vulnerability Detection e as etapas de correção sugeridas.

As verificações do Rapid Vulnerability Detection identificam os tipos de descoberta a seguir.

Tipo de descoberta	Descrição da descoberta	10 principais códigos OWASP
Descobertas de credenciais fracas
`WEAK_CREDENTIALS`	Esse detector verifica credenciais fracas usando métodos de força bruta ncrack. Serviços com suporte: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Correção: aplique uma política de senha forte. Crie credenciais exclusivas para seus serviços e evite usar palavras do dicionário nas senhas.	2021 A07 2017 A2
Descobertas de interface exposta
`ELASTICSEARCH_API_EXPOSED`	A API Elasticsearch permite que os autores de chamadas realizem consultas arbitrárias, escrevam e executem scripts e adicionem mais documentos ao serviço. Remediação: remova o acesso direto à API Elasticsearch encaminhando solicitações por um aplicativo ou limite o acesso apenas a usuários autenticados. Para mais informações, consulte Configurações de segurança no Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	No Grafana 8.0.0 a 8.3.0, os usuários podem acessar sem autenticação um endpoint com uma vulnerabilidade de travessia de diretório que permite a qualquer usuário ler qualquer arquivo no servidor sem autenticação. Para mais informações, consulte CVE-2021-43798. Correção: aplique os patches ou faça upgrade do Grafana para uma versão posterior. Para mais informações, consulte Travessia de caminho do Grafana.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade no suporte personalizado ao mapa GeoJSON e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277. Correção: faça upgrade para as versões de manutenção 0.40.5 ou posterior ou 1.40.5 ou posterior. Para mais informações, consulte A validação de URL GeoJSON pode expor arquivos de servidor e variáveis de ambiente a usuários não autorizados.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Esse detector verifica se os endpoints confidenciais do Atuador dos aplicativos do Spring Boot estão expostos. Alguns dos endpoints padrão, como `/heapdump`, podem expor informações confidenciais. Outros endpoints, como `/env`, podem levar à execução remota de código. No momento, apenas `/heapdump` está marcado. Correção: desative o acesso aos endpoints confidenciais do Atuador. Para mais informações, consulte Como proteger os endpoints HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado. Correção: use listas de controle de acesso com a API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	A Java Management Extension (JMX) permite realizar monitoramento e diagnósticos remotos para aplicativos Java. A execução de JMX com um endpoint de proteção de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e use-o para criar novos MBeans a partir de URLs arbitrários. Correção: para configurar o monitoramento remoto corretamente, consulte Monitoramento e gerenciamento usando tecnologia JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Esse detector verifica se um Jupyter Notebook não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Jupyter Notebook não autenticado coloca a VM de hospedagem em risco de execução remota de código. Correção: adicione a autenticação de token ao servidor do Jupyter Notebook ou use versões mais recentes do Jupyter Notebook que usam a autenticação de token por padrão.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	A API Kubernetes é exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes. Correção: exija autenticação para todas as solicitações de API. Para mais informações, consulte o guia de Autenticação da API Kubernetes.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação incompleta do WordPress expõe a página `/wp-admin/install.php`, que permite que um invasor defina a senha do administrador e, possivelmente, comprometa o sistema. Correção: conclua a instalação do WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	não autenticada enviando um ping de sondagem para o endpoint `/view/all/newJob` como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário `createItem`, que permite a criação de jobs arbitrários que podem levar à execução remota de código. Correção: siga o guia do Jenkins sobre como gerenciar a segurança para bloquear o acesso não autenticado.	2021 A01, A05 2017 A5, A6
Descobertas de software vulnerável
`APACHE_HTTPD_RCE`	Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz do documento esperada e veja a origem de arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-41773 Vulnerabilidades do Apache HTTP Server 2.4 Correção: proteja arquivos fora da raiz do documento configurando a diretiva "require all denied" Apache HTTP Server.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Os invasores podem criar um URI para o servidor da Web Apache que faz com que `mod_proxy` encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-40438 Vulnerabilidades do Apache HTTP Server 2.4 Correção: faça upgrade do Apache HTTP Server para uma versão mais recente.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Os invasores podem executar códigos arbitrários em um servidor do Consul porque a instância do Consul está configurada com `-enable-script-checks` definido como `true` e a API HTTP do Consul não é segura e acessível pela rede. No Consul 0.9.0 e em versões anteriores, as verificações de script são ativadas por padrão. Para mais informações, consulte Como proteger o Consul contra riscos de RCE em configurações específicas. Para verificar essa vulnerabilidade, o Rapid Vulnerability Detection registra um serviço na instância do Consul usando o endpoint REST `/v1/health/service`, que executa uma destas ações: Um comando `curl` para um servidor remoto fora da rede. Um invasor pode usar o comando `curl` para exfiltrar dados do servidor. Um comando `printf`. O Rapid Vulnerability Detection verifica então a saída do comando usando o endpoint REST `/v1/health/service`. Após a verificação, o Rapid Vulnerability Detection faz a limpeza e cancela o registro do serviço usando o endpoint REST `/v1/agent/service/deregister/`. Correção: defina enable-script-checks como `false` na configuração da instância do console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	O Apache Druid inclui a capacidade de executar códigos JavaScript fornecidos pelo usuário incorporados em vários tipos de solicitações. Essa funcionalidade é destinada para uso em ambientes de alta confiança e está desativada por padrão. Entretanto, no Druid 0.20.0 e anteriores, um usuário autenticado pode enviar uma solicitação especialmente elaborada que força o Druid a executar um código JavaScript fornecido pelo usuário para essa solicitação. independentemente da configuração do servidor. Isso pode ser usado para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhe da CVE-2021-25646. Remediação: faça upgrade do Apache Druid para uma versão mais recente.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Essa categoria inclui duas vulnerabilidades no Drupal. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões do Drupal anteriores à 7.58, 8.x anteriores à 8.3.9, 8.4.x anteriores à 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota de código em solicitações AJAX da API Form. Correção: faça upgrade para versões alternativas do Drupal.	2021 A06 2017 A9
	As versões do Drupal 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota de código quando o módulo RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada. Correção: faça upgrade para versões alternativas do Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST. do processo do JobManager. O acesso é restrito a arquivos acessíveis pelo processo do JobManager. Correção: se as instâncias do Flink estiverem expostas, faça upgrade para o Flink 1.11.3 ou 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos. Correção: faça upgrade para o GitLab CE ou EE versões 13.10.3, 13.9.6 e 13.8.8 ou mais recentes. Para mais informações, consulte Ação necessária para clientes autogerenciados em resposta à CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	No GoCD 21.2.0 e anteriores, há um endpoint que pode ser acessado sem autenticação. Esse endpoint tem uma vulnerabilidade de travessia de diretório que permite ao usuário ler qualquer arquivo no servidor sem autenticação. Correção: faça upgrade para a versão 21.3.0 ou mais recente. Para mais informações, consulte as Notas da versão do GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	As versões 2.56 e anteriores do Jenkins e as versões 2.46.1 LTS e anteriores são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java serializado e malicioso. Correção: instale uma versão alternativa do Jenkins.	2021 A06, A08 2017 A8, A9
`JOOMLA_RCE` Esta categoria inclui duas vulnerabilidades no Joomla. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões 1.5.x, 2.x e 3.x anteriores à 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho elaborado que contém objetos PHP serializados. Correção: instale uma versão alternativa do Joomla.	2021 A06, A08 2017 A8, A9
	As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado elaborado. Correção: instale uma versão alternativa do Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	No Apache Log4j2 2.14.1 e anteriores, os recursos do JNDI usados em configurações, mensagens de registro e parâmetros não são protegidos contra LDAP controlado por invasor e outros endpoints relacionados ao JNDI. Para mais informações, consulte CVE-2021-44228. Correção: para informações de correção, consulte vulnerabilidades de segurança do Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado fornecendo um valor `confirm_hash` vazio para `verify.php`. Correção: atualize o MantisBT para uma versão mais recente ou siga as instruções do Mantis para aplicar uma correção crítica de segurança.	2021 A06 2017 A9
`OGNL_RCE`	As instâncias do servidor e data center Confluence contêm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute código arbitrário. Para mais informações, consulte CVE-2021-26084. Correção: para informações sobre a correção, consulte Injeção de OGNL para webwork no servidor Confluence - CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	O servidor OpenAM 14.6.2 e anteriores e o servidor ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro `jato.pageSession` em várias páginas. A exploração não requer autenticação, e a execução remota de código pode ser acionada com o envio de uma única solicitação `/ccversion/` elaborada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464. Correção*: faça upgrade para uma versão mais recente. Para informações sobre a correção do ForgeRock, consulte Consultoria de segurança do AM #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade fácil de explorar permite que um invasor não autenticado com acesso de rede por HTTP comprometa um Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882. Correção: para informações sobre patch, consulte Consultoria de atualização de patch crítico da Oracle - outubro de 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	As versões PHPUnit anteriores à 5.6.3 permitem a execução de código remoto com uma única solicitação POST não autenticada. Correção: faça upgrade para versões mais recentes do PHPUnit.	2021: A05 2017: A6
`PHP_CGI_RCE`	As versões PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota de código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere `=` (sinal de igual). Isso permite que invasores adicionem opções de linha de comando que sejam executadas no servidor. Correção: instale uma versão alternativa do PHP.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	A desserialização de dados não confiáveis nas versões do Liferay Portal anteriores ao 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por meio dos serviços da Web JSON. Correção: faça upgrade para versões mais recentes do Liferay Portal.	2021 A06, A08 2017 A8, A9
`REDIS_RCE`	Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores serão capazes de executar código arbitrário. Remediação : configure o Redis para exigir autenticação.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode elaborar uma solicitação diretamente para ativar uma configuração específica e, por fim, implementar uma falsificação de solicitação do lado do servidor (SSRF) ou ler arquivos arbitrários. Correção: faça upgrade para versões alternativas do Apache Solr.	2021 A07, A10 2017 A2
`SOLR_RCE`	As versões 5.0.0 à 8.3.1 do Apache Solr são vulneráveis à execução remota de código pelo VelocityResponseWriter quando `params.resource.loader.enabled` está definida como `true`. Isso permite que invasores criem um parâmetro que contenha um modelo de velocidade malicioso. Correção: faça upgrade para versões alternativas do Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Esta categoria inclui três vulnerabilidades no Apache Struts. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões do Apache Struts anteriores à 2.3.32 e 2.5.x anteriores à 2.5.10.1 são vulneráveis à execução remota de código. A vulnerabilidade pode ser acionada por um invasor não autenticado que fornece um cabeçalho Content-Type elaborado. Correção: instale uma versão alternativa do Apache Struts.	2021 A06 2017 A9
	O plug-in REST das versões 2.1.1 a 2.3.x do Apache Struts anteriores à 2.3.34 e 2.5.x anteriores à 2.5.13 é vulnerável à execução remota de código durante a desserialização de payloads XML criados. Correção: instale uma versão alternativa do Apache Struts.	2021 A06, A08 2017 A8, A9
	As versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do apache Struts são vulneráveis à execução remota de código quando `alwaysSelectFullNamespace` está definido como `true` e determinados existem outras configurações de ação. Correção: instale a versão 2.3.35 ou 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Apache Tomcat versões 9.x anteriores a 9.0.31, 8.x anteriores a 8.5.51, 7.x anteriores a 7.0.100 e todas as versões 6.x vulneráveis a códigos-fonte e a configuração por meio de um conector de protocolo Apache JServ exposto. Em alguns casos, ele é aproveitado para executar código remoto se o upload de arquivos for permitido. Correção: faça upgrade para versões alternativas do Apache Tomcat.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	Os servidores vBulletin que executam as versões 5.0.0 até 5.5.4 estão vulneráveis à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação `routestring`. Correção: faça upgrade para versões alternativas do VMware vCenter Server.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	As versões do VMware vCenter Server 7.x anteriores à 7.0 U1c, 6.7 anteriores à 6.7 U3l e 6.5 anteriores à 6.5 U3n são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor que faz o upload de um arquivo do Server Server criado para um diretório acessível pela Web e, em seguida, aciona a execução desse arquivo. Correção: faça upgrade para versões alternativas do VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade de execução de código remoto, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para mais informações, consulte CVE-2020-14883. Correção: para informações sobre patch, consulte Consultoria de atualização de patch crítico da Oracle - outubro de 2020.	2021 A06, A07 2017 A2, A9

Encontrando exemplo

As descobertas da Detecção rápida de vulnerabilidades podem ser exportadas em JSON com o painel do Security Command Center, a Google Cloud CLI ou a API Security Command Center. A saída JSON para descobertas é semelhante à seguinte:

  {
    "finding": {
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "WEAK_CREDENTIALS",
      "compliances": [
        {
          "ids": [
            "A2"
          ],
          "standard": "owasp",
          "version": "2017"
        },
        {
          "ids": [
            "A07"
          ],
          "standard": "owasp",
          "version": "2021"
        }
      ],
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_1"
            },
            {
              "email": "EMAIL_ADDRESS_2"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_3"
            }
          ]
        }
      },
      "createTime": "2021-08-19T06:26:20.038Z",
      "description": "Well known or weak credentials have been detected.",
      "eventTime": "2022-06-24T19:21:22.783Z",
      "findingClass": "MISCONFIGURATION",
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "severity": "CRITICAL",
      "sourceProperties": {
        "description": "Well known or weak credentials have been detected.",
        "targets": [
          {
            "ipv4Address": {
              "address": "IP_ADDRESS",
              "subnetMask": 32
            },
            "port": PORT_NUMBER,
            "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
            "transportProtocol": "TCP"
          }
        ]
      },
      "state": "ACTIVE"
    },
    "resource": {
      "displayName": "PROJECT_NAME",
      "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parentDisplayName": "ORGANIZATION_NAME",
      "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "projectDisplayName": "PROJECT_NAME",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "type": "google.cloud.resourcemanager.Project"
    }
  }

O exemplo anterior usa as seguintes variáveis de marcador:

EMAIL_ADDRESS_[N]: os endereços de e-mail das pessoas ou entidades a serem notificadas quando uma descoberta for detectada.
FINDING_ID: um valor exclusivo que identifica a descoberta.
IP_ADDRESS: o endereço IP em que a vulnerabilidade foi detectada.
ORGANIZATION_ID: o identificador da organização em que a vulnerabilidade foi encontrada.
ORGANIZATION_NAME: o nome da organização em que a vulnerabilidade foi encontrada.
PORT_NUMBER: o número da porta em que a vulnerabilidade foi detectada.
PROJECT_ID: o identificador alfanumérico do projeto em que a vulnerabilidade foi encontrada.
PROJECT_NUMBER: o identificador numérico do projeto em que a vulnerabilidade foi encontrada.
SOURCE_ID: o ID numérico, exclusivo da sua organização, que identifica o serviço Security Command Center que detectou a vulnerabilidade.
VM_NAME: a máquina virtual (VM) do Compute Engine em que a vulnerabilidade foi detectada.
ZONE_NAME: a zona do Compute Engine em que o destino de verificação está localizado.

Práticas recomendadas

Como a detecção rápida de vulnerabilidades tenta fazer login em VMs e acessa as interfaces de usuário expostas do administrador, ela pode acessar dados confidenciais ou afetar os recursos com resultados indesejáveis. Use a detecção de vulnerabilidades rápida para verificar recursos de teste e, se possível, evitar usar o serviço em ambientes de produção.

As recomendações a seguir podem ser usadas para proteger seus recursos:

Execute as verificações em um ambiente de teste. Crie um projeto separado do Compute Engine e carregue seu aplicativo e seus dados nele. Se você usar a Google Cloud CLI, poderá especificar o projeto de destino como uma opção de linha de comando ao fazer upload do app.
Use uma conta de teste. Crie uma conta de usuário que não tenha acesso a dados confidenciais ou operações prejudiciais e use-a ao verificar suas VMs.
Fazer backup dos dados Faça um backup dos dados antes da verificação.
Verifique recursos de não produção. Execute verificações em recursos que não sejam de produção para detectar vulnerabilidades antes de implantá-las em produção.

Antes da verificação, faça uma auditoria minuciosa do seu aplicativo para detectar qualquer recurso que possa afetar os dados, usuários ou sistemas além do escopo desejado para a verificação.

A seguir

Para instruções sobre como ativar e usar a detecção rápida de vulnerabilidades, consulte Como usar a detecção rápida de vulnerabilidades.
Para informações sobre testes, consulte Como testar a detecção rápida de vulnerabilidades.