Esta página foi traduzida pela API Cloud Translation.

Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades que ficam disponíveis no Security Command Center. Quando são ativados no Security Command Center, os serviços integrados, como o VM Manager, também geram descobertas de vulnerabilidades.

Sua capacidade de visualizar e editar descobertas é determinada pelos papéis e permissões do Identity and Access Management (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

O Security Command Center monitora a conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. As versões mais antigas continuam compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou o padrão mais recente disponível.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar qualquer mudança no ambiente que possa afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e informar a conformidade com os padrões de segurança.

Padrões de segurança compatíveis

Google Cloud

O Security Command Center mapeia detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:

AWS

O Security Command Center mapeia detectores do Amazon Web Services (AWS) para um ou mais dos seguintes padrões de compliance:

CIS Amazon Web Services Foundations 2.0.0
CIS Controls 8.0
CCM 4
HIPAA
ISO 27001 2022
NIST 800-53 R5
NIST CSF 1.0
PCI DSS 4.0 e 3.2.1
SOC 2 TSC de 2017

Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Compliance em Como usar o Security Command Center no console do Google Cloud.

Como encontrar a desativação após a correção

Depois de corrigir uma descoberta de vulnerabilidade ou configuração incorreta, o serviço do Security Command Center que detectou a descoberta define automaticamente o estado dela como INACTIVE na próxima vez que o serviço de detecção verificar a descoberta. O tempo que o Security Command Center leva para definir uma descoberta corrigida como INACTIVE depende da programação da verificação que detecta a descoberta.

Os serviços do Security Command Center também definem o estado de uma descoberta de vulnerabilidade ou configuração incorreta como INACTIVE quando uma verificação detecta que o recurso afetado pela descoberta foi excluído.

Para mais informações sobre intervalos de verificação, consulte os seguintes tópicos:

Descobertas da análise de integridade de segurança

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

Para mais informações sobre a Análise de integridade da segurança, programações de verificação e o suporte da Análise de integridade da segurança para detectores de módulo integrados e personalizados, consulte Visão geral da Análise de integridade da segurança.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por vários atributos usando a página Vulnerabilidades do Security Command Center no console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Detector Resumo Configurações da verificação de recursos

Detector	Resumo	Configurações da verificação de recursos
`API key APIs unrestricted` Nome da categoria na API: `API_KEY_APIS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera a propriedade `restrictions` de todas as chaves de API em um projeto, verificando se alguma está definida como `cloudapis.googleapis.com`. Verificações em tempo real: não
`API key apps unrestricted` Nome da categoria na API: `API_KEY_APPS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	Recupera a`restrictions` de todas as chaves de API em um projeto, verificando se `browserKeyRestrictions` ,`serverKeyRestrictions` ,`androidKeyRestrictions` ou`iosKeyRestrictions` está definido. Verificações em tempo real: não
`API key exists` Nome da categoria na API: `API_KEY_EXISTS`	Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera todas as chaves de API de um projeto. Verificações em tempo real: não
`API key not rotated` Nome da categoria na API: `API_KEY_NOT_ROTATED`	Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera o carimbo de data/hora contido na propriedade `createTime` de todas as chaves de API, verificando se 90 dias se passaram. Verificações em tempo real: não

API key APIs unrestricted

Nome da categoria na API: API_KEY_APIS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Detector	Resumo	Configurações da verificação de recursos
`KMS key not rotated` Nome da categoria na API: `KMS_KEY_NOT_ROTATED`	Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica os metadados do recurso para a existência de propriedades `rotationPeriod` ou `nextRotationTime`. Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas Verificações em tempo real: sim
`KMS project has owner` Nome da categoria na API: `KMS_PROJECT_HAS_OWNER`	Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão do IAM nos metadados do projeto para os membros atribuídos `roles/Owner`. Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves Verificações em tempo real: sim, mas somente em alterações na política de permissão do IAM, não em alterações nas chaves do KMS
`KMS public key` Nome da categoria na API: `KMS_PUBLIC_KEY`	Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão de IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em tempo real: sim
`Too many KMS users` Nome da categoria na API: `TOO_MANY_KMS_USERS`	Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	Verifica as políticas de permissão do IAM quanto a keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando as chaves do Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` e `roles/cloudkms.signerVerifier`. Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de permissão de IAM do conjunto de chaves, projetos e organizações do armazenamento Verificações em tempo real: sim

Detector	Resumo	Configurações da verificação de recursos
`Audit config not monitored` Nome da categoria na API: `AUDIT_CONFIG_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` e, se `resource.type` for especificado, se o valor é `global` , O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real*: não
`Bucket IAM not monitored` Nome da categoria na API: `BUCKET_IAM_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`Custom role not monitored` Nome da categoria na API: `CUSTOM_ROLE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`Firewall not monitored` Nome da categoria na API: `FIREWALL_NOT_MONITORED`	Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`Network not monitored` Nome da categoria na API: `NETWORK_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`Owner not monitored` Nome da categoria na API: `OWNER_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`Route not monitored` Nome da categoria na API: `ROUTE_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas Verificações em tempo real: não

Categoria	Descrição da descoberta	10 principais OWASP de 2017	10 principais OWASP de 2021
`Accessible Git repository` Nome da categoria na API: `ACCESSIBLE_GIT_REPOSITORY`	Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. Nível de preços: Premium ou padrão Corrigir essa descoberta	A5	A01
`Accessible SVN repository` Nome da categoria na API: `ACCESSIBLE_SVN_REPOSITORY`	Um repositório SVN é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório SVN. Nível de preços: Premium ou padrão Corrigir essa descoberta	A5	A01
`Cacheable password input` Nome da categoria na API: `CACHEABLE_PASSWORD_INPUT`	As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas. Nível de preços: Premium Corrigir essa descoberta	A3	A04
`Clear text password` Nome da categoria na API: `CLEAR_TEXT_PASSWORD`	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. Nível de preços: Premium ou padrão Corrigir essa descoberta	A3	A02
`Insecure allow origin ends with validation` Nome da categoria na API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para caracteres curinga de subdomínio, adicione o ponto no domínio raiz ao início, por exemplo, `.endsWith(".google.com")`. Nível de preços: Premium Corrigir essa descoberta	A5	A01
`Insecure allow origin starts with validation` Nome da categoria na API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`, por exemplo, `.equals(".google.com")`. Nível de preços: Premium Corrigir essa descoberta	A5	A01
`Invalid content type` Nome da categoria na API: `INVALID_CONTENT_TYPE`	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP `X-Content-Type-Options` com o valor correto. Nível de preços: Premium ou padrão Corrigir essa descoberta	A6	A05
`Invalid header` Nome da categoria na API: `INVALID_HEADER`	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou padrão Corrigir essa descoberta	A6	A05
`Mismatching security header values` Nome da categoria na API: `MISMATCHING_SECURITY_HEADER_VALUES`	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou padrão Corrigir essa descoberta	A6	A05
`Misspelled security header name` Nome da categoria na API: `MISSPELLED_SECURITY_HEADER_NAME`	Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou padrão Corrigir essa descoberta	A6	A05
`Mixed content` Nome da categoria na API: `MIXED_CONTENT`	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. Nível de preços: Premium ou padrão Corrigir essa descoberta	A6	A05
`Outdated library` Nome da categoria na API: `OUTDATED_LIBRARY`	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. Nível de preços: Premium ou padrão Corrigir essa descoberta	A9	A06
`Server side request forgery` Nome da categoria na API: `SERVER_SIDE_REQUEST_FORGERY`	Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações. Nível de preços: Premium ou padrão Corrigir essa descoberta	Não relevante	A10
`Session ID leak` Nome da categoria na API: `SESSION_ID_LEAK`	Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação `Referer`. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva. Nível de preços: Premium Corrigir essa descoberta	A2	A07
`SQL injection` Nome da categoria na API: `SQL_INJECTION`	Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL. Nível de preços: Premium Corrigir essa descoberta	A1	A03
`Struts insecure deserialization` Nome da categoria na API: `STRUTS_INSECURE_DESERIALIZATION`	Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. Nível de preços: Premium Corrigir essa descoberta	A8	A08
`XSS` Nome da categoria na API: `XSS`	Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços: Premium ou padrão Corrigir essa descoberta	A7	A03
`XSS angular callback` `XSS_ANGULAR_CALLBACK`Nome da categoria na API:	Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário e processados pelo framework Angular. Nível de preços: Premium ou padrão Corrigir essa descoberta	A7	A03
`XSS error` Nome da categoria na API: `XSS_ERROR`	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços: Premium ou padrão Corrigir essa descoberta	A7	A03
`XXE reflected file leakage` `XXE_REFLECTED_FILE_LEAKAGE`Nome da categoria na API:	Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas. Nível de preços: Premium Corrigir essa descoberta	A4	A05
`Prototype pollution` Nome da categoria na API: `PROTOTYPE_POLLUTION`	O aplicativo é vulnerável à poluição de protótipo. Essa vulnerabilidade surge quando propriedades do objeto `Object.prototype` podem receber valores controláveis pelo invasor. Considera-se universalmente que os valores plantados nesses protótipos são traduzidos para scripting em vários locais ou vulnerabilidades semelhantes no lado do cliente, além de bugs lógicos. Nível de preços: Premium ou padrão Corrigir essa descoberta	A1	A03

Descobertas de vulnerabilidades

Detectores e compliance

Padrões de segurança compatíveis

Google Cloud

AWS

Como encontrar a desativação após a correção

Descobertas da análise de integridade de segurança

Descobertas de vulnerabilidade da chave de API

Descobertas de vulnerabilidades do Inventário de recursos do Cloud

Calcular descobertas de vulnerabilidade de imagem

Descobertas de vulnerabilidade da instância do Compute

Descobertas da vulnerabilidade do contêiner

Descobertas de vulnerabilidades do Dataproc

Descobertas de vulnerabilidade do conjunto de dados

Descobertas de vulnerabilidade de DNS

Descobertas de vulnerabilidades de firewall

Descobertas da vulnerabilidade do IAM

Descobertas de vulnerabilidade do KMS

Descobertas de vulnerabilidade de geração de registros

Como monitorar descobertas de vulnerabilidade

Descobertas da autenticação multifator

Descobertas de vulnerabilidades de rede

Descobertas da vulnerabilidade da política da organização

Descobertas de vulnerabilidades do Pub/Sub

Descobertas de vulnerabilidade SQL

Descobertas de vulnerabilidade do armazenamento

Descobertas de vulnerabilidades de sub-rede

Resultados da AWS

Descobertas do Web Security Scanner

Descobertas do recomendador do IAM

Descobertas do SIEM

Descobertas do serviço de postura de segurança

VM Manager

Descobertas do VM Manager

Analisar descobertas no console

Console do Google Cloud

Console de operações de segurança

Como corrigir as descobertas do VM Manager

Silenciar descobertas do VM Manager

Proteção de dados sensíveis

Policy Controller

Como encontrar e corrigir descobertas do Policy Controller

Console do Google Cloud

Console de operações de segurança

A seguir