Esta página foi traduzida pela API Cloud Translation.

Descobertas de vulnerabilidades

Os detectores Rapid Vulnerability Detection, Security Health Analytics e Web Security Scanner geram descobertas de vulnerabilidades que ficam disponíveis no Security Command Center. Quando são ativados no Security Command Center, os serviços integrados, como o VM Manager, também geram descobertas de vulnerabilidades.

Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do Identity and Access Management (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

O Security Command Center monitora sua conformidade com detectores que são mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Nos controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novas versões e padrões de comparação periodicamente. As versões mais antigas continuam com suporte, mas são descontinuadas. Recomendamos que você use o comparativo de mercado ou o padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles que se aplicam à sua empresa. Depois de criar uma postura de segurança, monitore as alterações no ambiente que possam afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar a conformidade com os padrões de segurança.

Padrões de segurança compatíveis com o Google Cloud

O Security Command Center mapeia os detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:

Controles do Centro de Segurança da Informação (CIS) 8.0
Comparativo de mercado CIS do Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
Comparativo de mercado CIS do Kubernetes v1.5.1
Matriz de controles de nuvem (CCM) 4
Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
Organização Internacional de Normalização (ISO) 27001, 2022 e 2013 (em inglês)
Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4 (em inglês)
NIST CSF 1.0
Open Web Application Security Project (OWASP) Top 10, 2021 e 2017
Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
Controles de sistema e organização (SOC, na sigla em inglês) 2 Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017

Padrões de segurança com suporte na AWS

O Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:

CIS Amazon Web Services Foundations 2.0.0
Controles do CIS 8.0

Para instruções sobre como visualizar e exportar relatórios de compliance, consulte a seção Compliance em Como usar o Security Command Center no console do Google Cloud.

Como encontrar a desativação após a correção

Depois de corrigir uma descoberta de vulnerabilidade ou configuração incorreta, o serviço do Security Command Center que detectou a descoberta define automaticamente o estado dela como INACTIVE na próxima vez que o serviço de detecção verificar a descoberta. O tempo que o Security Command Center leva para definir uma descoberta corrigida como INACTIVE depende da programação da verificação que detecta a descoberta.

Os serviços do Security Command Center também definem o estado de uma descoberta de vulnerabilidade ou configuração incorreta como INACTIVE quando uma verificação detecta que o recurso afetado pela descoberta foi excluído.

Para mais informações sobre intervalos de verificação, consulte os seguintes tópicos:

Descobertas da análise de integridade de segurança

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

Para mais informações sobre a Análise de integridade da segurança, programações de verificação e o suporte da Análise de integridade da segurança para detectores de módulo integrados e personalizados, consulte Visão geral da Análise de integridade da segurança.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por vários atributos usando a página Vulnerabilidades do Security Command Center no console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir as descobertas da Análise de integridade da segurança.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

**Tabela 1.** Leitor de chave de API
Detector	Resumo	Configurações da verificação de recursos
`API key APIs unrestricted` Nome da categoria na API: `API_KEY_APIS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera a propriedade `restrictions` de todas as chaves de API em um projeto, verificando se alguma está definida como `cloudapis.googleapis.com`. Verificações em tempo real: sim
`API key apps unrestricted` Nome da categoria na API: `API_KEY_APPS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	Recupera a`restrictions` de todas as chaves de API em um projeto, verificando se `browserKeyRestrictions` ,`serverKeyRestrictions` ,`androidKeyRestrictions` ou`iosKeyRestrictions` está definido. Verificações em tempo real: sim
`API key exists` Nome da categoria na API: `API_KEY_EXISTS`	Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera todas as chaves de API de um projeto. Verificações em tempo real: sim
`API key not rotated` Nome da categoria na API: `API_KEY_NOT_ROTATED`	Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera o carimbo de data/hora contido na propriedade `createTime` de todas as chaves de API, verificando se 90 dias se passaram. Verificações em tempo real: sim

Descobertas de vulnerabilidades do Inventário de recursos do Cloud

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações do Inventário de recursos do Cloud e pertencem ao tipo CLOUD_ASSET_SCANNER.

**Tabela 2.** Verificador do Inventário de recursos do Cloud
Detector	Resumo	Configurações da verificação de recursos
`Cloud Asset API disabled` Nome da categoria na API: `CLOUD_ASSET_API_DISABLED`	Descrição da descoberta: a captura de recursos do Google Cloud e políticas do IAM pelo Inventário de recursos do Cloud permite análise de segurança, rastreamento de alterações de recursos e auditoria de compliance. Recomendamos que o serviço do Inventário de recursos do Cloud seja ativado para todos os projetos. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis pubsub.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.3: 2.13 CIS GCP Foundation 2.0: 2.13 NIST 800-53 R5: CM-8, PM-5 PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1 ISO-27001 v2022: A.5.9, A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3 SOC2 v2017: CC3.2.6, CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS Controls 8.0: 1.1, 6.6	Verifica se o serviço do Inventário de recursos do Cloud está ativado. Verificações em tempo real: sim

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

**Tabela 3.** Compute image scanner
Detector	Resumo	Configurações da verificação de recursos
`Public Compute image` Nome da categoria na API: `PUBLIC_COMPUTE_IMAGE`	Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Image Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica a política de permissão de IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em tempo real: sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

**Tabela 4.** Verificador de instâncias do Compute
Detector	Resumo	Configurações da verificação de recursos
`Confidential Computing disabled` Nome da categoria na API: `CONFIDENTIAL_COMPUTING_DISABLED`	Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 4.11 CIS GCP Foundation 1.3: 4.11 CIS GCP Foundation 2.0: 4.11 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica a propriedade `confidentialInstanceConfig` dos metadados da instância para o par de chave-valor `"enableConfidentialCompute":true`. Recursos excluídos das verificações: Instâncias do GKE Acesso VPC sem servidor Instâncias relacionadas a jobs do Dataflow instâncias do Compute Engine que não são do tipo N2D; Verificações em tempo real: sim
`Compute project wide SSH keys allowed` Nome da categoria na API: `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3 CIS GCP Foundation 1.3: 4.3 CIS GCP Foundation 2.0: 4.3 NIST 800-53 R5: AC-17, IA-5, SC-8 PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2 HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii) CIS Controls 8.0: 3.10, 5.2	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "block-project-ssh-keys", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em tempo real: não
`Compute Secure Boot disabled` Nome da categoria na API: `COMPUTE_SECURE_BOOT_DISABLED`	Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica a propriedade `shieldedInstanceConfig` nas instâncias do Compute Engine para determinar se `enableSecureBoot` está definido como `true`. Esse detector verifica se os discos anexados são compatíveis com a Inicialização segura e se ela está ativada. Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor Verificações em tempo real: sim
`Compute serial ports enabled` Nome da categoria na API: `COMPUTE_SERIAL_PORTS_ENABLED`	Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5 CIS GCP Foundation 1.3: 4.5 CIS GCP Foundation 2.0: 4.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "serial-port-enable", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em tempo real: sim
`Default service account used` Nome da categoria na API: `DEFAULT_SERVICE_ACCOUNT_USED`	Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1 CIS GCP Foundation 1.3: 4.1 CIS GCP Foundation 2.0: 4.1 NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Verifica a propriedade `serviceAccounts` nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, indicando a conta de serviço padrão criada pelo Google. Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow Verificações em tempo real: sim
`Disk CMEK disabled` Nome da categoria na API: `DISK_CMEK_DISABLED`	Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados do disco, para o nome do recurso do seu CMEK. Recursos excluídos das verificações: discos relacionados a ambientes do Cloud Composer, jobs do Dataflow e instâncias do GKE. Verificações em tempo real: sim
`Disk CSEK disabled` Nome da categoria na API: `DISK_CSEK_DISABLED`	Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7 CIS GCP Foundation 1.3: 4.7 CIS GCP Foundation 2.0: 4.7 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey` do nome do recurso da sua CSEK. Recursos excluídos das verificações: discos do Compute Engine sem a marca de segurança enforce_customer_supplied_disk_encryption_keys definida como `true` Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em tempo real: sim
`Full API access` Nome da categoria na API: `FULL_API_ACCESS`	Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 CIS GCP Foundation 1.3: 4.2 CIS GCP Foundation 2.0: 4.2 NIST 800-53 R4: AC-6 NIST 800-53 R5: IA-5 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Recupera o campo `scopes` na propriedade `serviceAccounts` para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo `cloud-platform`. Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow Verificações em tempo real: sim
`HTTP load balancer` Nome da categoria na API: `HTTP_LOAD_BALANCER`	Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpProxy Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 2.3	Determina se a propriedade `selfLink` do recurso `targetHttpProxy` corresponde ao atributo `target` na regra de encaminhamento e se ela contém um campo `loadBalancingScheme` definido como `External`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas Verificações em tempo real: sim
`IP forwarding enabled` Nome da categoria na API: `IP_FORWARDING_ENABLED`	Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6 CIS GCP Foundation 1.3: 4.6 CIS GCP Foundation 2.0: 4.6 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v4.0: 1.2.1, 1.4.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Verifica se a propriedade `canIpForward` da instância está definida como `true`. Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor Verificações em tempo real: sim
`OS login disabled` Nome da categoria na API: `OS_LOGIN_DISABLED`	Encontrar descrição: o Login do SO está desativado nesta instância. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4 CIS GCP Foundation 1.3: 4.4 CIS GCP Foundation 2.0: 4.4 NIST 800-53 R5: AC-2 ISO-27001 v2022: A.5.15 SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9 CIS Controls 8.0: 5.6, 6.7	Verifica o objeto `commonInstanceMetadata.items[]` nos metadados do projeto para o par de chave-valor, `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais. Recursos excluídos das verificações: instâncias do GKE, instâncias relacionadas a jobs do Dataflow Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine O detector também examina instâncias do Compute Engine no projeto Verificações em tempo real: não
`Public IP address` Nome da categoria na API: `PUBLIC_IP_ADDRESS`	Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 CIS GCP Foundation 1.3: 4.9 CIS GCP Foundation 2.0: 4.9 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica se a propriedade `networkInterfaces` contém um campo `accessConfigs`, indicando que ele está configurado para usar um endereço IP público. Recursos excluídos das verificações: instâncias do GKE, instâncias relacionadas a jobs do Dataflow Verificações em tempo real: sim
`Shielded VM disabled` Nome da categoria na API: `SHIELDED_VM_DISABLED`	Encontrando descrição: a VM protegida está desativada nesta instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8 CIS GCP Foundation 1.3: 4.8 CIS GCP Foundation 2.0: 4.8	Verifica a propriedade `shieldedInstanceConfig` nas instâncias do Compute Engine para determinar se os campos `enableIntegrityMonitoring` e `enableVtpm` estão definidos como `true`. Os campos indicam se a VM protegida está ativada. Recursos excluídos das verificações: instâncias do GKE e acesso VPC sem servidor Verificações em tempo real: sim
`Weak SSL policy` Nome da categoria na API: `WEAK_SSL_POLICY`	Como encontrar a descrição: uma instância tem uma política de SSL fraca. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 CIS GCP Foundation 1.3: 3.9 CIS GCP Foundation 2.0: 3.9 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.14.1.3	Verifica se `sslPolicy` nos metadados do recurso está vazio ou está usando a política padrão do Google Cloud e, para o recurso `sslPolicies` anexado, se `profile` está definido como `Restricted` ou `Modern`, `minTlsVersion` está definido como `TLS 1.2` e `customFeatures` está vazio ou não contém as seguintes criptografias: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

**Tabela 5.** Leitor de contêineres
Detector	Resumo	Configurações da verificação de recursos
`Alpha cluster enabled` Nome da categoria na API: `ALPHA_CLUSTER_ENABLED`	Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.10.2	Verifica se a propriedade `enableKubernetesAlpha` de um cluster está definida como `true`. Verificações em tempo real: sim
`Auto repair disabled` Nome da categoria na API: `AUTO_REPAIR_DISABLED`	Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoRepair"`, `"value":` `true`. Verificações em tempo real: sim
`Auto upgrade disabled` Nome da categoria na API: `AUTO_UPGRADE_DISABLED`	Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoUpgrade"`, `"value":` `true`. Verificações em tempo real: sim
`Binary authorization disabled` Nome da categoria na API: `BINARY_AUTHORIZATION_DISABLED`	Descrição da descoberta: a autorização binária está desativada no cluster do GKE ou a política correspondente está configurada para permitir a implantação de todas as imagens. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica o seguinte: Verifica se a propriedade `binaryAuthorization` tem um dos seguintes pares de chave-valor: `"evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"` `"evaluationMode": "POLICY_BINDINGS"` `"evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"` Verifica se a propriedade da política `defaultAdmissionRule` não contém o par de chave-valor `evaluationMode: ALWAYS_ALLOW`. Verificações em tempo real: sim
`Cluster logging disabled` Nome da categoria na API: `CLUSTER_LOGGING_DISABLED`	Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7	Verifica se a propriedade `loggingService` de um cluster contém o local que o Cloud Logging deve usar para gravar registros. Verificações em tempo real: sim
`Cluster monitoring disabled` Nome da categoria na API: `CLUSTER_MONITORING_DISABLED`	Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2	Verifica se a propriedade `monitoringService` de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas. Verificações em tempo real: sim
`Cluster private Google access disabled` Nome da categoria na API: `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.16 PCI-DSS v3.2.1: 1.3	Verifica se a propriedade `privateIpGoogleAccess` de uma sub-rede está definida como `false`. Entradas adicionais: lê sub-redes do armazenamento, registrando descobertas apenas para clusters com sub-redes. Verificações em tempo real: sim, mas somente se o cluster for atualizado, não para atualizações de sub-rede
`Cluster secrets encryption disabled` Nome da categoria na API: `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.3.1	Verifica a propriedade `keyName` do objeto `databaseEncryption` para o par de chave-valor `"state": ENCRYPTED`. Verificações em tempo real: sim
`Cluster shielded nodes disabled` Nome da categoria na API: `CLUSTER_SHIELDED_NODES_DISABLED`	Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.5.5	Verifica a propriedade `shieldedNodes` do par de chave-valor `"enabled": true`. Verificações em tempo real: sim
`COS not used` Nome da categoria na API: `COS_NOT_USED`	Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"imageType":` `"COS"`. Verificações em tempo real: sim
`Integrity monitoring disabled` Nome da categoria na API: `INTEGRITY_MONITORING_DISABLED`	Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.5.6	Verifica a propriedade `shieldedInstanceConfig` do objeto `nodeConfig` para o par de chave-valor `"enableIntegrityMonitoring": true`. Verificações em tempo real: sim
`Intranode visibility disabled` Nome da categoria na API: `INTRANODE_VISIBILITY_DISABLED`	Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.6.1	Verifica a propriedade `networkConfig` do par de chave-valor `"enableIntraNodeVisibility": true`. Verificações em tempo real: sim
`IP alias disabled` Nome da categoria na API: `IP_ALIAS_DISABLED`	Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.13 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7	Verifica se o campo `useIPAliases` de `ipAllocationPolicy` em um cluster está definido como `false`. Verificações em tempo real: sim
`Legacy authorization enabled` Nome da categoria na API: `LEGACY_AUTHORIZATION_ENABLED`	Descrição da descoberta: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium ou Standard Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1	Verifica a propriedade `legacyAbac` de um cluster para o par de chave-valor, `"enabled"`: `true`. Verificações em tempo real: sim
`Legacy metadata enabled` Nome da categoria na API: `LEGACY_METADATA_ENABLED`	Como encontrar a descrição: metadados legados são ativados em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.4.1	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"disable-legacy-endpoints"`: `"false"`. Verificações em tempo real: sim
`Master authorized networks disabled` Nome da categoria na API: `MASTER_AUTHORIZED_NETWORKS_DISABLED`	Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2	Verifica a propriedade `masterAuthorizedNetworksConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Verificações em tempo real: sim
`Network policy disabled` Nome da categoria na API: `NETWORK_POLICY_DISABLED`	Como encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.11 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.3 ISO-27001 v2013: A.13.1.1	Verifica o campo `networkPolicy` da propriedade `addonsConfig` do par de chave-valor `"disabled"`: `true`. Verificações em tempo real: sim
`Nodepool boot CMEK disabled` Nome da categoria na API: `NODEPOOL_BOOT_CMEK_DISABLED`	Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica a propriedade `bootDiskKmsKey` dos pools de nós para o nome do recurso da sua CMEK. Verificações em tempo real: sim
`Nodepool secure boot disabled` Nome da categoria na API: `NODEPOOL_SECURE_BOOT_DISABLED`	Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.5.7	Verifica a propriedade `shieldedInstanceConfig` do objeto `nodeConfig` para o par de chave-valor `"enableSecureBoot": true`. Verificações em tempo real: sim
`Over privileged account` Nome da categoria na API: `OVER_PRIVILEGED_ACCOUNT`	Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.17 NIST 800-53 R4: AC-6, SC-7 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 ISO-27001 v2013: A.9.2.3	Avalia a propriedade `config` de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada. Verificações em tempo real: sim
`Over privileged scopes` Nome da categoria na API: `OVER_PRIVILEGED_SCOPES`	Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.18 CIS GKE 1.0: 6.2.1	Verifica se o escopo de acesso listado na propriedade `config.oauthScopes` de um pool de nós é limitado por uma conta de serviço: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, ou `https://www.googleapis.com/auth/monitoring`. Verificações em tempo real: sim
`Pod security policy disabled` Nome da categoria na API: `POD_SECURITY_POLICY_DISABLED`	Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.14 CIS GKE 1.0: 6.10.3	Verifica a propriedade `podSecurityPolicyConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Permissões adicionais do IAM: `roles/container.clusterViewer` Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta. Aviso: o Kubernetes oficialmente suspendeu o PodSecurityPolicy na versão 1.21. O PodSecurityPolicy será encerrado na versão 1.25. Para informações sobre alternativas, consulte Suspensão de uso de PodSecurityPolicy. Verificações em tempo real: não
`Private cluster disabled` Nome da categoria na API: `PRIVATE_CLUSTER_DISABLED`	Descrição da descoberta: um cluster privado do GKE está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.15 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2	Verifica se o campo `enablePrivateNodes` da propriedade `privateClusterConfig` está definido como `false`. Verificações em tempo real: sim
`Release channel disabled` Nome da categoria na API: `RELEASE_CHANNEL_DISABLED`	Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.5.4	Verifica a propriedade `releaseChannel` do par de chave-valor `"channel": UNSPECIFIED`. Verificações em tempo real: sim
`Web UI enabled` Nome da categoria na API: `WEB_UI_ENABLED`	Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium or Standard Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6	Checks the `kubernetesDashboard` field of the `addonsConfig` property for the key-value pair, `"disabled": false`. Verificações em tempo real: sim
`Workload Identity disabled` Nome da categoria na API: `WORKLOAD_IDENTITY_DISABLED`	Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GKE 1.0: 6.2.2	Verifica se a propriedade `workloadIdentityConfig` de um cluster está definida. O detector também verifica se a propriedade `workloadMetadataConfig` de um pool de nós está definida como `GKE_METADATA`. Permissões adicionais do IAM: `roles/container.clusterViewer` Verificações em tempo real: sim

Descobertas de vulnerabilidades do Dataproc

As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao tipo de detector DATAPROC_SCANNER.

**Tabela 6.** Verificação do Dataproc
Detector	Resumo	Configurações da verificação de recursos
`Dataproc CMEK disabled` Nome da categoria na API: `DATAPROC_CMEK_DISABLED`	Descrição da descoberta: um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis dataproc.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.3: 1.17 CIS GCP Foundation 2.0: 1.17 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica se o campo `kmsKeyName` na propriedade `encryptionConfiguration` está vazio. Verificações em tempo real: sim
`Dataproc image outdated` Nome da categoria na API: `DATAPROC_IMAGE_OUTDATED`	Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Nível de preços: Premium ou Standard Recursos compatíveis dataproc.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica se o campo `softwareConfig.imageVersion` na propriedade `config` de um `Cluster` é anterior a 1.3.95 ou é uma versão de imagem menor anterior que 1.4.77, 1.5.53 ou 2.0.27. Verificações em tempo real: sim

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

**Tabela 7.** Leitor de conjunto de dados
Detector	Resumo	Configurações da verificação de recursos
`BigQuery table CMEK disabled` Nome da categoria na API: `BIGQUERY_TABLE_CMEK_DISABLED`	Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis bigquery.googleapis.com/Table Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 7.2 CIS GCP Foundation 1.3: 7.2 CIS GCP Foundation 2.0: 7.2 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica se o campo `kmsKeyName` na propriedade `encryptionConfiguration` está vazio. Verificações em tempo real: sim
`Dataset CMEK disabled` Nome da categoria na API: `DATASET_CMEK_DISABLED`	Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis bigquery.googleapis.com/Dataset Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 7.3 CIS GCP Foundation 1.3: 7.3 CIS GCP Foundation 2.0: 7.3 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica se o campo `kmsKeyName` na propriedade `defaultEncryptionConfiguration` está vazio. Verificações em tempo real: não
`Public dataset` Nome da categoria na API: `PUBLIC_DATASET`	Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard Recursos compatíveis bigquery.googleapis.com/Dataset Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 CIS GCP Foundation 1.3: 7.1 CIS GCP Foundation 2.0: 7.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão de IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em tempo real: sim

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

**Tabela 8.** Leitor de DNS
Detector	Resumo	Configurações da verificação de recursos
`DNSSEC disabled` Nome da categoria na API: `DNSSEC_DISABLED`	Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 CIS GCP Foundation 1.3: 3.3 CIS GCP Foundation 2.0: 3.3 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2013: A.8.2.3 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Verifica se o campo `state` da propriedade `dnssecConfig` está definido como `off`. Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas Verificações em tempo real: sim
`RSASHA1 for signing` Nome da categoria na API: `RSASHA1_FOR_SIGNING`	Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5 CIS GCP Foundation 1.2: 3.4, 3.5 CIS GCP Foundation 1.3: 3.4, 3.5 CIS GCP Foundation 2.0: 3.4, 3.5 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Verifica se o objeto `defaultKeySpecs.algorithm` da propriedade `dnssecConfig` está definido como `rsasha1`. Verificações em tempo real: sim

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

**Tabela 9.** Leitor de firewall
Detector	Resumo	Configurações da verificação de recursos
`Egress deny rule not set` Nome da categoria na API: `EGRESS_DENY_RULE_NOT_SET`	Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 7.2	Verifica se a propriedade `destinationRanges` no firewall está definida como `0.0.0.0/0` e se a propriedade `denied` contém o par de chave-valor, `"IPProtocol"`: `"all"`. Entradas adicionais: lê firewalls de saída de um projeto do armazenamento. Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall
`Firewall rule logging disabled` Nome da categoria na API: `FIREWALL_RULE_LOGGING_DISABLED`	Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `logConfig` nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor `"enable"`: `false`. Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor Verificações em tempo real: sim
`Open Cassandra port` Nome da categoria na API: `OPEN_CASSANDRA_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Verificações em tempo real: sim
`Open ciscosecure websm port` Nome da categoria na API: `OPEN_CISCOSECURE_WEBSM_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:9090`. Verificações em tempo real: sim
`Open directory services port` Nome da categoria na API: `OPEN_DIRECTORY_SERVICES_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:445` e `UDP:445`. Verificações em tempo real: sim
`Open DNS port` Nome da categoria na API: `OPEN_DNS_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:53` e `UDP:53`. Verificações em tempo real: sim
`Open elasticsearch port` Nome da categoria na API: `OPEN_ELASTICSEARCH_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:9200, 9300`. Verificações em tempo real: sim
`Open firewall` Nome da categoria na API: `OPEN_FIREWALL`	Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 1.2.1	Verifica as propriedades `sourceRanges` e `allowed` para uma das duas configurações: A propriedade `sourceRanges` contém `0.0.0.0/0`, e a propriedade `allowed` contém uma combinação de regras que inclui qualquer `protocol` ou `protocol:port`, exceto: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 A propriedade `sourceRanges` contém uma combinação de intervalos de IP que inclui qualquer endereço IP não particular, e a propriedade `allowed` contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp. Recursos excluídos das verificações: regras de firewall criadas pelo GKE Verificações em tempo real: sim
`Open FTP port` Nome da categoria na API: `OPEN_FTP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:21`. Verificações em tempo real: sim
`Open HTTP port` Nome da categoria na API: `OPEN_HTTP_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:80`. Verificações em tempo real: sim
`Open LDAP port` Nome da categoria na API: `OPEN_LDAP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:389, 636` e `UDP:389`. Verificações em tempo real: sim
`Open Memcached port` Nome da categoria na API: `OPEN_MEMCACHED_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:11211, 11214-11215` e `UDP:11211, 11214-11215`. Verificações em tempo real: sim
`Open MongoDB port` Nome da categoria na API: `OPEN_MONGODB_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:27017-27019`. Verificações em tempo real: sim
`Open MySQL port` Nome da categoria na API: `OPEN_MYSQL_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:3306`. Verificações em tempo real: sim
`Open NetBIOS port` Nome da categoria na API: `OPEN_NETBIOS_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:137-139` e `UDP:137-139`. Verificações em tempo real: sim
`Open OracleDB port` Nome da categoria na API: `OPEN_ORACLEDB_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:1521, 2483-2484` e `UDP:2483-2484`. Verificações em tempo real: sim
`Open pop3 port` Nome da categoria na API: `OPEN_POP3_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:110`. Verificações em tempo real: sim
`Open PostgreSQL port` Nome da categoria na API: `OPEN_POSTGRESQL_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:5432` e `UDP:5432`. Verificações em tempo real: sim
`Open RDP port` Nome da categoria na API: `OPEN_RDP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 CIS GCP Foundation 1.3: 3.7 CIS GCP Foundation 2.0: 3.7 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:3389` e `UDP:3389`. Verificações em tempo real: sim
`Open Redis port` Nome da categoria na API: `OPEN_REDIS_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:6379`. Verificações em tempo real: sim
`Open SMTP port` Nome da categoria na API: `OPEN_SMTP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:25`. Verificações em tempo real: sim
`Open SSH port` Nome da categoria na API: `OPEN_SSH_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 CIS GCP Foundation 1.3: 3.6 CIS GCP Foundation 2.0: 3.6 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Verifica se a propriedade `allowed` nos metadados de firewall contém os seguintes protocolos e portas: `TCP:22` e `SCTP:22`. Verificações em tempo real: sim
`Open Telnet port` Nome da categoria na API: `OPEN_TELNET_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:23`. Verificações em tempo real: sim

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

**Tabela 10.** Leitor do IAM
Detector	Resumo	Configurações da verificação de recursos
`Access Transparency disabled` Nome da categoria na API: `ACCESS_TRANSPARENCY_DISABLED`	Descrição da descoberta: a Transparência no acesso do Google Cloud está desativada para sua organização. Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.3: 2.14 CIS GCP Foundation 2.0: 2.14	Verifica se sua organização tem a Transparência no acesso ativada. Verificações em tempo real: não
`Admin service account` Nome da categoria na API: `ADMIN_SERVICE_ACCOUNT`	Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5 CIS GCP Foundation 1.3: 1.5 CIS GCP Foundation 2.0: 1.5 NIST 800-53 R5: AC-6 ISO-27001 v2022: A.5.15, A.8.2 Cloud Controls Matrix 4: IAM-09 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 5.4	Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo *iam.gserviceaccount.com), que recebem `roles/Owner` ou `roles/Editor`, ou um código de papel que contém `admin`. Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e conta de serviço do Security Command Center (security-center-api.iam.gserviceaccount.com) Verificações em tempo real*: sim, a menos que a atualização do IAM seja feita em uma pasta
`Essential Contacts Not Configured` Nome da categoria na API: `ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Descrição da descoberta: sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud. Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.3: 1.16 CIS GCP Foundation 2.0: 1.16 NIST 800-53 R5: IR-6 ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6 Cloud Controls Matrix 4: SEF-08 NIST Cybersecurity Framework 1.0: RS-CO-1 SOC2 v2017: CC2.3.1 CIS Controls 8.0: 17.2	Verifica se um contato foi especificado para as categorias de contato essencial a seguir: Ofício Segurança Suspensão Benefícios técnicos Verificações em tempo real: não
`KMS role separation` Nome da categoria na API: `KMS_ROLE_SEPARATION`	Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica as políticas de permissão do IAM nos metadados do recurso e recupera os principais atribuídos a qualquer um dos seguintes papéis ao mesmo tempo: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` e `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Verificações em tempo real: sim
`Non org IAM member` Nome da categoria na API: `NON_ORG_IAM_MEMBER`	Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 CIS GCP Foundation 1.3: 1.1 CIS GCP Foundation 2.0: 1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Compara os endereços de e-mail @gmail.com no campo `user` nos metadados da política de permissão do IAM com uma lista de identidades aprovadas para sua organização. Verificações em tempo real: sim
`Open group IAM member` Nome da categoria na API: `OPEN_GROUP_IAM_MEMBER`	Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica a política de IAM nos metadados de recursos para verificar se há vinculações contendo um membro (principal) que tenha o prefixo `group`. Se o grupo for aberto, o Security Health Analytics gerará essa descoberta. Entradas adicionais: lê os metadados do Grupos do Google para verificar se o grupo identificado é aberto. Verificações em tempo real: não
`Over privileged service account user` Nome da categoria na API: `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 CIS GCP Foundation 1.3: 1.6 CIS GCP Foundation 2.0: 1.6 NIST 800-53 R4: AC-6 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro atribuído `roles/iam.serviceAccountUser` ou `roles/iam.serviceAccountTokenCreator` no nível do projeto. Recursos excluídos das verificações: contas de serviço do Cloud Build Verificações em tempo real: sim
`Primitive roles used` Nome da categoria na API: `PRIMITIVE_ROLES_USED`	Descrição da descoberta: um usuário tem um destes papéis básicos: Proprietário (`roles/owner`) Editor (`roles/editor`) Leitor (`roles/viewer`) Esses papéis são muito permissivos e não devem ser usados. Nível de preço: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: AC-6 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Verifica a política de permissão do IAM nos metadados do recurso para todos os principais com papel `roles/owner`, `roles/editor` ou `roles/viewer`. Verificações em tempo real: sim
`Redis role used on org` Nome da categoria na API: `REDIS_ROLE_USED_ON_ORG`	Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Verifica a política de permissão do IAM nos metadados de recursos para membros atribuídos a `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` na organização ou no nível da pasta. Verificações em tempo real: sim
`Service account role separation` Nome da categoria na API: `SERVICE_ACCOUNT_ROLE_SEPARATION`	Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 CIS GCP Foundation 1.3: 1.8 CIS GCP Foundation 2.0: 1.8 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro com `roles/iam.serviceAccountUser` e `roles/iam.serviceAccountAdmin` atribuídos. Verificações em tempo real: sim
`Service account key not rotated` Nome da categoria na API: `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.6 CIS GCP Foundation 1.1: 1.7 CIS GCP Foundation 1.2: 1.7 CIS GCP Foundation 1.3: 1.7 CIS GCP Foundation 2.0: 1.7	Avalia o carimbo de data/hora de criação da chave capturado na propriedade `validAfterTime` nos metadados de chave das contas de serviço. Recursos excluídos das verificações: chaves de contas de serviço expiradas e chaves não gerenciadas pelos usuários Verificações em tempo real: sim
`User managed service account key` Nome da categoria na API: `USER_MANAGED_SERVICE_ACCOUNT_KEY`	Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.3 CIS GCP Foundation 1.1: 1.4 CIS GCP Foundation 1.2: 1.4 CIS GCP Foundation 1.3: 1.4 CIS GCP Foundation 2.0: 1.4	Verifica se a propriedade `keyType` nos metadados da chave da conta de serviço está definida como `User_Managed`. Verificações em tempo real: sim

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

**Tabela 11.** Leitor do KMS
Detector	Resumo	Configurações da verificação de recursos
`KMS key not rotated` Nome da categoria na API: `KMS_KEY_NOT_ROTATED`	Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Verifica os metadados do recurso para a existência de propriedades `rotationPeriod` ou `nextRotationTime`. Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas Verificações em tempo real: sim
`KMS project has owner` Nome da categoria na API: `KMS_PROJECT_HAS_OWNER`	Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão do IAM nos metadados do projeto para os principais atribuídos a `roles/Owner`. Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves Verificações em tempo real: sim, mas somente em alterações na política de permissão do IAM, não em alterações nas chaves do KMS
`KMS public key` Nome da categoria na API: `KMS_PUBLIC_KEY`	Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão de IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em tempo real: sim
`Too many KMS users` Nome da categoria na API: `TOO_MANY_KMS_USERS`	Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	Verifica políticas de permissão do IAM para keyrings, projetos e organizações e recupera principais com papéis que permitem que eles criptografem, descriptografem ou assinem dados usando as chaves do Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` e `roles/cloudkms.signerVerifier`. Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de permissão de IAM do conjunto de chaves, projetos e organizações do armazenamento Verificações em tempo real: sim

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

**Tabela 12.** Leitor de geração de registros
Detector	Resumo	Configurações da verificação de recursos
`Audit logging disabled` Nome da categoria na API: `AUDIT_LOGGING_DISABLED`	Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 CIS GCP Foundation 1.3: 2.1 CIS GCP Foundation 2.0: 2.1 NIST 800-53 R4: AC-2, AU-2 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v3.2.1: 10.1, 10.2 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2013: A.12.4.1, A.16.1.7 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2	Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto `auditLogConfigs`. Verificações em tempo real: sim
`Bucket logging disabled` Nome da categoria na API: `BUCKET_LOGGING_DISABLED`	Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 5.3	Verifica se o campo `logBucket`, na propriedade `logging` do bucket, está vazio. Verificações em tempo real: sim
`Locked retention policy not set` Nome da categoria na API: `LOCKED_RETENTION_POLICY_NOT_SET`	Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 CIS GCP Foundation 1.3: 2.3 CIS GCP Foundation 2.0: 2.3 NIST 800-53 R4: AU-11 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 10.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.12.4.2, A.18.1.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica se o campo `isLocked`, na propriedade `retentionPolicy` do bucket, está definido como `true`. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em tempo real: sim
`Log not exported` Nome da categoria na API: `LOG_NOT_EXPORTED`	Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 CIS GCP Foundation 1.3: 2.2 CIS GCP Foundation 2.0: 2.2 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2013: A.18.1.3 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.3	Recupera um objeto `logSink` em um projeto, verificando se o campo `includeChildren` está definido como `true`, o campo `destination` inclui o local para gravar registros, e o campo `filter` é preenchido. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização
`Object versioning disabled` Nome da categoria na API: `OBJECT_VERSIONING_DISABLED`	Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.3 NIST 800-53 R4: AU-11 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3	Verifica se o campo `enabled`, na propriedade `versioning` do bucket, está definido como `true`. Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

O RecommendedLogFilter a ser usado na criação das métricas de registro.
O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
Os AlertPolicyFailureReasons que indicam se o projeto não tem políticas de alertas criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alertas atuais não têm as configurações recomendadas.

**Tabela 13.** Leitor de monitoramento
Detector	Resumo	Configurações da verificação de recursos
`Audit config not monitored` Nome da categoria na API: `AUDIT_CONFIG_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` e, se `resource.type` for especificado, se o valor é `global` , O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real*: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Bucket IAM not monitored` Nome da categoria na API: `BUCKET_IAM_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Custom role not monitored` Nome da categoria na API: `CUSTOM_ROLE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Firewall not monitored` Nome da categoria na API: `FIREWALL_NOT_MONITORED`	Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Network not monitored` Nome da categoria na API: `NETWORK_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Owner not monitored` Nome da categoria na API: `OWNER_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`Route not monitored` Nome da categoria na API: `ROUTE_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta de observabilidade do Google Cloud, registrando apenas descobertas de projetos com contas ativas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

Descobertas da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

**Tabela 14.** Verificador de autenticação multifator
Detector	Resumo	Configurações da verificação de recursos
`MFA not enforced` Nome da categoria na API: `MFA_NOT_ENFORCED`	Há usuários que não estão usando a verificação em duas etapas. O Google Workspace permite especificar um período de carência de inscrição para novos usuários em que eles precisam se inscrever na verificação em duas etapas. Esse detector cria descobertas para os usuários durante o período de carência da inscrição. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 CIS GCP Foundation 1.3: 1.2 CIS GCP Foundation 2.0: 1.2 NIST 800-53 R4: IA-2 PCI-DSS v3.2.1: 8.3 ISO-27001 v2013: A.9.4.2	Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity. Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política Entradas adicionais: lê dados do Google Workspace. Verificações em tempo real: não

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

**Tabela 15.** Leitor de rede
Detector	Resumo	Configurações da verificação de recursos
`Default network` Nome da categoria na API: `DEFAULT_NETWORK`	Como encontrar a descrição: a rede padrão existe em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1 CIS GCP Foundation 1.3: 3.1 CIS GCP Foundation 2.0: 3.1 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Verifica se a propriedade `name` nos metadados da rede está definida como `default` Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em tempo real: sim
`DNS logging disabled` Nome da categoria na API: `DNS_LOGGING_DISABLED`	Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network dns.googleapis.com/Policy Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 2.12 CIS GCP Foundation 1.3: 2.12 CIS GCP Foundation 2.0: 2.12 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2, 8.6	Verifica todos os `policies` associados a uma rede VPC pelo campo `networks[].networkUrl` e procura pelo menos uma política que tenha `enableLogging` definido como `true`. Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em tempo real: sim
`Legacy network` Nome da categoria na API: `LEGACY_NETWORK`	Como encontrar a descrição: há uma rede legada em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2 CIS GCP Foundation 1.3: 3.2 CIS GCP Foundation 2.0: 3.2 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Verifica a existência de metadados de rede na propriedade `IPv4Range`. Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em tempo real: sim
`Load balancer logging disabled` Nome da categoria na API: `LOAD_BALANCER_LOGGING_DISABLED`	Descrição da descoberta: a geração de registros está desativada no balanceador de carga. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/BackendServices Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 2.0: 2.16 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Verifica se a propriedade `enableLogging` do serviço de back-end no balanceador de carga está definida como `true`. Verificações em tempo real: sim

Descobertas da vulnerabilidade da política da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.

**Tabela 16.** Verificador de políticas da organização
Detector	Resumo	Configurações da verificação de recursos
`Org policy Confidential VM policy` Nome da categoria na API: `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização `constraints/compute.restrictNonConfidentialComputing`. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de políticas da organização na documentação da VM confidencial. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica se a propriedade `enableConfidentialCompute` de uma instância do Compute Engine está definida como `true`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização efetiva do serviço de política da organização Verificações em tempo real: não
`Org policy location restriction` Nome da categoria na API: `ORG_POLICY_LOCATION_RESTRICTION`	Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição `constraints/gcp.resourceLocations`. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium Recursos compatíveis Na linha a seguir, consulte Recursos compatíveis com ORG_POLICY_LOCATION_RESTRICTION. Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica a propriedade `listPolicy` nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados. Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização efetiva do serviço de política da organização Verificações em tempo real: não
Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Geração de registros logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos. ² Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves. ³ Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

**Tabela 17.** Verificador do Pub/Sub
Detector	Resumo	Configurações da verificação de recursos
`Pubsub CMEK disabled` Nome da categoria na API: `PUBSUB_CMEK_DISABLED`	Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis pubsub.googleapis.com/Topic Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica o campo `kmsKeyName` para o nome do recurso do CMEK. Verificações em tempo real: sim

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

**Tabela 18.** Leitor SQL
Detector	Resumo	Configurações da verificação de recursos
`AlloyDB auto backup disabled` Nome da categoria na API: `ALLOYDB_AUTO_BACKUP_DISABLED`	Descrição da descoberta: um cluster do AlloyDB para PostgreSQL não tem backups automáticos ativados. Nível de preços: Premium Recursos compatíveis alloydb.googleapis.com/Cluster Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: CP-9 ISO-27001 v2013: A.12.3.1 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii)	Verifica se a propriedade `automated_backup_policy.enabled` nos metadados de um cluster do AlloyDB para PostgreSQL está definida como `true`. Recursos excluídos das verificações: clusters secundários do AlloyDB para PostgreSQL Verificações em tempo real: sim
`AlloyDB log min error statement severity` Nome da categoria na API: `ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Descrição da descoberta: a sinalização do banco de dados `log_min_error_statement` para uma instância do AlloyDB para PostgreSQL não está definida como `error` ou outro valor recomendado. Nível de preços: Premium Recursos compatíveis alloydb.googleapis.com/Instances Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o campo `log_min_error_statement` da propriedade `databaseFlags` não estiver definido como um dos seguintes valores: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` ou o valor padrão `error`. Verificações em tempo real: sim
`AlloyDB log min messages` Nome da categoria na API: `ALLOYDB_LOG_MIN_MESSAGES`	Descrição da descoberta: a sinalização do banco de dados `log_min_messages` para uma instância do AlloyDB para PostgreSQL não está definida como `warning` ou outro valor recomendado. Nível de preços: Premium Recursos compatíveis alloydb.googleapis.com/Instances Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo `log_min_messages` da propriedade `databaseFlags` não estiver definido como um dos seguintes valores: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice` ou o valor padrão`warning`. Verificações em tempo real: sim
`AlloyDB log error verbosity` Nome da categoria na API: `ALLOYDB_LOG_ERROR_VERBOSITY`	Descrição da descoberta: a sinalização do banco de dados `log_error_verbosity` para uma instância do AlloyDB para PostgreSQL não está definida como `default` ou outro valor recomendado. Nível de preços: Premium Recursos compatíveis alloydb.googleapis.com/Instances Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o campo `log_error_verbosity` da propriedade `databaseFlags` não estiver definido como um dos seguintes valores: `verbose` ou o valor padrão `default`. Verificações em tempo real: sim
`Auto backup disabled` Nome da categoria na API: `AUTO_BACKUP_DISABLED`	Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 CIS GCP Foundation 1.3: 6.7 CIS GCP Foundation 2.0: 6.7 NIST 800-53 R4: CP-9 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2013: A.12.3.1 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii) CIS Controls 8.0: 11.2	Verifica se a propriedade `backupConfiguration.enabled` de um dado do Cloud SQL está definida como `true`. Recursos excluídos das verificações: réplicas do Cloud SQL Entradas adicionais: lê políticas de permissão do IAM para ancestrais do armazenamento de recursos do Security Health Analytics Verificações em tempo real: sim
`Public SQL instance` Nome da categoria na API: `PUBLIC_SQL_INSTANCE`	Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 CIS GCP Foundation 1.3: 6.5 CIS GCP Foundation 2.0: 6.5 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica se a propriedade `authorizedNetworks` das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP. Verificações em tempo real: sim
`SSL not enforced` Nome da categoria na API: `SSL_NOT_ENFORCED`	Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3	Verifica se a propriedade `sslMode` da instância do Cloud SQL está definida para um modo SSL aprovado, `ENCRYPTED_ONLY` ou `TRUSTED_CLIENT_CERTIFICATE_REQUIRED`. Verificações em tempo real: sim
`SQL CMEK disabled` Nome da categoria na API: `SQL_CMEK_DISABLED`	Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados da instância, para o nome do recurso da CMEK. Verificações em tempo real: sim
`SQL contained database authentication` Nome da categoria na API: `SQL_CONTAINED_DATABASE_AUTHENTICATION`	Como encontrar a descrição: a sinalização do banco de dados `contained database authentication` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7 CIS GCP Foundation 1.3: 6.3.7 CIS GCP Foundation 2.0: 6.3.7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor, `"name"`: `"contained database authentication"`, `"value"`: `"on"` ou se está ativado por padrão. Verificações em tempo real: sim
`SQL cross DB ownership chaining` Nome da categoria na API: `SQL_CROSS_DB_OWNERSHIP_CHAINING`	Descoberta de localização: a sinalização do banco de dados `cross_db_ownership_chaining` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2 CIS GCP Foundation 1.3: 6.3.2 CIS GCP Foundation 2.0: 6.3.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Verificações em tempo real: sim
`SQL external scripts enabled` Nome da categoria na API: `SQL_EXTERNAL_SCRIPTS_ENABLED`	Descoberta de localização: a sinalização do banco de dados `external scripts enabled` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.3.1 CIS GCP Foundation 1.3: 6.3.1 CIS GCP Foundation 2.0: 6.3.1 NIST 800-53 R5: CM-7, SI-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3 NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3 SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4 CIS Controls 8.0: 2.7	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"external scripts enabled"`, `"value": "off"`. Verificações em tempo real: sim
`SQL local infile` Nome da categoria na API: `SQL_LOCAL_INFILE`	Encontrando descrição: a sinalização do banco de dados `local_infile` para uma instância do Cloud SQL para MySQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3 CIS GCP Foundation 1.3: 6.1.3 CIS GCP Foundation 2.0: 6.1.3 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 2.2.1 ISO-27001 v2022: A.8.8 NIST Cybersecurity Framework 1.0: PR-IP-1 CIS Controls 8.0: 16.7	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"local_infile"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log checkpoints disabled` Nome da categoria na API: `SQL_LOG_CHECKPOINTS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_checkpoints` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_checkpoints"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log connections disabled` Nome da categoria na API: `SQL_LOG_CONNECTIONS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_connections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3 CIS GCP Foundation 1.3: 6.2.2 CIS GCP Foundation 2.0: 6.2.2 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_connections"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log disconnections disabled` Nome da categoria na API: `SQL_LOG_DISCONNECTIONS_DISABLED`	Descoberta de localização: a sinalização do banco de dados `log_disconnections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4 CIS GCP Foundation 1.3: 6.2.3 CIS GCP Foundation 2.0: 6.2.3 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_disconnections"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log duration disabled` Nome da categoria na API: `SQL_LOG_DURATION_DISABLED`	Descoberta de localização: a sinalização do banco de dados `log_duration` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.5	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_duration"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log error verbosity` Nome da categoria na API: `SQL_LOG_ERROR_VERBOSITY`	Descrição da descoberta: a sinalização do banco de dados `log_error_verbosity` de uma instância do Cloud SQL para PostgreSQL não está definida como `default` ou `verbose`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.2 CIS GCP Foundation 1.3: 6.2.1 CIS GCP Foundation 2.0: 6.2.1 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_error_verbosity` está definida como `default` ou `verbose`. Verificações em tempo real: sim
`SQL log lock waits disabled` Nome da categoria na API: `SQL_LOG_LOCK_WAITS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_lock_waits` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_lock_waits"`, `"value": "on"`. Verificações em tempo real: sim
`SQL log min duration statement enabled` Nome da categoria na API: `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Como encontrar a descrição: a sinalização do banco de dados `log_min_duration_statement` para uma instância do Cloud SQL para PostgreSQL não está definida como "-1". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16 CIS GCP Foundation 1.3: 6.2.8 CIS GCP Foundation 2.0: 6.2.7 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Verificações em tempo real: sim
`SQL log min error statement` Nome da categoria na API: `SQL_LOG_MIN_ERROR_STATEMENT`	Encontrando descrição a sinalização do banco de dados `log_min_error_statement` para uma instância do Cloud SQL para PostgreSQL não está definida corretamente. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.5	Verifica se o campo `log_min_error_statement` da propriedade `databaseFlags` está definido como um dos seguintes valores: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` ou o valor padrão `error`. Verificações em tempo real: sim
`SQL log min error statement severity` Nome da categoria na API: `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Descrição da descoberta: a sinalização do banco de dados `log_min_error_statement` para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.14 CIS GCP Foundation 1.3: 6.2.7 CIS GCP Foundation 2.0: 6.2.6 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica se o campo `log_min_error_statement` da propriedade `databaseFlags` está definido com um dos seguintes valores: `error`, `log`, `fatal` ou `panic`. Verificações em tempo real: sim
`SQL log min messages` Nome da categoria na API: `SQL_LOG_MIN_MESSAGES`	Descrição da descoberta: a sinalização de banco de dados `log_min_messages` de uma instância do Cloud SQL para PostgreSQL não está definida como `warning` ou outro valor recomendado. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.13 CIS GCP Foundation 1.3: 6.2.6 CIS GCP Foundation 2.0: 6.2.5 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo `log_min_messages` da propriedade `databaseFlags` não estiver definido como um dos seguintes valores: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice` ou o valor padrão`warning`. Verificações em tempo real: sim
`SQL log executor stats enabled` Nome da categoria na API: `SQL_LOG_EXECUTOR_STATS_ENABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_executor_stats` para uma instância do Cloud SQL para PostgreSQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.11	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_executor_stats` está definida como `on`. Verificações em tempo real: sim
`SQL log hostname enabled` Nome da categoria na API: `SQL_LOG_HOSTNAME_ENABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_hostname` para uma instância do Cloud SQL para PostgreSQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.8	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_hostname` está definida como `on`. Verificações em tempo real: sim
`SQL log parser stats enabled` Nome da categoria na API: `SQL_LOG_PARSER_STATS_ENABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_parser_stats` para uma instância do Cloud SQL para PostgreSQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.9	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_parser_stats` está definida como `on`. Verificações em tempo real: sim
`SQL log planner stats enabled` Nome da categoria na API: `SQL_LOG_PLANNER_STATS_ENABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_planner_stats` para uma instância do Cloud SQL para PostgreSQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.10	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_planner_stats` está definida como `on`. Verificações em tempo real: sim
`SQL log statement` Nome da categoria na API: `SQL_LOG_STATEMENT`	Como encontrar a descrição: a sinalização do banco de dados `log_statement` para uma instância do Cloud SQL para PostgreSQL não está definida como `ddl` (todas as instruções de definição de dados). Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.7 CIS GCP Foundation 1.3: 6.2.4 CIS GCP Foundation 2.0: 6.2.4 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_statement` está definida como `ddl`. Verificações em tempo real: sim
`SQL log statement stats enabled` Nome da categoria na API: `SQL_LOG_STATEMENT_STATS_ENABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_statement_stats` para uma instância do Cloud SQL para PostgreSQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.2.12	Verifica se a propriedade `databaseFlags` dos metadados da instância para o campo `log_statement_stats` está definida como `on`. Verificações em tempo real: sim
`SQL log temp files` Nome da categoria na API: `SQL_LOG_TEMP_FILES`	Descoberta de localização: a sinalização do banco de dados `log_temp_files` para uma instância do Cloud SQL para PostgreSQL não está definida como "0". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_temp_files"`, `"value": "0"`. Verificações em tempo real: sim
`SQL no root password` Nome da categoria na API: `SQL_NO_ROOT_PASSWORD`	Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 CIS GCP Foundation 1.3: 6.1.1 CIS GCP Foundation 2.0: 6.1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 2.1 ISO-27001 v2013: A.8.2.3, A.9.4.2	Verifica se a propriedade `rootPassword` da conta raiz está vazia. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em tempo real: não
`SQL public IP` Nome da categoria na API: `SQL_PUBLIC_IP`	Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6 CIS GCP Foundation 1.3: 6.6 CIS GCP Foundation 2.0: 6.2.9, 6.6 NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3, 4.6	Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como `Primary`, indicando que ele é público. Verificações em tempo real: sim
`SQL remote access enabled` Nome da categoria na API: `SQL_REMOTE_ACCESS_ENABLED`	Descrição da descoberta: a sinalização do banco de dados `remote access` de uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.3.5 CIS GCP Foundation 1.3: 6.3.5 CIS GCP Foundation 2.0: 6.3.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"remote access"`, `"value": "off"`. Verificações em tempo real: sim
`SQL skip show database disabled` Nome da categoria na API: `SQL_SKIP_SHOW_DATABASE_DISABLED`	Encontrando descrição: a sinalização do banco de dados `skip_show_database` para uma instância do Cloud SQL para MySQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.1.2 CIS GCP Foundation 1.3: 6.1.2 CIS GCP Foundation 2.0: 6.1.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"skip_show_database"`, `"value": "on"`. Verificações em tempo real: sim
`SQL trace flag 3625` Nome da categoria na API: `SQL_TRACE_FLAG_3625`	Descrição da descoberta: a sinalização do banco de dados `3625 (trace flag)` de uma instância do Cloud SQL para SQL Server não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.3.6 CIS GCP Foundation 2.0: 6.3.6 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"3625 (trace flag)"`, `"value": "on"`. Verificações em tempo real: sim
`SQL user connections configured` Nome da categoria na API: `SQL_USER_CONNECTIONS_CONFIGURED`	Como encontrar a descrição: a sinalização do banco de dados `user connections` para uma instância do Cloud SQL para SQL Server está configurada. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.3.3 CIS GCP Foundation 1.3: 6.3.3 CIS GCP Foundation 2.0: 6.3.3 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"user connections"`, `"value": "0"`. Verificações em tempo real: sim
`SQL user options configured` Nome da categoria na API: `SQL_USER_OPTIONS_CONFIGURED`	Como encontrar a descrição: a sinalização do banco de dados `user options` para uma instância do Cloud SQL para SQL Server está configurada. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 6.3.4 CIS GCP Foundation 1.3: 6.3.4 CIS GCP Foundation 2.0: 6.3.4 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"user options"`, `"value": ""` (vazio). Verificações em tempo real: sim
`SQL weak root password` Nome da categoria na API: `SQL_WEAK_ROOT_PASSWORD`	Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público também tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

**Tabela 19.** Leitor de armazenamento
Detector	Resumo	Configurações da verificação de recursos
`Bucket CMEK disabled` Nome da categoria na API: `BUCKET_CMEK_DISABLED`	Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica o campo `encryption` nos metadados do bucket para o nome do recurso de sua CMEK. Verificações em tempo real: sim
`Bucket policy only disabled` Nome da categoria na API: `BUCKET_POLICY_ONLY_DISABLED`	Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.2: 5.2 CIS GCP Foundation 1.3: 5.2 CIS GCP Foundation 2.0: 5.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica se a propriedade `uniformBucketLevelAccess` em um bucket está definida como `"enabled":false` Verificações em tempo real: sim
`Public bucket ACL` Nome da categoria na API: `PUBLIC_BUCKET_ACL`	Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 CIS GCP Foundation 1.2: 5.1 CIS GCP Foundation 1.3: 5.1 CIS GCP Foundation 2.0: 5.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Verifica a política de permissão do IAM de um bucket para papéis públicos, `allUsers` ou `allAuthenticatedUsers`. Verificações em tempo real: sim
`Public log bucket` Nome da categoria na API: `PUBLIC_LOG_BUCKET`	Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta Padrões de compliance: NIST 800-53 R4: AU-9 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3	Verifica a política de permissão do IAM de um bucket para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em tempo real: sim, mas somente se a política do IAM em intervalos for alterada, não se o coletor de registros for alterado

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

**Tabela 20.** Leitor de sub-rede
Detector	Resumo	Configurações da verificação de recursos
`Flow logs disabled` Nome da categoria na API: `FLOW_LOGS_DISABLED`	Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Subnet Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 CIS GCP Foundation 1.2: 3.8 NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Verifica se a propriedade `enableFlowLogs` das sub-redes do Compute Engine está ausente ou definida como `false`. Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga Verificações em tempo real: sim
`Flow logs settings not recommended` Nome da categoria na API: `VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Descrição da descoberta: em uma sub-rede VPC, os registros de fluxo de VPC estão desativados ou não estão configurados de acordo com as recomendações do comparativo de mercado CIS 1.3. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Subnet Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.3: 3.8 CIS GCP Foundation 2.0: 3.8 NIST 800-53 R5: SI-4 ISO-27001 v2022: A.8.15, A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4 CIS Controls 8.0: 13.6, 8.2	Verifica se a propriedade `enableFlowLogs` das sub-redes VPC está ausente ou definida como `false`. Quando os registros de fluxo de VPC estão ativados, verifica a propriedade `Aggregation Interval` definida como 5 SEC, o `Include metadata` definido como `true`, o `Sample rate` como `100%`. Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga Verificações em tempo real: sim
`Private Google access disabled` Nome da categoria na API: `PRIVATE_GOOGLE_ACCESS_DISABLED`	Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Corrigir essa descoberta Padrões de compliance: CIS GCP Foundation 1.0: 3.8	Verifica se a propriedade `privateIpGoogleAccess` das sub-redes do Compute Engine está definida como `false`. Verificações em tempo real: sim

Descobertas da AWS

**Tabela 21.** Descobertas da AWS
Detector	Resumo	Configurações da verificação de recursos
`AWS Cloud Shell Full Access Restricted` Nome da categoria na API: `ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED`	Descrição da descoberta: o AWS CloudShell é uma maneira conveniente de executar comandos da CLI em serviços da AWS. Uma política gerenciada do IAM ("AWSCloudShellFullAccess") fornece acesso total ao CloudShell, permitindo a capacidade de upload e download de arquivos entre o sistema local de um usuário e o ambiente do CloudShell. No ambiente do CloudShell, um usuário tem permissões sudo e pode acessar a Internet. Por isso, é viável instalar um software de transferência de arquivos, por exemplo, e mover os dados do CloudShell para servidores de Internet externos. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 1.22	Verifique se o acesso ao AWSCloudShellFullAccess está restrito Verificações em tempo real: não
`Access Keys Rotated Every 90 Days or Less` Nome da categoria na API: `ACCESS_KEYS_ROTATED_90_DAYS_LESS`	Descrição da descoberta: as chaves de acesso consistem em um ID da chave de acesso e uma chave de acesso secreta, usados para assinar as solicitações programáticas feitas para a AWS. Os usuários da AWS precisam das próprias chaves de acesso para fazer chamadas programáticas usando a AWS Command Line Interface (AWS CLI), ferramentas para Windows PowerShell, os SDKs da AWS ou chamadas HTTP diretas usando as APIs para serviços individuais da AWS. É recomendável que todas as chaves de acesso sejam alternadas regularmente. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4 CIS AWS Foundation 2.0.0: 1.14 CIS Controls 8.0: 5	Verifique se as chaves de acesso são alternadas a cada 90 dias ou menos Verificações em tempo real: não
`All Expired Ssl Tls Certificates Stored Aws Iam Removed` Nome da categoria na API: `ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED`	Descrição da descoberta: para ativar conexões HTTPS com seu site ou aplicativo na AWS, você precisa de um certificado de servidor SSL/TLS. É possível usar o ACM ou o IAM para armazenar e implantar certificados do servidor. Use o IAM como um gerenciador de certificados somente quando precisar oferecer suporte a conexões HTTPS em uma região não aceita pelo ACM. O IAM criptografa suas chaves privadas com segurança e armazena a versão criptografada no armazenamento de certificados SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você precisa conseguir seu certificado de um provedor externo para usar com a AWS. Não é possível fazer o upload de um certificado ACM para o IAM. Além disso, não é possível gerenciar seus certificados no console do IAM. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-11,CM-12,SI-12 PCI-DSS v4.0: 9.4.2 ISO-27001 v2022: A.5.10,A.5.9,A.8.1 Cloud Controls Matrix 4: DSP-01 NIST Cybersecurity Framework 1.0: PR-IP-6 CIS AWS Foundation 2.0.0: 1.19 CIS Controls 8.0: 3.1	Verifique se todos os certificados SSL/TLS expirados armazenados no AWS IAM foram removidos Verificações em tempo real: não
`Autoscaling Group Elb Healthcheck Required` Nome da categoria na API: `AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED`	Descrição da descoberta: verifica se os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade do Elastic Load Balancing. Isso garante que o grupo possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso de verificações de integridade do Elastic Load Balancing pode ajudar na disponibilidade de aplicativos que usam grupos de escalonamento automático do EC2. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-2	Verifica se todos os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade Verificações em tempo real: não
`Auto Minor Version Upgrade Feature Enabled Rds Instances` Nome da categoria na API: `AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES`	Descrição da descoberta: verifique se as instâncias de banco de dados do RDS têm a sinalização de upgrade automático de versão secundária ativada para receber automaticamente upgrades secundários do mecanismo durante a janela de manutenção especificada. Assim, as instâncias de RDS podem receber os novos recursos, correções de bugs e patches de segurança para os mecanismos de banco de dados. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: RA-5,RA-7,SI-2 ISO-27001 v2022: A.8.8 Cloud Controls Matrix 4: UEM-03 NIST Cybersecurity Framework 1.0: ID-RA-1 SOC2 v2017: CC7.1.1,CC7.1.2,CC7.1.3,CC7.1.4,CC7.1.5 CIS AWS Foundation 2.0.0: 2.3.2 CIS Controls 8.0: 7.4	Verifique se o recurso de upgrade automático de versão secundária está ativado para instâncias do RDS Verificações em tempo real: não
`Aws Config Enabled All Regions` Nome da categoria na API: `AWS_CONFIG_ENABLED_ALL_REGIONS`	Descrição da descoberta: o AWS Config é um serviço da Web que executa o gerenciamento de configurações de recursos compatíveis da AWS na sua conta e envia arquivos de registros para você. As informações registradas incluem o item de configuração (recurso da AWS), as relações entre os itens de configuração (recursos da AWS) e as mudanças de configuração entre os recursos. Recomenda-se ativar o AWS Config em todas as regiões. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: CM-8,PM-5 PCI-DSS v4.0: 11.2.1,11.2.2,12.5.1,9.5.1,9.5.1.1 ISO-27001 v2022: A.5.9,A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1,PR-DS-3 SOC2 v2017: CC3.2.6,CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS AWS Foundation 2.0.0: 3.5 CIS Controls 8.0: 1.1	Verifique se o AWS Config está ativado em todas as regiões Verificações em tempo real: não
`Aws Security Hub Enabled` Nome da categoria na API: `AWS_SECURITY_HUB_ENABLED`	Descrição da descoberta:a Central de segurança coleta dados de segurança de contas da AWS, serviços e produtos de parceiros terceirizados com suporte. Ela também ajuda você a analisar suas tendências e identificar os problemas de segurança de maior prioridade. Quando você ativa a Central de segurança, ela começa a consumir, agregar, organizar e priorizar as descobertas dos serviços da AWS ativados, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. Também é possível ativar integrações com produtos de segurança de parceiros da AWS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: CA-7 PCI-DSS v3.2.1: 11.5 CIS AWS Foundation 2.0.0: 4.16	Verifique se a Central de Segurança da AWS está ativada Verificações em tempo real: não
`Cloudtrail Logs Encrypted Rest Using Kms Cmks` Nome da categoria na API: `CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS`	Descrição da descoberta: o AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para uma conta e disponibiliza esses registros para usuários e recursos de acordo com as políticas do IAM. O serviço de gerenciamento de chaves (KMS) da AWS é um serviço gerenciado que ajuda a criar e controlar as chaves de criptografia usadas para criptografar dados da conta e usa módulos de segurança de hardware (HSMs, na sigla em inglês) para proteger a segurança das chaves de criptografia. Os registros do CloudTrail podem ser configurados para usar criptografia do lado do servidor (SSE) e chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registros do CloudTrail. É recomendável configurar o CloudTrail para usar o SSE-KMS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 10.5.2 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.7 CIS Controls 8.0: 3.11	Verifique se os registros do CloudTrail são criptografados em repouso usando CMKs do KMS Verificações em tempo real: não
`Cloudtrail Log File Validation Enabled` Nome da categoria na API: `CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED`	Descrição da descoberta: a validação do arquivo de registro do CloudTrail cria um arquivo de resumo assinado digitalmente contendo um hash de cada registro gravado pelo CloudTrail no S3. Esses arquivos de resumo podem ser usados para determinar se um arquivo de registro foi alterado, excluído ou inalterado depois que o CloudTrail entregou o registro. É recomendável que a validação do arquivo esteja ativada em todos os CloudTrails. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-6,AU-7,SI-7(7) PCI-DSS v3.2.1: 11.5 PCI-DSS v4.0: 10.4.1,10.4.1.1,10.4.2,10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2,PR-PT-1,RS-AN-1 SOC2 v2017: CC4.1.1,CC4.1.2,CC4.1.3,CC4.1.4,CC4.1.5,CC4.1.6,CC4.1.7,CC4.1.8,CC7.3.1,CC7.3.2,CC7.3.3,CC7.3.4,CC7.3.5 HIPAA: 164.308(a)(1)(ii),164.312(b) CIS AWS Foundation 2.0.0: 3.2 CIS Controls 8.0: 8.11	Verifique se a validação do arquivo de registros do CloudTrail está ativada Verificações em tempo real: não
`Cloudtrail Trails Integrated Cloudwatch Logs` Nome da categoria na API: `CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS`	Descrição da descoberta: o AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS feitas em uma determinada conta da AWS. As informações registradas incluem a identidade do autor da chamada da API, o horário da chamada da API, o endereço IP de origem do autor da chamada, os parâmetros da solicitação e os elementos de resposta retornados pelo serviço da AWS. O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro, o que faz com que esses arquivos sejam armazenados de maneira durável. Além de capturar registros do CloudTrail em um bucket S3 especificado para análise de longo prazo, é possível realizar análises em tempo real configurando o CloudTrail para enviar registros para os registros do CloudWatch. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registros de todas essas regiões para um grupo de registros do CloudWatch. É recomendado que os registros do CloudTrail sejam enviados para os registros do CloudWatch. Observação: a intenção dessa recomendação é garantir que a atividade da conta da AWS esteja sendo capturada, monitorada e acionada adequadamente. Os registros do CloudWatch são uma maneira nativa de fazer isso usando serviços da AWS, mas não impede o uso de uma solução alternativa. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AU-12,AU-3,AU-7 PCI-DSS v4.0: 10.2.1,10.2.1.2,10.2.1.5,9.4.5 ISO-27001 v2022: A.5.28,A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3,DE-CM-1 SOC2 v2017: CC5.2.3,CC7.2.1,CC7.2.2,CC7.2.3 CIS AWS Foundation 2.0.0: 3.4 CIS Controls 8.0: 8.5,8.9	Verifique se as trilhas do CloudTrail estão integradas aos registros do CloudWatch Verificações em tempo real: não
`Cloudwatch Alarm Action Check` Nome da categoria na API: `CLOUDWATCH_ALARM_ACTION_CHECK`	Descrição da descoberta: verifica se o Amazon Cloudwatch tem ações definidas quando um alarme transita entre os estados "OK", "ALARM" e "INSUFFICIENT_DATA". Configurar ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando os limites de violação de métricas forem monitorados. Ele garante a resolução rápida de problemas, reduz a inatividade e permite a correção automatizada, mantendo a integridade do sistema e evitando interrupções. Os alarmes têm pelo menos uma ação. Os alarmes têm pelo menos uma ação quando fazem a transição de qualquer outro estado para o estado "INSUFFICIENT_DATA". (Opcional) Os alarmes têm pelo menos uma ação quando fazem a transição de qualquer outro estado para um estado "OK". Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-20	Verifica se os alarmes do CloudWatch têm pelo menos uma ação de alarme, uma ação INSUFFICIENT_DATA ou uma ação OK ativada. Verificações em tempo real: não
`Cloudwatch Log Group Encrypted` Nome da categoria na API: `CLOUDWATCH_LOG_GROUP_ENCRYPTED`	Descrição da descoberta: essa verificação garante que os registros do CloudWatch estejam configurados com o KMS. Os dados do grupo de registros são sempre criptografados nos registros do CloudWatch. Por padrão, os registros do CloudWatch usam criptografia no servidor para os dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Se você fizer isso, a criptografia será feita com uma chave do AWS KMS. A criptografia com o AWS KMS é ativada no nível do grupo de registros, associando uma chave KMS a um grupo de registros, seja quando você criar o grupo de registros ou depois que ele existir. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 3.4	Verifica se todos os grupos de registros nos registros do Amazon CloudWatch estão criptografados com KMS Verificações em tempo real: não
`CloudTrail CloudWatch Logs Enabled` Nome da categoria na API: `CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED`	Descrição da descoberta: esse controle verifica se as trilhas do CloudTrail estão configuradas para enviar registros aos registros do CloudWatch. O controle falhará se a propriedade CloudWatchLogsLogGroupArn da trilha estiver vazia. O CloudTrail registra as chamadas de API da AWS feitas em uma determinada conta. As informações registradas incluem: - A identidade do autor da chamada da API - O horário da chamada de API - O endereço IP de origem do autor da chamada da API - Os parâmetros da solicitação - Os elementos de resposta retornados pelo serviço da AWS O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro. É possível capturar os registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo. Para realizar análises em tempo real, configure o CloudTrail para enviar registros aos registros do CloudWatch. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas essas regiões para um grupo de registros do CloudWatch. A Central de segurança recomenda que você envie registros do CloudTrail para os registros do CloudWatch. Essa recomendação tem o objetivo de garantir que as atividades da conta sejam capturadas, monitoradas e detectadas de forma adequada. Você pode usar os registros do CloudWatch para configurar isso com seus serviços da AWS. Essa recomendação não impede o uso de outra solução. O envio de registros do CloudTrail para os registros do CloudWatch facilita a geração de registros de atividades em tempo real e histórica com base no usuário, API, recurso e endereço IP. Você pode usar essa abordagem para definir alarmes e notificações de atividades anômalas ou sensíveis na conta. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-20 PCI-DSS v3.2.1: 10.5.3	Verifique se todas as trilhas do CloudTrail estão configuradas para enviar registros ao AWS CloudWatch Verificações em tempo real: não
`No AWS Credentials in CodeBuild Project Environment Variables` Nome da categoria na API: `CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK`	Descrição da descoberta:verifica se o projeto contém as variáveis de ambiente "AWS_ACCESS_KEY_ID" e "AWS_SECRET_ACCESS_KEY". As credenciais de autenticação "AWS_ACCESS_KEY_ID" e "AWS_SECRET_ACCESS_KEY" nunca podem ser armazenadas em texto não criptografado. Isso pode levar à exposição não intencional de dados e acesso não autorizado. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SA-3	Verifica se todos os projetos contendo as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não estão em texto simples Verificações em tempo real: não
`Codebuild Project Source Repo Url Check` Nome da categoria na API: `CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK`	Descrição da descoberta: verifica se um URL do repositório de origem do Bitbucket do projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de usuário e uma senha. O controle falhará se o URL do repositório de origem do Bitbucket contiver tokens de acesso pessoal ou um nome de usuário e uma senha. As credenciais de login não devem ser armazenadas ou transmitidas em texto simples nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoais ou credenciais de login, acesse o provedor de origem no CodeBuild e altere o URL do repositório de origem para conter apenas o caminho até o local do repositório do Bitbucket. O uso de tokens de acesso pessoal ou credenciais de login pode resultar em exposição não intencional de dados ou acesso não autorizado. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica se todos os projetos que usam o GitHub ou o bitbucket como origem usam o OAuth Verificações em tempo real: não
`Credentials Unused 45 Days Greater Disabled` Nome da categoria na API: `CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED`	Descrição da descoberta: os usuários do AWS IAM podem acessar os recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. É recomendável desativar ou remover todas as credenciais não utilizadas há mais de 45 dias. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-2 PCI-DSS v4.0: 8.3.7 NIST Cybersecurity Framework 1.0: PR-AC-1 CIS AWS Foundation 2.0.0: 1.12 CIS Controls 8.0: 5.3	Verifique se as credenciais não usadas há 45 ou mais dias estão desativadas Verificações em tempo real: não
`Default Security Group Vpc Restricts All Traffic` Nome da categoria na API: `DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC`	Descrição da descoberta: uma VPC vem com um grupo de segurança padrão com configurações iniciais que negam todo o tráfego de entrada, permitem todo o tráfego de saída e permitem todo o tráfego entre instâncias atribuídas ao grupo de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será atribuída automaticamente a esse grupo de segurança padrão. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. É recomendável que o grupo de segurança padrão restrinja todo o tráfego. A VPC padrão em cada região precisa ter o grupo de segurança padrão atualizado para estar em conformidade. Todas as VPCs recém-criadas vão incluir automaticamente um grupo de segurança padrão que vai precisar de correções para cumprir essa recomendação. OBSERVAÇÃO: ao implementar essa recomendação, a geração de registros de fluxos de VPC é inestimável para determinar o acesso à porta de privilégio mínimo exigido pelos sistemas para funcionar corretamente, porque pode registrar todas as aceitação e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isso reduz drasticamente a principal barreira para a engenharia de privilégio mínimo: descobrir as portas mínimas exigidas pelos sistemas no ambiente. Mesmo que a recomendação de geração de registros de fluxo de VPC neste comparativo de mercado não seja adotada como uma medida de segurança permanente, ela precisa ser usada durante qualquer período de descoberta e engenharia para grupos de segurança com menos privilégios. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 5.4 CIS Controls 8.0: 3.3	Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego Verificações em tempo real: não
`Dms Replication Not Public` Nome da categoria na API: `DMS_REPLICATION_NOT_PUBLIC`	Descrição da descoberta: verifica se as instâncias de replicação do AWS DMS são públicas. Para isso, ele examina o valor do campo "PubliclyAccessible". Uma instância de replicação particular tem um endereço IP particular que não pode ser acessado fora da rede de replicação. Uma instância de replicação precisa ter um endereço IP particular quando os bancos de dados de origem e de destino estão na mesma rede. A rede também precisa estar conectada à VPC da instância de replicação usando uma VPN, o AWS Direct Connect ou o peering de VPC. Para saber mais sobre instâncias de replicação pública e privada, consulte [Instâncias de replicação pública e privada](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) no Guia do usuário do AWS Database Migration Service. Você também deve garantir que o acesso à configuração da instância do AWS DMS seja limitado apenas a usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do AWS DMS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifica se as instâncias de replicação do AWS Database Migration Service são públicas Verificações em tempo real: não
`Do Setup Access Keys During Initial User Setup All Iam Users Console` Nome da categoria na API: `DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE`	Descrição da descoberta: por padrão, o console da AWS não tem caixas de seleção selecionadas ao criar um novo usuário do IAM. Ao criar as credenciais de usuário do IAM, você precisa determinar que tipo de acesso elas exigem. Acesso programático: o usuário do IAM pode precisar fazer chamadas de API, usar a CLI da AWS ou usar as ferramentas para Windows PowerShell. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse usuário. Acesso ao Console de Gerenciamento da AWS: se o usuário precisar acessar o Console de Gerenciamento da AWS, crie uma senha para o usuário. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.11 CIS Controls 8.0: 3.3,5.4	Não defina chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha do console Verificações em tempo real: não
`Dynamodb Autoscaling Enabled` Nome da categoria na API: `DYNAMODB_AUTOSCALING_ENABLED`	Descrição da descoberta: verifica se uma tabela do Amazon DynamoDB pode escalonar a capacidade de leitura e gravação conforme necessário. Esse controle será passado se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o escalonamento automático configurado. O escalonamento da capacidade com a demanda evita a limitação de exceções, o que ajuda a manter a disponibilidade dos seus aplicativos. As tabelas do DynamoDB no modo de capacidade sob demanda são limitadas apenas pelas cotas da tabela padrão de capacidade do DynamoDB. Para aumentar essas cotas, abra um tíquete de suporte por meio do AWS. As tabelas do DynamoDB no modo provisionado com escalonamento automático ajustam dinamicamente a capacidade de capacidade provisionada em resposta aos padrões de tráfego. Para mais informações sobre limitação de solicitações do DynamoDB, consulte limitação de solicitações e capacidade de burst no Guia do desenvolvedor do Amazon DynamoDB. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	As tabelas do DynamoDB precisam escalonar a capacidade automaticamente com a demanda Verificações em tempo real: não
`Dynamodb In Backup Plan` Nome da categoria na API: `DYNAMODB_IN_BACKUP_PLAN`	Descrição da descoberta: esse controle avalia se uma tabela do DynamoDB está coberta por um plano de backup. O controle falhará se uma tabela do DynamoDB não for coberta por um plano de backup. Esse controle avalia apenas as tabelas do DynamoDB que estão no estado ACTIVE. Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência dos seus sistemas. A inclusão de tabelas do DynamoDB em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	As tabelas do DynamoDB precisam ser cobertas por um plano de backup Verificações em tempo real: não
`Dynamodb Pitr Enabled` Nome da categoria na API: `DYNAMODB_PITR_ENABLED`	Descrição da descoberta: a recuperação pontual (PITR, na sigla em inglês) é um dos mecanismos disponíveis para fazer backup das tabelas do DynamoDB. Um backup pontual é mantido por 35 dias. Caso você precise de uma retenção mais longa, consulte [Configurar backups programados para o Amazon DynamoDB usando o AWS Backup](https://aws.amazon.com/blogs/database/set-up- scheduled-backups-for-amazon-dynamodb-using-aws-backup/) na documentação da AWS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifica se a recuperação pontual (PITR, na sigla em inglês) está ativada para todas as tabelas do AWS DynamoDB Verificações em tempo real: não
`Dynamodb Table Encrypted Kms` Nome da categoria na API: `DYNAMODB_TABLE_ENCRYPTED_KMS`	Descrição da descoberta: verifica se todas as tabelas do DynamoDB estão criptografadas com uma chave KMS gerenciada pelo cliente (não padrão). Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6)	Verifica se todas as tabelas do DynamoDB estão criptografadas com o serviço de gerenciamento de chaves (KMS) da AWS Verificações em tempo real: não
`Ebs Optimized Instance` Nome da categoria na API: `EBS_OPTIMIZED_INSTANCE`	Descoberta da descrição: verifica se a otimização do EBS está ativada para as instâncias do EC2 que podem ser otimizadas para EBS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-5(2)	Verifique se a otimização do EBS está ativada para todas as instâncias com suporte a otimização do EBS Verificações em tempo real: não
`Ebs Snapshot Public Restorable Check` Nome da categoria na API: `EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	Descrição da descoberta: verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falhará se os snapshots do Amazon EBS forem restaurados por qualquer pessoa. Os snapshots do EBS são usados para fazer backup dos dados nos volumes EBS para o Amazon S3 em um momento específico. É possível usar os snapshots para restaurar estados anteriores dos volumes EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente foi tomada por engano ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento foi totalmente planejado e intencional. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Os snapshots do Amazon EBS não podem ser restaurados publicamente Verificações em tempo real: não
`Ebs Volume Encryption Enabled All Regions` Nome da categoria na API: `EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS`	Descrição da descoberta: o Elastic Compute Cloud (EC2) oferece suporte à criptografia em repouso ao usar o serviço Elastic Block Store (EBS). Se desativado por padrão, há suporte para a criptografia de força na criação de volume EBS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.2.1 CIS Controls 8.0: 3.11	Verifique se a criptografia de volume EBS está ativada em todas as regiões Verificações em tempo real: não
`Ec2 Instances In Vpc` Nome da categoria na API: `EC2_INSTANCES_IN_VPC`	Descrição da descoberta: a Amazon VPC oferece mais funcionalidades de segurança do que o EC2 Classic. Recomendamos que todos os nós pertençam a uma Amazon VPC. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7	Verifique se todas as instâncias pertencem a uma VPC Verificações em tempo real: não
`Ec2 Instance No Public Ip` Nome da categoria na API: `EC2_INSTANCE_NO_PUBLIC_IP`	Descrição da descoberta: as instâncias do EC2 que têm um endereço IP público correm um risco maior de comprometimento. Recomendamos que as instâncias do EC2 não sejam configuradas com um endereço IP público. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifique se nenhuma instância tem IP público Verificações em tempo real: não
`Ec2 Managedinstance Association Compliance Status Check` Nome da categoria na API: `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`	Descrição da descoberta: uma associação de gerenciador de estado é uma configuração atribuída às instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa estar instalado e em execução nas instâncias ou que certas portas precisam ser fechadas. As instâncias do EC2 associadas ao AWS Systems Manager estão sob gerenciamento do Systems Manager, o que facilita a aplicação de patches, a correção de configurações incorretas e a resposta a eventos de segurança. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 6.2	Verifica o status de conformidade da associação do Systems Manager da AWS Verificações em tempo real: não
`Ec2 Managedinstance Patch Compliance Status Check` Nome da categoria na API: `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`	Descrição da descoberta: esse controle verifica se o status de conformidade da associação com o AWS Systems Manager é COMPLIANT ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle falhará se o status de conformidade da associação for NON_COMPLIANT. Uma associação de gerenciador de estado é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa estar instalado e em execução nas instâncias ou que certas portas precisam ser fechadas. Depois de criar uma ou mais associações de gerenciador de estado, as informações de status de conformidade ficam imediatamente disponíveis para você. É possível visualizar o status de conformidade no console ou em resposta aos comandos da CLI da AWS ou às ações correspondentes da API Systems Manager. Para associações, a opção "Compliance da configuração" mostra o status de compliance ("Em compliance" ou "Não está em conformidade"). Ele também mostra o nível de gravidade atribuído à associação, como "Crítico" ou "Médio". Para saber mais sobre a conformidade da associação com o State Manager, consulte [Sobre a conformidade da associação com o State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) no Guia do usuário do AWS Systems Manager. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-2 PCI-DSS v3.2.1: 6.2	Verifica o status de conformidade com o patch do AWS Systems Manager Verificações em tempo real: não
`Ec2 Metadata Service Allows Imdsv2` Nome da categoria na API: `EC2_METADATA_SERVICE_ALLOWS_IMDSV2`	Descrição da descoberta: ao ativar o serviço de metadados em instâncias do AWS EC2, os usuários têm a opção de usar a versão 1 do serviço de metadados de instância versão 1 (IMDSv1; um método de solicitação/resposta) ou a versão 2 do serviço de metadados da instância (IMDSv2, um método orientado a sessões). Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-6 CIS AWS Foundation 2.0.0: 5.6	Verifique se o serviço de metadados do EC2 permite apenas IMDSv2 Verificações em tempo real: não
`Ec2 Volume Inuse Check` Nome da categoria na API: `EC2_VOLUME_INUSE_CHECK`	Descrição da descoberta: identificação e remoção de volumes do Elastic Block Store (EBS) não anexados (não utilizados) na sua conta da AWS para reduzir o custo da fatura mensal da AWS. A exclusão de volumes EBS não utilizados também reduz o risco de saída de dados confidenciais/sensíveis. Além disso, esse controle também verifica se as instâncias do EC2 arquivadas estão configuradas para excluir volumes após o encerramento. Por padrão, as instâncias do EC2 são configuradas para excluir os dados em qualquer volume EBS associado à instância e para excluir o volume EBS raiz da instância. No entanto, por padrão, todos os volumes EBS não raiz conectados à instância, na inicialização ou durante a execução, são mantidos após o encerramento. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: CM-2	Verifica se os volumes EBS estão conectados a instâncias do EC2 e configurados para exclusão no encerramento da instância Verificações em tempo real: não
`Efs Encrypted Check` Nome da categoria na API: `EFS_ENCRYPTED_CHECK`	Descrição da descoberta: o Amazon EFS dá suporte a duas formas de criptografia para sistemas de arquivos: criptografia de dados em trânsito e criptografia em repouso. Isso verifica se todos os sistemas de arquivos EFS estão configurados com criptografia em repouso em todas as regiões ativadas na conta. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Verifica se a EFS está configurada para criptografar dados de arquivos usando o KMS Verificações em tempo real: não
`Efs In Backup Plan` Nome da categoria na API: `EFS_IN_BACKUP_PLAN`	Descrição da descoberta: as práticas recomendadas da Amazon recomendam configurar backups para o Elastic File Systems (EFS). Isso verifica todo o EFS em cada região ativada em sua conta da AWS para backups ativados. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifica se os sistemas de arquivos EFS estão incluídos nos planos de backup da AWS Verificações em tempo real: não
`Elb Acm Certificate Required` Nome da categoria na API: `ELB_ACM_CERTIFICATE_REQUIRED`	Descrição da descoberta: verifica se o balanceador de carga clássico usa certificados HTTPS/SSL fornecidos pelo gerenciador de certificados da AWS (ACM). O controle falhará se o balanceador de carga clássico configurado com o listener HTTPS/SSL não usar um certificado fornecido pelo ACM. Para criar um certificado, você pode usar o ACM ou uma ferramenta compatível com os protocolos SSL e TLS, como o OpenSSL. A Central de segurança recomenda que você use o ACM para criar ou importar certificados para seu balanceador de carga. O ACM se integra aos balanceadores de carga clássicos para que você possa implantar o certificado no seu balanceador de carga. e renová-los automaticamente. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-17,AC-4,IA-5,SC-12,SC-13,SC-23,SC-7,SC-8,SI-7,SI-7(6)	Verifica se todos os balanceadores de carga clássicos usam certificados SSL fornecidos pelo gerenciador de certificados da AWS Verificações em tempo real: não
`Elb Deletion Protection Enabled` Nome da categoria na API: `ELB_DELETION_PROTECTION_ENABLED`	Descrição da descoberta: verifica se a proteção contra exclusão de um balanceador de carga de aplicativo está ativada. O controle vai falhar se a proteção contra exclusão não estiver configurada. Ative a proteção contra exclusão para impedir que seu balanceador de carga de aplicativo seja excluído. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-5(2)	A proteção contra exclusão do balanceador de carga de aplicativo precisa estar ativada Verificações em tempo real: não
`Elb Logging Enabled` Nome da categoria na API: `ELB_LOGGING_ENABLED`	Descrição da descoberta: verifica se a geração de registros está ativada no balanceador de carga de aplicativo e no balanceador de carga clássico. O controle falhará se access_logs.s3.enabled for falso. O Elastic Load Balancing fornece registros de acesso que capturam informações detalhadas sobre solicitações enviadas ao seu balanceador de carga. Cada registro contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, as latências, os caminhos da solicitação e as respostas do servidor. É possível usar esses registros de acesso para analisar os padrões de tráfego e solucionar problemas. Para saber mais, consulte [Acessar registros do balanceador de carga clássico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) no Guia do usuário para balanceadores de carga clássicos. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Confere se os balanceadores de carga clássicos e de aplicativos têm a geração de registros ativada Verificações em tempo real: não
`Elb Tls Https Listeners Only` Nome da categoria na API: `ELB_TLS_HTTPS_LISTENERS_ONLY`	Descrição da descoberta: essa verificação garante que todos os balanceadores de carga clássicos estejam configurados para usar comunicação segura. Um listener é um processo que verifica se há solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões de front-end (cliente para balanceador de carga) e um protocolo e uma porta para conexões de back-end (balanceador de carga para instância). Para saber mais sobre as portas, os protocolos e as configurações de listener compatíveis com o Elastic Load Balancing, consulte [Listeners do seu balanceador de carga clássico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html). Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6)	Verifica se todos os balanceadores de carga clássicos estão configurados com listeners SSL ou HTTPS Verificações em tempo real: não
`Encrypted Volumes` Nome da categoria na API: `ENCRYPTED_VOLUMES`	Descrição da descoberta: verifica se os volumes EBS que estão em um estado anexado estão criptografados. Para passar nessa verificação, os volumes EBS precisam estar em uso e criptografados. Se o volume EBS não estiver conectado, ele não estará sujeito a essa verificação. Para uma camada adicional de segurança dos dados sensíveis nos volumes EBS, ative a criptografia EBS em repouso. A criptografia do Amazon EBS oferece uma solução de criptografia simples para seus recursos do EBS que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados. Para saber mais sobre criptografia do Amazon EBS, consulte criptografia do Amazon EBS no Guia do usuário do Amazon EC2 para instâncias do Linux. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Os volumes do Amazon EBS anexados devem ser criptografados em repouso Verificações em tempo real: não
`Encryption At Rest Enabled Rds Instances` Nome da categoria na API: `ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES`	Descrição da descoberta: as instâncias de banco de dados criptografadas do Amazon RDS usam o algoritmo de criptografia padrão do setor AES-256 para criptografar seus dados no servidor que hospeda suas instâncias de banco de dados do Amazon RDS. Depois que os dados são criptografados, o Amazon RDS processa a autenticação de acesso e a descriptografia de dados de maneira transparente, com um impacto mínimo no desempenho. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 8.2.1 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.3.1 CIS Controls 8.0: 3.11	Verifique se a criptografia em repouso está ativada para instâncias do RDS Verificações em tempo real: não
`Encryption Enabled Efs File Systems` Nome da categoria na API: `ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS`	Descrição da descoberta: os dados da EFS precisam ser criptografados em repouso com o serviço de gerenciamento de chaves (Key Management Service) da AWS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.4.1 CIS Controls 8.0: 3.11	Verifique se a criptografia está ativada para sistemas de arquivos EFS Verificações em tempo real: não
`Iam Password Policy` Nome da categoria na API: `IAM_PASSWORD_POLICY`	Descrição da descoberta: a AWS permite políticas de senha personalizadas na conta da AWS para especificar os requisitos de complexidade e os períodos de rotação obrigatórios das senhas dos usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM precisarão atender à política de senha padrão da AWS. As práticas recomendadas de segurança da AWS recomendam os seguintes requisitos de complexidade de senha: — Exija pelo menos um caractere maiúsculo na senha. - Exija pelo menos uma letra minúscula nas senhas. - Exige pelo menos um símbolo nas senhas. - Exija pelo menos um número nas senhas. - A senha deve ter, no mínimo, 14 caracteres. - Exija pelo menos 24 senhas antes de permitir a reutilização. - Exige pelo menos 90 antes da expiração da senha Isso controla todos os requisitos da política de senha especificada. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5(1) PCI-DSS v3.2.1: 8.2.5	Verifica se a política de senha da conta para usuários do IAM atende aos requisitos especificados Verificações em tempo real: não
`Iam Password Policy Prevents Password Reuse` Nome da categoria na API: `IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE`	Descrição da descoberta: as políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. Recomendamos que a política impeça a reutilização de senhas. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2,8.3.5,8.3.6,8.6.3 ISO-27001 v2022: A.5.17 Cloud Controls Matrix 4: IAM-02 SOC2 v2017: CC6.1.3,CC6.1.8,CC6.1.9 CIS AWS Foundation 2.0.0: 1.9 CIS Controls 8.0: 5.2	Verifique se a política de senha do IAM impede a reutilização da senha Verificações em tempo real: não
`Iam Password Policy Requires Minimum Length 14 Greater` Nome da categoria na API: `IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER`	Descrição da descoberta: as políticas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha tenha pelo menos um determinado tamanho. É recomendável que a política exija um tamanho mínimo de senha 14. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 1.8 CIS Controls 8.0: 5,5.2	Verifique se a política de senha do IAM requer tamanho mínimo de 14 ou mais Verificações em tempo real: não
`Iam Policies Allow Full Administrative Privileges Attached` Nome da categoria na API: `IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED`	Descrição da descoberta: as políticas do IAM são usadas para conceder privilégios a usuários, grupos ou papéis. É recomendado e considerado uma recomendação de segurança padrão para conceder _privilégio mínimo_, ou seja, conceder apenas as permissões necessárias para executar uma tarefa. Determine o que os usuários precisam fazer e crie políticas que permitam que eles executem _apenas_ essas tarefas, em vez de conceder privilégios administrativos completos. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.16 CIS Controls 8.0: 3.3	Verifique se as políticas do IAM que permitem privilégios de administrador ":" completos não estão anexadas Verificações em tempo real: não
`Iam Users Receive Permissions Groups` Nome da categoria na API: `IAM_USERS_RECEIVE_PERMISSIONS_GROUPS`	Descrição da descoberta: os usuários do IAM recebem acesso a serviços, funções e dados por meio das políticas do IAM. Existem quatro maneiras de definir políticas para um usuário: 1) editar a política do usuário diretamente, também conhecida como uma política inline ou do usuário; 2) anexar uma política diretamente a um usuário; 3) adicionar o usuário a um grupo do IAM que tenha uma política anexada; 4) adicionar o usuário a um grupo do IAM que tenha uma política inline. Recomendamos apenas a terceira implementação. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-2,AC-5,AC-6,AU-9 PCI-DSS v4.0: 10.3.1,7.1.1,7.2.1,7.2.2,7.2.4,7.2.6,7.3.1,7.3.2 ISO-27001 v2022: A.5.15,A.5.3,A.8.2,A.8.3 Cloud Controls Matrix 4: IAM-04 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.3.1,CC6.3.2,CC6.3.3 HIPAA: 164.308(a)(3)(ii),164.308(a)(4)(i),164.308(a)(4)(ii) CIS AWS Foundation 2.0.0: 1.15 CIS Controls 8.0: 6.8	Verifique se os usuários do IAM recebem permissões somente pelos grupos Verificações em tempo real: não
`Iam User Group Membership Check` Nome da categoria na API: `IAM_USER_GROUP_MEMBERSHIP_CHECK`	Descrição da descoberta: os usuários do IAM sempre precisam fazer parte de um grupo para aderir às práticas recomendadas de segurança do IAM. Ao adicionar usuários a um grupo, é possível compartilhar políticas entre tipos de usuários. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-6	Verifica se os usuários do IAM são membros de pelo menos um grupo do IAM Verificações em tempo real: não
`Iam User Mfa Enabled` Nome da categoria na API: `IAM_USER_MFA_ENABLED`	Descrição da descoberta: a autenticação multifator (MFA) é uma prática recomendada que adiciona uma camada extra de proteção aos nomes de usuário e senhas. Com o MFA, quando um usuário faz login no AWS Management Console, ele precisa fornecer um código de autenticação temporário, fornecido por um dispositivo virtual ou físico registrado. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: PCI-DSS v3.2.1: 8.3.2	Verifique se a autenticação multifator (MFA) está ativada para os usuários do AWS IAM Verificações em tempo real: não
`Iam User Unused Credentials Check` Nome da categoria na API: `IAM_USER_UNUSED_CREDENTIALS_CHECK`	Descrição da descoberta: verifica se há senhas do IAM ou chaves de acesso ativas que não foram usadas nos últimos 90 dias. As práticas recomendadas recomendam que você remova, desative ou alterne todas as credenciais não utilizadas por 90 dias ou mais. Isso reduz a janela de oportunidade para o uso de credenciais associadas a uma conta comprometida ou abandonada. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-6 PCI-DSS v3.2.1: 8.1.4	Verifica se todos os usuários do AWS IAM têm senhas ou chaves de acesso ativas que não foram usadas nos dias maxCredentialUsageAge (padrão 90) Verificações em tempo real: não
`Kms Cmk Not Scheduled For Deletion` Nome da categoria na API: `KMS_CMK_NOT_SCHEDULED_FOR_DELETION`	Descrição da descoberta: esse controle verifica se as chaves do KMS estão programadas para exclusão. O controle falhará se uma chave KMS estiver programada para exclusão. Não é possível recuperar as chaves KMS após a exclusão. Os dados criptografados em uma chave do KMS também são permanentemente irrecuperáveis se a chave do KMS for excluída. Se dados significativos foram criptografados em uma chave KMS programada para exclusão, considere descriptografar os dados ou recriptografar os dados em uma nova chave KMS, a menos que você esteja realizando um apagamento criptográfico intencionalmente. Quando uma chave KMS é programada para exclusão, um período de espera obrigatório é aplicado para que haja tempo para reverter a exclusão, caso ela tenha sido programada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para apenas 7 dias quando a chave KMS é programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada, e a chave KMS não será excluída. Para mais informações sobre como excluir chaves KMS, consulte [Como excluir chaves KMS](https://docs.aws.amazon.com/kms/latest/developerguide/managing-keys.html) no guia para desenvolvedores do serviço de gerenciamento de chaves da AWS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-12	Verifica se nenhuma CMK está programada para exclusão Verificações em tempo real: não
`Lambda Concurrency Check` Nome da categoria na API: `LAMBDA_CONCURRENCY_CHECK`	Descrição da descoberta: verifica se a função Lambda está configurada com um limite de execução simultânea no nível da função. A regra será NON_COMPLIANT se a função Lambda não estiver configurada com um limite de execução simultânea no nível da função. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica se as funções Lambda estão configuradas com limite de execução simultânea no nível da função Verificações em tempo real: não
`Lambda Dlq Check` Nome da categoria na API: `LAMBDA_DLQ_CHECK`	Descrição da descoberta: verifica se uma função Lambda está configurada com uma fila de mensagens inativas. A regra será NON_COMPLIANT se a função Lambda não estiver configurada com uma fila de mensagens inativas. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-2	Verifique se as funções do Lambda estão configuradas com uma fila de mensagens mortas Verificações em tempo real: não
`Lambda Function Public Access Prohibited` Nome da categoria na API: `LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	Descrição da descoberta: as práticas recomendadas da AWS recomendam que a função Lambda não seja exposta publicamente. Esta política verifica todas as funções Lambda implantadas em todas as regiões ativadas na sua conta e vai falhar se elas forem configuradas para permitir o acesso público. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Confere se a política anexada à função Lambda proíbe o acesso público Verificações em tempo real: não
`Lambda Inside Vpc` Nome da categoria na API: `LAMBDA_INSIDE_VPC`	Descrição da descoberta: verifica se uma função Lambda está em uma VPC. Talvez você veja descobertas com falha nos recursos do Lambda@Edge. Ele não avalia a configuração de roteamento da sub-rede VPC para determinar a acessibilidade pública. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifique se existem funções do Lambda em uma VPC Verificações em tempo real: não
`Mfa Delete Enabled S3 Buckets` Nome da categoria na API: `MFA_DELETE_ENABLED_S3_BUCKETS`	Descrição da descoberta: depois que a exclusão de MFA é ativada no bucket confidencial e classificado do S3, é necessário que o usuário tenha duas formas de autenticação. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.1.2 CIS Controls 8.0: 3.3,6.5	Verifique se a exclusão da autenticação multifator (MFA) está ativada nos buckets do S3 Verificações em tempo real: não
`Mfa Enabled Root User Account` Nome da categoria na API: `MFA_ENABLED_ROOT_USER_ACCOUNT`	Descrição da descoberta: a conta de usuário "raiz" é o usuário com mais privilégios em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção a um nome de usuário e uma senha. Com o MFA ativado, quando um usuário fizer login em um site da AWS, será solicitado um nome de usuário e senha, bem como um código de autenticação do dispositivo AWS MFA. Observação: quando a autenticação multifator (MFA) virtual é usada para contas "raiz", recomenda-se que o dispositivo usado NÃO seja um dispositivo pessoal, mas um dispositivo móvel dedicado (tablet ou smartphone) gerenciado para ser mantido carregado e protegido independentemente de dispositivos pessoais individuais. ("MFA virtual não pessoal") diminui os riscos de perder o acesso à MFA devido à perda ou troca de dispositivos ou quando o proprietário do dispositivo não está mais empregado na empresa. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.5 CIS Controls 8.0: 6.5	Verifique se a autenticação multifator (MFA) está ativada para a conta de usuário "raiz" Verificações em tempo real: não
`Multi Factor Authentication Mfa Enabled All Iam Users Console` Nome da categoria na API: `MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE`	Descrição da descoberta: a autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Com a MFA ativada, quando um usuário fizer login no console da AWS, será solicitado o nome de usuário e a senha, bem como um código de autenticação do token MFA físico ou virtual. Recomenda-se que a autenticação multifator (MFA) esteja ativada para todas as contas que tenham uma senha de console. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.10 CIS Controls 8.0: 6.5	Verifique se a autenticação multifator (MFA) está ativada para todos os usuários do IAM que têm uma senha do console Verificações em tempo real: não
`No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration` Nome da categoria na API: `NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Descrição da descoberta: a função da lista de controle de acesso à rede (NACL, na sigla em inglês) oferece filtragem sem estado do tráfego de rede de entrada e saída para os recursos da AWS. É recomendável que nenhuma NACL permita acesso irrestrito de entrada às portas de administração de servidor remoto, como SSH para a porta "22" e RDP para a porta "3389", usando os protocolos TDP (6), UDP (17) ou TODOS (-1) Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 5.1	Verifique se nenhuma ACL de rede permite a entrada de 0.0.0.0/0 para portas de administração de servidor remoto Verificações em tempo real: não
`No Root User Account Access Key Exists` Nome da categoria na API: `NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS`	Descrição da descoberta: a conta de usuário "raiz" é o usuário com mais privilégios em uma conta da AWS. As chaves de acesso da AWS fornecem acesso programático a uma determinada conta da AWS. Recomenda-se que todas as chaves de acesso associadas à conta de usuário "raiz" sejam excluídas. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v3.2.1: 8.1.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.4 CIS Controls 8.0: 3.3,5.4	Verifique se não existe uma chave de acesso da conta de usuário "raiz" Verificações em tempo real: não
`No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration` Nome da categoria na API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Descrição da descoberta: os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. É recomendado que nenhum grupo de segurança permita acesso irrestrito de entrada às portas de administração de servidor remoto, como SSH para a porta "22" e RDP para a porta "3389", usando os protocolos TDP (6), UDP (17) ou TODOS (-1) Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 5.2	Verifique se nenhum grupo de segurança permite a entrada de 0.0.0.0/0 para portas de administração remotas do servidor Verificações em tempo real: não
`No Security Groups Allow Ingress 0 Remote Server Administration` Nome da categoria na API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION`	Descrição da descoberta: os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. É recomendado que nenhum grupo de segurança permita acesso irrestrito de entrada para as portas de administração do servidor remoto, como SSH para a porta "22" e RDP para a porta "3389". Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 5.3	Verifique se nenhum grupo de segurança permite a entrada de portas ::/0 para a administração remota de servidores Verificações em tempo real: não
`One Active Access Key Available Any Single Iam User` Nome da categoria na API: `ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER`	Descrição da descoberta: as chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário "raiz" da conta da AWS. É possível usar as chaves de acesso para assinar solicitações programáticas na CLI da AWS ou na API da AWS (diretamente ou usando o SDK da AWS). Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: CIS AWS Foundation 2.0.0: 1.13 CIS Controls 8.0: 5	Verifique se há apenas uma chave de acesso ativa disponível para cada usuário do IAM Verificações em tempo real: não
`Public Access Given Rds Instance` Nome da categoria na API: `PUBLIC_ACCESS_GIVEN_RDS_INSTANCE`	Descrição da descoberta: verifique e verifique se as instâncias de banco de dados do RDS provisionadas na sua conta da AWS restringem o acesso não autorizado para minimizar os riscos de segurança. Para restringir o acesso a qualquer instância de banco de dados RDS acessível publicamente, é preciso desativar a sinalização do banco de dados de acesso público e atualizar o grupo de segurança VPC associado à instância. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2,SC-7 PCI-DSS v3.2.1: 2.2.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.3.3 CIS Controls 8.0: 3.3	Verifique se o acesso público não foi concedido à instância do RDS Verificações em tempo real: não
`Rds Enhanced Monitoring Enabled` Nome da categoria na API: `RDS_ENHANCED_MONITORING_ENABLED`	Descrição da descoberta: o monitoramento avançado fornece métricas em tempo real sobre o sistema operacional em que a instância do RDS é executada, por meio de um agente instalado na instância. Para saber mais, consulte [Como monitorar métricas do SO com o monitoramento avançado](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html). Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-2	Verifique se o monitoramento avançado está ativado para todas as instâncias do RDS DB Verificações em tempo real: não
`Rds Instance Deletion Protection Enabled` Nome da categoria na API: `RDS_INSTANCE_DELETION_PROTECTION_ENABLED`	Descrição da descoberta: ativar a proteção contra exclusão de instâncias é uma camada extra de proteção contra exclusão acidental de banco de dados ou exclusão por entidades não autorizadas. Enquanto a proteção contra exclusão estiver ativada, não será possível excluir uma instância de banco de dados RDS. Antes que uma solicitação de exclusão seja bem-sucedida, a proteção contra exclusão precisa ser desativada. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifique se a proteção contra exclusões está ativada para todas as instâncias do RDS Verificações em tempo real: não
`Rds In Backup Plan` Nome da categoria na API: `RDS_IN_BACKUP_PLAN`	Descrição da descoberta: esta verificação avalia se as instâncias de banco de dados do Amazon RDS são cobertas por um plano de backup. Esse controle falhará se uma instância de banco de dados RDS não for coberta por um plano de backup. O AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados nos serviços da AWS. Com o AWS Backup, é possível criar políticas de backup, chamadas "planos de backup", que podem ser usados para definir os requisitos de backup, como a frequência e o tempo de retenção dos dados. Incluir instâncias de banco de dados RDS em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	As instâncias do RDS DB precisam estar cobertas por um plano de backup Verificações em tempo real: não
`Rds Logging Enabled` Nome da categoria na API: `RDS_LOGGING_ENABLED`	Descrição da descoberta: verifica se os seguintes registros do Amazon RDS estão ativados e enviados ao CloudWatch. Os bancos de dados RDS precisam ter os registros relevantes ativados. A geração de registros do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os registros do banco de dados podem ajudar em auditorias de segurança e acesso, além de diagnosticar problemas de disponibilidade. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(8)	Verifique se os registros exportados estão ativados para todas as instâncias do RDS DB Verificações em tempo real: não
`Rds Multi Az Support` Nome da categoria na API: `RDS_MULTI_AZ_SUPPORT`	Descrição da descoberta: as instâncias de banco de dados RDS precisam ser configuradas para várias zonas de disponibilidade (AZs, na sigla em inglês). Isso garante a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem failover automatizado caso haja um problema com a disponibilidade na Zona de Disponibilidade e durante a manutenção regular do RDS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifique se a alta disponibilidade está ativada para todas as instâncias do RDS DB Verificações em tempo real: não
`Redshift Cluster Configuration Check` Nome da categoria na API: `REDSHIFT_CLUSTER_CONFIGURATION_CHECK`	Descrição da descoberta: verifica os elementos essenciais de um cluster do Redshift: criptografia em repouso, geração de registros e tipo de nó. Esses itens de configuração são importantes na manutenção de um cluster do Redshift seguro e observável. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Verifica se todos os clusters do Redshift têm criptografia em repouso, geração de registros e tipo de nó. Verificações em tempo real: não
`Redshift Cluster Maintenancesettings Check` Nome da categoria na API: `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`	Descrição da descoberta: os upgrades automáticos de versões principais ocorrem de acordo com a janela de manutenção Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-2	Verifica se todos os clusters do Redshift estão com allowVersionUpgrade ativado e o valor preferâneo de manutenção chamado e o conjunto de conjunto automatizado{/7} Verificações em tempo real: não
`Redshift Cluster Public Access Check` Nome da categoria na API: `REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	Descrição da descoberta: o atributo PubliclyAccessible da configuração do cluster do Amazon Redshift indica se o cluster é acessível publicamente. Quando o cluster é configurado com PubliclyAccessible definido como verdadeiro, ele é uma instância voltada para a Internet com um nome DNS que pode ser resolvido publicamente e que é resolvido como um endereço IP público. Quando o cluster não está acessível publicamente, ele é uma instância interna com um nome DNS que é resolvido para um endereço IP particular. A menos que você queira que o cluster seja acessível publicamente, ele não deve ser configurado com PubliclyAccessible definido como verdadeiro. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifica se os clusters do Redshift estão acessíveis publicamente Verificações em tempo real: não
`Restricted Common Ports` Nome da categoria na API: `RESTRICTED_COMMON_PORTS`	Descrição da descoberta: verifica se o tráfego de entrada irrestrito para os grupos de segurança está acessível para as portas especificadas de maior risco. Esse controle vai falhar se alguma das regras de um grupo de segurança permitir tráfego de entrada de "0.0.0.0/0" ou "::/0" para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades para atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Os grupos de segurança não podem permitir acesso irrestrito a portas de alto risco Verificações em tempo real: não
`Restricted Ssh` Nome da categoria na API: `RESTRICTED_SSH`	Descrição da descoberta: os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. O CIS recomenda que nenhum grupo de segurança permita acesso irrestrito de entrada à porta 22. A remoção da conectividade irrestrita a serviços de console remoto, como SSH, reduz a exposição do servidor ao risco. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 para a porta 22 Verificações em tempo real: não
`Rotation Customer Created Cmks Enabled` Nome da categoria na API: `ROTATION_CUSTOMER_CREATED_CMKS_ENABLED`	Descrição da descoberta: verifica se a rotação automática de chaves está ativada para cada chave e corresponde ao ID da chave KMS da AWS criada pelo cliente. A regra será NON_COMPLIANT se o papel de Gravador do AWS Config de um recurso não tiver a permissão kms:describeKey. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifique se a rotação para CMKs criadas pelo cliente está ativada Verificações em tempo real: não
`Rotation Customer Created Symmetric Cmks Enabled` Nome da categoria na API: `ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED`	Descrição da descoberta: o serviço de gerenciamento de chaves (KMS) da AWS permite que os clientes alternem a chave de apoio, que é o material armazenado no KMS e está vinculado ao ID da chave mestra do cliente (CMK, na sigla em inglês) criada pelo cliente. Ela é a chave de apoio usada para executar operações criptográficas, como criptografia e descriptografia. No momento, a rotação automatizada de chaves retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados possa ocorrer de maneira transparente. É recomendável ativar a rotação de chaves CMK para chaves simétricas. A rotação de chaves não pode ser ativada para nenhuma CMK assimétrica. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.8 CIS Controls 8.0: 3.11	Verifique se a rotação para CMKs simétricas criadas pelo cliente está ativada Verificações em tempo real: não
`Routing Tables Vpc Peering Are Least Access` Nome da categoria na API: `ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS`	Descrição da descoberta: verifica se as tabelas de rotas do peering de VPC estão configuradas com o privilégio principal. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifique se as tabelas de roteamento para peering de VPC têm "acesso mínimo" Verificações em tempo real: não
`S3 Account Level Public Access Blocks` Nome da categoria na API: `S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS`	Descrição da descoberta: o Amazon S3 Block Public Access fornece configurações para pontos de acesso, buckets e contas para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, buckets novos, pontos de acesso e objetos não permitem acesso público. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.	Verifica se as configurações necessárias de bloqueio de acesso público do S3 estão definidas no nível da conta Verificações em tempo real: não
`S3 Bucket Logging Enabled` Nome da categoria na API: `S3_BUCKET_LOGGING_ENABLED`	Descrição da descoberta: o recurso do AWS S3 Server Access Logging registra solicitações de acesso a buckets de armazenamento, o que é útil para auditorias de segurança. Por padrão, a geração de registros de acesso ao servidor não está ativada para buckets S3. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Verifica se a geração de registros está ativada em todos os buckets do S3 Verificações em tempo real: não
`S3 Bucket Policy Set Deny Http Requests` Nome da categoria na API: `S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS`	Descrição da descoberta: no nível do bucket do Amazon S3, é possível configurar permissões por meio de uma política de bucket, tornando os objetos acessíveis apenas por HTTPS. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-17,IA-5,SC-8 PCI-DSS v4.0: 2.2.7,4.1.1,4.2.1,4.2.1.2,4.2.2,8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11,CC6.1.3,CC6.1.8,CC6.7.2 HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.1.1 CIS Controls 8.0: 3.10	Verifique se a política de bucket do S3 está definida para negar as solicitações HTTP Verificações em tempo real: não
`S3 Bucket Replication Enabled` Nome da categoria na API: `S3_BUCKET_REPLICATION_ENABLED`	Descrição da descoberta: esse controle verifica se um bucket do Amazon S3 está com a replicação entre regiões ativada. O controle falhará se a replicação entre regiões não estiver ativada no bucket ou se a replicação na mesma região também estiver ativada. A replicação é a cópia automática e assíncrona de objetos em buckets na mesma região ou em diferentes regiões da AWS. A replicação copia objetos recém-criados e atualizações de objetos de um bucket de origem para um ou mais buckets de destino. As práticas recomendadas da AWS recomendam a replicação de buckets de origem e destino que pertencem à mesma conta da AWS. Além da disponibilidade, considere outras configurações de aumento da proteção do sistema. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifica se os buckets do S3 estão com a replicação entre regiões ativada Verificações em tempo real: não
`S3 Bucket Server Side Encryption Enabled` Nome da categoria na API: `S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED`	Descrição da descoberta: isso verifica se o bucket do S3 está com a criptografia padrão do Amazon S3 ativada ou se a política do bucket do S3 nega explicitamente as solicitações put-object sem criptografia do lado do servidor. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 10.5.2	Verifique se todos os buckets do S3 usam a criptografia em repouso Verificações em tempo real: não
`S3 Bucket Versioning Enabled` Nome da categoria na API: `S3_BUCKET_VERSIONING_ENABLED`	Descrição da descoberta: o Amazon S3 é um meio de manter diversas variantes de um objeto no mesmo bucket e pode ajudar você a se recuperar mais facilmente de ações não intencionais do usuário e falhas de aplicativo. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5) PCI-DSS v3.2.1: 10.5.5	Verifica se o controle de versões está ativado em todos os buckets do S3 Verificações em tempo real: não
`S3 Default Encryption Kms` Nome da categoria na API: `S3_DEFAULT_ENCRYPTION_KMS`	Descrição da descoberta: verifica se os buckets do Amazon S3 estão criptografados com o AWS Key Management Service (AWS KMS) Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6)	Verifica se todos os buckets são criptografados com KMS Verificações em tempo real: não
`Sagemaker Notebook Instance Kms Key Configured` Nome da categoria na API: `SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED`	Descrição da descoberta: verifica se uma chave do AWS Key Management Service (AWS KMS) está configurada para uma instância de notebook do Amazon SageMaker. A regra será NON_COMPLIANT se "KmsKeyId" não for especificado para a instância do notebook do SageMaker. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Verifica se todas as instâncias do notebook do SageMaker estão configuradas para usar o KMS Verificações em tempo real: não
`Sagemaker Notebook No Direct Internet Access` Nome da categoria na API: `SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	Descrição da descoberta: verifica se o acesso direto à Internet está desativado para uma instância de notebook do SageMaker. Para isso, ele verifica se o campo DirectInternetAccess está desativado para a instância do notebook. Se você configurar a instância do SageMaker sem uma VPC, o acesso direto à Internet será ativado na instância por padrão. Configure sua instância com uma VPC e altere a configuração padrão para "Desativar: acessar a Internet usando uma VPC". Para treinar ou hospedar modelos de um notebook, você precisa de acesso à Internet. Para ativar o acesso à Internet, verifique se a VPC tem um gateway NAT e se o grupo de segurança permite conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte "Conectar uma instância de notebook a recursos em uma VPC" no Guia do desenvolvedor do Amazon SageMaker. Garanta também que o acesso à configuração do SageMaker seja limitado apenas a usuários autorizados. Restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do SageMaker. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifica se o acesso direto à Internet está desativado para todas as instâncias de notebook do Amazon SageMaker Verificações em tempo real: não
`Secretsmanager Rotation Enabled Check` Nome da categoria na API: `SECRETSMANAGER_ROTATION_ENABLED_CHECK`	Descrição da descoberta: verifica se um secret armazenado no AWS Secrets Manager está configurado com rotação automática. O controle vai falhar se o secret não estiver configurado com a rotação automática. Se você informar um valor personalizado para o parâmetro "maximumAllowed rotationFrequency", o controle vai ser aprovado somente se o secret for rotacionado automaticamente dentro do período especificado. O Secret Manager ajuda a melhorar a postura de segurança da sua organização. Os secrets incluem credenciais de bancos de dados, senhas e chaves de API de terceiros. Use o Secret Manager para armazenar secrets de maneira centralizada, criptografá-los automaticamente, controlar o acesso a eles e fazer a rotação deles com segurança e automaticamente. O Secret Manager pode fazer a rotação de secrets. É possível usar a rotação para substituir secrets de longo prazo por de curto prazo. A rotação dos secrets limita por quanto tempo um usuário não autorizado pode usar um secret comprometido. Por isso, alterne os secrets com frequência. Para saber mais sobre rotação, consulte Como girar os secrets do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4	Verifica se todos os secrets do AWS Secrets Manager têm a rotação ativada Verificações em tempo real: não
`Sns Encrypted Kms` Nome da categoria na API: `SNS_ENCRYPTED_KMS`	Descrição da descoberta: verifica se um tópico SNS é criptografado em repouso usando o AWS KMS. Os controles vão falhar se um tópico do SNS não usar uma chave KMS para criptografia do lado do servidor (SSE, na sigla em inglês). Criptografar dados em repouso reduz o risco de dados armazenados em disco serem acessados por um usuário não autenticado na AWS. Ele também adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessar os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes da leitura. Os tópicos do SNS devem ser criptografados em repouso para uma camada adicional de segurança. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-7(6)	Verifica se todos os tópicos do SNS estão criptografados com KMS Verificações em tempo real: não
`Vpc Default Security Group Closed` Nome da categoria na API: `VPC_DEFAULT_SECURITY_GROUP_CLOSED`	Descrição da descoberta: esse controle verifica se o grupo de segurança padrão de uma VPC permite tráfego de entrada ou saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou saída. As regras do grupo de segurança padrão permitem todo o tráfego de saída e de entrada das interfaces de rede (e das instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita o tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como instâncias do EC2. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego Verificações em tempo real: não
`Vpc Flow Logging Enabled All Vpcs` Nome da categoria na API: `VPC_FLOW_LOGGING_ENABLED_ALL_VPCS`	Descrição da descoberta: os registros de fluxo de VPC são um recurso que permite capturar informações sobre o tráfego de IP de e para interfaces de rede na sua VPC. Depois de criar um registro de fluxo, é possível visualizar e recuperar os dados nos registros do Amazon CloudWatch. É recomendável ativar os registros de fluxo de VPC para o pacote "Rejeições" de VPCs. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-4,SI-7(8) PCI-DSS v3.2.1: 10.3.1 ISO-27001 v2022: A.8.15,A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1,CC7.2.2,CC7.2.3,CC7.2.4 CIS AWS Foundation 2.0.0: 3.9 CIS Controls 8.0: 13.6,8.2	Verifique se a geração de registros de fluxo de VPC está ativada em todas as VPCs Verificações em tempo real: não
`Vpc Sg Open Only To Authorized Ports` Nome da categoria na API: `VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS`	Descrição da descoberta: esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da seguinte maneira: Se você usar o valor padrão paraauthorizedTcpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta que não seja as portas 80 e 443. Se você informar valores personalizados para AuthorizedTcpPorts ouauthorizedUdpPorts, o controle vai falhar se o grupo de segurança permitir o tráfego de entrada irrestrito de qualquer porta não listada. Se nenhum parâmetro for usado, o controle vai falhar para todos os grupos de segurança que têm uma regra de tráfego de entrada irrestrito. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para a AWS. As regras do grupo de segurança precisam seguir o princípio do acesso com privilégio mínimo. O acesso irrestrito (endereço IP com um sufixo /0) aumenta o risco de atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela deve negar o acesso irrestrito. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifica se os grupos de segurança com 0.0.0.0/0 de alguma VPC permitem apenas tráfego TCP/UDP de entrada específico Verificações em tempo real: não
`Both VPC VPN Tunnels Up` Nome da categoria na API: `VPC_VPN_2_TUNNELS_UP`	Descrição da descoberta: um túnel de VPN é um link criptografado em que os dados podem passar da rede do cliente para ou da AWS em uma conexão VPN site a site da AWS. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. Garantir que os dois túneis VPN estejam ativos para uma conexão VPN é importante para confirmar uma conexão segura e altamente disponível entre uma VPC da AWS e sua rede remota. Esse controle verifica se os dois túneis de VPN fornecidos pela VPN site a site da AWS estão com status UP. O controle falhará se um ou ambos os túneis estiverem em status ABAIXO. Nível de preço: Enterprise Corrigir essa descoberta Padrões de compliance: NIST 800-53 R5: SI-13(5)	Verifica se ambos os túneis VPN da AWS fornecidos pela AWS site-to-site estão no status UP Verificações em tempo real: não

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

**Tabela 21.** Descobertas do Web Security Scanner
Categoria	Descrição da descoberta	10 principais OWASP de 2017	10 principais OWASP de 2021
`Accessible Git repository` Nome da categoria na API: `ACCESSIBLE_GIT_REPOSITORY`	Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. Nível de preços:padrão Corrigir essa descoberta	A5	A01
`Accessible SVN repository` Nome da categoria na API: `ACCESSIBLE_SVN_REPOSITORY`	Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. Nível de preços:padrão Corrigir essa descoberta	A5	A01
`Cacheable password input` Nome da categoria na API: `CACHEABLE_PASSWORD_INPUT`	As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas. Nível de preços: Premium Corrigir essa descoberta	A3	A04
`Clear text password` Nome da categoria na API: `CLEAR_TEXT_PASSWORD`	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. Nível de preços:padrão Corrigir essa descoberta	A3	A02
`Insecure allow origin ends with validation` Nome da categoria na API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para caracteres curinga de subdomínio, inclua o ponto no domínio raiz, por exemplo, `.endsWith(".google.com")`. Nível de preços: Premium Corrigir essa descoberta	A5	A01
`Insecure allow origin starts with validation` Nome da categoria na API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho `Origin` antes de refleti-lo no cabeçalho de resposta `Access-Control-Allow-Origin`, por exemplo, `.equals(".google.com")`. Nível de preços: Premium Corrigir essa descoberta	A5	A01
`Invalid content type` Nome da categoria na API: `INVALID_CONTENT_TYPE`	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP `X-Content-Type-Options` com o valor correto. Nível de preços:padrão Corrigir essa descoberta	A6	A05
`Invalid header` Nome da categoria na API: `INVALID_HEADER`	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços:padrão Corrigir essa descoberta	A6	A05
`Mismatching security header values` Nome da categoria na API: `MISMATCHING_SECURITY_HEADER_VALUES`	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços:padrão Corrigir essa descoberta	A6	A05
`Misspelled security header name` Nome da categoria na API: `MISSPELLED_SECURITY_HEADER_NAME`	Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços:padrão Corrigir essa descoberta	A6	A05
`Mixed content` Nome da categoria na API: `MIXED_CONTENT`	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. Nível de preços:padrão Corrigir essa descoberta	A6	A05
`Outdated library` Nome da categoria na API: `OUTDATED_LIBRARY`	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. Nível de preços:padrão Corrigir essa descoberta	A9	A06
`Server side request forgery` Nome da categoria na API: `SERVER_SIDE_REQUEST_FORGERY`	Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web podem fazer solicitações. Nível de preços:padrão Corrigir essa descoberta	Não relevante	A10
`Session ID leak` Nome da categoria na API: `SESSION_ID_LEAK`	Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação `Referer`. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva. Nível de preços: Premium Corrigir essa descoberta	A2	A07
`SQL injection` Nome da categoria na API: `SQL_INJECTION`	Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL. Nível de preços: Premium Corrigir essa descoberta	A1	A03
`Struts insecure deserialization` Nome da categoria na API: `STRUTS_INSECURE_DESERIALIZATION`	Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. Nível de preços: Premium Corrigir essa descoberta	A8	A08
`XSS` Nome da categoria na API: `XSS`	Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços:padrão Corrigir essa descoberta	A7	A03
`XSS angular callback` `XSS_ANGULAR_CALLBACK`Nome da categoria na API:	Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular. Nível de preços:padrão Corrigir essa descoberta	A7	A03
`XSS error` `XSS_ERROR`Nome da categoria na API:	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços:padrão Corrigir essa descoberta	A7	A03
`XXE reflected file leakage` Nome da categoria na API: `XXE_REFLECTED_FILE_LEAKAGE`	Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas. Nível de preços: Premium Corrigir essa descoberta	A4	A05
`Prototype pollution` Nome da categoria na API: `PROTOTYPE_POLLUTION`	O aplicativo está vulnerável à poluição de protótipos. Essa vulnerabilidade surge quando as propriedades do objeto `Object.prototype` podem receber valores controlados pelo invasor. Os valores plantados nesses protótipos são universalmente convertidos em scripting em vários locais ou vulnerabilidades semelhantes no lado do cliente, bem como bugs lógicos. Nível de preços:padrão Corrija a descoberta	A1	A03

Descobertas e correções do Rapid Vulnerability Detection

O Rapid Vulnerability Detection detecta credenciais fracas, instalações de software incompletas e outras vulnerabilidades críticas com alta probabilidade de serem exploradas. O serviço descobre automaticamente endpoints de rede, protocolos, portas abertas, serviços de rede e pacotes de software instalados.

As descobertas da detecção de vulnerabilidades rápida são avisos antecipados de vulnerabilidades que recomendamos que você corrija imediatamente.

Para informações sobre como ver as descobertas, consulte Como analisar descobertas no Security Command Center.

As verificações do Rapid Vulnerability Detection identificam os tipos de descoberta a seguir.

**Tabela 23.** Descobertas e correções do Rapid Vulnerability Detection
Tipo de descoberta	Descrição da descoberta	10 principais códigos OWASP
Descobertas de credenciais fracas
`WEAK_CREDENTIALS`	Esse detector verifica credenciais fracas usando métodos de força bruta ncrack. Serviços com suporte: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Correção: aplique uma política de senha forte. Crie credenciais exclusivas para seus serviços e evite usar palavras do dicionário nas senhas.	2021 A07 2017 A2
Descobertas de interface exposta
`ELASTICSEARCH_API_EXPOSED`	A API Elasticsearch permite que os autores de chamadas realizem consultas arbitrárias, escrevam e executem scripts e adicionem mais documentos ao serviço. Remediação: remova o acesso direto à API Elasticsearch encaminhando solicitações por um aplicativo ou limite o acesso apenas a usuários autenticados. Para mais informações, consulte Configurações de segurança no Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	No Grafana 8.0.0 a 8.3.0, os usuários podem acessar sem autenticação um endpoint com uma vulnerabilidade de travessia de diretório que permite a qualquer usuário ler qualquer arquivo no servidor sem autenticação. Para mais informações, consulte CVE-2021-43798. Correção: aplique os patches ou faça upgrade do Grafana para uma versão posterior. Para mais informações, consulte Travessia de caminho do Grafana.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade no suporte personalizado ao mapa GeoJSON e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277. Correção: faça upgrade para as versões de manutenção 0.40.5 ou posterior ou 1.40.5 ou posterior. Para mais informações, consulte A validação de URL GeoJSON pode expor arquivos de servidor e variáveis de ambiente a usuários não autorizados.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Esse detector verifica se os endpoints confidenciais do Atuador dos aplicativos do Spring Boot estão expostos. Alguns dos endpoints padrão, como `/heapdump`, podem expor informações confidenciais. Outros endpoints, como `/env`, podem levar à execução remota de código. No momento, apenas `/heapdump` está marcado. Correção: desative o acesso aos endpoints confidenciais do Atuador. Para mais informações, consulte Como proteger os endpoints HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado. Correção: use listas de controle de acesso com a API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	A Java Management Extension (JMX) permite realizar monitoramento e diagnósticos remotos para aplicativos Java. A execução de JMX com um endpoint de proteção de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e use-o para criar novos MBeans a partir de URLs arbitrários. Correção: para configurar o monitoramento remoto corretamente, consulte Monitoramento e gerenciamento usando tecnologia JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Esse detector verifica se um Jupyter Notebook não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Jupyter Notebook não autenticado coloca a VM de hospedagem em risco de execução remota de código. Correção: adicione a autenticação de token ao servidor do Jupyter Notebook ou use versões mais recentes do Jupyter Notebook que usam a autenticação de token por padrão.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	A API Kubernetes é exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes. Correção: exija autenticação para todas as solicitações de API. Para mais informações, consulte o guia de Autenticação da API Kubernetes.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação incompleta do WordPress expõe a página `/wp-admin/install.php`, que permite que um invasor defina a senha do administrador e, possivelmente, comprometa o sistema. Correção: conclua a instalação do WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	não autenticada enviando um ping de sondagem para o endpoint `/view/all/newJob` como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário `createItem`, que permite a criação de jobs arbitrários que podem levar à execução remota de código. Correção: siga o guia do Jenkins sobre como gerenciar a segurança para bloquear o acesso não autenticado.	2021 A01, A05 2017 A5, A6
Descobertas de software vulnerável
`APACHE_HTTPD_RCE`	Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz do documento esperada e veja a origem de arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-41773 Vulnerabilidades do Apache HTTP Server 2.4 Correção: proteja arquivos fora da raiz do documento configurando a diretiva "require all denied" Apache HTTP Server.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Os invasores podem criar um URI para o servidor da Web Apache que faz com que `mod_proxy` encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-40438 Vulnerabilidades do Apache HTTP Server 2.4 Correção: faça upgrade do Apache HTTP Server para uma versão mais recente.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Os invasores podem executar códigos arbitrários em um servidor do Consul porque a instância do Consul está configurada com `-enable-script-checks` definido como `true` e a API HTTP do Consul não é segura e acessível pela rede. No Consul 0.9.0 e em versões anteriores, as verificações de script são ativadas por padrão. Para mais informações, consulte Como proteger o Consul contra riscos de RCE em configurações específicas. Para verificar essa vulnerabilidade, o Rapid Vulnerability Detection registra um serviço na instância do Consul usando o endpoint REST `/v1/health/service`, que executa uma destas ações: Um comando `curl` para um servidor remoto fora da rede. Um invasor pode usar o comando `curl` para exfiltrar dados do servidor. Um comando `printf`. O Rapid Vulnerability Detection verifica então a saída do comando usando o endpoint REST `/v1/health/service`. Após a verificação, o Rapid Vulnerability Detection faz a limpeza e cancela o registro do serviço usando o endpoint REST `/v1/agent/service/deregister/`. Correção: defina enable-script-checks como `false` na configuração da instância do console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	O Apache Druid inclui a capacidade de executar códigos JavaScript fornecidos pelo usuário incorporados em vários tipos de solicitações. Essa funcionalidade é destinada para uso em ambientes de alta confiança e está desativada por padrão. Entretanto, no Druid 0.20.0 e anteriores, um usuário autenticado pode enviar uma solicitação especialmente elaborada que força o Druid a executar um código JavaScript fornecido pelo usuário para essa solicitação. independentemente da configuração do servidor. Isso pode ser usado para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhe da CVE-2021-25646. Remediação: faça upgrade do Apache Druid para uma versão mais recente.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Essa categoria inclui duas vulnerabilidades no Drupal. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões do Drupal anteriores à 7.58, 8.x anteriores à 8.3.9, 8.4.x anteriores à 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota de código em solicitações AJAX da API Form. Correção: faça upgrade para versões alternativas do Drupal.	2021 A06 2017 A9
	As versões do Drupal 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota de código quando o módulo RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada. Correção: faça upgrade para versões alternativas do Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST. do processo do JobManager. O acesso é restrito a arquivos acessíveis pelo processo do JobManager. Correção: se as instâncias do Flink estiverem expostas, faça upgrade para o Flink 1.11.3 ou 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos. Correção: faça upgrade para o GitLab CE ou EE versões 13.10.3, 13.9.6 e 13.8.8 ou mais recentes. Para mais informações, consulte Ação necessária para clientes autogerenciados em resposta à CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	No GoCD 21.2.0 e anteriores, há um endpoint que pode ser acessado sem autenticação. Esse endpoint tem uma vulnerabilidade de travessia de diretório que permite ao usuário ler qualquer arquivo no servidor sem autenticação. Correção: faça upgrade para a versão 21.3.0 ou mais recente. Para mais informações, consulte as Notas da versão do GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	As versões 2.56 e anteriores do Jenkins e as versões 2.46.1 LTS e anteriores são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java serializado e malicioso. Correção: instale uma versão alternativa do Jenkins.	2021 A06, A08 2017 A8, A9
`JOOMLA_RCE` Esta categoria inclui duas vulnerabilidades no Joomla. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões 1.5.x, 2.x e 3.x anteriores à 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho elaborado que contém objetos PHP serializados. Correção: instale uma versão alternativa do Joomla.	2021 A06, A08 2017 A8, A9
	As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado elaborado. Correção: instale uma versão alternativa do Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	No Apache Log4j2 2.14.1 e anteriores, os recursos do JNDI usados em configurações, mensagens de registro e parâmetros não são protegidos contra LDAP controlado por invasor e outros endpoints relacionados ao JNDI. Para mais informações, consulte CVE-2021-44228. Correção: para informações de correção, consulte vulnerabilidades de segurança do Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado fornecendo um valor `confirm_hash` vazio para `verify.php`. Correção: atualize o MantisBT para uma versão mais recente ou siga as instruções do Mantis para aplicar uma correção crítica de segurança.	2021 A06 2017 A9
`OGNL_RCE`	As instâncias do servidor e data center Confluence contêm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute código arbitrário. Para mais informações, consulte CVE-2021-26084. Correção: para informações sobre a correção, consulte Injeção de OGNL para webwork no servidor Confluence - CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	O servidor OpenAM 14.6.2 e anteriores e o servidor ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro `jato.pageSession` em várias páginas. A exploração não requer autenticação, e a execução remota de código pode ser acionada com o envio de uma única solicitação `/ccversion/` elaborada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464. Correção*: faça upgrade para uma versão mais recente. Para informações sobre a correção do ForgeRock, consulte Consultoria de segurança do AM #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade fácil de explorar permite que um invasor não autenticado com acesso de rede por HTTP comprometa um Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882. Correção: para informações sobre patch, consulte Consultoria de atualização de patch crítico da Oracle - outubro de 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	As versões PHPUnit anteriores à 5.6.3 permitem a execução de código remoto com uma única solicitação POST não autenticada. Correção: faça upgrade para versões mais recentes do PHPUnit.	2021: A05 2017: A6
`PHP_CGI_RCE`	As versões PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota de código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere `=` (sinal de igual). Isso permite que invasores adicionem opções de linha de comando que sejam executadas no servidor. Correção: instale uma versão alternativa do PHP.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	A desserialização de dados não confiáveis nas versões do Liferay Portal anteriores ao 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por meio dos serviços da Web JSON. Correção: faça upgrade para versões mais recentes do Liferay Portal.	2021 A06, A08 2017 A8, A9
`REDIS_RCE`	Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores serão capazes de executar código arbitrário. Remediação : configure o Redis para exigir autenticação.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode elaborar uma solicitação diretamente para ativar uma configuração específica e, por fim, implementar uma falsificação de solicitação do lado do servidor (SSRF) ou ler arquivos arbitrários. Correção: faça upgrade para versões alternativas do Apache Solr.	2021 A07, A10 2017 A2
`SOLR_RCE`	As versões 5.0.0 à 8.3.1 do Apache Solr são vulneráveis à execução remota de código pelo VelocityResponseWriter quando `params.resource.loader.enabled` está definida como `true`. Isso permite que invasores criem um parâmetro que contenha um modelo de velocidade malicioso. Correção: faça upgrade para versões alternativas do Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Esta categoria inclui três vulnerabilidades no Apache Struts. Várias descobertas desse tipo podem indicar mais de uma vulnerabilidade.	As versões do Apache Struts anteriores à 2.3.32 e 2.5.x anteriores à 2.5.10.1 são vulneráveis à execução remota de código. A vulnerabilidade pode ser acionada por um invasor não autenticado que fornece um cabeçalho Content-Type elaborado. Correção: instale uma versão alternativa do Apache Struts.	2021 A06 2017 A9
	O plug-in REST das versões 2.1.1 a 2.3.x do Apache Struts anteriores à 2.3.34 e 2.5.x anteriores à 2.5.13 é vulnerável à execução remota de código durante a desserialização de payloads XML criados. Correção: instale uma versão alternativa do Apache Struts.	2021 A06, A08 2017 A8, A9
	As versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do apache Struts são vulneráveis à execução remota de código quando `alwaysSelectFullNamespace` está definido como `true` e determinados existem outras configurações de ação. Correção: instale a versão 2.3.35 ou 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Apache Tomcat versões 9.x anteriores a 9.0.31, 8.x anteriores a 8.5.51, 7.x anteriores a 7.0.100 e todas as versões 6.x vulneráveis a códigos-fonte e a configuração por meio de um conector de protocolo Apache JServ exposto. Em alguns casos, ele é aproveitado para executar código remoto se o upload de arquivos for permitido. Correção: faça upgrade para versões alternativas do Apache Tomcat.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	Os servidores vBulletin que executam as versões 5.0.0 até 5.5.4 estão vulneráveis à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação `routestring`. Correção: faça upgrade para versões alternativas do VMware vCenter Server.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	As versões do VMware vCenter Server 7.x anteriores à 7.0 U1c, 6.7 anteriores à 6.7 U3l e 6.5 anteriores à 6.5 U3n são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor que faz o upload de um arquivo do Server Server criado para um diretório acessível pela Web e, em seguida, aciona a execução desse arquivo. Correção: faça upgrade para versões alternativas do VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade de execução de código remoto, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para mais informações, consulte CVE-2020-14883. Correção: para informações sobre patch, consulte Consultoria de atualização de patch crítico da Oracle - outubro de 2020.	2021 A06, A07 2017 A2, A9

Descobertas do recomendador do IAM

A tabela a seguir lista as descobertas do Security Command Center geradas pelo recomendador do IAM.

Cada descoberta de recomendador do IAM contém recomendações específicas para remover ou substituir um papel que inclui permissões excessivas de um principal no ambiente do Google Cloud.

As descobertas geradas pelo recomendador do IAM correspondem às recomendações que aparecem no Console do Google Cloud na página do IAM do projeto, da pasta ou da organização afetada.

Para mais informações sobre a integração do recomendador do IAM com o Security Command Center, consulte Fontes de segurança.

Descobertas do recomendador do IAM
Detector	Resumo
`IAM role has excessive permissions` Nome da categoria na API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione `Enter`. A página do IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em `Ver recomendações na tabela`. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer recomendação relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir. Analise a recomendação das ações que podem ser tomadas para resolver o problema. Clique em `Aplicar`. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 24 horas.
`Service agent role replaced with basic role` Nome da categoria na API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietária, Editor ou Espectador do Google Analytics. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione `Enter`. A página do IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em `Ver recomendações na tabela`. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir. Analise as permissões em excesso. Clique em `Aplicar`. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 24 horas.
`Service agent granted basic role` Nome da categoria na API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Descrição da descoberta: o recomendador do IAM detectou que o agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione `Enter`. A página do IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em `Ver recomendações na tabela`. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir. Analise as permissões em excesso. Clique em `Aplicar`. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 24 horas.
`Unused IAM role` Nome da categoria na API: `UNUSED_IAM_ROLE`	Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel de IAM que não foi usado nos últimos 90 dias. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione `Enter`. A página do IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em `Ver recomendações na tabela`. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir. Analise as permissões em excesso. Clique em `Aplicar`. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 24 horas.

Descobertas do serviço de postura de segurança

A tabela a seguir lista as descobertas do Security Command Center geradas pelo serviço de postura de segurança.

Cada descoberta do serviço de postura de segurança identifica uma instância de desvio da postura de segurança definida.

Descobertas de postura de segurança
Localizando	Resumo
`SHA Canned Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da descoberta:o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as configurações do detector na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector da Análise de integridade da segurança ou atualizar a postura e a implantação dela. Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console do Google Cloud. Para mais instruções, consulte Ativar e desativar detectores. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`SHA Custom Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da descoberta:o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a mudança ou a reverta para que as configurações do módulo personalizado na sua postura sejam iguais às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação dela. Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para conferir instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`SHA Custom Module Deleted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrição da descoberta:o serviço de postura de segurança detectou que um módulo personalizado da Análise de integridade da segurança foi excluído. Esta exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a mudança ou a reverta para que as configurações do módulo personalizado na sua postura sejam iguais às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação dela. Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para conferir instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`Org Policy Canned Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições de política da organização na sua postura correspondam ao ambiente. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização no console do Google Cloud. Consulte as instruções em Como criar e editar políticas. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`Org Policy Canned Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização foi excluída. Esta exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições de política da organização na sua postura correspondam ao ambiente. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização no console do Google Cloud. Consulte as instruções em Como criar e editar políticas. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`Org Policy Custom Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização personalizada que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições da política personalizada da organização na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.
`Org Policy Custom Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização personalizada foi excluída. Esta exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições da política personalizada da organização na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, siga estas etapas: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar uma postura. Implante a postura atualizada com o novo ID de revisão. Para mais instruções, consulte Atualizar uma implantação de postura.

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager com o Security Command Center Premium no nível da organização, as descobertas dos relatórios de vulnerabilidade, que estão na visualização, serão gravadas no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Para usar o VM Manager com ativações em nível de projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos.

A gravidade das descobertas de vulnerabilidade recebidas do VM Manager é sempre CRITICAL ou HIGH.

Descobertas do VM Manager

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

**Tabela 24.** Relatórios de vulnerabilidades do VM Manager
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`OS vulnerability` Nome da categoria na API: `OS_VULNERABILITY`	Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). Para uma lista completa dos sistemas operacionais compatíveis, consulte Detalhes do sistema operacional. As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira: Para a maioria das vulnerabilidades no pacote do SO instalado, a API OS Config gera um relatório de vulnerabilidade alguns minutos após a alteração. Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Como corrigir as descobertas do VM Manager

Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute Engine.

Para corrigir essa descoberta, faça o seguinte:

Acesse a página Descobertas no Security Command Center.

Acesse Descobertas
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na subseção Categoria de Filtros rápidos, selecione Vulnerabilidade do SO. Os resultados da consulta de descobertas são filtrados para mostrar somente as descobertas de vulnerabilidade do SO.
Na coluna Categoria da lista Resultados da consulta de descobertas, clique no nome da categoria da descoberta que você está corrigindo. A página de detalhes da vulnerabilidade do SO será aberta.
Clique na guia JSON. O JSON desta descoberta é exibido.
Copie o valor do campo externalUri. Esse valor é o URI da página Informações do SO da instância de VM do Compute Engine em que o sistema operacional vulnerável está instalado.
Aplique todos os patches apropriados para o SO exibido na seção Informações básicas. Para instruções sobre a implantação de patches, consulte Criar jobs de patch.

Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Analisar descobertas no console do Google Cloud

Use o procedimento a seguir para analisar as descobertas no console do Google Cloud:

Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Acesse Descobertas
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager.

A tabela é preenchida com descobertas do VM Manager.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Category. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.

Para saber como corrigir as descobertas do VM Manager, consulte Como corrigir as descobertas do VM Manager.

Silenciar descobertas do VM Manager

Oculte algumas ou todas as descobertas do VM Manager no Security Command Center, se elas não forem relevantes para seus requisitos de segurança.

É possível ocultar as descobertas do VM Manager criando uma regra de silenciamento e adicionando atributos de consulta específicos às descobertas do VM Manager que você quer ocultar.

Para criar uma regra de silenciamento para o VM Manager usando o console do Google Cloud, faça o seguinte:

No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Se necessário, selecione o projeto ou a organização do Google Cloud.
Clique em Opções de silenciamento e selecione Criar regra de silenciamento.
Digite um ID da regra de silenciamento. Esse valor é obrigatório.
Insira uma descrição de regra de silenciamento que forneça contexto para explicar por que as descobertas são silenciadas. Esse valor é opcional, mas recomendado.
Confirme o escopo da regra de silenciamento verificando o valor de Recurso pai.
No campo Consulta de descobertas, clique em Adicionar filtro para criar as instruções de consulta. Se preferir, digite as instruções de consulta manualmente.
1. Na caixa de diálogo Selecionar filtro, selecione Finding > Source display name > VM Manager.
2. Clique em Aplicar.
3. Repita até que a consulta silenciada contenha todos os atributos que você deseja ocultar.
  
  Por exemplo, se você quiser ocultar IDs de CVE específicos nas descobertas de vulnerabilidade do VM Manager, selecione Vulnerabilidade > ID de CVE e, em seguida, selecione os IDs de CVE que quer ocultar.
  
  A consulta de descoberta é semelhante a esta:
Clique em Visualizar descobertas correspondentes.

Uma tabela mostra descobertas que correspondem à sua consulta.
Clique em Salvar.

Proteção de dados sensíveis

Nesta seção, descrevemos as descobertas de vulnerabilidade geradas pela proteção de dados confidenciais, quais padrões de conformidade têm suporte e como corrigir essas descobertas.

A proteção de dados confidenciais também envia descobertas observacionais ao Security Command Center. Para mais informações sobre as descobertas de observação e a proteção de dados confidenciais, consulte Proteção de dados confidenciais.

Para mais informações sobre como visualizar as descobertas, consulte Analisar as descobertas de proteção de dados sensíveis no console do Google Cloud.

O serviço de descoberta da proteção de dados confidenciais ajuda a determinar se as variáveis de ambiente do Cloud Functions contêm secrets, como senhas, tokens de autenticação e credenciais do Google Cloud. Para acessar a lista completa de tipos de secrets que a proteção de dados confidenciais detecta nesse recurso, consulte Credenciais e secrets.

**Tabela 25.** Descobertas e correções da proteção de dados confidenciais
Tipo de descoberta	Descrição da descoberta	Padrões de compliance
`Secrets in environment variables` Nome da categoria na API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Esse detector verifica secrets nas variáveis de ambiente do Cloud Functions. Correção: remova o secret da variável de ambiente e armazene-o no Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

A partir do momento em que você ativa a descoberta de secrets na proteção de dados sensíveis, pode levar até 12 horas para que a verificação inicial das variáveis de ambiente seja concluída e para que as descobertas de "Secrets em variáveis de ambiente" apareçam no Security Command Center. Em seguida, a proteção de dados sensíveis verifica as variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados confidenciais.

Policy Controller

O Policy Controller permite a aplicação de políticas programáveis para os clusters do Kubernetes registrados como associações de frotas. Essas políticas funcionam como proteções e podem ajudar nas práticas recomendadas, na segurança e no gerenciamento de conformidade dos clusters e frotas.

Esta página não lista todas as descobertas individuais do Policy Controller, mas as informações sobre as descobertas de classe Misconfiguration que o Policy Controller grava no Security Command Center são as mesmas que as violações de cluster documentadas para cada pacote do Policy Controller. A documentação dos tipos de descobertas individuais do Policy Controller está nos pacotes a seguir:

Comparativo de mercado CIS do Kubernetes v1.5.1, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança forte. Também é possível ver informações sobre esse pacote no repositório do GitHub para cis-k8s-v1.5.1.
PCI-DSS v3.2.1, um pacote que avalia a conformidade dos recursos do cluster em relação a alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1. Também é possível ver informações sobre esse pacote no repositório do GitHub para pci-dss-v3.

Esse recurso não é compatível com os perímetros de serviço do VPC Service Controls na API Stackdriver.

Como encontrar e corrigir descobertas do Policy Controller

As categorias do Policy Controller correspondem aos nomes de restrição listados na documentação dos pacotes do Policy Controller. Por exemplo, uma descoberta de require-namespace-network-policies indica que um namespace viola a política de que todo namespace em um cluster tem um NetworkPolicy.

Para corrigir uma descoberta, faça o seguinte:

Acesse a página Descobertas no Security Command Center.

Acesse Descobertas
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na subseção Categoria de Filtros rápidos, selecione o nome da descoberta do Policy Controller que você quer corrigir. Os resultados da consulta de descobertas são filtrados para mostrar apenas as descobertas dessa categoria.

Dica: para encontrar todas as descobertas relacionadas ao Policy Controller, na subseção Nome de exibição da origem de Filtros rápidos, selecione Policy Controller On-Cluster.
Na coluna Categoria da lista Resultados da consulta de descobertas, clique no nome da categoria da descoberta que você está corrigindo. A página de detalhes da descoberta é aberta.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
No título Próximas etapas, analise as informações sobre como corrigir a descoberta, incluindo links para a documentação do Kubernetes sobre o problema.

A seguir

Saiba como usar o Security Health Analytics.
Saiba como usar o Web Security Scanner.
Saiba como usar o Rapid Vulnerability Detection.
Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.