Questa pagina è stata tradotta dall'API Cloud Translation.

Servizi di rilevamento

Questa pagina contiene un elenco dei servizi di rilevamento, a volte chiamati anche origini di sicurezza, che Security Command Center utilizza per rilevare i problemi di sicurezza negli ambienti cloud.

Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e ti fornisce le informazioni di cui hai bisogno per stabilire le priorità e risolvere il problema.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio per tipo di risultato, tipo di risorsa o per un asset specifico. Ogni origine di sicurezza potrebbe fornire più filtri per organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello a cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Servizi di rilevamento delle vulnerabilità

I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, configurazioni errate e violazioni delle posizioni nei tuoi ambienti cloud. Collettivamente, questi tipi di problemi di sicurezza sono chiamati vulnerabilità.

Dashboard della strategia di sicurezza di GKE

La dashboard della strategia di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati guidati e strategici su potenziali problemi di sicurezza nei tuoi cluster GKE.

Se abiliti una delle seguenti funzionalità della dashboard della strategia di sicurezza di GKE, vedrai i risultati nel livello Standard di Security Command Center o nel livello Premium:

Funzionalità della dashboard della strategia di sicurezza di GKE	Tipo di risultato di Security Command Center
Controllo della configurazione del carico di lavoro	`MISCONFIGURATION`
Analisi delle vulnerabilità di Container OS Analisi delle vulnerabilità dei pacchetti di lingue Bollettini sulla sicurezza utili (anteprima)	`VULNERABILITY`

I risultati mostrano informazioni sul problema di sicurezza e forniscono suggerimenti per risolvere i problemi nei carichi di lavoro o nei cluster.

Visualizza i risultati della dashboard della strategia di sicurezza di GKE nella console Google Cloud

Vai alla pagina Risultati di Security Command Center nella console Google Cloud:

Vai ai risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nel riquadro Filtri rapidi, nella sezione Nome visualizzato origine, seleziona Strategia di sicurezza di GKE. Se non vedi il filtro Strategia di sicurezza di GKE, non ci sono risultati attivi.

Motore per suggerimenti IAM

Il motore per suggerimenti IAM genera suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM dalle entità quando i ruoli contengono autorizzazioni IAM non necessarie per l'entità.

Abilita o disabilita i risultati del motore per suggerimenti IAM

Per abilitare o disabilitare i risultati del motore per suggerimenti IAM in Security Command Center, segui questi passaggi:

Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:

Vai alle impostazioni
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
Seleziona Attiva o Disattiva a destra della voce.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei risultati del motore per suggerimenti IAM. I passaggi di correzione per ciascun risultato sono inclusi nella voce della tabella.

Rilevatori del motore per suggerimenti IAM

Risultati motore per suggerimenti IAM
Rilevatore	Riepilogo
`IAM role has excessive permissions` Nome categoria nell'API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato un account di servizio che ha uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su qualsiasi suggerimento relativo alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina il consiglio per individuare le azioni che puoi intraprendere per risolvere il problema. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Service agent role replaced with basic role` Nome categoria nell'API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Service agent granted basic role` Nome categoria nell'API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Unused IAM role` Nome categoria nell'API: `UNUSED_IAM_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.

Visualizza i risultati del motore per suggerimenti IAM nella console

Nella console Google Cloud, puoi visualizzare i risultati emessi dal motore per suggerimenti IAM nella pagina Vulnerabilità selezionando la query preimpostata Motore per suggerimenti IAM o nella pagina Risultati selezionando Motore per suggerimenti IAM nella sezione Nome visualizzato origine del riquadro Filtri rapidi.

Mandiant Attack Surface Management

Mandiant è leader mondiale nell’intelligence di prima linea sulle minacce. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle superfici di attacco esterne per aiutarti a rimanere al passo con gli attacchi informatici più recenti.

Mandiant Attack Surface Management viene abilitato automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.

Per informazioni sulle differenze tra il prodotto autonomo Mandiant Attack Surface Management e l'integrazione di Mandiant Attack Surface Management in Security Command Center, vedi ASM e Security Command Center sul portale della documentazione Mandiant. Questo link richiede l'autenticazione di Mandiant.

Rivedi i risultati di Mandiant Attack Surface Management nella console Google Cloud

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato di origine, seleziona Mandiant Attack Surface Management.

La tabella viene compilata con i risultati di Mandiant Attack Surface Management.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, tra cui informazioni su cosa è stato rilevato, sulla risorsa interessata e altro ancora.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Se installi Policy Controller e abiliti i pacchetti di Policy Controller v1.5.1 per Kubernetes Benchmark CIS o i bundle di Policy Controller PCI-DSS v3.2.1 o entrambi, Policy Controller scrive automaticamente le violazioni dei cluster in Security Command Center come risultati di class Misconfiguration. La descrizione dei risultati e i passaggi successivi nei risultati di Security Command Center corrispondono a quelli della descrizione del vincolo e ai passaggi di correzione del bundle Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

CIS Kubernetes Benchmark v.1.5.1, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. Puoi visualizzare informazioni su questo bundle anche nel repository GitHub per cis-k8s-v1.5.1.
PCI-DSS v3.2.1, un bundle che valuta la conformità delle risorse del cluster ad alcuni aspetti del Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1. Puoi visualizzare informazioni su questo bundle anche nel repository GitHub per pci-dss-v3.

Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.

Motore di rischio

Il motore Risk di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati di vulnerabilità e alle tue risorse di alto valore e traccia i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.

Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, se si verificano insieme in un determinato pattern, creano un percorso verso una o più delle tue risorse di alto valore che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere queste risorse.

Quando Risk Engine rileva una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION. Nel risultato, Risk Engine è elencato come origine del risultato.

Per saperne di più, consulta Panoramica delle combinazioni dannose.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare gli errori di configurazione più comuni.

Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli standard di sicurezza per consentirti di valutare la conformità.

Security Health Analytics scansiona le tue risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni ad altre piattaforme cloud, Security Health Analytics può anche analizzare le risorse su quelle piattaforme cloud.

A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili sono diversi:

Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di media e alta gravità.
Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.

Security Health Analytics viene abilitato automaticamente quando attivi Security Command Center.

Per ulteriori informazioni, consulta:

Servizio Security posture

Il servizio Security posture è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato complessivo della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è allineato ai criteri che definisci nella tua postura di sicurezza.

Il servizio della security posture non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.

Risultati del servizio Security posture

Risultati della security posture
Risultato	Riepilogo
`SHA Canned Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: il servizio Security posture ha rilevato una modifica a un rilevatore di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del rilevatore nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il rilevatore di Security Health Analytics o il deployment della postura e della postura. Per annullare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: il servizio Security posture ha rilevato una modifica a un modulo personalizzato di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Deleted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che un modulo personalizzato Security Health Analytics è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Ricerca della descrizione: il servizio della security posture ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che è stato eliminato un criterio dell'organizzazione. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Ricerca della descrizione: il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.

Protezione dei dati sensibili

Sensitive Data Protection è un servizio di Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), come segue:

Nomi di persone
Numeri di carte di credito
Numeri di documenti di identità statali o nazionali
Numeri di documenti di identità dell'assicurazione sanitaria
Secret

In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi viene chiamato infoType.

Se configuri l'operazione di Sensitive Data Protection per l'invio dei risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.

Vulnerabilità rilevate dal servizio di rilevamento di Sensitive Data Protection

Il servizio di rilevamento di Sensitive Data Protection consente di determinare se le variabili di ambiente Cloud Functions contengono secret, ad esempio password, token di autenticazione e credenziali di Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, consulta Credenziali e secret.

Tipo di risultato Descrizione del risultato Standard di conformità

Tipo di risultato	Descrizione del risultato	Standard di conformità
`Secrets in environment variables` Nome categoria nell'API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions. Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Secrets in environment variables

Nome categoria nell'API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.

Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per il completamento della scansione iniziale delle variabili di ambiente e per la visualizzazione di eventuali risultati di "Secret nelle variabili di ambiente" in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite più spesso.

Per abilitare questo rilevatore, consulta Segnalare secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Risultati dell'osservazione di Sensitive Data Protection

Questa sezione descrive i risultati di osservazione generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione dal servizio di rilevamento

Il servizio di rilevamento di Sensitive Data Protection consente di determinare se i dati BigQuery contengono infoType specifici e dove risiedono nell'organizzazione, nelle cartelle e nei progetti.

Un'operazione di rilevamento genera profili dei dati BigQuery sottostanti a livello di progetto, tabella e colonna. Ogni profilo dati della tabella genera le seguenti categorie di risultati in Security Command Center:

Data sensitivity: Un'indicazione del livello di sensibilità dei dati in un determinato asset di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dati.
Data risk: Il rischio associato ai dati nel loro stato attuale. Nel calcolare il rischio relativo ai dati, Sensitive Data Protection considera il livello di sensibilità dei dati nell'asset di dati e la presenza di controlli dell'accesso per proteggerli. La gravità del risultato è il livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dati.

Dal momento in cui Sensitive Data Protection genera i profili dati, possono essere necessarie fino a sei ore prima che i risultati Data sensitivity e Data risk associati vengano visualizzati in Security Command Center.

Per informazioni su come inviare i risultati dei profili dati a Security Command Center, consulta Abilitare il rilevamento dei dati sensibili.

Risultati dell'osservazione dal servizio di ispezione di Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza dei dati di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o una tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione che cerca tutte le stringhe che corrispondono al rilevatore infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore di infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato di Security Command Center corrispondente. La categoria del risultato è il nome del rilevatore infoType che ha avuto una corrispondenza, ad esempio Credit card number. Il risultato include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini della risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel risultato. Ad esempio, un risultato Credit card number mostra quanti numeri di carte di credito sono stati trovati, ma non mostra i numeri effettivi di carte di credito.

Poiché in Sensitive Data Protection sono disponibili più di 150 rilevatori infoType integrati, tutte le possibili categorie di risultati di Security Command Center non sono elencate qui. Per un elenco completo dei rilevatori di infoType, consulta la documentazione di riferimento ai rilevatori di infoType.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, vedi Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console Google Cloud

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Sensitive Data Protection.

La tabella viene compilata con i risultati di Sensitive Data Protection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, tra cui informazioni su cosa è stato rilevato, sulla risorsa interessata e altro ancora.

VM Manager

VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.

Se abiliti VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente i risultati high e critical dai report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, tra cui le vulnerabilità ed esposizioni comuni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo della funzionalità di conformità delle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti. Attualmente, VM Manager supporta la gestione delle patch a livello di singolo progetto.

Per correggere i risultati di VM Manager, consulta Correzione dei risultati di VM Manager.

Per interrompere la scrittura di report sulle vulnerabilità in Security Command Center, vedi Disattivare i risultati di VM Manager.

Tutte le vulnerabilità di questo tipo riguardano i pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.

**Tabella 24.** Report sulle vulnerabilità di VM Manager
Rilevatore	Riepilogo	Impostazioni di scansione degli asset	Standard di conformità
`OS vulnerability` Nome categoria nell'API: `OS_VULNERABILITY`	Descrizione dei risultati: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato	I report sulle vulnerabilità di VM Manager descrivono in dettaglio le vulnerabilità nei pacchetti di sistemi operativi installati per le VM di Compute Engine, tra cui le vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, vedi Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue: Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare le informazioni sulle vulnerabilità ed esposizioni comuni (CVE) per la VM in Security Command Center entro due ore dalla modifica. Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, i CVE aggiornati sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Valutazione delle vulnerabilità per AWS

Il servizio Valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei carichi di lavoro in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.

Per ogni vulnerabilità rilevata, Valutazione delle vulnerabilità per AWS genera un esito di classe Vulnerability nella categoria dei risultati Software vulnerability in Security Command Center.

Il servizio Valutazione delle vulnerabilità per AWS analizza gli snapshot delle istanze delle macchine EC2 in esecuzione, perciò i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamato scansione dei dischi senza agente, perché non è installato nessun agente per le destinazioni della scansione.

Per ulteriori informazioni, consulta le seguenti risorse:

Web Security Scanner

Web Security Scanner fornisce un'analisi delle vulnerabilità web gestita e personalizzata per le applicazioni web pubbliche con App Engine, GKE e Compute Engine.

Scansioni gestite

Le analisi gestite di Web Security Scanner sono configurate e gestite da Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare ed eseguire la scansione degli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano richieste solo GET, in modo da non inviare alcun modulo sui siti web attivi.

Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.

Se Security Command Center viene attivato a livello di organizzazione, puoi utilizzare le analisi gestite per gestire centralmente il rilevamento delle vulnerabilità delle applicazioni web di base per i progetti della tua organizzazione, senza dover coinvolgere singoli team di progetto. Una volta individuati i risultati, puoi collaborare con questi team per configurare analisi personalizzate più complete.

Quando abiliti Web Security Scanner as a Service, i risultati della scansione gestita sono disponibili automaticamente nella pagina Vulnerabilità e nei report correlati di Security Command Center. Per informazioni su come abilitare le scansioni gestite di Web Security Scanner, consulta Configurare i servizi di Security Command Center.

Le scansioni gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se l'applicazione utilizza una porta non predefinita, esegui una scansione personalizzata.

Scansioni personalizzate

Le analisi personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati delle vulnerabilità delle applicazioni, come librerie obsolete, scripting tra siti o utilizzo di contenuti misti.

Le scansioni personalizzate vengono definite a livello di progetto.

I risultati delle scansioni personalizzate sono disponibili in Security Command Center dopo che hai completato la guida per configurare le scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie di OWASP Top Ten, un documento che classifica e fornisce indicazioni sulla correzione dei 10 principali rischi per la sicurezza delle applicazioni web più critici, in base a quanto stabilito dall'Open Web Application Security Project (OWASP). Per indicazioni sulla mitigazione dei rischi OWASP, consulta OWASP Top 10 mitigation options on Google Cloud.

La mappatura della conformità è inclusa come riferimento e non viene fornita né esaminata da OWASP Foundation.

Questa funzionalità è destinata solo a monitorare le violazioni dei controlli di conformità. Le mappature non vengono fornite per essere utilizzate come base o come sostituzione per l'audit, la certificazione o il report di conformità dei tuoi prodotti o servizi a benchmark o standard normativi o di settore.

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

Categoria	Descrizione del risultato	OWASP 2017 - Top 10	Top 10 della classifica OWASP 2021
`Accessible Git repository` Nome categoria nell'API: `ACCESSIBLE_GIT_REPOSITORY`	Un repository Git è esposto pubblicamente. Per risolvere il risultato, rimuovi l'accesso pubblico involontario al repository GIT. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Accessible SVN repository` Nome categoria nell'API: `ACCESSIBLE_SVN_REPOSITORY`	Un repository SVN è esposto pubblicamente. Per risolvere il problema, rimuovi l'accesso pubblico non intenzionale al repository SVN. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Cacheable password input` Nome categoria nell'API: `CACHEABLE_PASSWORD_INPUT`	Le password inserite nell'applicazione web possono essere memorizzate nella cache di una normale cache del browser anziché un archivio sicuro delle password. Livello di prezzo: Premium Correggi questo risultato	A3	A04
`Clear text password` Nome categoria nell'API: `CLEAR_TEXT_PASSWORD`	Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa sulla rete. Livello di prezzo: Standard Correggi questo risultato	A3	A02
`Insecure allow origin ends with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`. Per i caratteri jolly del sottodominio, anteponi il punto al dominio principale, ad esempio `.endsWith(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Insecure allow origin starts with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`, ad esempio `.equals(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Invalid content type` Nome categoria nell'API: `INVALID_CONTENT_TYPE`	È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP `X-Content-Type-Options` con il valore corretto. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Invalid header` Nome categoria nell'API: `INVALID_HEADER`	Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mismatching security header values` Nome categoria nell'API: `MISMATCHING_SECURITY_HEADER_VALUES`	Un'intestazione di sicurezza presenta valori duplicati e non corrispondenti, che generano un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Misspelled security header name` Nome categoria nell'API: `MISSPELLED_SECURITY_HEADER_NAME`	Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mixed content` Nome categoria nell'API: `MIXED_CONTENT`	Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse siano pubblicate tramite HTTPS. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Outdated library` Nome categoria nell'API: `OUTDATED_LIBRARY`	È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Standard Correggi questo risultato	A9	A06
`Server side request forgery` Nome categoria nell'API: `SERVER_SIDE_REQUEST_FORGERY`	È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste. Livello di prezzo: Standard Correggi questo risultato	Non applicabile	A10
`Session ID leak` Nome categoria nell'API: `SESSION_ID_LEAK`	Quando effettui una richiesta interdominio, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta `Referer`. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore della sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente. Livello di prezzo: Premium Correggi questo risultato	A2	A07
`SQL injection` Nome categoria nell'API: `SQL_INJECTION`	È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per evitare che gli input dell'utente influenzino la struttura della query SQL. Livello di prezzo: Premium Correggi questo risultato	A1	A03
`Struts insecure deserialization` Nome categoria nell'API: `STRUTS_INSECURE_DESERIALIZATION`	È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente. Livello di prezzo: Premium Correggi questo risultato	A8	A08
`XSS` Nome categoria nell'API: `XSS`	Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting (XSS). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS angular callback` Nome categoria nell'API: `XSS_ANGULAR_CALLBACK`	Una stringa fornita dall'utente non presenta caratteri di escape e AngularJS può interporla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente e gestiti dal framework Angular. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS error` Nome categoria nell'API: `XSS_ERROR`	Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XXE reflected file leakage` Nome categoria nell'API: `XXE_REFLECTED_FILE_LEAKAGE`	È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la perdita di un file da parte dell'applicazione web sull'host. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne. Livello di prezzo: Premium Correggi questo risultato	A4	A05
`Prototype pollution` Nome categoria nell'API: `PROTOTYPE_POLLUTION`	L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto `Object.prototype` possono essere assegnati valori controllabili da utenti malintenzionati. Si presume che i valori inseriti in questi prototipi si traducano universalmente in cross-site scripting o in vulnerabilità simili lato client, nonché in bug logici. Livello di prezzo: Standard Correggi questo risultato	A1	A03

Servizi di rilevamento delle minacce

I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi che potrebbero indicare eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.

Rilevamento di anomalie

Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento all'esterno del sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le istanze di macchine virtuali (VM), come potenziali credenziali trapelate. Il rilevamento di anomalie viene abilitato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

I risultati del rilevamento di anomalie includono quanto segue:

Nome anomalia Categoria risultati Descrizione

Nome anomalia	Categoria risultati	Descrizione
`Account has leaked credentials`	`account_has_leaked_credentials`	Le credenziali di un account di servizio Google Cloud sono state divulgate per errore online o sono state compromesse. Gravità: critica

Account has leaked credentials

account_has_leaked_credentials

Le credenziali di un account di servizio Google Cloud sono state divulgate per errore online o sono state compromesse.

Gravità: critica

L'account presenta credenziali divulgate

GitHub ha comunicato a Security Command Center che le credenziali utilizzate per un commit sembrano essere quelle di un account di servizio Google Cloud Identity and Access Management.

La notifica include il nome dell'account di servizio e l'identificatore della chiave privata. Inoltre, Google Cloud invia una notifica via email al tuo contatto designato per i problemi di sicurezza e privacy.

Per risolvere il problema, esegui una o più delle seguenti azioni:

Identifica l'utente legittimo della chiave.
Ruota la chiave.
Rimuovi la chiave.
Esamina tutte le azioni intraprese dalla chiave dopo la divulgazione della chiave per assicurarti che nessuna delle azioni sia dannosa.

JSON: rilevamento di credenziali dell'account divulgate

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection può rilevare gli attacchi al runtime dei container più comuni e avvisarti in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel ospite ed esegue l'elaborazione del linguaggio naturale sugli script per rilevare i seguenti eventi:

Programma binario aggiuntivo eseguito
Libreria aggiuntiva caricata
Esecuzione: esecuzione di elementi binari dannosi aggiunta
Esecuzione: aggiunta di libreria dannosa caricata
Esecuzione: esecuzione binaria dannosa integrata
Esecuzione: esecuzione di un file binario dannoso modificato
Esecuzione: libreria dannosa modificata caricata
Script dannoso eseguito
Shell inversa
Shell figlio imprevista

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Controlla i flussi di Cloud Logging per i progetti e consuma i log non appena diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

La tabella seguente elenca esempi di risultati di Event Threat Detection.

**Tabella C.** Tipi di risultati di Event Threat Detection
Distruzione dei dati	Event Threat Detection rileva l'eliminazione dei dati esaminando gli audit log di Backup & DR Service Management Server per individuare i seguenti scenari: Eliminazione di un'immagine di backup Eliminazione di tutte le immagini di backup associate a un'applicazione Eliminazione di un'appliance di backup/ripristino
Esfiltrazione di dati	Event Threat Detection rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando gli audit log per i seguenti scenari: Una risorsa BigQuery viene salvata all'esterno della tua organizzazione oppure viene tentata un'operazione di copia bloccata dai Controlli di servizio VPC. Viene tentato di accedere alle risorse BigQuery protette dai Controlli di servizio VPC. Una risorsa Cloud SQL viene esportata completamente o parzialmente in un bucket Cloud Storage all'esterno dell'organizzazione o in un bucket di proprietà della tua organizzazione ed accessibile pubblicamente. Un backup di Cloud SQL viene ripristinato su un'istanza Cloud SQL esterna alla tua organizzazione. Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket della tua organizzazione accessibile pubblicamente. Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in una cartella di Google Drive.
Attività sospette di Cloud SQL	Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido nelle istanze Cloud SQL: A un utente del database vengono concessi tutti i privilegi per un database Cloud SQL per PostgreSQL o per tutte le tabelle, le procedure o le funzioni in uno schema. Un super user dell'account di database predefinito di Cloud SQL ("postgres" sulle istanze PostgreSQL o "root" sulle istanze MySQL) viene utilizzato per scrivere nelle tabelle non di sistema.
Attività sospette di AlloyDB per PostgreSQL	Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL: A un utente del database vengono concessi tutti i privilegi per un database AlloyDB per PostgreSQL o per tutte le tabelle, le procedure o le funzioni in uno schema. Un super user dell'account di database predefinito di AlloyDB per PostgreSQL ("postgres") viene utilizzato per scrivere su tabelle non di sistema.
Forza bruta SSH	Event Threat Detection rileva la forza bruta dell'autenticazione password su SSH esaminando i log di syslog per individuare errori ripetuti seguiti da errori.
Cryptomining	Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per individuare le connessioni a domini non validi o indirizzi IP noti dei pool di mining.
Illeciti IAM	Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio: Aggiunta di un utente gmail.com a un criterio con il ruolo di editor del progetto. Invitare un utente gmail.com come proprietario di progetto dalla console Google Cloud. Account di servizio che concede autorizzazioni sensibili. Ruolo personalizzato con autorizzazioni sensibili. Account di servizio aggiunto dall'esterno dell'organizzazione.
blocco recupero sistema	Event Threat Detection rileva modifiche anomale a Backup & RE che potrebbero influire sulla postura del backup, incluse importanti modifiche ai criteri e la rimozione di componenti critici di Backup & RE.
Log4j	Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità attive di Log4j.
Malware	Event Threat Detection rileva il malware esaminando i log di flusso VPC e i log di Cloud DNS per individuare le connessioni a domini e IP di comando e controllo noti.
DoS in uscita	Event Threat Detection esamina i log di flusso VPC per rilevare il traffico denial of service in uscita.
Accesso anomalo	Event Threat Detection rileva accessi anomali esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Comportamento IAM anomalo	Event Threat Detection rileva comportamenti IAM anomali esaminando Cloud Audit Logs per gli scenari seguenti: Account utente e di servizio IAM che accedono a Google Cloud da indirizzi IP anomali. Account di servizio IAM che accedono a Google Cloud da user agent anomali. Entità e risorse che si spacciano per account di servizio IAM per accedere a Google Cloud.
Auto-indagine sull'account di servizio	Event Threat Detection rileva quando le credenziali di un account di servizio vengono utilizzate per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Chiave SSH aggiunta dall'amministratore di Compute Engine	Event Threat Detection rileva una modifica del valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più di 1 settimana prima).
Script di avvio aggiunto dall'amministratore di Compute Engine	Event Threat Detection rileva una modifica del valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (più di 1 settimana prima).
Attività sospetta dell'account	Event Threat Detection rileva potenziali compromissioni degli account Google Workspace esaminando gli audit log per rilevare eventuali attività anomale degli account, tra cui password divulgate e tentativi di accessi sospetti.
Attacco sostenuto da un governo	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando utenti malintenzionati supportati da governi potrebbero aver tentato di compromettere l'account o il computer di un utente.
Modifiche Single Sign-On (SSO)	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando l'accesso SSO è disattivato o se vengono modificate le impostazioni per gli account amministratore di Google Workspace.
Verifica in due passaggi	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando la verifica in due passaggi viene disattivata per gli account utente e amministratore.
Comportamento anomalo dell'API	Event Threat Detection rileva comportamenti anomali dell'API esaminando Cloud Audit Logs per individuare le richieste ai servizi Google Cloud che un'entità non ha mai rilevato prima.
Evasione della difesa	Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari: Modifiche ai perimetri esistenti dei Controlli di servizio VPC che genererebbero una riduzione della protezione offerta. Deployment o aggiornamenti dei carichi di lavoro che utilizzano il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.^Anteprima
Scoperta	Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari: Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando `kubectl`. Le credenziali di un account di servizio vengono utilizzate per esaminare ruoli e autorizzazioni associati allo stesso account di servizio.
Accesso iniziale	Event Threat Detection rileva le operazioni di accesso iniziali esaminando gli audit log per i seguenti scenari: Un account di servizio gestito dall'utente inattivo ha attivato un'azione.^Anteprima Un'entità ha tentato di richiamare vari metodi di Google Cloud, ma l'operazione non è riuscita ripetutamente a causa di errori di autorizzazione negata.^Anteprima
Escalation dei privilegi	Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per gli scenari seguenti: Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo dell'accesso basato su ruoli (RBAC) `ClusterRole`, `RoleBinding` o `ClusterRoleBinding` del ruolo sensibile `cluster-admin` utilizzando una richiesta `PUT` o `PATCH`. Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che concede l'accesso `cluster-admin`. Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto `RoleBinding` o `ClusterRoleBinding` per il ruolo `cluster-admin`. Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando `kubectl` utilizzando credenziali di bootstrap compromesse. Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi.
Rilevamenti Cloud IDS	Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando rileva un evento sospetto, attiva un risultato di Event Threat Detection. Per saperne di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS. ^Anteprima
Movimento laterale	Event Threat Detection rileva potenziali attacchi con disco di avvio modificato esaminando Cloud Audit Logs per rilevare frequenti scollegamenti e ricollegamenti del disco di avvio tra le istanze di Compute Engine.

Scopri di più su Event Threat Detection.

Forseti Security

Forseti Security offre gli strumenti per comprendere tutte le risorse di cui disponi in Google Cloud. I moduli Forseti principali funzionano insieme per fornire informazioni complete in modo da poter proteggere le risorse e ridurre al minimo i rischi per la sicurezza.

Per visualizzare le notifiche di violazione Forseti in Security Command Center, segui la guida alle notifiche di Security Command Center.

Per ulteriori informazioni:

Scopri informazioni su Forseti.
Richiedi assistenza per Forseti.

Google Cloud Armor

Google Cloud Armor contribuisce a proteggere la tua applicazione fornendo filtri di livello 7. Google Cloud Armor esegue lo scrubbing delle richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi o i bucket di backend con bilanciamento del carico.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, fornisce il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e l'analisi del disco permanente. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di cryptomining, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su VM Threat Detection, consulta la panoramica di VM Threat Detection.

Risultati della minaccia di VM Threat Detection

VM Threat Detection può generare i seguenti risultati relativi alle minacce.

Risultati delle minacce di mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati delle minacce di mining di criptovaluta di VM Threat Detection
Categoria	Modulo	Descrizione
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti del software di mining di criptovaluta.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Corrisponde ai pattern di memoria, come le costanti del proof of work, note per essere utilizzate da software di mining di criptovalute.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica una minaccia rilevata sia dai moduli `CRYPTOMINING_HASH` che `CRYPTOMINING_YARA`. Per maggiori informazioni, consulta Rilevamenti combinati.

Risultati delle minacce rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione comunemente utilizzate dal malware.

Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce facendo un confronto di hash sul codice kernel e nella memoria dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando l'integrità di importanti strutture di dati del kernel.

Risultati delle minacce rootkit in modalità kernel di VM Threat Detection
Categoria	Modulo	Descrizione
Manomissione della memoria del kernel
`Defense Evasion: Unexpected kernel code modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria del codice kernel.
`Defense Evasion: Unexpected kernel read-only data modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
`Defense Evasion: Unexpected ftrace handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti punti `ftrace` con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
`Defense Evasion: Unexpected interrupt handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo.
`Defense Evasion: Unexpected kernel modules`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
`Defense Evasion: Unexpected kprobe handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti punti `kprobe` con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
`Defense Evasion: Unexpected processes in runqueue`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi si trovano nella coda di esecuzione, ma non nell'elenco di attività dei processi.
`Defense Evasion: Unexpected system call handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori di chiamate di sistema che non si trovano nelle regioni previste del kernel o del codice del modulo.
rootkit
`Defense Evasion: Rootkit`^Anteprima	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere i risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.

Rilevamento dell'osservazione di VM Threat Detection

VM Threat Detection può generare il seguente risultato di osservazione.

Risultato di osservazione di VM Threat Detection
Nome categoria	Nome API	Riepilogo	Gravità
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection è disabilitato. Finché non lo enable, questo servizio non può analizzare i progetti Compute Engine e le istanze VM per individuare applicazioni indesiderate. Questo risultato viene impostato su `INACTIVE` dopo 30 giorni. Dopodiché, questo risultato non viene generato di nuovo.	Alta

Errori

I rilevatori di errori possono aiutarti a rilevare gli errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati relativi agli errori vengono generati dall'origine di sicurezza Security Command Center e hanno la classe SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori che potrebbero essere causati da azioni involontarie.

Azioni involontarie
Nome categoria	Nome API	Riepilogo	Gravità
`API disabled`	`API_DISABLED`	Ricerca della descrizione: un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 60 ore Correggi questo risultato	Critico
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrizione dei risultati: le configurazioni dei valori delle risorse sono definite per le simulazioni dei percorsi di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece il set di risorse predefinito di alto valore. Questo errore può avere una delle seguenti cause: Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa. Una o più configurazioni dei valori delle risorse che specificano `NONE` eseguono l'override di ogni altra configurazione valida. Tutte le configurazioni definite dei valori delle risorse specificano un valore `NONE`. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Critico
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrizione dei risultati: nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero in eccesso di istanze dal set di risorse di alto valore. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dal set sono identificati nel risultato `SCC Error` nella console Google Cloud. I punteggi dell'esposizione agli attacchi relativi a qualsiasi risultato che interessa le istanze di risorse escluse non riflettono la designazione di alto valore delle istanze delle risorse. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descrizione dei risultati: Container Threat Detection non può essere abilitato sul cluster perché non è possibile eseguire il pull (download) di un'immagine container richiesta da `gcr.io`, l'host dell'immagine Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection. Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrizione dei risultati: Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto DaemonSet Kubernetes richiesto da Container Threat Detection. Se visualizzati nella console Google Cloud, i dettagli dei risultati includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: un account di servizio non dispone delle autorizzazioni necessarie per Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché la strumentazione di rilevamento non può essere abilitata, aggiornata o disabilitata. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché l' account di servizio predefinito GKE sul cluster non dispone delle autorizzazioni. Questo impedisce che Container Threat Detection venga abilitato correttamente sul cluster. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni settimana Correggi questo risultato	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrizione dei risultati: il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare risultati a Logging. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrizione dei risultati: Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 6 ore Correggi questo risultato	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: l'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono generati risultati. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico

Per maggiori informazioni, vedi Errori di Security Command Center.

Passaggi successivi

Scopri di più su Security Command Center e sui casi d'uso di esempio nella panoramica di Security Command Center.
Scopri come aggiungere nuove origini di sicurezza configurando i servizi di Security Command Center.