Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche chiamate origini di sicurezza, utilizzate da Security Command Center per rilevare sui problemi di sicurezza nei tuoi ambienti cloud.
Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e fornisce le informazioni necessarie per stabilire le priorità e risolverlo.
Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o per una risorsa specifica. Ogni origine di sicurezza potrebbe fornire più filtri ti aiutano a organizzare i risultati.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per scoprire di più su Per i ruoli di Security Command Center, vedi Controllo dell'accesso.
Servizi di rilevamento delle vulnerabilità
I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, errori di configurazione e violazioni della postura nei tuoi ambienti cloud. Nel loro insieme, questi tipi di problemi di sicurezza sono definiti vulnerabilità.
Dashboard della strategia di sicurezza di GKE
La dashboard della postura di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati strategici e strategici su potenziali problemi di sicurezza nei cluster GKE.
Se attivi una delle seguenti funzionalità della dashboard della postura di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:
Funzionalità della dashboard della postura di sicurezza di GKE | Classe dei risultati di Security Command Center |
---|---|
Controllo della configurazione del carico di lavoro | MISCONFIGURATION |
VULNERABILITY |
I risultati mostrano informazioni sul problema di sicurezza e forniscono per risolvere i problemi dei carichi di lavoro o dei cluster.
Visualizzare i risultati della dashboard della postura di sicurezza di GKE nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console operativa di sicurezza
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Motore per suggerimenti IAM
Motore per suggerimenti IAM consigli sui problemi che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM delle entità quando i ruoli contengono Autorizzazioni IAM non necessarie all'entità.
Abilita o disabilita i risultati del motore per suggerimenti IAM
Per attivare o disattivare i risultati del Recommender IAM in Security Command Center, segui questi passaggi:
Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
Seleziona Attiva o Disattiva a destra della voce.
I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.
Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente in una tabella dei risultati del motore per suggerimenti IAM. I passaggi per la correzione di ciascun rilevamento sono inclusi nella voce della tabella.
Visualizza i risultati del motore per suggerimenti IAM nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Consigliere IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Nella console Google Cloud, puoi anche visualizzare i risultati del Recommender IAM nella pagina Vulnerabilità selezionando la preimpostazione di query Recommender IAM.
Mandiant Attack Surface Management
Mandiant è leader mondiale nell’intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a stare al passo con gli ultimi attacchi informatici.
La gestione della superficie di attacco di Mandiant viene attivata automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.
Per informazioni sulle differenze tra il prodotto Mandiant Attack Surface Management autonomo e l'integrazione di Mandiant Attack Surface Management in Security Command Center, consulta ASM e Security Command Center nel portale della documentazione di Mandiant. Questo link richiede l'autenticazione di Mandiant.
Esamina i risultati di Mandiant Attack Surface Management nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console operativa di sicurezza
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Queste norme fungono da barriere e possono aiutarti con best practice, sicurezza e gestione della conformità dei tuoi cluster parco risorse.
Se installi Policy Controller,
e abilitare CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1
I bundle di Policy Controller, o entrambi, Policy Controller scrivono automaticamente
violazioni dei cluster a Security Command Center come classe Misconfiguration
i risultati. La descrizione dei risultati e i passaggi successivi in Security Command Center
i risultati sono gli stessi della descrizione del vincolo e dei passaggi di correzione
del bundle Policy Controller corrispondente.
I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:
- Benchmark CIS Kubernetes v.1.5.1,
un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida sicurezza
postura. Puoi anche visualizzare le informazioni su questo bundle nel
repository GitHub per
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
un pacchetto che valuta la conformità delle risorse del cluster ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1.
Puoi visualizzare informazioni su questo cofanetto anche nella
Repository GitHub per
pci-dss-v3
.
Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.
Motore di rischio
Il motore del rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati relativi alle vulnerabilità e alle tue risorse di alto valore e mostra i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.
Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, quando si verificano insieme in un pattern particolare, crea un percorso verso uno o più dei tuoi le risorse che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.
Quando Risk Engine rileva
una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION
.
Nel risultato, Risk Engine è elencato come origine del
il risultato.
Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.
Security Health Analytics
Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare e gli errori di configurazione più comuni.
Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli standard di sicurezza in modo da poter valutare la conformità.
Security Health Analytics esegue la scansione delle risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni con altre piattaforme cloud, Security Health Analytics può eseguire la scansione delle tue risorse anche su queste piattaforme cloud.
A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili sono diversi:
- Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di gravità media e elevata.
- La Livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
- La Livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.
Security Health Analytics viene attivato automaticamente quando attivi Security Command Center.
Per ulteriori informazioni, vedi:
- Panoramica di Security Health Analytics
- Come utilizzare Security Health Analytics
- Correzione dei risultati di Security Health Analytics
- Riferimento ai risultati di Security Health Analytics
Servizio di security posture
La servizio security posture è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato complessivo della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è allineato ai criteri che che definisci nella tua security posture.
Il servizio di postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.
Protezione dei dati sensibili
Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare la modalità Sensitive Data Protection per determinare se stai archiviando dati sensibili o personali che consentono l'identificazione personale (PII), come segue:
- Nomi di persone
- Numeri di carte di credito
- Documenti di identità nazionali o statali
- Numeri di documenti di identità dell'assicurazione sanitaria
- Secret
In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.
Se configuri l'operazione Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.
Vulnerabilità rilevate dal servizio di rilevamento di Sensitive Data Protection
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se stai per archiviare dati altamente sensibili non protetti.
Categoria | Riepilogo |
---|---|
Nome categoria nell'API:
|
Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet. Asset supportati:
Correzione: Per i dati di Google Cloud, rimuovi Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Standard di conformità: non mappati |
Nome categoria nell'API:
|
Ricerca di descrizione: sono presenti Secret, ad esempio come password, token di autenticazione e credenziali Google Cloud, Variabili di ambiente delle funzioni di Cloud Run. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati:
Correzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager. Standard di conformità:
|
Nome della categoria nell'API:
|
Ricerca di descrizione: sono presenti Secret, ad esempio come password, token di autenticazione e credenziali cloud, nel risorsa. Asset supportati:
Soluzione:
Standard di conformità: non mappato |
Risultati dell'osservazione di Sensitive Data Protection
Questa sezione descrive i risultati dell'osservazione generati da Sensitive Data Protection in Security Command Center.
Risultati dell'osservazione del servizio di discovery
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se i tuoi dati contengono infoType specifici e dove si trovano nell'organizzazione, nelle cartelle e nei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:
Data sensitivity
- Un'indicazione del livello di sensibilità dei dati in un determinato asset di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è la livello di sensibilità di Sensitive Data Protection calcolato quando generando il profilo dati.
Data risk
- Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, Sensitive Data Protection prende in considerazione il livello di sensibilità degli asset di dati e la presenza di controlli di accesso per proteggerli. La gravità del risultato è il livello di rischio dei dati che Protezione dei dati sensibili calcolate durante la generazione il profilo dati.
Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.
Per informazioni su come inviare i risultati dei profili dati a Security Command Center, consulta le seguenti risorse:
- Per Security Command Center Enterprise: abilita il rilevamento dei dati sensibili.
- Per Security Command Center Premium o Standard: pubblica i profili di dati in Security Command Center.
Risultati dell'osservazione dal servizio di ispezione di Sensitive Data Protection
Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati
di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o
Tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione
cerca tutte le stringhe che corrispondono al rilevatore di infoType CREDIT_CARD_NUMBER
in un bucket Cloud Storage.
Per ogni rilevatore di tipo di informazioni con una o più corrispondenze, Sensitive Data Protection genera un risultato corrispondente di Security Command Center. La categoria del risultato è il nome del rilevatore di infoType che ha trovato una corrispondenza, ad esempio Credit
card number
. Il risultato include il numero di stringhe corrispondenti che sono state
rilevato nel testo o nelle immagini della risorsa.
Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel ritrovato. Ad esempio, un risultato Credit card number
mostra il numero di
numeri di carte di credito trovati, ma non mostra i numeri effettivi delle carte di credito.
Perché ci sono più di 150 rilevatori di infoType integrati in Sensitive Data Protection, tutte le possibili categorie di risultati di Security Command Center non sono elencati qui. Per un elenco completo dei rilevatori di infoType, consulta la guida di riferimento per i rilevatori di infoType.
Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati dei job di ispezione di Sensitive Data Protection a Security Command Center.
Esamina i risultati di Sensitive Data Protection nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console operativa di sicurezza
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con il tuo identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Sensitive Data Protection. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
VM Manager
VM Manager è una suite di strumenti che puoi utilizzare per gestire i sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.
Se abiliti VM Manager con
il livello Premium di Security Command Center, VM Manager
scrive automaticamente i risultati high
e critical
dai propri report sulle vulnerabilità,
sono in anteprima in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi (SO) installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano il processo di utilizzo delle patch di VM Manager Funzionalità di conformità, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.
Per correggere i risultati di VM Manager, consulta Correggere i risultati di VM Manager.
Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.
Le vulnerabilità di questo tipo riguardano tutti i pacchetti di sistemi operativi installati in di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Nome categoria nell'API: |
Ricerca descrizione: VM Manager ha rilevato una vulnerabilità nella pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati |
di VM Manager report sulle vulnerabilità Descrivere in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per Compute Engine VM, tra cui Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:
|
Vulnerability Assessment per AWS
Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei carichi di lavoro in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.
Per ogni vulnerabilità rilevata, la valutazione delle vulnerabilità per AWS genera
Vulnerability
risultato del corso nel risultato Software vulnerability
in Security Command Center.
Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot della macchina EC2 in esecuzione per le istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agenti, perché non è installato alcun agente target della scansione.
Per ulteriori informazioni, consulta le seguenti risorse:
- Panoramica di Vulnerability Assessment per AWS
- Attivare e utilizzare Vulnerability Assessment per AWS
Web Security Scanner
Web Security Scanner fornisce la scansione delle vulnerabilità web gestite e personalizzate per le applicazioni web pubbliche di App Engine, GKE e Compute Engine.
Scansioni gestite
Le scansioni gestite di Web Security Scanner sono configurate e gestite tramite Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare e analizzare gli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano Richieste solo GET in modo che non inviino moduli su siti web attivi.
Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.
Se Security Command Center è attivato a livello di organizzazione, è possibile utilizzare le scansioni gestite per gestire centralmente le applicazioni web di base il rilevamento delle vulnerabilità per i progetti dell'organizzazione, coinvolgano singoli team di progetto. Una volta scoperti i risultati, puoi lavorare con questi team per configurare scansioni personalizzate più complete.
Quando attivi Web Security Scanner come servizio, i risultati delle scansioni gestite sono disponibili automaticamente nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come abilitare Web Security Scanner delle scansioni gestite, consulta Configura i servizi di Security Command Center.
Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una scansione personalizzata.
Scansioni personalizzate
Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, cross-site scripting o utilizzo di contenuti misti.
Le analisi personalizzate vengono definite a livello di progetto.
I risultati della scansione personalizzata sono disponibili in Security Command Center dopo aver completato la guida configurare le scansioni personalizzate di Web Security Scanner.
Rilevatori e conformità
Web Security Scanner supporta le categorie del OWASP Top Ten un documento che classifichi e fornisca indicazioni per rimediare ai primi 10 rischi critici per la sicurezza delle applicazioni web, in base a quanto determinato dall’Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta Opzioni di mitigazione dei 10 principali rischi OWASP su Google Cloud.
La mappatura della conformità è inclusa come riferimento e non viene fornita o esaminata dalla OWASP Foundation.
Questa funzionalità è pensata solo per monitorare le violazioni dei controlli di conformità. Le mappature non sono fornite per essere utilizzate come base o come sostituzione per la verifica, la certificazione o la segnalazione della conformità dei tuoi prodotti o servizi a eventuali benchmark o standard normativi o di settore.
Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.
Categoria | Descrizione del risultato | Top 10 OWASP 2017 | OWASP Top 10 2021 |
---|---|---|---|
Nome della categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico al repository GIT. Livello di prezzo: Standard |
A5 | A01 |
Nome categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi pubblico l'accesso involontario al repository SVN. Livello di prezzo: Standard |
A5 | A01 |
Nome categoria nell'API: |
Le password inserite nell'applicazione web possono essere invece memorizzate nella cache di una normale cache del browser. di archiviazione sicura delle password. Livello di prezzo: Premium |
A3 | A04 |
Nome categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo rilevamento, cripta la password trasmessa sulla rete. Livello di prezzo: Standard |
A3 | A02 |
Nome della categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Livello di prezzo: Premium |
A5 | A01 |
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso di Livello di prezzo: Premium |
A5 | A01 |
Nome della categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. A
risolvere questo risultato, impostare l'intestazione HTTP Livello di prezzo: Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, impostare correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard |
A6 | A05 |
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta HTTP le intestazioni di sicurezza. Livello di prezzo: Standard |
A6 | A05 |
Nome della categoria nell'API: |
Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse siano pubblicate tramite HTTPS. Livello di prezzo: Standard |
A6 | A05 |
Nome della categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Standard |
A9 | A06 |
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste. Livello di prezzo: Standard |
Non applicabile | A10 |
Nome della categoria nell'API: |
Quando effettui una richiesta interdominio, l'applicazione web include la sessione dell'utente
identificatore nell'intestazione della richiesta Livello di prezzo: Premium |
A2 | A07 |
Nome della categoria nell'API: |
È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL. Livello di prezzo: Premium |
A1 | A03 |
Nome categoria nell'API: |
L'utilizzo di una versione vulnerabile di Apache Struts è stato rilevato. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione. Livello di prezzo: Premium |
A8 | A08 |
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting (XSS). A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo rilevamento, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare un'applicazione web per far trapelare un file sull'host. Per risolvere questo risultato, configura il file XML per non consentire le entità esterne. Livello di prezzo: Premium |
A4 | A05 |
Nome categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando
alle proprietà dell'oggetto Livello di prezzo: Standard |
A1 | A03 |
Servizi di rilevamento delle minacce
I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.
Rilevamento di anomalie
Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento dall'esterno del tuo sistema. Visualizza informazioni granulari sulla sicurezza di anomalie rilevate per i progetti e le istanze di macchine virtuali (VM), ad esempio come potenziali credenziali divulgate. Il rilevamento di anomalie è automaticamente abilitati quando attivi Security Command Center Standard o Il livello Premium e i risultati sono disponibili nella console Google Cloud.
I risultati del rilevamento di anomalie includono quanto segue:
Nome anomalia | Categoria risultati | Descrizione |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Le credenziali di un account di servizio Google Cloud vengono accidentalmente sono trapelati online o sono compromessi. Gravità: critica |
L'account presenta credenziali divulgate
GitHub ha informato Security Command Center che le credenziali utilizzate per un commit, sembrano essere le credenziali Account di servizio Google Cloud Identity and Access Management.
La notifica include il nome dell'account di servizio e la chiave privata identificativo dell'utente. Google Cloud invia inoltre contatto designato per la sicurezza e la privacy invia una notifica via email.
Per risolvere il problema, esegui una o più delle seguenti azioni:
- Identifica l'utente legittimo della chiave.
- Ruota la chiave.
- Rimuovi la chiave.
- Esamina le azioni intraprese con la chiave dopo la sua divulgazione per assicurarti che nessuna sia stata dannosa.
JSON: risultato relativo alle credenziali dell'account compromesse
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection può rilevare gli attacchi più comuni al runtime dei container e avvisarti in Security Command Center e facoltativamente in Cloud Logging. Rilevamento delle minacce a container include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ guest kernel ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare i seguenti eventi:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Scopri di più su Container Threat Detection.
Event Threat Detection
Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Monitora lo stream di Cloud Logging per i progetti e consuma i log man mano che diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un esito in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il pulsante Il livello Premium e i risultati di Security Command Center sono disponibili in nella console Google Cloud.
Nella tabella seguente sono riportati alcuni esempi di risultati di Event Threat Detection.
Distruzione dei dati |
Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di backup e DR per i seguenti scenari:
|
Esfiltrazione di dati |
Rilevamento minacce da eventi rileva l'esfiltrazione dei dati da BigQuery e Cloud SQL esaminando i log di controllo per i seguenti scenari:
|
Attività sospette di Cloud SQL |
Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze Cloud SQL:
|
Attività sospette in AlloyDB per PostgreSQL |
Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze AlloyDB per PostgreSQL:
|
Forza bruta SSH | Event Threat Detection rileva l'attacco di forza bruta dell'autenticazione SSH tramite password esaminando i log syslog per verificare la presenza di errori ripetuti seguiti da un successo. |
Cryptomining | Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP non validi noti dei pool di mining. |
Illeciti IAM |
Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:
|
Blocco recupero sistema |
Event Threat Detection rileva modifiche anomale a Backup e DR che potrebbero influire sulla posizione di backup, incluse modifiche importanti ai criteri e rimozione di componenti critici di Backup e DR. |
Log4j | Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive. |
Malware | Event Threat Detection rileva il malware esaminando i log di flusso VPC e Log di Cloud DNS per le connessioni a comandi e controlli noti domini e IP. |
DoS in uscita | Event Threat Detection esamina i log di flusso VPC per rilevare il rifiuto in uscita di e il traffico dei servizi. |
Accesso anomalo | Event Threat Detection rileva un accesso anomalo esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor. |
Comportamento IAM anomalo |
Event Threat Detection rileva comportamenti anomali di IAM esaminando gli audit log di Cloud per i seguenti scenari:
|
Auto-indagine sull'account di servizio | Rilevamento minacce da eventi rileva quando viene utilizzata una credenziale dell'account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. |
Chiave SSH aggiunta dall'amministratore di Compute Engine | Event Threat Detection rileva una modifica al valore della chiave ssh dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana). |
Script di avvio aggiunto dall'amministratore Compute Engine | Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana). |
Attività sospetta dell'account | Event Threat Detection individua una potenziale compromissione di Google Workspace di account esaminando gli audit log per rilevare attività anomale dell'account, incluse password compromesse e tentativi di accessi sospetti. |
Attacco sostenuto da un governo | Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando gli aggressori sostenuti dai governi potrebbero aver tentato di compromettere un account o un computer dell'utente. |
Modifiche al Single Sign-On (SSO) | Rilevamento minacce da eventi esamina i log di controllo di Google Workspace per rilevare quando l'accessoSSO è disattivato o le impostazioni vengono modificate per gli account amministratore di Google Workspace. |
Verifica in due passaggi | Event Threat Detection esamina gli audit log di Google Workspace per rileva quando la verifica in due passaggi è disattivata per gli account utente e amministratore. |
Comportamento anomalo dell'API | Event Threat Detection rileva il comportamento anomalo dell'API esaminando gli audit log di Cloud per individuare richieste ai servizi Google Cloud che un principale non ha mai visto prima. |
Evasione della difesa |
Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari:
|
Discovery |
Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:
|
Accesso iniziale | Event Threat Detection rileva le operazioni di accesso iniziali tramite
esaminando gli audit log per gli scenari seguenti:
|
Escalation dei privilegi |
Event Threat Detection rileva l'escalation dei privilegi in GKE tramite esaminando gli audit log per gli scenari seguenti:
|
Rilevamento di Cloud IDS | Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un Event Threat Detection ricerca. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS. Anteprima |
Movimento laterale | Event Threat Detection rileva potenziali attacchi al disco di avvio modificato esaminando gli audit log di Cloud per rilevare scollegamento e ricollegamento frequenti del disco di avvio nelle istanze Compute Engine. |
Scopri di più su Event Threat Detection.
Google Cloud Armor
Google Cloud Armor ti aiuta a proteggere applicando un filtro di livello 7. Google Cloud Armor esegue la scansione delle richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.
Google Cloud Armor esporta due risultati in Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.
VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni su VM Threat Detection, consulta VM Threat Detection Panoramica.
Risultati delle minacce di VM Threat Detection
VM Threat Detection può generare i seguenti risultati relativi alle minacce.
Risultati relativi alle minacce legate al mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
Categoria | Modulo | Descrizione |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde a pattern di memoria, come le costanti proof-of-work, noti per essere utilizzati dal software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata sia dai moduli CRYPTOMINING_HASH sia da CRYPTOMINING_YARA .
Per ulteriori informazioni, vedi
Rilevamenti combinati
|
Risultati relativi alle minacce di rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni utilizzate dai malware.
KERNEL_MEMORY_TAMPERING
rileva le minacce facendo un confronto di hash sul
e la memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING
rileva le minacce controllando
e l'integrità di importanti strutture di dati del kernel.
Categoria | Modulo | Descrizione |
---|---|---|
Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice del kernel. |
Defense Evasion: Unexpected kernel read-only data modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dati di sola lettura del kernel. |
Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti punti ftrace con callback che rimandano a regioni non incluse
nell'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected interrupt handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo. |
Defense Evasion: Unexpected kernel modules Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti kprobe punti con callback che puntano a regioni che non si trovano
l'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected processes in runqueue Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono nella coda di esecuzione, ma non nell'elenco delle attività di elaborazione. |
Defense Evasion: Unexpected system call handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori chiamate di sistema che non si trovano nelle regioni del codice del kernel o del modulo previste. |
Rootkit | ||
Defense Evasion: Rootkit Anteprima
|
|
È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Rilevamento dell'osservazione di VM Threat Detection
VM Threat Detection può generare il seguente risultato dell'osservazione.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection è disabilitato. Fino a quando attiva questo servizio non può eseguire la scansione dei tuoi progetti e istanze VM per applicazioni indesiderate.
Questo risultato viene impostato su |
Alta |
Errori
I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati degli errori vengono generati
l'origine di sicurezza di Security Command Center
e
la classe dei risultati SCC errors
.
Azioni involontarie
Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
API disabled |
API_DISABLED |
Descrizione dei risultati: Un'API obbligatoria è disabilitata per il progetto. Il servizio disattivato non può inviare i risultati a Security Command Center. Livello di prezzo: Premium o Standard
Asset supportati Ricerca batch: ogni 60 ore |
Critico |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrizione del problema: le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece l'insieme di risorse di valore elevato predefinito. Questo errore può avere una delle seguenti cause:
Livello di prezzo: Premium
Asset supportati Scansioni batch: prima di ogni simulazione del percorso di attacco. |
Critico |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrizione dei risultati: Negli ultimi simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un ambiente un set di risorse. Di conseguenza, Security Command Center ha escluso il numero in eccesso di e istanze VM del set di risorse di alto valore. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse
dall'insieme sono identificati nel rilevamento I punteggi dell'esposizione agli attacchi per tutti i risultati che interessano la risorsa esclusa le istanze di risorse non riflettono la designazione di alto valore delle istanze di risorse. Livello di prezzo: Premium
Asset supportati Scansioni collettive: prima di ogni simulazione del percorso di attacco. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descrizione del problema:
non è possibile attivare il rilevamento delle minacce ai container nel cluster perché non è possibile estrarre (scaricare) un'immagine container obbligatoria da Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:
Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrizione dei risultati: Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un ingresso di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet che richiesto da Container Threat Detection. Quando visualizzati nella console Google Cloud, i dettagli dei risultati includono un messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire eseguire il deployment di un oggetto DaemonSet Container Threat Detection. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione del problema: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Rilevamento delle minacce a container potrebbe smettere di funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, aggiornata o disabilitata. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione dei risultati: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché L'account di servizio predefinito di GKE sul cluster non dispone delle autorizzazioni. In questo modo viene impedita l'attivazione di Container Threat Detection sul cluster. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni settimana |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrizione del problema: il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center impossibile inviare i risultati a Logging. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrizione dei risultati: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio L'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard
Asset supportati Ricerca collettiva: ogni 6 ore |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione dei risultati: L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono prodotti risultati. Livello di prezzo: Premium o Standard
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
Per ulteriori informazioni, vedi Errori di Security Command Center.
Passaggi successivi
- Scopri di più su Security Command Center e su casi d'uso di esempio nella panoramica di Security Command Center.
- Scopri come aggiungere nuove origini di sicurezza configurando i servizi di Security Command Center.