Cette page a été traduite par l'API Cloud Translation.

Sources de sécurité

Cette page contient une liste des sources de sécurité Google Cloud disponibles dans Security Command Center. Lorsque vous activez une source de sécurité, elle fournit des résultats sur les failles et les menaces à Security Command Center.

Vous pouvez afficher les résultats dans la console Google Cloud et les filtrer de différentes manières, par exemple par type de résultat, type de ressource ou pour un élément spécifique. Chaque source de sécurité peut fournir davantage de filtres pour vous aider à organiser vos résultats.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments et des sources de sécurité dépend du niveau d'accès qui vous est accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Failles

Les détecteurs de failles peuvent vous aider à identifier les vulnérabilités potentielles de vos ressources Google Cloud.

Tableau de bord de la stratégie de sécurité GKE

Le tableau de bord de stratégie de sécurité GKE est une page de la console Google Cloud qui vous fournit des informations avisées et exploitables sur les problèmes de sécurité potentiels dans vos clusters GKE.

Si vous activez l'une des fonctionnalités suivantes du tableau de bord de stratégie de sécurité GKE, les résultats s'afficheront au niveau Standard ou Premium de Security Command Center:

Fonctionnalité du tableau de bord de stratégie de sécurité GKE	Type de résultat Security Command Center
Audit de configuration de la charge de travail	`MISCONFIGURATION`
Analyse des failles de Container OS Analyse des failles des packages de langage Bulletins de sécurité exploitables (version preview)	`VULNERABILITY`

Les résultats affichent des informations sur le problème de sécurité et fournissent des recommandations pour résoudre les problèmes dans vos charges de travail ou clusters.

Afficher les résultats du tableau de bord de stratégie de sécurité GKE dans la console Google Cloud

Accédez à la page Résultats de Security Command Center dans la console Google Cloud:

Accéder
Sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section Nom à afficher de la source du volet Filtres rapides, sélectionnez Stratégie de sécurité GKE. Si vous ne voyez pas le filtre Stratégie de sécurité GKE, cela signifie qu'il n'y a aucun résultat actif.

Outil de recommandation IAM

L'outil de recommandation IAM génère des recommandations que vous pouvez suivre pour améliorer la sécurité en supprimant ou en remplaçant les rôles IAM des comptes principaux lorsque ceux-ci contiennent des autorisations IAM dont le compte principal n'a pas besoin.

Activer ou désactiver les résultats de l'outil de recommandation IAM

Pour activer ou désactiver les résultats de l'outil de recommandation IAM dans Security Command Center, procédez comme suit:

Accédez à l'onglet Services intégrés de la page Paramètres de Security Command Center dans la console Google Cloud:

Accéder aux paramètres
Si nécessaire, faites défiler la page jusqu'à l'entrée Outil de recommandation IAM.
À droite de l'entrée, sélectionnez Activer ou Désactiver.

Les résultats de l'outil de recommandation IAM sont classés comme des failles.

Pour corriger un résultat, développez la section suivante afin d'afficher un tableau contenant les résultats de l'outil de recommandation IAM. Les étapes de résolution pour chaque résultat sont incluses dans l'entrée du tableau.

Détecteurs de l'outil de recommandation IAM

Résultats de l'outil de recommandation IAM
Détecteur	Résumé
`IAM role has excessive permissions` Nom de la catégorie dans l'API : `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Description du résultat:l'outil de recommandation IAM a détecté un compte de service disposant d'un ou de plusieurs rôles IAM accordant des autorisations excessives au compte utilisateur. Niveau de tarification : Premium Composants compatibles: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigez ce résultat : Utilisez l'outil de recommandation IAM afin d'appliquer la correction recommandée pour ce résultat en procédant comme suit: Dans la section Étapes suivantes des détails du résultat dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse de votre navigateur, puis appuyez sur `Entrée`. La page IAM se charge. En haut à droite de la page IAM, cliquez sur `Afficher les recommandations dans le tableau`. Les recommandations sont affichées dans un tableau. Dans la colonne Insights sur la sécurité, cliquez sur une recommandation concernant les autorisations en excès. Le panneau des détails de la recommandation s'ouvre. Consultez la recommandation sur les mesures que vous pouvez prendre pour résoudre le problème. Cliquez sur `Appliquer`. Une fois le problème résolu, l'outil de recommandation IAM met à jour l'état du résultat sur `INACTIVE` dans les 24 heures.
`Service agent role replaced with basic role` Nom de la catégorie dans l'API : `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Description du résultat:l'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles excessivement permissifs et ne doivent pas être accordés aux agents de service. Niveau de tarification : Premium Composants compatibles: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigez ce résultat : Utilisez l'outil de recommandation IAM afin d'appliquer la correction recommandée pour ce résultat en procédant comme suit: Dans la section Étapes suivantes des détails du résultat dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse de votre navigateur, puis appuyez sur `Entrée`. La page IAM se charge. En haut à droite de la page IAM, cliquez sur `Afficher les recommandations dans le tableau`. Les recommandations sont affichées dans un tableau. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée aux autorisations en excès. Le panneau des détails de la recommandation s'ouvre. Examinez les autorisations en excès. Cliquez sur `Appliquer`. Une fois le problème résolu, l'outil de recommandation IAM met à jour l'état du résultat sur `INACTIVE` dans les 24 heures.
`Service agent granted basic role` Nom de la catégorie dans l'API : `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Description du résultat:l'outil de recommandation IAM a détecté qu'un agent de service s'est vu attribuer l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles excessivement permissifs et ne doivent pas être accordés aux agents de service. Niveau de tarification : Premium Composants compatibles: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigez ce résultat : Utilisez l'outil de recommandation IAM afin d'appliquer la correction recommandée pour ce résultat en procédant comme suit: Dans la section Étapes suivantes des détails du résultat dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse de votre navigateur, puis appuyez sur `Entrée`. La page IAM se charge. En haut à droite de la page IAM, cliquez sur `Afficher les recommandations dans le tableau`. Les recommandations sont affichées dans un tableau. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée aux autorisations en excès. Le panneau des détails de la recommandation s'ouvre. Examinez les autorisations en excès. Cliquez sur `Appliquer`. Une fois le problème résolu, l'outil de recommandation IAM met à jour l'état du résultat sur `INACTIVE` dans les 24 heures.
`Unused IAM role` Nom de la catégorie dans l'API : `UNUSED_IAM_ROLE`	Description du résultat:l'outil de recommandation IAM a détecté un compte utilisateur doté d'un rôle IAM qui n'a pas été utilisé au cours des 90 derniers jours. Niveau de tarification : Premium Composants compatibles: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigez ce résultat : Utilisez l'outil de recommandation IAM afin d'appliquer la correction recommandée pour ce résultat en procédant comme suit: Dans la section Étapes suivantes des détails du résultat dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse de votre navigateur, puis appuyez sur `Entrée`. La page IAM se charge. En haut à droite de la page IAM, cliquez sur `Afficher les recommandations dans le tableau`. Les recommandations sont affichées dans un tableau. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée aux autorisations en excès. Le panneau des détails de la recommandation s'ouvre. Examinez les autorisations en excès. Cliquez sur `Appliquer`. Une fois le problème résolu, l'outil de recommandation IAM met à jour l'état du résultat sur `INACTIVE` dans les 24 heures.

Afficher les résultats de l'outil de recommandation IAM dans la console

Dans la console Google Cloud, vous pouvez afficher les résultats fournis par l'outil de recommandation IAM sur la page Failles en sélectionnant le préréglage de requête de l'outil de recommandation IAM ou sur la page Résultats en sélectionnant Outil de recommandation IAM dans la section Nom à afficher de la source du panneau Filtres rapides.

Mandiant Attack Surface Management

Mandiant est l’un des leaders mondiaux de la Threat Intelligence de terrain. Mandiant Attack Surface Management identifie les failles et les erreurs de configuration de vos surfaces d’attaque externes pour vous tenir informé des dernières cyberattaques.

Mandiant Attack Surface Management est automatiquement activé lorsque vous activez le niveau Security Command Center Enterprise, et les résultats sont disponibles dans la console Google Cloud.

Consultez les résultats de Mandiant Attack Surface Management dans la console Google Cloud

Pour examiner les résultats dans la console Google Cloud, procédez comme suit:

Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Accéder
Sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section QuickFilters (Filtres rapides), sous la sous-section Source display name (Nom à afficher de la source), sélectionnez Mandiant Attack Surface Management.

Ce tableau contient les résultats de Mandiant Attack Surface Management.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Summary (Résumé).
Dans l'onglet Résumé, examinez les informations concernant le résultat, y compris les éléments détectés, la ressource concernée, etc.

Policy Controller

Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, à assurer la sécurité et à gérer la conformité de vos clusters et de votre parc.

Si vous installez Policy Controller et activez la version 1.5.1 du benchmark CIS de Kubernetes ou les groupes Policy Controller v3.2.1, ou les deux, Policy Controller écrit automatiquement les cas de non-respect des clusters dans Security Command Center en tant que résultats de la classe Misconfiguration. La description du résultat et les étapes suivantes dans les résultats de Security Command Center sont identiques à la description de la contrainte et aux étapes de résolution du bundle Policy Controller correspondant.

Les résultats de Policy Controller proviennent des groupes suivants de Policy Controller:

Le benchmark CIS de Kubernetes v.1.5.1 fournit un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. Vous pouvez également afficher des informations sur ce bundle dans le dépôt GitHub pour cis-k8s-v1.5.1.
PCI-DSS v3.2.1, un bundle qui évalue la conformité de vos ressources de cluster par rapport à certains aspects de la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. Vous pouvez également afficher des informations sur ce bundle dans le dépôt GitHub pour pci-dss-v3.

Pour trouver et corriger les résultats de Policy Controller, consultez la page Corriger les résultats de Policy Controller.

Détection rapide des failles

La fonctionnalité Rapid Vulnerability Detection exécute des analyses gérées qui détectent les failles dites "N jours", des exploits connus permettant un accès arbitraire aux données et l'exécution de code à distance, y compris les identifiants faibles, les installations logicielles incomplètes et les interfaces utilisateur administrateur exposées.

Pour obtenir la liste complète des failles détectées par la détection rapide des failles, consultez la page Résultats et corrections détectés rapidement par la détection rapide des failles.

les résultats et recommandations

Security Health Analytics est un service de détection intégré à Security Command Center qui fournit des analyses gérées de vos ressources cloud afin de détecter les erreurs de configuration courantes.

Lorsqu'une erreur de configuration est détectée, Security Health Analytics émet un résultat. La plupart des résultats de Security Health Analytics sont mappés aux contrôles des normes de sécurité afin que vous puissiez évaluer la conformité.

Security Health Analytics analyse vos ressources sur Google Cloud. Si vous utilisez le niveau Entreprise et que vous établissez des connexions à d'autres plates-formes cloud, Security Health Analytics peut également analyser vos ressources sur ces plates-formes cloud.

Les détecteurs disponibles diffèrent selon le niveau de service de Security Command Center que vous utilisez:

Au niveau Standard, Security Health Analytics n'inclut qu'un groupe de base de détecteurs de failles de gravité moyenne et élevée.
Le niveau Premium inclut tous les détecteurs de failles pour Google Cloud.
Le niveau Enterprise comprend des détecteurs supplémentaires pour d'autres plates-formes cloud.

Security Health Analytics est automatiquement activé lorsque vous activez Security Command Center.

Pour en savoir plus, consultez cette page :

Service de stratégie de sécurité

Le service de stratégie de sécurité est un service intégré au niveau Premium de Security Command Center. Il vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Il fournit des informations sur la manière dont votre environnement s'aligne sur les règles que vous définissez dans votre stratégie de sécurité.

Le service de stratégie de sécurité n'est pas lié au tableau de bord de stratégie de sécurité GKE, qui n'affiche que les résultats provenant de clusters GKE.

Résultats du service de stratégie de sécurité

Résultats concernant la stratégie de sécurité
Résultat	Résumé
`SHA Canned Module Drifted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_DETECTOR_DRIFT`	Description du résultat:le service de stratégie de sécurité a détecté une modification apportée à un détecteur Security Health Analytics en dehors d'une mise à jour de la stratégie. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les paramètres de détection de votre position et de votre environnement correspondent. Vous avez deux options pour résoudre ce résultat: mettre à jour le détecteur Security Health Analytics ou modifier la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour le détecteur Security Health Analytics dans la console Google Cloud. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`SHA Custom Module Drifted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_DETECTOR_DRIFT`	Description du résultat:le service de stratégie de sécurité a détecté une modification apportée à un module personnalisé d'analyse de l'état de sécurité, qui s'est produite en dehors d'une mise à jour de stratégie. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les paramètres du module personnalisé de votre position et de votre environnement correspondent. Vous disposez de deux options pour résoudre ce résultat: vous pouvez mettre à jour le module personnalisé d'Analyse de l'état de sécurité, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour le module personnalisé d'analyse de l'état de la sécurité dans la console Google Cloud. Pour obtenir des instructions, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`SHA Custom Module Deleted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_DETECTOR_DELETE`	Description du résultat:le service de stratégie de sécurité a détecté la suppression d'un module personnalisé de Security Health Analytics. Cette suppression a eu lieu en dehors d'une mise à jour de la position. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les paramètres du module personnalisé de votre position et de votre environnement correspondent. Vous disposez de deux options pour résoudre ce résultat: vous pouvez mettre à jour le module personnalisé d'Analyse de l'état de sécurité, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour le module personnalisé d'analyse de l'état de la sécurité dans la console Google Cloud. Pour obtenir des instructions, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`Org Policy Canned Constraint Drifted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_POLICY_DRIFT`	Description du résultat:le service de stratégie de sécurité a détecté une modification d'une règle d'administration survenue en dehors d'une mise à jour de la stratégie. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les définitions des règles d'administration dans votre stratégie correspondent à celles de votre environnement. Vous disposez de deux options pour résoudre ce résultat: mettre à jour la règle d'administration, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour la règle d'administration dans la console Google Cloud. Pour obtenir des instructions, consultez Créer et modifier des règles. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`Org Policy Canned Constraint Deleted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_POLICY_DELETE`	Description du résultat:le service de stratégie de sécurité a détecté la suppression d'une règle d'administration. Cette suppression a eu lieu en dehors d'une mise à jour de la position. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les définitions des règles d'administration dans votre stratégie correspondent à celles de votre environnement. Vous disposez de deux options pour résoudre ce résultat: mettre à jour la règle d'administration, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour la règle d'administration dans la console Google Cloud. Pour obtenir des instructions, consultez Créer et modifier des règles. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`Org Policy Custom Constraint Drifted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_POLICY_DRIFT`	Description du résultat:le service de stratégie de sécurité a détecté une modification d'une règle d'administration personnalisée survenue en dehors d'une mise à jour de la stratégie. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les définitions de règles d'administration personnalisées de votre stratégie et de votre environnement correspondent. Vous disposez de deux options pour résoudre ce résultat: mettre à jour la règle d'administration personnalisée, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour une contrainte personnalisée. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.
`Org Policy Custom Constraint Deleted` Nom de la catégorie dans l'API : `SECURITY_POSTURE_POLICY_DELETE`	Description du résultat:le service de stratégie de sécurité a détecté la suppression d'une règle d'administration personnalisée. Cette suppression a eu lieu en dehors d'une mise à jour de la position. Niveau de tarification : Premium Corrigez ce résultat : Ce résultat nécessite que vous acceptiez la modification ou que vous l'annuliez afin que les définitions de règles d'administration personnalisées de votre stratégie et de votre environnement correspondent. Vous disposez de deux options pour résoudre ce résultat: mettre à jour la règle d'administration personnalisée, ou mettre à jour la stratégie et le déploiement de la stratégie. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour une contrainte personnalisée. Pour accepter la modification, procédez comme suit: Mettez à jour le fichier `posture.yaml` avec la modification. Exécutez la commande `gcloud scc postures update`. Pour obtenir des instructions, consultez Modifier une posture. Déployez la stratégie mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la section Mettre à jour un déploiement de stratégie.

Protection des données sensibles

La protection des données sensibles est un service Google Cloud entièrement géré qui vous aide à détecter, classer et protéger vos données sensibles. La protection des données sensibles vous permet de déterminer si vous stockez des informations sensibles ou permettant d'identifier personnellement l'utilisateur, telles que les suivantes:

Noms des personnes
Numéros de cartes de crédit
Numéros d'identification nationaux ou d'État
Numéros d'identification des assurances santé
Secrets

Dans la protection des données sensibles, chaque type de données sensibles que vous recherchez est appelé infoType.

Si vous configurez votre opération de protection des données sensibles pour envoyer les résultats à Security Command Center, vous pouvez les consulter directement dans la section "Security Command Center" de la console Google Cloud, en plus de la section "Protection des données sensibles".

Résultats de failles du service de détection de la protection des données sensibles

Le service de découverte de la protection des données sensibles vous aide à déterminer si vos variables d'environnement Cloud Functions contiennent des secrets, tels que des mots de passe, des jetons d'authentification et des identifiants Google Cloud. Pour obtenir la liste complète des types de secrets détectés par la protection des données sensibles dans cette fonctionnalité, consultez la section Identifiants et secrets.

Type de résultat Description du résultat Normes de conformité

Type de résultat	Description du résultat	Normes de conformité
`Secrets in environment variables` Nom de la catégorie dans l'API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Ce détecteur vérifie la présence de secrets dans les variables d'environnement Cloud Functions. Solution : supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Secrets in environment variables

Nom de la catégorie dans l'API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Ce détecteur vérifie la présence de secrets dans les variables d'environnement Cloud Functions.

Solution : supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

À partir du moment où vous activez la découverte de secrets dans la protection des données sensibles, l'analyse initiale des variables d'environnement et l'affichage des résultats "Secrets dans les variables d'environnement" dans Security Command Center peuvent prendre jusqu'à 12 heures. Ensuite, la protection des données sensibles analyse les variables d'environnement toutes les 24 heures. En pratique, les analyses peuvent être exécutées plus fréquemment.

Pour activer ce détecteur, consultez la section Signaler des secrets dans des variables d'environnement à Security Command Center dans la documentation sur la protection des données sensibles.

Résultats des observations de Sensitive Data Protection

Cette section décrit les résultats des observations générés par la protection des données sensibles dans Security Command Center.

Résultats des observations du service de découverte

Le service de découverte de la protection des données sensibles vous aide à déterminer si vos données BigQuery contiennent des infoTypes spécifiques et leur emplacement dans votre organisation, vos dossiers et vos projets.

Une opération de découverte génère des profils des données BigQuery sous-jacentes au niveau du projet, de la table et des colonnes. Chaque profil de données de table génère les catégories de résultats suivantes dans Security Command Center:

Data sensitivity: Indique le niveau de sensibilité des données d'une table spécifique. Les données sont dites sensibles si elles contiennent des informations permettant d'identifier personnellement l'utilisateur ou d'autres éléments qui peuvent nécessiter un contrôle ou une gestion supplémentaire. La gravité du résultat correspond au niveau de sensibilité calculé par Sensitive Data Protection lors de la génération du profil de données.
Data risk: Risque associé aux données dans leur état actuel. Lors du calcul du risque lié aux données, la protection des données sensibles tient compte du niveau de sensibilité des données de la table et de la présence de contrôles d'accès pour protéger ces données. La gravité du résultat correspond au niveau de risque des données calculé par la protection des données sensibles lors de la génération du profil de données.

À partir du moment où la protection des données sensibles génère les profils de données, l'affichage des résultats Data sensitivity et Data risk associés peut prendre jusqu'à six heures dans Security Command Center.

Pour savoir comment envoyer les résultats des profils de données à Security Command Center, consultez la page Activer la détection de données sensibles.

Résultats des observations du service d'inspection de la protection des données sensibles

Une tâche d'inspection Sensitive Data Protection identifie chaque instance de données d'un infoType spécifique dans un système de stockage tel qu'un bucket Cloud Storage ou une table BigQuery. Par exemple, vous pouvez exécuter une tâche d'inspection qui recherche toutes les chaînes correspondant au détecteur d'infoType CREDIT_CARD_NUMBER dans un bucket Cloud Storage.

Pour chaque détecteur d'infoType ayant une ou plusieurs correspondances, Sensitive Data Protection génère un résultat Security Command Center correspondant. La catégorie de résultat est le nom du détecteur d'infoType ayant généré une correspondance (par exemple, Credit card number). Le résultat inclut le nombre de chaînes correspondantes détectées dans le texte ou les images de la ressource.

Pour des raisons de sécurité, les chaînes détectées ne sont pas incluses dans le résultat. Par exemple, un résultat Credit card number indique le nombre de numéros de carte de crédit trouvés, mais pas les numéros de carte de crédit réels.

Étant donné qu'il existe plus de 150 détecteurs d'infoTypes intégrés dans la protection des données sensibles, toutes les catégories de résultats possibles de Security Command Center ne sont pas listées ici. Pour obtenir la liste complète des détecteurs d'infoTypes, consultez la documentation de référence sur les détecteurs d'infoTypes.

Pour plus d'informations sur l'envoi des résultats d'une tâche d'inspection à Security Command Center, consultez la section Envoyer les résultats du job d'inspection Sensitive Data Protection à Security Command Center.

Examiner les résultats de Sensitive Data Protection dans la console Google Cloud

Pour examiner les résultats dans la console Google Cloud, procédez comme suit:

Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Accéder
Sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section Filtres rapides de la sous-section Nom à afficher de la source, sélectionnez Protection des données sensibles.

La table contient les résultats de la protection des données sensibles.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Summary (Résumé).
Dans l'onglet Résumé, examinez les informations concernant le résultat, y compris les éléments détectés, la ressource concernée, etc.

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Pour utiliser VM Manager avec des activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.

Si vous activez VM Manager avec le niveau Premium de Security Command Center, VM Manager écrit automatiquement dans Security Command Center les résultats high et critical à partir de ses rapports sur les failles, qui sont en version preview. Les rapports identifient les failles des systèmes d'exploitation (OS) installés sur les VM, y compris les failles et expositions communes (CVE).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.

Pour corriger les résultats de VM Manager, consultez la section Corriger les résultats de VM Manager.

Pour arrêter l'écriture de rapports sur les failles dans Security Command Center, consultez la section Ignorer les résultats de VM Manager.

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

**Tableau 24.** Rapports de failles de VM Manager
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`OS vulnerability` Nom de la catégorie dans l'API : `OS_VULNERABILITY`	Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes. Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la section Détails des systèmes d'exploitation. Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit : Pour la plupart des failles du package du système d'exploitation installé, l'API OS Config génère un rapport de faille dans les minutes qui suivent la modification. En cas de failles CVE, l'API OS Config génère le rapport de failles dans un délai de trois à quatre heures après la publication des failles CVE sur le système d'exploitation.

Les fonctionnalités d'analyse gérées

Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.

Analyses gérées

Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.

Les analyses gérées sont exécutées séparément des analyses personnalisées.

Si Security Command Center est activé au niveau de l'organisation, vous pouvez utiliser les analyses gérées pour gérer de manière centralisée la détection de base des failles des applications Web pour les projets de votre organisation, sans impliquer les équipes de projet individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.

Lorsque vous activez Web Security Scanner en tant que service, les résultats de l'analyse gérée sont automatiquement disponibles sur la page Failles de Security Command Center et dans les rapports associés. Pour en savoir plus sur l'activation des analyses gérées de Web Security Scanner, consultez la section Configurer Security Command Center.

Les analyses gérées ne sont compatibles qu'avec les applications qui utilisent le port par défaut, à savoir 80 pour les connexions HTTP et 443 pour les connexions HTTPS. Si votre application utilise un port autre que celui par défaut, effectuez une analyse personnalisée.

Analyses personnalisées

Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes.

Les analyses personnalisées sont définies au niveau du projet.

Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez suivi le guide de configuration des analyses personnalisées de Web Security Scanner.

Détecteurs et conformité

Web Security Scanner accepte les catégories du Top 10 de l'OWASP, un document qui classe les 10 risques de sécurité les plus critiques pour les applications Web identifiés par le projet OWASP (Open Web Application Security Project) et fournit des conseils de résolution pour chacun. Pour obtenir des conseils visant à réduire les risques identifiés par l'OWASP, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Le mappage de conformité est inclus pour référence et n'est pas fourni ni examiné par la Fondation OWASP.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Catégorie	Description du résultat	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` Nom de la catégorie dans l'API : `ACCESSIBLE_GIT_REPOSITORY`	Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. Niveau de tarification : Standard Corriger ce résultat	A5	A01
`Accessible SVN repository` Nom de la catégorie dans l'API : `ACCESSIBLE_SVN_REPOSITORY`	Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. Niveau de tarification : Standard Corriger ce résultat	A5	A01
`Cacheable password input` Nom de la catégorie dans l'API : `CACHEABLE_PASSWORD_INPUT`	Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé. Niveau de tarification : Premium Corriger ce résultat	A3	A04
`Clear text password` Nom de la catégorie dans l'API : `CLEAR_TEXT_PASSWORD`	Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. Niveau de tarification : Standard Corriger ce résultat	A3	A02
`Insecure allow origin ends with validation` Nom de la catégorie dans l'API : `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple `.endsWith(".google.com")`. Niveau de tarification : Premium Corriger ce résultat	A5	A01
`Insecure allow origin starts with validation` Nom de la catégorie dans l'API : `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin` (par exemple, `.equals(".google.com")`). Niveau de tarification : Premium Corriger ce résultat	A5	A01
`Invalid content type` Nom de la catégorie dans l'API : `INVALID_CONTENT_TYPE`	Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour corriger ce résultat, définissez l'en-tête HTTP `X-Content-Type-Options` sur la valeur correcte. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Invalid header` Nom de la catégorie dans l'API : `INVALID_HEADER`	Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Mismatching security header values` Nom de la catégorie dans l'API : `MISMATCHING_SECURITY_HEADER_VALUES`	Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Misspelled security header name` Nom de la catégorie dans l'API : `MISSPELLED_SECURITY_HEADER_NAME`	Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Mixed content` Nom de la catégorie dans l'API : `MIXED_CONTENT`	Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Outdated library` Nom de la catégorie dans l'API : `OUTDATED_LIBRARY`	Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. Niveau de tarification : Standard Corriger ce résultat	A9	A06
`Server side request forgery` Nom de la catégorie dans l'API : `SERVER_SIDE_REQUEST_FORGERY`	Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes. Niveau de tarification : Standard Corriger ce résultat	Non applicable	A10
`Session ID leak` Nom de la catégorie dans l'API : `SESSION_ID_LEAK`	Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête `Referer`. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique. Niveau de tarification : Premium Corriger ce résultat	A2	A07
`SQL injection` Nom de la catégorie dans l'API : `SQL_INJECTION`	Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL. Niveau de tarification : Premium Corriger ce résultat	A1	A03
`Struts insecure deserialization` Nom de la catégorie dans l'API : `STRUTS_INSECURE_DESERIALIZATION`	L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. Niveau de tarification : Premium Corriger ce résultat	A8	A08
`XSS` Nom de la catégorie dans l'API : `XSS`	Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XSS angular callback` Nom de la catégorie dans l'API : `XSS_ANGULAR_CALLBACK`	Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XSS error` Nom de la catégorie dans l'API : `XSS_ERROR`	Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XXE reflected file leakage` Nom de la catégorie dans l'API : `XXE_REFLECTED_FILE_LEAKAGE`	Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes. Niveau de tarification : Premium Corriger ce résultat	A4	A05
`Prototype pollution` Nom de la catégorie dans l'API : `PROTOTYPE_POLLUTION`	L'application est vulnérable à la pollution des prototypes. Cette faille se produit lorsque des valeurs contrôlables par le pirate peuvent être attribuées aux propriétés de l'objet `Object.prototype`. Les valeurs installées sur ces prototypes sont universellement supposées se traduire par des scripts intersites ou des failles similaires côté client, ainsi que par des bugs de logique. Niveau de tarification : Standard Corriger ce résultat	A1	A03

Menaces

Les détecteurs de menaces peuvent vous aider à détecter des événements potentiellement dangereux.

Détection d'anomalies

La détection d'anomalies est un service intégré qui utilise des signaux de comportement provenant de l'extérieur de votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et vos instances de machines virtuelles (VM), telles que la fuite potentielle d'identifiants. La détection d'anomalies est automatiquement activée lorsque vous activez Security Command Center au niveau Standard ou Premium, et les résultats sont disponibles dans la console Google Cloud.

Les résultats de détection d'anomalies incluent les éléments suivants:

Nom de l'anomalie Catégorie de résultats Description

Nom de l'anomalie	Catégorie de résultats	Description
`Account has leaked credentials`	`account_has_leaked_credentials`	Les identifiants d'un compte de service Google Cloud sont divulgués en ligne ou compromis. Gravité:critique

Account has leaked credentials

account_has_leaked_credentials

Les identifiants d'un compte de service Google Cloud sont divulgués en ligne ou compromis.

Gravité:critique

Des identifiants sont divulgués pour ce compte

GitHub a informé Security Command Center que les identifiants utilisés pour un commit semblent être les identifiants d'un compte de service Google Cloud Identity and Access Management.

Cette notification inclut le nom du compte de service et l'identifiant de la clé privée. Google Cloud envoie également une notification par e-mail à votre contact désigné pour la sécurité et la confidentialité.

Pour résoudre ce problème, effectuez une ou plusieurs des actions suivantes:

Identifiez l'utilisateur légitime de la clé.
Effectuer une rotation de la clé
Supprimez la clé.
Examinez toutes les actions entreprises par la clé après la fuite de celle-ci pour vous assurer qu'aucune de ces actions n'était malveillante.

JSON: fuite d'identifiants de compte

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et effectue un traitement du langage naturel sur les scripts pour détecter les événements suivants:

Fichier binaire ajouté exécuté
Ajout de bibliothèque chargée
Exécution: ajout d'un binaire malveillant exécuté
Exécution: ajout d'une bibliothèque malveillante chargée
Exécution: fichier binaire malveillant intégré exécuté
Exécution: binaire malveillant modifié exécuté
Exécution: Bibliothèque malveillante modifiée chargée
Script malveillant exécuté
Shell inversé
Shell enfant inattendu

Apprenez-en davantage sur Container Threat Detection.

Event Threat Detection

Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging pour les projets et utilise les journaux dès qu'ils sont disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous activez le niveau Premium de Security Command Center, et les résultats sont disponibles dans la console Google Cloud.

Le tableau suivant présente des exemples de résultats d'Event Threat Detection.

**Tableau C.** Types de résultats Event Threat Detection
Destruction des données	Event Threat Detection détecte la destruction des données en examinant les journaux d'audit du serveur de gestion du service de sauvegarde et de reprise après sinistre pour les scénarios suivants: Suppression d'une image de back-up Suppression de toutes les images de back-up associées à une application Suppression d'un dispositif de sauvegarde/récupération
Exfiltration de données	Event Threat Detection détecte l'exfiltration de données de BigQuery et de Cloud SQL en recherchant dans les journaux d'audit les scénarios suivants : Une ressource BigQuery est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls. Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls. Une ressource Cloud SQL est entièrement ou partiellement exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket appartenant à votre organisation et accessible au public. Une sauvegarde Cloud SQL est restaurée sur une instance Cloud SQL en dehors de votre organisation. Une ressource BigQuery appartenant à votre organisation est exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket de votre organisation accessible à tous.Bêta Une ressource BigQuery appartenant à votre organisation est exportée vers un dossier Google Drive.
Activité suspecte Cloud SQL	Event Threat Detection examine les journaux d'audit pour détecter les événements suivants, susceptibles d'indiquer le piratage d'un compte utilisateur valide sur des instances Cloud SQL: Un utilisateur de base de données dispose de tous les droits sur une base de données Cloud SQL pour PostgreSQL, ou sur l'ensemble des tables, procédures ou fonctions d'un schéma. Un super-utilisateur de compte de base de données Cloud SQL par défaut ("postgres" sur les instances PostgreSQL ou "root" sur les instances MySQL) est utilisé pour écrire dans des tables non système.
Activité suspecte AlloyDB pour PostgreSQL	Event Threat Detection examine les journaux d'audit pour détecter les événements suivants, susceptibles d'indiquer le piratage d'un compte utilisateur valide sur les instances AlloyDB pour PostgreSQL: Un utilisateur de base de données dispose de tous les droits sur une base de données AlloyDB pour PostgreSQL, ou sur l'ensemble des tables, procédures ou fonctions d'un schéma. Un super-utilisateur de compte de base de données par défaut AlloyDB pour PostgreSQL (postgres) permet d'écrire dans des tables non système.
Attaques par force brute SSH	Event Threat Detection détecte la force brute de l'authentification SSH par mot de passe en examinant les journaux syslog pour détecter les échecs répétés et les réussites.
Minage de cryptomonnaie	Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects ou des adresses IP de pools de minage.
Abus IAM	Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple : Ajouter un utilisateur gmail.com à une stratégie avec le rôle d'éditeur de projet Invitez un utilisateur de gmail.com en tant que propriétaire de projet à partir de la console Google Cloud. Compte de service accordant des autorisations sensibles Rôle personnalisé disposant d'autorisations sensibles Compte de service ajouté depuis l'extérieur de votre organisation
Empêcher la récupération du système	Event Threat Detection détecte les modifications anormales apportées à la sauvegarde et à la reprise après sinistre qui peuvent avoir un impact sur la stratégie de sauvegarde, y compris les modifications majeures des stratégies et la suppression des composants critiques de sauvegarde et de reprise après sinistre.
Log4j	Event Threat Detection détecte les tentatives possibles d'exploitation de Log4j et des failles actives Log4j.
Logiciels malveillants	Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour détecter les connexions à des domaines et adresses IP de commande et de contrôle connus.
DoS sortant	Event Threat Detection examine les journaux de flux VPC pour détecter le trafic sortant par déni de service.
Accès anormal	Event Threat Detection détecte les accès anormaux en consultant les journaux Cloud Audit pour examiner les modifications apportées aux services Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Comportement IAM anormal	Event Threat Detection détecte les comportements IAM anormaux en examinant les journaux Cloud Audit Logs dans les cas suivants : Comptes utilisateur et de service IAM accédant à Google Cloud à partir d'adresses IP anormales. Comptes de service IAM accédant à Google Cloud depuis des user-agents anormaux Comptes principaux et ressources qui usurpent l'identité des comptes de service IAM pour accéder à Google Cloud.
Auto-enquête sur les comptes de service	Event Threat Detection détecte quand un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service.
Ajout d'une clé SSH par l'administrateur Compute Engine	Event Threat Detection détecte une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
L'administrateur Compute Engine a ajouté un script de démarrage	Event Threat Detection détecte une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Activité suspecte sur votre compte	Event Threat Detection détecte les menaces potentielles affectant les comptes Google Workspace en examinant les journaux d'audit pour détecter les activités anormales, y compris les fuites de mots de passe et les tentatives de connexion suspectes.
Attaque de personnes malveillantes soutenues par un gouvernement	Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si des pirates informatiques soutenus par un gouvernement ont pu tenter de compromettre le compte ou l'ordinateur d'un utilisateur.
Modifications de l'authentification unique (SSO)	Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si l'authentification unique est désactivée ou si les paramètres sont modifiés pour les comptes d'administrateurs Google Workspace.
Validation en deux étapes	Event Threat Detection examine les journaux d'audit Google Workspace pour détecter les cas où la validation en deux étapes est désactivée pour les comptes utilisateur et administrateur.
Comportement anormal de l'API	Event Threat Detection détecte le comportement anormal des API en examinant les journaux d'audit Cloud pour rechercher des requêtes de services Google Cloud qu'un compte principal n'a pas encore vus.
Défense de l'évasion	Event Threat Detection détecte le contournement des défenses en examinant Cloud Audit Logs dans les cas suivants: Modifications apportées aux périmètres VPC Service Controls existants pouvant entraîner la réduction de la protection offerte Déploiements ou mises à jour de charges de travail qui utilisent l'option "bris de glace" pour remplacer les contrôles de l'autorisation binaire.^Aperçu
Découverte	Event Threat Detection détecte les opérations de découverte en examinant les journaux d'audit afin d'identifier les scénarios suivants : Un acteur potentiellement malveillant a tenté de déterminer les objets sensibles dans GKE sur lesquels il peut interroger, à l'aide de la commande `kubectl`. Des identifiants de compte de service sont utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Accès initial	Event Threat Detection détecte les opérations d'accès initiales en examinant les journaux d'audit dans les cas suivants : Un compte de service géré par l'utilisateur inactif a déclenché une action.^Preview Un compte principal a tenté d'appeler diverses méthodes Google Cloud, mais a échoué à plusieurs reprises en raison d'erreurs d'autorisation refusée.^Aperçu
Élévation des privilèges	Event Threat Detection détecte l'élévation des privilèges dans GKE en examinant les journaux d'audit afin d'identifier les scénarios suivants : Pour élever des privilèges, un acteur potentiellement malveillant a tenté de modifier un objet de contrôle des accès basé sur les rôles (RBAC) `ClusterRole`, `RoleBinding` ou `ClusterRoleBinding` du rôle `cluster-admin` sensible à l'aide d'une requête `PUT` ou `PATCH`. Un acteur potentiellement malveillant a créé une demande de signature de certificat (CSR) Kubernetes maître, ce qui lui donne un accès `cluster-admin`. Pour élever des privilèges, un acteur potentiellement malveillant a tenté de créer un objet `RoleBinding` ou `ClusterRoleBinding` pour le rôle `cluster-admin`. Un acteur potentiellement malveillant a interrogé une requête de signature de certificat (CSR, Certificate Signing Request), à l'aide de la commande `kubectl`, à l'aide d'identifiants d'amorçage compromis. Un acteur potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou des conteneurs dotés de fonctionnalités d'élévation des privilèges.
Détections Cloud IDS	Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'il détecte un événement suspect, déclenche un résultat Event Threat Detection. Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur Cloud IDS Logging. ^Aperçu
Mouvement latéral	Event Threat Detection détecte les attaques potentielles sur des disques de démarrage modifiés en examinant Cloud Audit Logs pour détecter les dissociations et rattachements fréquents des disque de démarrage sur les instances Compute Engine.

Apprenez-en davantage sur Event Threat Detection.

Forseti Security

Forseti Security vous offre des outils pour comprendre toutes les ressources à votre disposition dans Google Cloud. Les modules Forseti principaux fonctionnent conjointement pour vous fournir des informations complètes afin que vous puissiez sécuriser les ressources et minimiser les risques de sécurité.

Pour afficher les notifications de violation de Forseti dans Security Command Center, suivez le guide de notification de Security Command Center pour Forseti.

Pour en savoir plus, consultez les pages suivantes :

Apprenez-en plus sur Forseti.
Obtenez de l'aide sur Forseti.

Google Cloud Armor

Google Cloud Armor contribue à protéger votre application en fournissant un filtrage de couche 7. Google Cloud Armor nettoie les requêtes entrantes pour détecter les attaques Web courantes ou d'autres attributs de couche 7 afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets backend.

Google Cloud Armor exporte deux résultats vers Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, permet de détecter les menaces via une instrumentation de niveau hyperviseur et une analyse des disques persistants. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.

Résultats des menaces VM Threat Detection

VM Threat Detection peut générer les résultats de menaces suivants.

Identification de menaces liées au minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes via la correspondance de hachage ou les règles YARA.

Résultats des menaces liées au minage de cryptomonnaie par VM Threat Detection
Catégorie	Module	Description
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifie une menace qui a été détectée par les modules `CRYPTOMINING_HASH` et `CRYPTOMINING_YARA`. Pour en savoir plus, consultez la section Détections combinées.

Résultats de menaces liés au rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau au moment de l'exécution pour détecter les techniques de contournement courantes utilisées par les logiciels malveillants.

Le module KERNEL_MEMORY_TAMPERING détecte les menaces en comparant le hachage du code du noyau et de la mémoire de données du noyau en lecture seule d'une machine virtuelle.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l'intégrité des structures de données importantes du noyau.

Résultats des menaces liées au rootkit en mode noyau de VM Threat Detection
Catégorie	Module	Description
Altération de la mémoire du noyau
`Defense Evasion: Unexpected kernel code modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de code du noyau sont présentes.
`Defense Evasion: Unexpected kernel read-only data modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Altération de l'intégrité du noyau
`Defense Evasion: Unexpected ftrace handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des points `ftrace` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected interrupt handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Interrompre les gestionnaires qui ne se trouvent pas dans le noyau ou dans les régions de code de module attendus sont présents.
`Defense Evasion: Unexpected kernel modules`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des pages de code de noyau qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présentes.
`Defense Evasion: Unexpected kprobe handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des points `kprobe` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected processes in runqueue`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des processus inattendus sont présents dans la file d'attente d'exécution du programmeur. Ces processus se trouvent dans la file d'attente d'exécution, mais pas dans la liste des tâches.
`Defense Evasion: Unexpected system call handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présents.
rootkit
`Defense Evasion: Rootkit`^Aperçu	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Une combinaison de signaux correspondant à un rootkit en mode noyau connu est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés.

Résultat des observations issues de VM Threat Detection

VM Threat Detection peut générer le résultat d'observation suivant.

Résultat d'observation de VM Threat Detection
Nom de la catégorie	Nom de l'API	Résumé	Gravité
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection est désactivée. Tant que vous n'avez pas enable ce service, il ne peut pas analyser vos projets Compute Engine et vos instances de VM pour rechercher des applications indésirables. Ce résultat est défini sur `INACTIVE` après 30 jours. Après cela, ce résultat n'est plus généré.	Élevée

Erreurs

Les détecteurs d'erreurs peuvent vous aider à détecter des erreurs dans votre configuration qui empêchent les sources de sécurité de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center et ont la classe de résultat SCC errors.

Actions accidentelles

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.

Actions involontaires
Nom de la catégorie	Nom de l'API	Résumé	Gravité
`API disabled`	`API_DISABLED`	Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center. Niveau de tarification:Premium ou Standard Composants compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 60 heures Corriger ce résultat	Critique
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Description du résultat:les configurations de valeurs de ressources sont définies pour les simulations de chemin d'attaque, mais ne correspondent à aucune instance de ressource de votre environnement. Les simulations utilisent plutôt l'ensemble de ressources à forte valeur par défaut. Cette erreur peut avoir l'une des causes suivantes: Aucune des configurations de valeurs de ressources ne correspond à une instance de ressource. Une ou plusieurs configurations de valeurs de ressources qui spécifient `NONE` remplacent toutes les autres configurations valides. Toutes les configurations de valeurs de ressources définies spécifient la valeur `NONE`. Niveau de tarification:Premium Composants compatibles cloudresourcemanager.googleapis.com/Organizations Analyses par lot: avant chaque simulation de chemin d'attaque. Corriger ce résultat	Critique
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Description du résultat:dans la dernière simulation du chemin d'attaque, le nombre d'instances de ressources à forte valeur, identifié par les configurations de valeurs de ressources, dépassait la limite de 1 000 instances de ressources dans un ensemble de ressources à forte valeur. Par conséquent, Security Command Center a exclu le nombre d'instances excédentaire de l'ensemble de ressources à forte valeur. Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont identifiés dans le résultat `SCC Error` de la console Google Cloud. Les scores d'exposition aux attaques de tous les résultats qui affectent les instances de ressources exclues ne reflètent pas la désignation à haute valeur ajoutée des instances de ressources. Niveau de tarification:Premium Composants compatibles cloudresourcemanager.googleapis.com/Organizations Analyses par lot: avant chaque simulation de chemin d'attaque. Corriger ce résultat	Élevée
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Description du résultat:Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) à partir de `gcr.io`, l'hôte de l'image Container Registry. Cette image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection. La tentative de déploiement du DaemonSet Container Threat Detection a généré l'erreur suivante: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Description du résultat:Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet DaemonSet Kubernetes requis par Container Threat Detection. Lorsqu'ils sont affichés dans la console Google Cloud, les détails du résultat incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection. Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les 30 minutes Corriger ce résultat	Élevée
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée. Niveau de tarification:Premium Composants compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster. Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les semaines Corriger ce résultat	High
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging. Niveau de tarification:Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization Analyses par lot : toutes les 30 minutes Corriger ce résultat	Élevé
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre. Niveau de tarification:Premium ou Standard Composants compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 6 heures Corriger ce résultat	Élevée
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit. Niveau de tarification:Premium ou Standard Composants compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique

Pour en savoir plus, consultez la page Erreurs Security Command Center.

Étapes suivantes

Pour en savoir plus sur Security Command Center et découvrir des exemples de cas d'utilisation, consultez la présentation de Security Command Center.
Découvrez comment ajouter de nouvelles sources de sécurité en configurant Security Command Center.