Esta página contém uma lista dos serviços de detecção, às vezes também chamadas de fontes de segurança, que o Security Command Center usa para detectar e solucionar possíveis problemas de segurança nos ambientes de nuvem.
Quando esses serviços detectam um problema, eles geram uma descoberta, que é um registro que identifique o problema de segurança e forneça a informações necessárias para priorizar e resolver o problema.
É possível visualizar as descobertas no Console do Google Cloud e filtrá-las de várias maneiras diferentes, como por tipo de descoberta, tipo de recurso ou recurso específico. Cada fonte de segurança pode fornecer mais filtros ajudar a organizar suas descobertas.
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre Para papéis do Security Command Center, consulte Controle de acesso.
Serviços de detecção de vulnerabilidades
Os serviços de detecção de vulnerabilidades incluem serviços integrados e integrados que detectam vulnerabilidades de software, configurações incorretas e e violações de postura em ambientes de nuvem. Coletivamente, esses tipos de problemas de segurança são chamadas de vulnerabilidades.
Painel de postura de segurança do GKE
O painel de postura de segurança do GKE é uma página Console do Google Cloud que fornece descobertas opinativas e úteis sobre possíveis problemas de segurança nos clusters do GKE.
Se você ativar qualquer um dos seguintes painéis de postura de segurança do GKE você encontra as descobertas no nível Standard do Security Command Center ou o nível Premium:
Recurso do painel de postura de segurança do GKE | Classe de descoberta do Security Command Center |
---|---|
Auditoria de configuração da carga de trabalho | MISCONFIGURATION |
VULNERABILITY |
As descobertas mostram informações sobre o problema de segurança e recomendações para resolver problemas nas cargas de trabalho ou nos clusters.
Acessar as descobertas do painel de postura de segurança do GKE no console do Google Cloud
Acesse a página Descobertas do Security Command Center no console do Google Cloud:
Selecione a organização ou o projeto do Google Cloud.
No painel Filtros rápidos, na seção Nome de exibição da origem, faça o seguinte: selecione Postura de segurança do GKE. Se você não vir a filtro Postura de segurança do GKE, não há descobertas ativas.
Recomendador IAM
O recomendador do IAM emite recomendações que você pode seguir para melhorar a segurança removendo ou substituindo papéis do IAM de principais quando os papéis contiverem permissões do IAM de que o principal não precisa.
Ativar ou desativar as descobertas do recomendador do IAM
Para ativar ou desativar as descobertas do recomendador do IAM no Security Command Center, siga estas etapas:
Acesse a guia Serviços integrados da página Configurações do Security Command Center no Console do Google Cloud:
Se necessário, role para baixo até a entrada do recomendador do IAM.
À direita da entrada, selecione Ativar ou Desativar.
As descobertas do recomendador do IAM são classificadas como vulnerabilidades.
Para remediar uma descoberta do recomendador do IAM, expanda a seção a seguir para consulte uma tabela das descobertas do recomendador do IAM. As etapas de correção para e cada descoberta são incluídas na entrada da tabela.
Conferir as descobertas do recomendador do IAM no console
No console do Google Cloud, é possível consultar as descobertas emitido pelo recomendador do IAM na Vulnerabilidades página selecionando a predefinição de consulta do recomendador do IAM ou no Descobertas página selecionando Recomendador IAM na seção Nome de exibição da origem do painel Filtros rápidos.
Gerenciamento de superfície de ataque da Mandiant
A Mandiant é líder mundial em inteligência contra ameaças na linha de frente. O gerenciamento de superfície de ataque da Mandiant identifica vulnerabilidades e configurações incorretas nas superfícies de ataque externas para se manter atualizado ataques cibernéticos mais recentes.
O gerenciamento de superfície de ataque da Mandiant é ativado automaticamente quando você ativa o O nível Enterprise do Security Command Center e as descobertas estão disponíveis no console do Google Cloud.
Para informações sobre como o produto independente Mandiant Attack Surface Management difere da integração do Mandiant Attack Surface Management com o Security Command Center, acesse ASM e Security Command Center no portal de documentação da Mandiant. Esse link exige que a Mandiant autenticação.
Analise as descobertas do Mandiant Attack Surface Management no console do Google Cloud
Use o procedimento a seguir para analisar as descobertas no console do Google Cloud:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Selecione a organização ou o projeto do Google Cloud.
Na seção Filtros rápidos, em Nome de exibição da origem. selecione Gerenciamento de superfícies de ataque da Mandiant.
A tabela é preenchida com as descobertas do Mandiant Attack Surface Management.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
Policy Controller
O Policy Controller permite a aplicação de políticas programáveis aos clusters do Kubernetes. Essas políticas funcionam como proteções e podem ajudar com práticas recomendadas, segurança e gerenciamento de conformidade dos clusters e frota.
Se você instalar o Policy Controller, faça o seguinte:
e ativar o CIS Kubernetes Benchmark v1.5.1 ou o PCI-DSS v3.2.1
Pacotes do Policy Controller, ou ambos, o Policy Controller grava automaticamente
violações de cluster para o Security Command Center como a classe Misconfiguration
descobertas. Descrição da descoberta e próximas etapas no Security Command Center
as descobertas são iguais à descrição da restrição e às etapas de correção
do pacote correspondente do Policy Controller.
As descobertas do Policy Controller vêm dos seguintes pacotes:
- Comparativo de mercado CIS do Kubernetes v.1.5.1,
um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança
forte. Também é possível ver informações sobre esse pacote no
repositório do GitHub para
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
um pacote que avalia a conformidade dos recursos do cluster em relação a
alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1.
Também é possível ver informações sobre esse pacote no
repositório do GitHub para
pci-dss-v3
.
Para encontrar e corrigir as descobertas do Policy Controller, consulte Como corrigir as descobertas do Policy Controller.
Mecanismo de risco
O Security Command Center Risk Engine avalia a exposição ao risco dos seus as implantações na nuvem, atribui pontuações de exposição a ataques a descobertas de vulnerabilidades e seus recursos de alto valor, e diagrama os caminhos que um possível invasor pode fazer para alcançar recursos de alto valor.
No nível Enterprise do Security Command Center, o Risk Engine detecta grupos de problemas de segurança que, quando ocorrem juntos em um padrão específico, crie um caminho para um ou mais de seus itens de alto recursos que um determinado invasor poderia para alcançar e comprometer esses recursos.
Quando o Risk Engine detecta
uma dessas combinações, ele emite uma descoberta de classe TOXIC_COMBINATION
.
Na descoberta, o Risk Engine é listado como a origem
a descoberta.
Para mais informações, consulte Visão geral das combinações tóxicas.
Security Health Analytics
A Análise de integridade da segurança é um serviço de detecção integrado do Security Command Center que faz verificações gerenciadas dos recursos de nuvem para detectar a erros de configuração comuns.
Quando uma configuração incorreta é detectada, a Análise de integridade da segurança emite uma descoberta. A maioria das descobertas da Análise de integridade da segurança é mapeada para controles padrão de segurança para que você possa avaliar a conformidade.
A Análise de integridade da segurança verifica seus recursos no Google Cloud. Se você for usar o nível Enterprise e estabelecer conexões com outras plataformas de nuvem, A Análise de integridade da segurança também pode verificar seus recursos nessas plataformas de nuvem.
Dependendo do nível de serviço do Security Command Center que você os detectores disponíveis são diferentes:
- No nível Standard, a Análise de integridade da segurança inclui apenas grupo básico de detectores de vulnerabilidades de gravidade média e alta.
- A Nível Premium inclui todos os detectores de vulnerabilidades do Google Cloud.
- A Nível Enterprise inclui mais detectores para outras plataformas de nuvem.
A Análise de integridade da segurança é ativada automaticamente o Security Command Center.
Veja mais informações em:
- Visão geral da Análise de integridade da segurança
- Como usar a Análise de integridade da segurança
- Como corrigir as descobertas da análise de integridade de segurança
- Referência das descobertas da Análise de integridade da segurança
Serviço de postura de segurança
A serviço de postura de segurança é um serviço integrado para o nível Premium do Security Command Center que permite definir, avaliar e monitorar o status geral da sua segurança no Google Cloud. Ele fornece informações sobre como seu ambiente está alinhado às políticas que definidos em sua postura de segurança.
O serviço de postura de segurança não está relacionado à API painel de postura de segurança, que mostra apenas as descobertas no GKE clusters.
Proteção de dados sensíveis
A proteção de dados confidenciais é um serviço do Google Cloud totalmente gerenciado que ajuda a descobrir, classificar e proteger dados confidenciais. É possível usar a proteção de dados confidenciais para determinar se você está armazenando informações confidenciais ou de identificação pessoal (PII), como estas:
- Nomes pessoais
- Números de cartões de crédito
- Números de identificação nacionais ou estaduais
- Números de identificação de seguro de saúde
- Secrets
Na Proteção de dados confidenciais, cada tipo de dados confidenciais que você pesquisa é chamado de infoType.
Se você configurar a operação de proteção de dados confidenciais para enviar resultados ao Security Command Center, poderá acessar as descobertas diretamente na seção Security Command Center do console do Google Cloud, além da seção de Proteção de dados confidenciais.
Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais
O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se você é armazenar dados altamente sensíveis que não são protegidos.
Categoria | Resumo |
---|---|
Nome da categoria na API:
|
Descrição da descoberta: o recurso especificado dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis:
Correção: Para dados do Google Cloud, remova Para dados do Amazon S3, definir configurações de bloqueio de acesso público ou atualizar a ACL do objeto para negar o acesso de leitura público. Padrões de compliance: não mapeados |
Nome da categoria na API:
|
Descrição da descoberta: há secrets, como como senhas, tokens de autenticação e credenciais do Google Cloud, Variáveis de ambiente das funções do Cloud Run. Para ativar esse detector, consulte Informe secrets em variáveis de ambiente para o Security Command Center na documentação de proteção de dados sensíveis. Recursos compatíveis:
Correção: remova o secret da variável de ambiente e armazene-o no Secret Manager como alternativa. Padrões de conformidade:
|
Nome da categoria na API:
|
Descrição da descoberta: há secrets, como como senhas, tokens de autenticação e credenciais na nuvem, recurso. Recursos compatíveis:
Correção:
Padrões de compliance: não mapeados |
Descobertas de observação da proteção de dados confidenciais
Nesta seção, descrevemos as descobertas de observação geradas pela proteção de dados confidenciais no Security Command Center.
Descobertas de observação do serviço de descoberta
O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se os dados contêm infoTypes específicos e onde eles residem no organização, pastas e projetos. Ele gera as seguintes categorias de descoberta de observação no Security Command Center:
Data sensitivity
- Uma indicação do nível de sensibilidade dos dados em um determinado ativo de dados. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk
- Risco associado aos dados no estado atual. Ao calcular dados de risco, a Proteção de Dados Sensíveis considera o nível de sensibilidade os dados no ativo de dados e a presença de controles de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco dos dados Proteção de Dados Sensíveis calculados ao gerar no perfil de dados.
A partir do momento em que a Proteção de Dados Sensíveis gera os perfis de dados, ela pode levar até seis horas para que as descobertas associadas apareçam o Security Command Center.
Para mais informações sobre como enviar resultados de perfis de dados para o Security Command Center, consulte o seguinte:
- Para o Security Command Center Enterprise: ativar dados sensíveis descoberta.
- Para o Security Command Center Premium ou Standard: Publique perfis de dados no o Security Command Center.
Descobertas de observação do serviço de inspeção de proteção de dados confidenciais
Um job de inspeção de proteção de dados confidenciais identifica cada instância de dados de um infoType específico em um sistema de armazenamento, como um bucket do Cloud Storage ou uma tabela do BigQuery. Por exemplo, é possível executar um job de inspeção que procure todas as strings que correspondem ao detector de infoType CREDIT_CARD_NUMBER
em um bucket do Cloud Storage.
Para cada detector de infoType que tem uma ou mais correspondências, a proteção de dados confidenciais gera uma descoberta correspondente do Security Command Center. A categoria de descoberta é
o nome do detector de infoType que teve uma correspondência, por exemplo, Credit
card number
. A descoberta inclui o número de strings correspondentes que foram
detectadas no texto ou nas imagens do recurso.
Por motivos de segurança, as strings reais detectadas não são incluídas na
descoberta. Por exemplo, uma descoberta de Credit card number
mostra quantos números de cartão de crédito foram encontrados, mas não os reais.
Como há mais de 150 detectores de infoType integrados na proteção de dados confidenciais, todas as categorias de descoberta possíveis do Security Command Center não estão listadas aqui. Para uma lista completa de detectores de infoType, consulte Referência de detectores de infoType.
Para informações sobre como enviar os resultados de um job de inspeção para o Security Command Center, consulte Enviar os resultados do job de inspeção de proteção de dados confidenciais para o Security Command Center.
Analise as descobertas da proteção de dados confidenciais no console do Google Cloud
Use o procedimento a seguir para analisar as descobertas no console do Google Cloud:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Selecione a organização ou o projeto do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Proteção de dados confidenciais.
A tabela é preenchida com as descobertas da proteção de dados confidenciais.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
VM Manager
O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.
Para usar o VM Manager com ativações no nível do projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.
Se você ativar o VM Manager com
o nível Premium do Security Command Center, o VM Manager
grava automaticamente as descobertas high
e critical
dos relatórios de vulnerabilidade, o que
em pré-lançamento, para o Security Command Center. Os relatórios identificam vulnerabilidades
sistemas operacionais (SO) instalados em VMs, incluindo
Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).
Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.
As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. O VM Manager oferece suporte ao gerenciamento de patches em um único projeto.
Para corrigir as descobertas do VM Manager, consulte Como corrigir descobertas do VM Manager.
Para impedir que relatórios de vulnerabilidade sejam gravados no Security Command Center, consulte Silencie as descobertas do VM Manager.
Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Nome da categoria na API: |
Descrição da descoberta: o VM Manager detectou uma vulnerabilidade no o pacote de sistema operacional (SO) instalado em uma VM do Compute Engine. Nível de preço: Premium Recursos compatíveis |
do VM Manager relatórios de vulnerabilidade detalham vulnerabilidades nos pacotes instalados do sistema operacional para o Compute Engine as VMs, incluindo Vulnerabilidades e Exposições Comuns (CVEs, na sigla em inglês). Para uma lista completa dos sistemas operacionais compatíveis, consulte Detalhes do sistema operacional. As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:
|
Avaliação de vulnerabilidades para a AWS
A avaliação de vulnerabilidades do serviço Amazon Web Services (AWS) detecta vulnerabilidades de software nas cargas de trabalho executadas em máquinas virtuais (VMs) do EC2 AWS Cloud Platform.
Para cada vulnerabilidade detectada, a avaliação de vulnerabilidades da AWS gera uma
Descoberta da classe Vulnerability
em descoberta Software vulnerability
no Security Command Center.
A avaliação de vulnerabilidade para serviços da AWS verifica snapshots da máquina do EC2 em execução. para que as cargas de trabalho de produção não sejam afetadas. Esse método de verificação é chamada verificação de disco sem agente, porque nenhum agente está instalado os destinos de verificação.
Para ver mais informações, consulte os seguintes tópicos:
- Visão geral da avaliação de vulnerabilidades da AWS
- Ativar e usar a avaliação de vulnerabilidades para a AWS
Web Security Scanner
O Web Security Scanner fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos da Web públicos do App Engine, GKE e do Compute Engine.
Verificações gerenciadas
As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam solicitações somente GET para que não enviem formulários em sites ativos.
As verificações gerenciadas são executadas separadamente das verificações personalizadas.
Se o Security Command Center estiver ativado no no nível da organização, é possível usar verificações gerenciadas para administrar centralmente detecção de vulnerabilidades nos projetos da organização, sem precisar envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe com essas equipes para configurar verificações personalizadas mais abrangentes.
Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e nos relatórios relacionados. Para informações sobre como ativar o Web Security Scanner e verificações gerenciadas, consulte Configurar os serviços do Security Command Center.
As verificações gerenciadas são compatíveis apenas com aplicativos que usam a porta padrão, 80 para conexões HTTP e 443 para conexões HTTPS. Caso seu aplicativo use uma porta não padrão, faça uma verificação personalizada.
Verificações personalizadas
As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre sites ou uso de conteúdo misto.
As verificações personalizadas são definidas no nível do projeto.
As descobertas da verificação personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar verificações personalizadas do Web Security Scanner.
Detectores e compliance
O Web Security Scanner é compatível com categorias do OWASP Top 10, um documento que classifica e fornece orientações de correção para os 10 riscos mais críticos de segurança de aplicativos da Web, conforme determinado pelos Open Web Application Security Project (OWASP). Para orientações sobre como reduzir os riscos do OWASP, consulte As 10 principais opções de mitigação do OWASP no Google Cloud.
O mapeamento de conformidade está incluído para referência e não é fornecido ou revisado pela OWASP Foundation.
Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.
As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. Na No nível Standard, o Web Security Scanner oferece suporte a verificações personalizadas de aplicativos implantados com URLs e IPs que não estão protegidos por um firewall.
Categoria | Descrição da descoberta | 10 principais OWASP de 2017 | 10 principais OWASP de 2021 |
---|---|---|---|
Nome da categoria na API: |
Um repositório GIT é exposto publicamente. Para resolver esta descoberta, remova os dados acesso público ao repositório Git. Nível de preço: Standard |
A5 | A01 |
Nome da categoria na API: |
Um repositório SVN é exposto publicamente. Para resolver esta descoberta, remova públicos o acesso não intencional ao repositório SVN. Nível de preço: Standard |
A5 | A01 |
Nome da categoria na API: |
As senhas inseridas no aplicativo da Web podem ser armazenadas em cache em um cache de navegador normal de um armazenamento de senhas seguro. Nível de preço: Premium |
A3 | A04 |
Nome da categoria na API: |
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, encontrar, criptografe a senha transmitida pela rede. Nível de preço: Standard |
A3 | A02 |
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo de Nível de preço: Premium |
A5 | A01 |
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo de Nível de preço: Premium |
A5 | A01 |
Nome da categoria na API: |
Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para
resolver essa descoberta, defina o cabeçalho HTTP Nível de preço: Standard |
A6 | A05 |
Nome da categoria na API: |
Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, definir os cabeçalhos de segurança HTTP corretamente. Nível de preço: Standard |
A6 | A05 |
Nome da categoria na API: |
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente. Nível de preço: Standard |
A6 | A05 |
Nome da categoria na API: |
Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver esta descoberta, defina HTTP cabeçalhos de segurança corretamente. Nível de preço: Standard |
A6 | A05 |
Nome da categoria na API: |
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se garantindo que todos os recursos sejam exibidos por HTTPS. Nível de preço: Standard |
A6 | A05 |
Nome da categoria na API: |
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver esta descoberta, faça upgrade para uma versão mais recente. Nível de preço: Standard |
A9 | A06 |
Nome da categoria na API: |
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, usar uma lista de permissões para limitar os domínios e endereços IP que o aplicativo da Web pode fazer; recebe solicitações. Nível de preço: Standard |
Não relevante | A10 |
Nome da categoria na API: |
Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui a sessão do usuário
identificador no cabeçalho da solicitação Nível de preço: Premium |
A2 | A07 |
Nome da categoria na API: |
Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que entradas do usuário influenciem a estrutura do SQL consulta. Nível de preço: Premium |
A1 | A03 |
Nome da categoria na API: |
O uso de uma versão vulnerável do Apache Struts foi detectado. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. Nível de preço: Premium |
A8 | A08 |
Nome da categoria na API: |
Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver essa descoberta, validar e fazer o escape de dados não confiáveis fornecidos pelo usuário. Nível de preço: Standard |
A7 | A03 |
|
Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, Encontrar, validar e escapar dados não confiáveis fornecidos pelo usuário processados pelo Angular de análise de dados em nuvem. Nível de preço: Standard |
A7 | A03 |
Nome da categoria na API: |
Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver essa descoberta, validar e fazer o escape de dados não confiáveis fornecidos pelo usuário. Nível de preço: Standard |
A7 | A03 |
|
Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Essa vulnerabilidade pode causar aplicativo da Web vazado um arquivo no host. Para resolver essa descoberta, configure o XML para não permitir entidades externas. Nível de preço: Premium |
A4 | A05 |
Nome da categoria na API: |
O aplicativo está vulnerável à poluição do protótipo. Essa vulnerabilidade surge quando
do objeto Nível de preço: Standard |
A1 | A03 |
Serviços de detecção de ameaças
Os serviços de detecção de ameaças incluem serviços integrados e integrados detectam eventos que podem indicar eventos potencialmente nocivos, como recursos comprometidos ou ataques cibernéticos.
Detecção de anomalias
A detecção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Ela exibe informações granulares sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas. A detecção de anomalias é ativada automaticamente quando você ativa o nível Standard ou Premium do Security Command Center e as descobertas estão disponíveis no console do Google Cloud.
As descobertas da detecção de anomalias incluem:
Nome da anomalia | Categoria da descoberta | Descrição |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
As credenciais de uma conta de serviço do Google Cloud são vazadas on-line ou comprometidas. Gravidade: crítica |
A conta vazou credenciais
O GitHub notificou o Security Command Center de que as credenciais usadas para uma confirmação parecem ser as credenciais para uma conta de serviço do Google Cloud Identity and Access Management.
A notificação inclui o nome da conta de serviço e o identificador da chave privada. O Google Cloud também envia uma notificação por e-mail aos contatos designados para questões de segurança e privacidade.
Para corrigir esse problema, escolha uma ou mais das seguintes opções:
- Identifique o usuário legítimo da chave.
- Gire a chave.
- Remova a chave.
- Investigue as ações realizadas pela chave depois que ela foi vazada para garantir que nenhuma foi mal-intencionada.
JSON: descoberta de credenciais da conta vazadas
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
A detecção de ameaças a contêineres pode detectar os ataques mais comuns ao ambiente de execução de contêineres e alertar você no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.
A instrumentação de detecção de ameaças de contêiner coleta o comportamento de baixo nível na kernel convidado e executa um processamento de linguagem natural no código para detectar o seguintes eventos:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Saiba mais sobre o Container Threat Detection.
Event Threat Detection
O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ele observa do Cloud Logging para projetos e consome conforme eles ficam disponíveis. Quando uma ameaça é detectada, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. O Event Threat Detection é ativado automaticamente quando você ativa o nível Premium do Security Command Center e as descobertas estão disponíveis no Console do Google Cloud.
A tabela a seguir lista exemplos de descobertas do Event Threat Detection.
Destruição de dados |
A detecção de ameaças a eventos detecta a destruição de dados examinando os registros de auditoria do servidor de gerenciamento de serviços de backup e DR nos seguintes cenários:
|
Exfiltração de dados |
O Event Threat Detection detecta a exfiltração de dados no BigQuery e do Cloud SQL examinando os registros de auditoria nestes cenários:
|
Atividade suspeita do Cloud SQL |
A detecção de ameaças a eventos examina os registros de auditoria para detectar os seguintes eventos que possam indicar o comprometimento de uma conta de usuário válida Instâncias do Cloud SQL:
|
Atividade suspeita no AlloyDB para PostgreSQL |
A detecção de ameaças a eventos examina os registros de auditoria para detectar os seguintes eventos que possam indicar o comprometimento de uma conta de usuário válida Instâncias do AlloyDB para PostgreSQL:
|
Ataques de força bruta contra SSH | O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso. |
Criptomineração | A detecção de ameaças de eventos detecta malware de mineração de moedas examinando registros de fluxo da VPC e registros do Cloud DNS em busca de conexões com domínios inválidos conhecidos ou endereços IP de pools de mineração. |
Abuso do IAM |
Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:
|
Inibir a recuperação do sistema |
A detecção de ameaças a eventos detecta alterações anômalas no backup e DR que podem afetar a postura de backup, incluindo grandes mudanças na política e remoção de componentes críticos de backup e DR. |
Log4j | A detecção de ameaças de eventos detecta possíveis tentativas de exploração do Log4j e vulnerabilidades ativas do Log4j. |
Malware | O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com comandos conhecidos e controles de controle e IPs. |
DoS de saída | O Event Threat Detection examina os registros de fluxo da VPC para detectar negação de saída do tráfego de serviço. |
Acesso anômalo | A detecção de ameaças de eventos detecta acesso anômalo examinando os registros de auditoria do Cloud para modificações de serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP de Tor. |
Comportamento anômalo do IAM |
A detecção de ameaças a eventos detecta um comportamento anômalo do IAM examinando
Registros de auditoria do Cloud para os seguintes cenários:
|
Autoinvestigação da conta de serviço | O Event Threat Detection detecta quando uma credencial da conta de serviço é usada para investigar os papéis e as permissões associados a ela. |
Chave SSH adicionada pelo administrador do Compute Engine | O Event Threat Detection detecta uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
O administrador do Compute Engine adicionou um script de inicialização | O Event Threat Detection detecta uma modificação no valor do script de inicialização dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
Atividade suspeita da conta | O Event Threat Detection detecta possíveis comprometimentos nas contas do Google Workspace examinando os registros de auditoria de atividades anômalas de contas, incluindo senhas vazadas e tentativas de login suspeito. |
Ataque apoiado pelo governo | O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando invasores apoiados pelo governo podem ter tentado comprometer a conta ou o computador de um usuário. |
Mudanças no Logon único (SSO) | O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando o SSO está desativado ou as configurações são alteradas para as contas de administrador do Google Workspace. |
Verificação em duas etapas | O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando a verificação em duas etapas está desativada em contas de usuário e administrador. |
Comportamento anômalo da API | A detecção de ameaças de eventos detecta um comportamento anômalo de API ao examinar os registros de auditoria do Cloud em busca de solicitações para os serviços do Google Cloud que um diretor não viu antes. |
Evasão de defesa |
O Event Threat Detection detecta a Evasão de defesa examinando os Registros de auditoria do Cloud em busca dos seguintes cenários:
|
Discovery |
O Event Threat Detection detecta operações de descoberta examinando os registros de auditoria para os cenários a seguir:
|
Acesso inicial | A detecção de ameaças a eventos detecta operações iniciais de acesso
Examine os registros de auditoria para os seguintes cenários:
|
Escalonamento de privilégios |
O Event Threat Detection detecta o escalonamento de privilégios no GKE examinando os registros de auditoria para os cenários a seguir:
|
Detecções do Cloud IDS | O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando detecta um evento suspeito, aciona uma descoberta de detecção de ameaças a eventos. Para saber mais sobre as detecções do Cloud IDS, consulte as informações de geração de registros do Cloud IDS. Prévia |
Movimentação lateral | A detecção de ameaças a eventos detecta possíveis ataques modificados a discos de inicialização modificados examinando os Registros de auditoria do Cloud quanto a remoções e reanexos frequentes do disco de inicialização nas instâncias do Compute Engine. |
Saiba mais sobre o Event Threat Detection.
Google Cloud Armor
O Google Cloud Armor ajuda a proteger seus com a filtragem da camada 7. O Google Cloud Armor filtra os dados solicitações para ataques comuns na Web ou outros atributos da camada 7 para bloquear potencialmente o tráfego antes que ele chegue aos serviços ou back-end de balanceamento de carga buckets de armazenamento.
O Google Cloud Armor exporta duas descobertas para o Security Command Center:
Detecção de ameaças a máquinas virtuais
A Detecção de ameaças a máquinas virtuais, um serviço integrado do Security Command Center Premium, oferece detecção de ameaças com instrumentação no nível do hipervisor e disco permanente análise. A Detecção de ameaças à VM detecta aplicativos potencialmente maliciosos, como software de mineração de criptomoedas, rootkits no modo kernel e malware em execução no ambientes de nuvem comprometidos.
A Detecção de ameaças a VMs faz parte do pacote de detecção de ameaças do Security Command Center Premium e foi desenvolvido para complementar os recursos existentes do Event Threat Detection e Detecção de ameaças a contêineres.
Para mais informações sobre a VM Threat Detection, consulte Visão geral da VM Threat Detection.
Descobertas de ameaças da VM Threat Detection
A VM Threat Detection pode gerar as seguintes ameaças.
Descobertas de ameaças de mineração de criptomoedas
A detecção de ameaças da VM detecta as seguintes categorias de descoberta usando correspondência de hash ou regras YARA.
Categoria | Módulo | Descrição |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Corresponde os hashes de memória da execução de programas a hashes de memória conhecidos de software de mineração de criptomoeda. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corresponde aos padrões de memória, como constantes de prova de trabalho, conhecidas por serem usadas por software de mineração de criptomoeda. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica uma ameaça que foi detectada pelos módulos
CRYPTOMINING_HASH e CRYPTOMINING_YARA .
Para mais informações, consulte Detecções combinadas.
|
Descobertas de ameaças do rootkit no modo kernel
A VM Threat Detection analisa a integridade do kernel no ambiente de execução para detectar técnicas comuns de evasão usadas por malware.
O módulo KERNEL_MEMORY_TAMPERING
detecta ameaças fazendo uma comparação de hash no código e na memória de dados somente leitura do kernel de uma máquina virtual.
O módulo KERNEL_INTEGRITY_TAMPERING
detecta ameaças verificando
a integridade de estruturas de dados importantes do kernel.
Categoria | Módulo | Descrição |
---|---|---|
Adulteração de memória do kernel | ||
Defense Evasion: Unexpected kernel code modification Pré-lançamento
|
KERNEL_MEMORY_TAMPERING
|
Há modificações inesperadas da memória de código do kernel. |
Defense Evasion: Unexpected kernel read-only data modification Pré-lançamento
|
KERNEL_MEMORY_TAMPERING
|
Há modificações inesperadas da memória de dados somente leitura do kernel. |
Adulteração de integridade do kernel | ||
Defense Evasion: Unexpected ftrace handler Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
Os pontos ftrace estão presentes com callbacks que apontam para regiões que não estão no
intervalo de código do módulo ou kernel esperado.
|
Defense Evasion: Unexpected interrupt handler Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
São interrompidos os gerenciadores que não estão nas regiões esperadas de kernel ou módulo de código. |
Defense Evasion: Unexpected kernel modules Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
As páginas de código do kernel que não estão nas regiões de código de kernel ou módulo esperadas estão presentes. |
Defense Evasion: Unexpected kprobe handler Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
Os pontos kprobe estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
|
Defense Evasion: Unexpected processes in runqueue Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
Há processos inesperados na fila de execução do programador. Esses processos estão na fila de execução, mas não na lista de tarefas do processo. |
Defense Evasion: Unexpected system call handler Pré-lançamento
|
KERNEL_INTEGRITY_TAMPERING
|
Os gerenciadores de chamadas do sistema que não estão nas regiões de código de módulo ou kernel esperado estão presentes. |
Rootkit | ||
Defense Evasion: Rootkit Pré-lançamento
|
|
Há uma combinação de sinais correspondentes a um rootkit do modo kernel conhecido. Para receber desta categoria, certifique-se de que os dois módulos estejam ativados. |
Descoberta da observação da VM Threat Detection
A VM Threat Detectio pode gerar a seguinte descoberta de observação.
Nome da categoria | Nome da API | Resumo | Gravidade |
---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
A VM Threat Detection está desativada. Até que você o ative, esse serviço não poderá verificar seus projetos do Compute Engine e instâncias de VM em busca de aplicativos indesejados.
Esta descoberta é definida como |
Alta |
Erros
Os detectores de erro ajudam a detectar erros na configuração que impedem as fontes de segurança de gerar descobertas. As descobertas de erro são geradas pela fonte de segurança Security Command Center
e têm a classe de descoberta SCC errors
.
Ações acidentais
As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.
Nome da categoria | Nome da API | Resumo | Gravidade |
---|---|---|---|
API disabled |
API_DISABLED |
Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada 60 horas |
Crítica |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor. Esse erro pode ter uma das seguintes causas:
Nível de preços: Premium
Recursos compatíveis Verificações em lote: antes de cada simulação de caminho de ataque. |
Crítica |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor. O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos. Nível de preços: Premium
Recursos compatíveis Verificações em lote: antes de cada simulação de caminho de ataque. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descrição da descoberta:
o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária
não pode ser extraída (transferida por download) de A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro:
Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrição da descoberta: O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Uma entrada de terceiros impede a implantação de um objeto DaemonSet do Kubernetes que o que é exigido pelo Container Threat Detection. Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster. Nível de preços: Premium
Recursos compatíveis Verificações em lote: semanalmente |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada seis horas |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
Para saber mais, consulte Erros do Security Command Center.
A seguir
- Saiba mais sobre o Security Command Center e exemplos de casos de uso na visão geral do Security Command Center.
- Saiba como adicionar novas origens de segurança ao como configurar os serviços do Security Command Center.