Esta página foi traduzida pela API Cloud Translation.

Serviços de deteção

Esta página contém uma lista dos serviços de deteção, por vezes também denominados origens de segurança, que o Security Command Center usa para detetar problemas de segurança nos seus ambientes de nuvem.

Quando estes serviços detetam um problema, geram uma descoberta, que é um registo que identifica o problema de segurança e lhe fornece as informações de que precisa para dar prioridade e resolver o problema.

Pode ver as conclusões na Google Cloud consola e filtrá-las de muitas formas diferentes, como por tipo de conclusão, tipo de recurso ou um recurso específico. Cada origem de segurança pode fornecer mais filtros para ajudar a organizar as suas conclusões.

As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.

Serviços de deteção de vulnerabilidades

Os serviços de deteção de vulnerabilidades incluem serviços integrados que detetam vulnerabilidades de software, configurações incorretas e violações de postura nos seus ambientes de nuvem. Coletivamente, estes tipos de problemas de segurança são denominados vulnerabilidades.

Avaliação de vulnerabilidades do Artifact Registry

A avaliação de vulnerabilidades do Artifact Registry é um serviço de deteção que envia alertas sobre vulnerabilidades nas suas imagens de contentores implementadas.

Este serviço de deteção gera resultados de vulnerabilidades para imagens de contentores nas seguintes condições:

A imagem do contentor é armazenada no Artifact Registry.
A imagem do contentor é implementada num dos seguintes recursos:
- Cluster do Google Kubernetes Engine
- Serviço do Cloud Run
- Tarefa do Cloud Run
- App Engine

A avaliação de vulnerabilidades do Artifact Registry não gera resultados para imagens de contentores que não cumprem estes critérios.

Se ativar a avaliação de vulnerabilidades do Artifact Registry com o Security Command Center, a avaliação de vulnerabilidades do Artifact Registry escreve automaticamente conclusões de gravidade alta e crítica no Security Command Center. Se as suas imagens de contentores tiverem vulnerabilidades categorizadas como médias ou baixas, pode geri-las na avaliação de vulnerabilidades do Artifact Registry, mas o Security Command Center não as apresenta.

Depois de gerados os resultados da avaliação de vulnerabilidades do Artifact Registry, estes permanecem disponíveis para consulta até cinco semanas após a última análise da imagem do contentor realizada. Para mais informações sobre a retenção de dados do Security Command Center, consulte o artigo Retenção de dados.

Ative as conclusões da avaliação de vulnerabilidades do Artifact Registry

Para que a avaliação de vulnerabilidades do Artifact Registry gere resultados no Security Command Center para imagens de contentores implementadas armazenadas no Artifact Registry, a API Container Scanning tem de estar ativada para o seu projeto.

Se não tiver ativado a API Container Scanning, faça o seguinte:

Na Google Cloud consola, aceda à página API Container Scanning.

Aceda à API Container Scanning
Selecione o projeto para o qual quer ativar a API Container Scanning.
Clique em Ativar.

O Security Command Center apresenta resultados para imagens de contentores vulneráveis analisadas que são implementadas ativamente nos recursos de tempo de execução aplicáveis. No entanto, o serviço de deteção comporta-se de forma diferente, dependendo do momento em que ativou o Security Command Center e a API Container Scanning.

Cenário de ativação	Comportamento do serviço de deteção
Ativou o Security Command Center depois de ativar a API Container Scanning e implementar uma imagem de contentor.	A avaliação de vulnerabilidades do Artifact Registry gera resultados para vulnerabilidades existentes encontradas com análises anteriores do Artifact Registry no prazo de 24 horas após a ativação.
Ativou o Security Command Center e implementou uma imagem de contentor antes de ativar a API Container Scanning.	A avaliação de vulnerabilidades do Artifact Registry não gera automaticamente resultados de vulnerabilidades para imagens de contentores implementadas antes de ativar a API até que seja acionada uma nova análise. Para acionar manualmente uma nova análise, volte a implementar a imagem do contentor no mesmo recurso de tempo de execução. A avaliação de vulnerabilidades do Artifact Registry gera imediatamente resultados se forem detetadas vulnerabilidades durante a análise.
Ativou o Security Command Center e a API Container Scanning antes de implementar uma imagem de contentor.	A imagem do contentor implementada recentemente é analisada imediatamente no Artifact Registry, e a avaliação de vulnerabilidades do Artifact Registry gera resultados se forem detetadas vulnerabilidades na análise.

Desative as conclusões da avaliação de vulnerabilidades do Artifact Registry

Para desativar as conclusões da avaliação de vulnerabilidades do Artifact Registry, faça o seguinte:

Na Google Cloud consola, aceda à página Detalhes da API/serviço para a API Container Scanning.

Aceder aos detalhes da API/serviço
Selecione o projeto para o qual quer desativar a API Container Scanning.
Clique em Desativar API.

O Security Command Center não apresenta resultados de vulnerabilidades detetadas em futuras análises de imagens de contentores. O Security Command Center retém todas as conclusões de avaliação de vulnerabilidades do Artifact Registry existentes durante, pelo menos, 35 dias após a última análise de imagens de contentores realizada. Para mais informações sobre a retenção de dados do Security Command Center, consulte o artigo Retenção de dados.

Também pode desativar a avaliação de vulnerabilidades do Artifact Registry desativando o ID da origem da avaliação de vulnerabilidades nas definições do Security Command Center. No entanto, não recomendamos que o faça. A desativação do ID de origem da avaliação de vulnerabilidades desativa todos os serviços de deteção classificados no ID de origem da avaliação de vulnerabilidades. Por conseguinte, recomendamos que desative a API Container Scanning com o procedimento anterior.

Detetores de avaliação de vulnerabilidades do Artifact Registry

Detetor Resumo

Detetor	Resumo
`Container image vulnerability` Nome da categoria na API: `CONTAINER_IMAGE_VULNERABILITY`	Descrição da descoberta: foi detetada uma vulnerabilidade numa imagem de contentor que foi analisada no Artifact Registry. Esta imagem é implementada num dos seguintes recursos: Cluster do Google Kubernetes Engine Serviço do Cloud Run Tarefa do Cloud Run App Engine Nível de preços: Standard, Premium ou Enterprise Corrija esta descoberta : Consoante o tipo de recurso de tempo de execução, faça o seguinte: Para recursos de serviços do Google Kubernetes Engine ou do Cloud Run, atualize ou elimine a versão da imagem do contentor. Para tarefas do Cloud Run e recursos do App Engine, elimine a versão da imagem do contentor da associação de tempo de execução para anular a implementação. Consulte os detalhes da descoberta para ver passos de remediação específicos com base no recurso de tempo de execução adequado. Para os clientes do nível Standard, a utilização da funcionalidade de consulta de recursos do Cloud Asset Inventory para determinar onde a imagem do contentor vulnerável está implementada não é suportada. Recomendamos que atualize para os níveis Premium ou Enterprise para receber informações mais detalhadas.

Container image vulnerability

Nome da categoria na API: CONTAINER_IMAGE_VULNERABILITY

Descrição da descoberta: foi detetada uma vulnerabilidade numa imagem de contentor que foi analisada no Artifact Registry. Esta imagem é implementada num dos seguintes recursos:

Cluster do Google Kubernetes Engine
Serviço do Cloud Run
Tarefa do Cloud Run
App Engine

Nível de preços: Standard, Premium ou Enterprise

Corrija esta descoberta :

Consoante o tipo de recurso de tempo de execução, faça o seguinte:

Para recursos de serviços do Google Kubernetes Engine ou do Cloud Run, atualize ou elimine a versão da imagem do contentor.
Para tarefas do Cloud Run e recursos do App Engine, elimine a versão da imagem do contentor da associação de tempo de execução para anular a implementação.

Consulte os detalhes da descoberta para ver passos de remediação específicos com base no recurso de tempo de execução adequado.

Para os clientes do nível Standard, a utilização da funcionalidade de consulta de recursos do Cloud Asset Inventory para determinar onde a imagem do contentor vulnerável está implementada não é suportada. Recomendamos que atualize para os níveis Premium ou Enterprise para receber informações mais detalhadas.

Veja as conclusões da avaliação de vulnerabilidades do Artifact Registry na consola

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

Resultados da gestão da postura de segurança dos dados

A gestão da postura de segurança dos dados (DSPM) cria resultados para potenciais violações das estruturas de segurança dos dados e controlos na nuvem que aplica no seu ambiente. Pode ver estas conclusões na página Segurança e conformidade dos dados, na página Vista geral dos riscos (no separador Dados) ou na página Conclusões no Security Command Center.

Veja as conclusões da DSPM na consola

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Gestão da postura de segurança de dados. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

Painel de controlo da postura de segurança do GKE

O painel de controlo da postura de segurança do Google Kubernetes Engine (GKE) é uma página na Google Cloud consola que lhe fornece conclusões acionáveis e fundamentadas acerca de potenciais problemas de segurança nos seus clusters do GKE.

Para ver estas conclusões, ative qualquer uma das seguintes funcionalidades do painel de controlo de postura de segurança do GKE:

Painel do painel de controlo de postura de segurança do GKE	Classe de resultados do Security Command Center
Auditoria da configuração da carga de trabalho¹	`MISCONFIGURATION`
Principais ameaças²	`THREAT`
Análise de vulnerabilidades do SO do contentor¹ Análise de vulnerabilidades de pacotes de idiomas¹ Boletins de segurança acionáveis¹ (pré-visualização) Principais vulnerabilidades de software² (pré-visualização)	`VULNERABILITY`

Disponível apenas se ativar esta funcionalidade no GKE.
Disponível para os níveis de serviço do Security Command Center Premium e Enterprise.

Os resultados apresentam informações sobre o problema de segurança e fornecem recomendações para os resolver nas suas cargas de trabalho ou clusters.

Importante: as conclusões dos boletins de segurança publicadas no Security Command Center não incluem um campo cve que liste os CVEs associados. Para ver as CVEs, verifique o campo description da descoberta ou reveja o boletim de segurança no painel de controlo de postura de segurança .

Veja as conclusões do painel de controlo da postura de segurança do GKE na consola

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione GKE Security Posture. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

Detetor	Resumo
`IAM role has excessive permissions` Nome da categoria na API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descrição da descoberta: o recomendador de IAM detetou uma conta de serviço que tem uma ou mais funções de IAM que concedem autorizações excessivas à conta de utilizador. Nível de preços: Premium Recursos suportados: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrija esta descoberta : Use o recomendador do IAM para aplicar a correção recomendada para esta descoberta seguindo estes passos: Na secção Passos seguintes dos detalhes da descoberta na Google Cloud consola, copie e cole o URL da página IAM na barra de endereços de um navegador e prima `Enter`. A página IAM é carregada. Junto à parte superior da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são apresentadas numa tabela. Na coluna Estatísticas de segurança, clique em qualquer recomendação relacionada com autorizações excessivas. É aberto o painel de detalhes da recomendação. Reveja a recomendação para as ações que pode realizar para resolver o problema. Clique em Aplicar. Depois de o problema ser corrigido, o recomendador do IAM atualiza o estado da descoberta para `INACTIVE` no prazo de 10 dias.
`Service agent role replaced with basic role` Nome da categoria na API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Descrição da descoberta: o recomendador do IAM detetou que a função do IAM predefinida original concedida a um agente de serviço foi substituída por uma das funções do IAM básicas: proprietário, editor ou leitor. As funções básicas são funções antigas excessivamente permissivas e não devem ser concedidas a agentes de serviço. Nível de preços: Premium Recursos suportados: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrija esta descoberta : Use o recomendador do IAM para aplicar a correção recomendada para esta descoberta seguindo estes passos: Na secção Passos seguintes dos detalhes da descoberta na Google Cloud consola, copie e cole o URL da página IAM na barra de endereço de um navegador e prima `Enter`. A página IAM é carregada. Junto à parte superior da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são apresentadas numa tabela. Na coluna Estatísticas de segurança, clique em qualquer autorização relacionada com autorizações excessivas. É aberto o painel de detalhes da recomendação. Reveja as autorizações excessivas. Clique em Aplicar. Depois de o problema ser corrigido, o recomendador do IAM atualiza o estado da descoberta para `INACTIVE` no prazo de 10 dias.
`Service agent granted basic role` Nome da categoria na API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Descrição da descoberta: O recomendador de IAM detetou que foi concedida a um agente de serviço uma das funções básicas de IAM: proprietário, editor ou leitor. As funções básicas são funções antigas excessivamente permissivas e não devem ser concedidas a agentes de serviço. Nível de preços: Premium Recursos suportados: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrija esta descoberta : Use o recomendador do IAM para aplicar a correção recomendada para esta descoberta seguindo estes passos: Na secção Passos seguintes dos detalhes da descoberta na Google Cloud consola, copie e cole o URL da página IAM na barra de endereço de um navegador e prima `Enter`. A página IAM é carregada. Junto à parte superior da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são apresentadas numa tabela. Na coluna Estatísticas de segurança, clique em qualquer autorização relacionada com autorizações excessivas. É aberto o painel de detalhes da recomendação. Reveja as autorizações excessivas. Clique em Aplicar. Depois de o problema ser corrigido, o recomendador do IAM atualiza o estado da descoberta para `INACTIVE` no prazo de 10 dias.
`Unused IAM role` Nome da categoria na API: `UNUSED_IAM_ROLE`	Descrição da descoberta: o recomendador de IAM detetou uma conta de utilizador que tem uma função de IAM que não foi usada nos últimos 90 dias. Nível de preços: Premium Recursos suportados: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrija esta descoberta : Use o recomendador do IAM para aplicar a correção recomendada para esta descoberta seguindo estes passos: Na secção Passos seguintes dos detalhes da descoberta na Google Cloud consola, copie e cole o URL da página IAM na barra de endereço de um navegador e prima `Enter`. A página IAM é carregada. Junto à parte superior da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são apresentadas numa tabela. Na coluna Estatísticas de segurança, clique em qualquer autorização relacionada com autorizações excessivas. É aberto o painel de detalhes da recomendação. Reveja as autorizações excessivas. Clique em Aplicar. Depois de o problema ser corrigido, o recomendador do IAM atualiza o estado da descoberta para `INACTIVE` no prazo de 10 dias.

Mandiant Attack Surface Management

A Mandiant é líder mundial em informações sobre ameaças na linha da frente. O Mandiant Attack Surface Management identifica vulnerabilidades e configurações incorretas nas suas superfícies de ataque externas para ajudar a manter-se atualizado contra os ciberataques mais recentes.

A gestão da superfície de ataque da Mandiant é ativada automaticamente quando ativa o nível Enterprise do Security Command Center, e as conclusões estão disponíveis na Google Cloud consola.

Para ver informações sobre a diferença entre o produto autónomo Mandiant Attack Surface Management e a integração do Mandiant Attack Surface Management no Security Command Center, consulte o artigo ASM e Security Command Center no portal de documentação do Mandiant. Esta ligação requer autenticação do Mandiant.

Reveja as conclusões do Mandiant Attack Surface Management na consola

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Mandiant Attack Surface Management. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

Nem o Security Command Center nem o Mandiant Attack Surface Management marcam as conclusões como resolvidas. Depois de resolver um problema, pode marcá-lo manualmente como resolvido. Se não for identificado na próxima análise do Mandiant Attack Surface Management, o problema permanece resolvido.

Model Armor

O Model Armor é um serviço totalmente gerido Google Cloud que melhora a segurança das aplicações de IA ao filtrar comandos e respostas de MDIs.

Resultados de vulnerabilidades do serviço Model Armor

Encontrar Resumo

Encontrar	Resumo
`Floor settings violation` Nome da categoria na API: `FLOOR_SETTINGS_VIOLATION`	Descrição da localização: uma violação de definição de base que ocorre quando um modelo do Model Armor não cumpre as normas de segurança mínimas definidas pelas definições de base da hierarquia de recursos. Nível de preços: Premium Corrija esta descoberta: Esta descoberta requer que atualize o modelo Model Armor para estar em conformidade com as definições de limite mínimo definidas na hierarquia de recursos.

`Floor settings violation`

Nome da categoria na API: FLOOR_SETTINGS_VIOLATION

Descrição da localização: uma violação de definição de base que ocorre quando um modelo do Model Armor não cumpre as normas de segurança mínimas definidas pelas definições de base da hierarquia de recursos.

Nível de preços: Premium

Corrija esta descoberta:

Esta descoberta requer que atualize o modelo Model Armor para estar em conformidade com as definições de limite mínimo definidas na hierarquia de recursos.

Notebook Security Scanner

O Notebook Security Scanner é um serviço de deteção de vulnerabilidades de pacotes incorporado do Security Command Center. Depois de o Notebook Security Scanner ser ativado, analisa automaticamente os blocos de notas do Colab Enterprise (ficheiros com a extensão de nome de ficheiro ipynb) a cada 24 horas para detetar vulnerabilidades em pacotes Python e publica estas conclusões na página Conclusões do Security Command Center.

Pode usar o verificador de segurança de blocos de notas para blocos de notas do Colab Enterprise criados nas seguintes regiões: us-central1, us-east4, us-west1 e europe-west4.

Para começar a usar o Notebook Security Scanner, consulte o artigo Ative e use o Notebook Security Scanner.

Controlador de políticas

O Policy Controller permite a aplicação e a imposição de políticas programáveis para os seus clusters do Kubernetes. Estas políticas atuam como salvaguardas e podem ajudar com as práticas recomendadas, a segurança e a gestão da conformidade dos seus clusters e frota.

Se instalar o Policy Controller e ativar qualquer um dos pacotes do Policy Controller, o Policy Controller escreve automaticamente as violações de cluster no Security Command Center como resultados da classe Misconfiguration. A descrição da descoberta e os passos seguintes nas descobertas do Security Command Center são os mesmos que a descrição da restrição e os passos de remediação do pacote do Policy Controller correspondente.

Os resultados do Policy Controller provêm dos seguintes pacotes do Policy Controller:

Referência do CIS Kubernetes v.1.5.1, um conjunto de recomendações para configurar o Kubernetes de modo a suportar uma forte postura de segurança. Também pode ver informações sobre este pacote no repositório do GitHub para cis-k8s-v1.5.1.
PCI-DSS v3.2.1, um pacote que avalia a conformidade dos recursos do cluster com alguns aspetos da Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) v3.2.1. Também pode ver informações sobre este pacote no repositório do GitHub para pci-dss-v3.

Para encontrar e corrigir resultados do Policy Controller, consulte o artigo Corrigir resultados do Policy Controller.

Risk Engine

O motor de risco do Security Command Center avalia a exposição ao risco das suas implementações na nuvem, atribui pontuações de exposição a ataques às conclusões de vulnerabilidades e aos seus recursos de elevado valor, e cria diagramas de caminhos que um potencial atacante pode seguir para alcançar os seus recursos de elevado valor.

No nível Enterprise ou Premium do Security Command Center, o motor de risco deteta grupos de problemas de segurança que, quando ocorrem em conjunto num padrão específico, criam um caminho para um ou mais dos seus recursos de elevado valor que um atacante determinado pode potencialmente usar para alcançar e comprometer esses recursos.

Quando o motor de risco deteta uma destas combinações, gera uma descoberta de classe TOXIC_COMBINATION. Na descoberta, o motor de risco é apresentado como a origem da descoberta.

O motor de risco também identifica recursos ou grupos de recursos comuns onde convergem vários caminhos de ataque e, em seguida, gera uma descoberta de classe CHOKEPOINT.

Para mais informações, consulte o artigo Vista geral das combinações tóxicas e dos pontos de estrangulamento.

Análise do estado de segurança

O Security Health Analytics é um serviço de deteção integrado do Security Command Center que oferece análises geridas dos seus recursos na nuvem para detetar configurações incorretas comuns.

Quando é detetada uma configuração incorreta, o Security Health Analytics gera uma descoberta. A maioria das conclusões da análise de estado de segurança são mapeadas para controlos de normas de segurança para que possa avaliar a conformidade.

O Security Health Analytics analisa os seus recursos em Google Cloud. Se estiver a usar o nível Enterprise e estabelecer ligações a outras plataformas na nuvem, o Security Health Analytics também pode analisar os seus recursos nessas plataformas na nuvem.

Consoante o nível de serviço do Security Command Center que estiver a usar, os detetores disponíveis são diferentes:

No nível Standard, o Security Health Analytics inclui apenas um grupo básico de detetores de vulnerabilidades de gravidade média e elevada.
O nível Premium inclui todos os detetores de vulnerabilidades para Google Cloud.
O nível Enterprise inclui detetores adicionais para outras plataformas na nuvem.

A análise do estado de segurança é ativada automaticamente quando ativa o Security Command Center.

Para mais informações, consulte:

Serviço de postura de segurança

O serviço de postura de segurança é um serviço incorporado para o nível Premium do Security Command Center que lhe permite definir, avaliar e monitorizar o estado geral da sua segurança no Google Cloud. Fornece informações sobre a forma como o seu ambiente se alinha com as políticas que define na sua postura de segurança.

O serviço de postura de segurança não está relacionado com o painel de controlo de postura de segurança do GKE, que apenas mostra resultados em clusters do GKE.

Resultados do serviço de postura de segurança

Encontrar Resumo

Encontrar	Resumo
`SHA Canned Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da deteção: o serviço de postura de segurança detetou uma alteração a um detetor do Security Health Analytics que ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições do detetor na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar o detetor do Security Health Analytics ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize o detetor do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Ative e desative os detetores. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`SHA Custom Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da deteção: o serviço de postura de segurança detetou uma alteração a um módulo personalizado do Security Health Analytics que ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições do módulo personalizado na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar o módulo personalizado do Security Health Analytics ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize o módulo personalizado do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Atualize um módulo personalizado. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`SHA Custom Module Deleted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrição da descoberta: o serviço de postura de segurança detetou que um módulo personalizado do Security Health Analytics foi eliminado. Esta eliminação ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições do módulo personalizado na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar o módulo personalizado do Security Health Analytics ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize o módulo personalizado do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Atualize um módulo personalizado. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`Org Policy Canned Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detetou uma alteração a uma política da organização que ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política da organização ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize a política da organização na consola Google Cloud . Para ver instruções, consulte Criar e editar políticas. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`Org Policy Canned Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detetou que foi eliminada uma política da organização. Esta eliminação ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política da organização ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize a política da organização na consola Google Cloud . Para ver instruções, consulte Criar e editar políticas. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`Org Policy Custom Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detetou uma alteração a uma política organizacional personalizada que ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização personalizadas na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política de organização personalizada ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize a política de organização personalizada na consola Google Cloud . Para ver instruções, consulte Atualize uma restrição personalizada. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.
`Org Policy Custom Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detetou que uma política de organização personalizada foi eliminada. Esta eliminação ocorreu fora de uma atualização da postura. Nível de preços: Premium Corrija esta descoberta : Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização personalizadas na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política de organização personalizada ou pode atualizar a postura e a implementação da postura. Para reverter a alteração, atualize a política de organização personalizada na consola Google Cloud . Para ver instruções, consulte Atualize uma restrição personalizada. Para aceitar a alteração, conclua o seguinte: Atualize o ficheiro `posture.yaml` com a alteração. Execute o comando `gcloud scc postures update`. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura. Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`SHA Canned Module Drifted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da deteção: o serviço de postura de segurança detetou uma alteração a um detetor do Security Health Analytics que ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições do detetor na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar o detetor do Security Health Analytics ou pode atualizar a postura e a implementação da postura.

Para reverter a alteração, atualize o detetor do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Ative e desative os detetores.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`SHA Custom Module Drifted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da deteção: o serviço de postura de segurança detetou uma alteração a um módulo personalizado do Security Health Analytics que ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições do módulo personalizado na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar o módulo personalizado do Security Health Analytics ou pode atualizar a postura e a implementação da postura.

Para reverter a alteração, atualize o módulo personalizado do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Atualize um módulo personalizado.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`SHA Custom Module Deleted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DELETE

Descrição da descoberta: o serviço de postura de segurança detetou que um módulo personalizado do Security Health Analytics foi eliminado. Esta eliminação ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrija esta descoberta :

Para reverter a alteração, atualize o módulo personalizado do Security Health Analytics na Google Cloud consola. Para ver instruções, consulte o artigo Atualize um módulo personalizado.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`Org Policy Canned Constraint Drifted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detetou uma alteração a uma política da organização que ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política da organização ou pode atualizar a postura e a implementação da postura.

Para reverter a alteração, atualize a política da organização na consola Google Cloud . Para ver instruções, consulte Criar e editar políticas.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`Org Policy Canned Constraint Deleted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detetou que foi eliminada uma política da organização. Esta eliminação ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Para reverter a alteração, atualize a política da organização na consola Google Cloud . Para ver instruções, consulte Criar e editar políticas.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`Org Policy Custom Constraint Drifted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detetou uma alteração a uma política organizacional personalizada que ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Esta descoberta requer que aceite a alteração ou reverta a alteração para que as definições da política da organização personalizadas na sua postura e no seu ambiente correspondam. Tem duas opções para resolver esta descoberta: pode atualizar a política de organização personalizada ou pode atualizar a postura e a implementação da postura.

Para reverter a alteração, atualize a política de organização personalizada na consola Google Cloud . Para ver instruções, consulte Atualize uma restrição personalizada.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

`Org Policy Custom Constraint Deleted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detetou que uma política de organização personalizada foi eliminada. Esta eliminação ocorreu fora de uma atualização da postura.

Nível de preços: Premium

Corrija esta descoberta :

Para reverter a alteração, atualize a política de organização personalizada na consola Google Cloud . Para ver instruções, consulte Atualize uma restrição personalizada.

Para aceitar a alteração, conclua o seguinte:

Atualize o ficheiro posture.yaml com a alteração.
Execute o comando gcloud scc postures update. Para ver instruções, consulte o artigo Atualize as definições de políticas numa postura.
Implemente a postura atualizada com o novo ID de revisão. Para ver instruções, consulte o artigo Atualize uma implementação de postura.

Proteção de dados confidenciais

O Sensitive Data Protection é um Google Cloud serviço totalmente gerido que ajuda a descobrir, classificar e proteger os seus dados confidenciais. Pode usar a proteção de dados confidenciais para determinar se está a armazenar informações confidenciais ou de identificação pessoal (PII), como as seguintes:

Nomes de pessoas
Números de cartões de crédito
Números de identificação nacionais ou estaduais
Números de identificação de seguros de saúde
Secrets

Na proteção de dados confidenciais, cada tipo de dados confidenciais que procura é denominado infoType.

Se configurar a operação de proteção de dados confidenciais para enviar resultados para o Security Command Center, pode ver os resultados diretamente na secção Security Command Center da consola, além da secção de proteção de dados confidenciais. Google Cloud

Resultados de vulnerabilidades do serviço de deteção da proteção de dados confidenciais

O serviço de deteção da Proteção de dados confidenciais ajuda a determinar se está a armazenar dados altamente confidenciais que não estão protegidos.

Categoria Resumo

Categoria	Resumo
`Public sensitive data` Nome da categoria na API: `PUBLIC_SENSITIVE_DATA`	Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acedidos por qualquer pessoa na Internet. Recursos suportados: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Contentor do Amazon S3 Contentor do armazenamento de blobs do Azure Remediação: Para os dados, remova `allUsers` e `allAuthenticatedUsers` da política IAM do recurso de dados. Google Cloud Para dados do Amazon S3, configure as definições de bloqueio do acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte os artigos Configurar definições de bloqueio de acesso público para os seus contentores S3 e Configurar ACLs na documentação da AWS. Para dados do Azure Blob Storage, remova o acesso público ao contentor e aos blobs. Para mais informações, consulte a Vista geral: Corrigir o acesso de leitura anónimo aos dados de blobs na documentação do Azure. Normas de conformidade: não mapeadas
`Secrets in environment variables` Nome da categoria na API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Descrição da localização: existem segredos, como palavras-passe, tokens de autenticação e Google Cloud credenciais, nas variáveis de ambiente. Para ativar este detetor, consulte o artigo Comunique segredos em variáveis de ambiente ao Security Command Center na documentação do Sensitive Data Protection. Recursos suportados: `cloudfunctions.googleapis.com/CloudFunction` `run.googleapis.com/Revision` Remediação: Para as variáveis de ambiente das funções do Cloud Run, remova o segredo da variável de ambiente e armazene-o no Secret Manager. Para as variáveis de ambiente da revisão do serviço do Cloud Run, mova todo o tráfego da revisão e, em seguida, elimine a revisão. Normas de conformidade: CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18
`Secrets in storage` Nome da categoria na API: `SECRETS_IN_STORAGE`	Descrição da descoberta: existem segredos, como palavras-passe, tokens de autenticação e credenciais da nuvem, no recurso especificado. Recursos suportados: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Contentor do Amazon S3 Contentor do armazenamento de blobs do Azure Remediação: Para Google Cloud dados, use a proteção de dados confidenciais para executar uma análise de inspeção detalhada do recurso especificado para identificar todos os recursos afetados. Para dados do Cloud SQL, exporte esses dados para um ficheiro CSV ou AVRO num contentor do Cloud Storage e execute uma análise de inspeção detalhada do contentor. Para dados de outros fornecedores de nuvem, inspecione manualmente o contentor ou o bucket especificado. Remova os segredos detetados. Considere repor as credenciais. Para os Google Cloud dados, considere armazenar os segredos detetados no Secret Manager. Normas de conformidade: não mapeadas

`Public sensitive data`

Nome da categoria na API:

PUBLIC_SENSITIVE_DATA

Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acedidos por qualquer pessoa na Internet.

Recursos suportados:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Contentor do Amazon S3
Contentor do armazenamento de blobs do Azure

Remediação:

Para os dados, remova allUsers e allAuthenticatedUsers da política IAM do recurso de dados. Google Cloud

Para dados do Amazon S3, configure as definições de bloqueio do acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte os artigos Configurar definições de bloqueio de acesso público para os seus contentores S3 e Configurar ACLs na documentação da AWS.

Para dados do Azure Blob Storage, remova o acesso público ao contentor e aos blobs. Para mais informações, consulte a Vista geral: Corrigir o acesso de leitura anónimo aos dados de blobs na documentação do Azure.

Normas de conformidade: não mapeadas

`Secrets in environment variables`

Nome da categoria na API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrição da localização: existem segredos, como palavras-passe, tokens de autenticação e Google Cloud credenciais, nas variáveis de ambiente.

Para ativar este detetor, consulte o artigo Comunique segredos em variáveis de ambiente ao Security Command Center na documentação do Sensitive Data Protection.

Recursos suportados:

Remediação:

Para as variáveis de ambiente das funções do Cloud Run, remova o segredo da variável de ambiente e armazene-o no Secret Manager.

Para as variáveis de ambiente da revisão do serviço do Cloud Run, mova todo o tráfego da revisão e, em seguida, elimine a revisão.

Normas de conformidade:

CIS GCP Foundation 1.3: 1.18
CIS GCP Foundation 2.0: 1.18

`Secrets in storage`

Nome da categoria na API:

SECRETS_IN_STORAGE

Descrição da descoberta: existem segredos, como palavras-passe, tokens de autenticação e credenciais da nuvem, no recurso especificado.

Recursos suportados:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Contentor do Amazon S3
Contentor do armazenamento de blobs do Azure

Remediação:

Para Google Cloud dados, use a proteção de dados confidenciais para executar uma análise de inspeção detalhada do recurso especificado para identificar todos os recursos afetados. Para dados do Cloud SQL, exporte esses dados para um ficheiro CSV ou AVRO num contentor do Cloud Storage e execute uma análise de inspeção detalhada do contentor.

Para dados de outros fornecedores de nuvem, inspecione manualmente o contentor ou o bucket especificado.
Remova os segredos detetados.
Considere repor as credenciais.
Para os Google Cloud dados, considere armazenar os segredos detetados no Secret Manager.

Normas de conformidade: não mapeadas

Resultados de erros de configuração do serviço de deteção da proteção de dados confidenciais

O serviço de deteção da proteção de dados confidenciais ajuda a determinar se tem configurações incorretas que possam expor dados confidenciais.

Categoria Resumo

Categoria	Resumo
`Sensitive data CMEK disabled` Nome da categoria na API: `SENSITIVE_DATA_CMEK_DISABLED`	Descrição da descoberta: o recurso especificado tem dados de sensibilidade elevada ou moderada e não está a usar uma chave de encriptação gerida pelo cliente (CMEK). Recursos suportados: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Contentor do Amazon S3 Contentor do armazenamento de blobs do Azure Remediação: Para dados do BigQuery, use CMEK na tabela ou no conjunto de dados. Para dados do Cloud SQL, consulte a documentação da CMEK para o Cloud SQL para MySQL ou o Cloud SQL para PostgreSQL. Para dados do Cloud Storage, use CMEK no contentor. Normas de conformidade: não mapeadas

`Sensitive data CMEK disabled`

Nome da categoria na API:

SENSITIVE_DATA_CMEK_DISABLED

Descrição da descoberta: o recurso especificado tem dados de sensibilidade elevada ou moderada e não está a usar uma chave de encriptação gerida pelo cliente (CMEK).

Recursos suportados:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Contentor do Amazon S3
Contentor do armazenamento de blobs do Azure

Remediação:

Para dados do BigQuery, use CMEK na tabela ou no conjunto de dados.
Para dados do Cloud SQL, consulte a documentação da CMEK para o Cloud SQL para MySQL ou o Cloud SQL para PostgreSQL.
Para dados do Cloud Storage, use CMEK no contentor.

Normas de conformidade: não mapeadas

Resultados de observação da proteção de dados confidenciais

Esta secção descreve as conclusões de observação que a proteção de dados confidenciais gera no Security Command Center.

Conclusões de observação do serviço de deteção

O serviço de deteção da proteção de dados confidenciais ajuda a determinar se os seus dados contêm infoTypes específicos e onde residem na sua organização, pastas e projetos. Gera as seguintes categorias de resultados de observação no Security Command Center:

Data sensitivity: Uma indicação do nível de sensibilidade dos dados num recurso de dados específico. Os dados são confidenciais se contiverem PII ou outros elementos que possam exigir controlo ou gestão adicionais. A gravidade da descoberta é o nível de sensibilidade que a proteção de dados confidenciais calculou ao gerar o perfil de dados.
Data risk: O risco associado aos dados no respetivo estado atual. Ao calcular o risco de dados, a Proteção de dados confidenciais considera o nível de sensibilidade dos dados no recurso de dados e a presença de controlos de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.

Consoante a dimensão da sua organização, as conclusões da Proteção de dados confidenciais podem começar a ser apresentadas no Security Command Center alguns minutos após ativar a deteção de dados confidenciais. Para organizações maiores ou organizações com configurações específicas que afetam a geração de resultados, pode demorar até 12 horas antes de os resultados iniciais aparecerem no Security Command Center.

Posteriormente, a Proteção de dados confidenciais gera resultados no Security Command Center alguns minutos após o serviço de deteção analisar os seus recursos.

Para ver informações sobre como enviar resultados do perfil de dados para o Security Command Center, consulte o seguinte:

Para o Security Command Center Enterprise: ative a deteção de dados confidenciais.
Para o Security Command Center Premium ou Standard: publique perfis de dados no Security Command Center.

Resultados de observações do serviço de inspeção da proteção de dados confidenciais

Uma tarefa de inspeção da Proteção de dados confidenciais identifica cada instância de dados de um infoType específico num sistema de armazenamento, como um contentor do Cloud Storage ou uma tabela do BigQuery. Por exemplo, pode executar uma tarefa de inspeção que pesquise todas as strings que correspondam ao detetor CREDIT_CARD_NUMBER infoType num contentor do Cloud Storage.

Para cada detetor infoType que tenha uma ou mais correspondências, a proteção de dados confidenciais gera uma descoberta do Security Command Center correspondente. A categoria de resultados é o nome do detetor infoType que teve uma correspondência, por exemplo, Credit card number. A descoberta inclui o número de strings correspondentes que foram detetadas em texto ou imagens no recurso.

Por motivos de segurança, as strings reais que foram detetadas não estão incluídas na descoberta. Por exemplo, uma descoberta Credit card number mostra quantos números de cartões de crédito foram encontrados, mas não mostra os números de cartões de crédito reais.

Uma vez que existem mais de 150 detetores de infoType incorporados na proteção de dados confidenciais, nem todas as categorias de resultados possíveis do Security Command Center estão listadas aqui. Para ver uma lista completa dos detetores infoType, consulte a referência do detetor infoType.

Para obter informações sobre como enviar os resultados de uma tarefa de inspeção para o Security Command Center, consulte o artigo Envie os resultados da tarefa de inspeção da proteção de dados confidenciais para o Security Command Center.

Reveja as conclusões da Proteção de dados confidenciais na consola

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Proteção de dados confidenciais. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

VM Manager

O VM Manager é um conjunto de ferramentas que pode ser usado para gerir sistemas operativos para frotas de máquinas virtuais (VMs) de grandes dimensões com Windows e Linux no Compute Engine.

Para usar o VM Manager com ativações ao nível do projeto do Security Command Center Premium, ative o Security Command Center Standard na organização principal.

Se ativar o VM Manager com o nível Premium do Security Command Center, o VM Manager escreve automaticamente as deteções high e critical dos respetivos relatórios de vulnerabilidades, que estão em pré-visualização, no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operativos (SO) instalados nas VMs, incluindo vulnerabilidades e exposições comuns (CVEs).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As conclusões simplificam o processo de utilização da funcionalidade de conformidade com patches do VM Manager, que está em pré-visualização. A funcionalidade permite-lhe realizar a gestão de patches ao nível da organização em todos os seus projetos. O VM Manager suporta a gestão de patches ao nível de um único projeto.

Para corrigir as conclusões do VM Manager, consulte o artigo Corrigir conclusões do VM Manager.

Para impedir que os relatórios de vulnerabilidades sejam escritos no Security Command Center, consulte o artigo Desativar resultados do Gestor de VMs.

As vulnerabilidades deste tipo estão todas relacionadas com pacotes de sistemas operativos instalados em VMs do Compute Engine suportadas.

Detetor Resumo Definições de análise de recursos

Detetor	Resumo	Definições de análise de recursos
`OS vulnerability` Nome da categoria na API: `OS_VULNERABILITY`	Descrição da deteção: o VM Manager detetou uma vulnerabilidade no pacote do sistema operativo (SO) instalado para uma VM do Compute Engine. Nível de preços: Premium Recursos suportados compute.googleapis.com/Instance Corrija esta descoberta	Os relatórios de vulnerabilidades do VM Manager detalham as vulnerabilidades nos pacotes do sistema operativo instalados para VMs do Compute Engine, incluindo vulnerabilidades e exposições comuns (CVEs). Para ver uma lista completa dos sistemas operativos suportados, consulte os detalhes do sistema operativo. As conclusões aparecem no Security Command Center pouco depois de as vulnerabilidades serem detetadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte forma: Quando um pacote é instalado ou atualizado no sistema operativo de uma VM, pode esperar ver informações sobre Vulnerabilidades e exposições comuns (CVEs) para a VM no Security Command Center no prazo de duas horas após a alteração. Quando são publicadas novas recomendações de segurança para um sistema operativo, as CVEs atualizadas estão normalmente disponíveis no prazo de 24 horas após o fornecedor do sistema operativo publicar a recomendação.

`OS vulnerability`

Nome da categoria na API: OS_VULNERABILITY

Descrição da deteção: o VM Manager detetou uma vulnerabilidade no pacote do sistema operativo (SO) instalado para uma VM do Compute Engine.

Nível de preços: Premium

Recursos suportados

compute.googleapis.com/Instance

Corrija esta descoberta

Os relatórios de vulnerabilidades do VM Manager detalham as vulnerabilidades nos pacotes do sistema operativo instalados para VMs do Compute Engine, incluindo vulnerabilidades e exposições comuns (CVEs).

Para ver uma lista completa dos sistemas operativos suportados, consulte os detalhes do sistema operativo.

As conclusões aparecem no Security Command Center pouco depois de as vulnerabilidades serem detetadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte forma:

Quando um pacote é instalado ou atualizado no sistema operativo de uma VM, pode esperar ver informações sobre Vulnerabilidades e exposições comuns (CVEs) para a VM no Security Command Center no prazo de duas horas após a alteração.
Quando são publicadas novas recomendações de segurança para um sistema operativo, as CVEs atualizadas estão normalmente disponíveis no prazo de 24 horas após o fornecedor do sistema operativo publicar a recomendação.

Avaliação de vulnerabilidades para AWS

O serviço de avaliação de vulnerabilidades para os Amazon Web Services (AWS) deteta vulnerabilidades de software nas suas cargas de trabalho que estão a ser executadas em máquinas virtuais (VMs) do EC2 na plataforma de nuvem AWS.

Para cada vulnerabilidade detetada, a avaliação de vulnerabilidades para AWS gera uma descoberta da classe Vulnerability na categoria de descoberta Software vulnerability no Security Command Center.

A avaliação de vulnerabilidades para o serviço AWS analisa as capturas de ecrã das instâncias da máquina EC2 em execução, pelo que as cargas de trabalho de produção não são afetadas. Este método de análise é denominado análise de disco sem agente, porque não são instalados agentes nos alvos da análise.

Para mais informações, consulte o seguinte:

Avaliação de vulnerabilidades para Google Cloud

A avaliação de vulnerabilidades para o serviço Google Cloud deteta vulnerabilidades de software nos seguintes recursos na plataforma Google Cloud :

Executar instâncias de VM do Compute Engine
Nós em clusters do GKE Standard
Contentores em execução em clusters do GKE Standard e do GKE Autopilot

Para cada vulnerabilidade detetada, a avaliação de vulnerabilidades para o Google Cloud gera uma descoberta de classe na categoria de descoberta Software vulnerability ou OS vulnerability no Security Command Center.Vulnerability

A avaliação de vulnerabilidades para o Google Cloud serviço analisa as suas instâncias de VM do Compute Engine clonando os respetivos discos aproximadamente a cada 12 horas, montando-os numa instância de VM segura e avaliando-os com o analisador SCALIBR.

Para mais informações, consulte o artigo Avaliação de vulnerabilidades para Google Cloud.

Web Security Scanner

O Web Security Scanner oferece análise de vulnerabilidades Web gerida e personalizada para aplicações Web públicas do App Engine, GKE e Compute Engine.

Análises geridas

As análises geridas do Web Security Scanner são configuradas e geridas pelo Security Command Center. As análises geridas são executadas automaticamente uma vez por semana para detetar e analisar os pontos finais da Web públicos. Estas análises não usam autenticação e enviam pedidos apenas GET, pelo que não enviam formulários em Websites ativos.

As análises geridas são executadas separadamente das análises personalizadas.

Se o Security Command Center estiver ativado ao nível da organização, pode usar as análises geridas para gerir centralmente a deteção de vulnerabilidades básicas de aplicações Web para projetos na sua organização, sem ter de envolver equipas de projetos individuais. Quando são detetadas conclusões, pode trabalhar com essas equipas para configurar análises personalizadas mais abrangentes.

Quando ativa o Web Security Scanner como um serviço, as conclusões da análise geridas ficam automaticamente disponíveis na página Vulnerabilidades do Security Command Center e nos relatórios relacionados. Para obter informações sobre como ativar as análises geridas do Web Security Scanner, consulte o artigo Configure os serviços do Security Command Center.

As análises geridas suportam apenas aplicações que usam a porta predefinida, que é 80 para ligações HTTP e 443 para ligações HTTPS. Se a sua aplicação usar uma porta não predefinida, faça uma análise personalizada.

Análises personalizadas

As análises personalizadas do verificador de segurança Web fornecem informações detalhadas sobre as conclusões de vulnerabilidades das aplicações, como bibliotecas desatualizadas, scripting entre sites ou utilização de conteúdo misto.

Define as análises personalizadas ao nível do projeto.

Os resultados da análise personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar análises personalizadas do Web Security Scanner.

Detetores e conformidade

O Web Security Scanner suporta categorias no OWASP Top Ten, um documento que classifica e fornece orientações de remediação para os 10 principais riscos de segurança de apps Web mais críticos, conforme determinado pelo Open Web Application Security Project (OWASP). Para orientações sobre a mitigação de riscos da OWASP, consulte as opções de mitigação dos 10 principais riscos da OWASP no Google Cloud.

O mapeamento de conformidade é incluído para referência e não é fornecido nem revisto pela OWASP Foundation.

Esta funcionalidade destina-se apenas a monitorizar violações dos controlos de conformidade. Os mapeamentos não são fornecidos para utilização como base ou substituto da auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com quaisquer referências ou normas regulamentares ou da indústria.

Para mais informações, consulte o artigo Vista geral do verificador de segurança Web.

Serviços de deteção de ameaças

Os serviços de deteção de ameaças incluem serviços integrados que detetam eventos que podem indicar eventos potencialmente prejudiciais, como recursos comprometidos ou ciberataques.

Deteção de anomalias

A Deteção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Apresenta informações detalhadas sobre anomalias de segurança detetadas para as suas contas de serviço, como potenciais credenciais roubadas. A Deteção de anomalias é ativada automaticamente quando ativa o nível Standard ou Premium do Security Command Center, e as conclusões estão disponíveis na Google Cloud consola.

As conclusões da deteção de anomalias incluem o seguinte:

Nome da anomalia Categoria dos resultados Descrição

Nome da anomalia	Categoria dos resultados	Descrição
`Account has leaked credentials`	`account_has_leaked_credentials`	As credenciais de uma Google Cloud conta de serviço são divulgadas acidentalmente online ou são comprometidas. Gravidade: crítica

`Account has leaked credentials`

account_has_leaked_credentials

As credenciais de uma Google Cloud conta de serviço são divulgadas acidentalmente online ou são comprometidas.

Gravidade: crítica

A conta tem credenciais roubadas

O GitHub notificou o Security Command Center de que as credenciais usadas para uma confirmação parecem ser as credenciais de uma Google Cloud conta de serviço de gestão de identidade e acesso.

A notificação inclui o nome da conta de serviço e o identificador da chave privada. Google Cloud também envia ao seu contacto designado para problemas de segurança e privacidade uma notificação por email.

Para corrigir este problema, realize uma ou mais das seguintes ações:

Identificar o utilizador legítimo da chave.
Rode a chave.
Remova a chave.
Investigue todas as ações realizadas pela chave após a fuga de informações da chave para garantir que nenhuma das ações foi maliciosa.

JSON: deteção de credenciais da conta roubadas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Deteção de ameaças de contentores

A Deteção de ameaças de contentores pode detetar os ataques de tempo de execução de contentores mais comuns e enviar-lhe alertas no Security Command Center e, opcionalmente, no Cloud Logging. A Deteção de ameaças de contentores inclui várias capacidades de deteção, uma ferramenta de análise e uma API.

A instrumentação de deteção da Deteção de ameaças de contentores recolhe o comportamento de baixo nível no kernel do convidado e realiza o processamento de linguagem natural no código para detetar os seguintes eventos:

Added Binary Executed
Added Library Loaded
Command and Control: Steganography Tool Detected (Pré-visualizar)
Credential Access: Find Google Cloud Credentials
Credential Access: GPG Key Reconnaissance
Credential Access: Search Private Keys or Passwords
Defense Evasion: Base64 ELF File Command Line
Defense Evasion: Base64 Encoded Python Script Executed
Defense Evasion: Base64 Encoded Shell Script Executed
Defense Evasion: Launch Code Compiler Tool In Container (Pré-visualizar)
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Container Escape
Execution: Fileless Execution in /memfd:
Execution: Ingress Nightmare Vulnerability Execution (Pré-visualizar)
Execution: Kubernetes Attack Tool Execution
Execution: Local Reconnaissance Tool Execution
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Execution: Netcat Remote Code Execution In Container
Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177)
Execution: Possible Remote Command Execution Detected (Pré-visualizar)
Execution: Program Run with Disallowed HTTP Proxy Env
Execution: Socat Reverse Shell Detected
Execution: Suspicious OpenSSL Shared Object Loaded
Exfiltration: Launch Remote File Copy Tools in Container
Impact: Detect Malicious Cmdlines (Pré-visualizar)
Impact: Remove Bulk Data From Disk
Impact: Suspicious crypto mining activity using the Stratum Protocol
Malicious Script Executed
Malicious URL Observed
Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
Privilege Escalation: Fileless Execution in /dev/shm
Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
Reverse Shell
Unexpected Child Shell

Saiba mais sobre a deteção de ameaças de contentores.

Deteção de ameaças de eventos

A Deteção de ameaças de eventos usa dados de registo dentro dos seus sistemas. Monitoriza a stream do Cloud Logging para projetos e consome registos à medida que ficam disponíveis. Quando é detetada uma ameaça, a Deteção de ameaças de eventos escreve uma descoberta no Security Command Center e num projeto do Cloud Logging. A Deteção de ameaças de eventos é ativada automaticamente quando ativa o nível Premium do Security Command Center e as conclusões estão disponíveis naGoogle Cloud consola.

A tabela seguinte apresenta exemplos de resultados da Deteção de ameaças de eventos.

**Tabela C.** Tipos de resultados da Deteção de ameaças de eventos
Destruição de dados	A Deteção de ameaças de eventos deteta a destruição de dados através da análise dos registos de auditoria do servidor de gestão do serviço de cópia de segurança e recuperação de desastres para os seguintes cenários: Eliminação de uma imagem de cópia de segurança Eliminação de todas as imagens de cópia de segurança associadas a uma aplicação Eliminação de um dispositivo de cópia de segurança/recuperação
Exfiltração de dados	A Deteção de ameaças de eventos deteta a exfiltração de dados do BigQuery e do Cloud SQL examinando os registos de auditoria para os seguintes cenários: Um recurso do BigQuery é guardado fora da sua organização ou é tentada uma operação de cópia que é bloqueada pelos VPC Service Controls. É feita uma tentativa de acesso a recursos do BigQuery que estão protegidos pelos VPC Service Controls. Um recurso do Cloud SQL é total ou parcialmente exportado para um contentor do Cloud Storage fora da sua organização ou para um contentor que é propriedade da sua organização e é acessível publicamente. Uma cópia de segurança do Cloud SQL é restaurada para uma instância do Cloud SQL fora da sua organização. Um recurso do BigQuery cuja propriedade pertence à sua organização é exportado para um contentor do Cloud Storage fora da sua organização ou para um contentor na sua organização que seja acessível publicamente. Um recurso do BigQuery pertencente à sua organização é exportado para uma pasta do Google Drive. Um recurso do BigQuery é guardado num recurso público pertencente à sua organização.
Atividade suspeita do Cloud SQL	A Deteção de ameaças de eventos examina os registos de auditoria para detetar os seguintes eventos que podem indicar um comprometimento de uma conta de utilizador válida em instâncias do Cloud SQL: Um utilizador de base de dados recebe todos os privilégios para uma base de dados do Cloud SQL para PostgreSQL ou para todas as tabelas, procedimentos ou funções num esquema. Um superutilizador da conta de base de dados predefinida do Cloud SQL (`postgres` em instâncias do PostgreSQL ou "root" em instâncias do MySQL) é usado para escrever em tabelas não pertencentes ao sistema.
Atividade suspeita do AlloyDB para PostgreSQL	A Deteção de ameaças de eventos examina os registos de auditoria para detetar os seguintes eventos que podem indicar um comprometimento de uma conta de utilizador válida em instâncias do AlloyDB para PostgreSQL: A um utilizador da base de dados são concedidos todos os privilégios a uma base de dados do AlloyDB para PostgreSQL ou a todas as tabelas, procedimentos ou funções num esquema. Um superutilizador da conta de base de dados predefinida do AlloyDB para PostgreSQL (`postgres`) é usado para escrever em tabelas não pertencentes ao sistema.
Força bruta de SSH	A Deteção de ameaças de eventos deteta ataques de força bruta de autenticação de palavras-passe SSH através do exame dos registos syslog para falhas repetidas seguidas de um êxito.
Mineração de criptomoedas	A Deteção de ameaças de eventos deteta software malicioso de mineração de moedas examinando os registos de fluxo da VPC e os registos do Cloud DNS para verificar se existem ligações a domínios ou endereços IP conhecidos como maus de pools de mineração.
Abuso de IAM	Concessões de IAM anómalas: a Deteção de ameaças de eventos deteta a adição de concessões de IAM que podem ser consideradas anómalas, como: Adicionar um utilizador do gmail.com a uma política com a função de editor do projeto. Convidar um utilizador do gmail.com como proprietário do projeto a partir da Google Cloud consola. Conta de serviço que concede autorizações confidenciais. Função personalizada com autorizações sensíveis concedidas. Conta de serviço adicionada a partir de fora da sua organização.
Inibir recuperação do sistema	A Deteção de ameaças de eventos deteta alterações anómalas ao Backup and DR que podem afetar a postura de cópia de segurança, incluindo alterações importantes às políticas e a remoção de componentes críticos do Backup and DR.
Log4j	A Deteção de ameaças de eventos deteta possíveis tentativas de exploração do Log4j e vulnerabilidades ativas do Log4j.
Software malicioso	A Deteção de ameaças de eventos deteta software malicioso através da análise dos registos de fluxo da VPC e dos registos do Cloud DNS para ligações a domínios e IPs de comando e controlo conhecidos.
DoS de saída	A Deteção de ameaças de eventos examina os registos de fluxo da VPC para detetar tráfego de negação de serviço de saída.
Acesso anómalo	A Deteção de ameaças de eventos deteta acessos anómalos examinando os registos de auditoria da nuvem para Google Cloud modificações de serviços com origem em endereços IP de proxy anónimos, como endereços IP do Tor.
Comportamento anómalo da IAM	A Deteção de ameaças de eventos deteta um comportamento anómalo da IAM examinando os registos de auditoria do Cloud para os seguintes cenários: Utilizadores do IAM e contas de serviço que acedem Google Cloud a partir de endereços IP anómalos. Contas de serviço da IAM que acedem Google Cloud a partir de agentes do utilizador anómalos. Principais e recursos que se fazem passar por contas de serviço do IAM para aceder Google Cloud.
Auto investigação da conta de serviço	A Deteção de ameaças de eventos deteta quando uma credencial de conta de serviço é usada para investigar as funções e as autorizações associadas a essa mesma conta de serviço.
O administrador do Compute Engine adicionou uma chave SSH	A Deteção de ameaças de eventos deteta uma modificação ao valor da chave SSH dos metadados da instância do Compute Engine numa instância estabelecida (com mais de 1 semana).
O administrador do Compute Engine adicionou um script de arranque	A Deteção de ameaças de eventos deteta uma modificação ao valor do script de inicialização dos metadados da instância do Compute Engine numa instância estabelecida (com mais de 1 semana).
Atividade da Conta suspeita	A Deteção de ameaças de eventos deteta potenciais comprometimentos de contas do Google Workspace através da análise de registos de auditoria para atividades anómalas da conta, incluindo palavras-passe roubadas e tentativas de inícios de sessão suspeitos.
Ataque apoiado por um governo	A Deteção de ameaças de eventos examina os registos de auditoria do Google Workspace para detetar quando os atacantes apoiados por um governo podem ter tentado comprometer a conta ou o computador de um utilizador.
Alterações ao Início de sessão único (SSO)	A Deteção de ameaças de eventos examina os registos de auditoria do Google Workspace para detetar quando o SSO é desativado ou as definições são alteradas para contas de administrador do Google Workspace.
Validação em dois passos	A Deteção de ameaças de eventos examina os registos de auditoria do Google Workspace para detetar quando a validação em dois passos é desativada nas contas de utilizador e de administrador.
Comportamento anómalo da API	A Event Threat Detection deteta um comportamento anómalo da API examinando os registos de auditoria da nuvem para pedidos a Google Cloud serviços que um principal não viu antes.
Evasão de defesas	A Deteção de ameaças de eventos deteta a evasão de defesa examinando os registos de auditoria do Google Cloud para os seguintes cenários: Alterações aos perímetros do VPC Service Controls existentes que resultariam numa redução da proteção oferecida. Implementações ou atualizações de cargas de trabalho que usam a flag de acesso de emergência para substituir os controlos da autorização binária.^{Pré-visualização} Desative a política storage.secureHttpTransport ao nível do projeto, da pasta ou da organização. Altere a configuração de filtragem de IP para um contentor do Cloud Storage.
Descoberta	A Deteção de ameaças de eventos deteta operações de deteção através da análise dos registos de auditoria nos seguintes cenários: Um interveniente potencialmente malicioso tentou determinar que objetos confidenciais no GKE pode consultar através do comando `kubectl`. Está a ser usada uma credencial de conta de serviço para investigar as funções e as autorizações associadas a essa mesma conta de serviço.
Acesso inicial	A Deteção de ameaças de eventos deteta operações de acesso inicial através do exame dos registos de auditoria para os seguintes cenários: Uma conta de serviço gerida pelo utilizador inativa acionou uma ação.^{Pré-visualizar} Um principal tentou invocar vários Google Cloud métodos, mas falhou repetidamente devido a erros de permissão negada.^{Pré-visualização}
Escalamento de privilégios	A Event Threat Detection deteta a escalada de privilégios no GKE através da análise dos registos de auditoria para os seguintes cenários: Para aumentar o privilégio, um interveniente potencialmente malicioso tentou modificar um objeto de controlo de acesso baseado em funções (CABF) `ClusterRole`, `RoleBinding` ou `ClusterRoleBinding` da função sensível `cluster-admin` através de um pedido `PUT` ou `PATCH`. Um interveniente potencialmente malicioso criou um pedido de assinatura de certificado (CSR) do plano de controlo do Kubernetes, o que lhe dá `cluster-admin` acesso. Para aumentar o privilégio, um interveniente potencialmente malicioso tentou criar um objeto `RoleBinding` ou `ClusterRoleBinding` para a função `cluster-admin`. Um interveniente potencialmente malicioso consultou um pedido de assinatura de certificado (CSR) com o comando `kubectl`, usando credenciais de arranque comprometidas. Um interveniente potencialmente malicioso criou um pod que contém contentores privilegiados ou contentores com capacidades de escalamento de privilégios.
Deteções do Cloud IDS	O SDI na nuvem deteta ataques da camada 7 analisando pacotes espelhados e, quando deteta um evento suspeito, aciona uma descoberta da Deteção de ameaças de eventos. Para saber mais sobre as deteções do Cloud IDS, consulte as informações de registo do Cloud IDS. ^{Pré-visualizar}
Movimento lateral	A Deteção de ameaças de eventos deteta potenciais ataques de disco de arranque modificado examinando os registos de auditoria na nuvem para verificar desanexações e reanexações frequentes de discos de arranque em instâncias do Compute Engine.

Saiba mais sobre a Deteção de ameaças de eventos.

Google Cloud Armor

O Cloud Armor ajuda a proteger a sua aplicação através do fornecimento de filtragem da camada 7. O Cloud Armor limpa os pedidos recebidos de ataques Web comuns ou outros atributos da camada 7 para bloquear potencialmente o tráfego antes de chegar aos serviços de back-end com balanceamento de carga ou aos contentores de back-end.

O Cloud Armor exporta dois resultados para o Security Command Center:

Deteção de ameaças da máquina virtual

A Deteção de ameaças da máquina virtual é um serviço integrado do Security Command Center. Este serviço analisa máquinas virtuais para detetar aplicações potencialmente maliciosas, como software de mineração de criptomoedas, rootkits no modo kernel e software malicioso em execução em ambientes de nuvem comprometidos.

A deteção de ameaças de VMs faz parte do conjunto de deteção de ameaças do Security Command Center e foi concebida para complementar as capacidades existentes da deteção de ameaças de eventos e da deteção de ameaças de contentores.

Para mais informações sobre a deteção de ameaças de VMs, consulte a vista geral da deteção de ameaças de VMs.

Resultados de ameaças da deteção de ameaças da VM

A Deteção de ameaças de VMs pode gerar as seguintes descobertas de ameaças.

Resultados de ameaças de mineração de criptomoedas

A Deteção de ameaças de VMs deteta as seguintes categorias de resultados através da correspondência de hash ou das regras YARA.

Resultados de ameaças de mineração de criptomoedas da Deteção de ameaças de VMs
Categoria	Módulo	Descrição
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Compara hashes de memória de programas em execução com hashes de memória conhecidos de software de mineração de criptomoedas. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Corresponde a padrões de memória, como constantes de prova de trabalho, que se sabe serem usados por software de mineração de criptomoedas. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica uma ameaça que foi detetada pelos módulos `CRYPTOMINING_HASH` e `CRYPTOMINING_YARA`. Para mais informações, consulte o artigo Deteções combinadas. Por predefinição, as conclusões são classificadas como gravidade Alta.

Resultados de ameaças de rootkit no modo kernel

A Deteção de ameaças de VMs analisa a integridade do kernel no tempo de execução para detetar técnicas de evasão comuns que são usadas por software malicioso.

O módulo KERNEL_MEMORY_TAMPERING deteta ameaças através de uma comparação de hash no código do kernel e na memória de dados só de leitura do kernel de uma máquina virtual.

O módulo KERNEL_INTEGRITY_TAMPERING deteta ameaças verificando a integridade de estruturas de dados importantes do kernel.

Resultados de ameaças de rootkit no modo kernel da Deteção de ameaças de VMs
Categoria	Módulo	Descrição
Rootkit
`Defense Evasion: Rootkit`	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Está presente uma combinação de sinais que correspondem a um rootkit de modo kernel conhecido. Para receber conclusões desta categoria, certifique-se de que ambos os módulos estão ativados. Por predefinição, as conclusões são classificadas como gravidade Alta.
Interferência na memória do kernel
`Defense Evasion: Unexpected kernel read-only data modification`	`KERNEL_MEMORY_TAMPERING`	Estão presentes modificações inesperadas da memória de dados só de leitura do kernel. Por predefinição, as conclusões são classificadas como gravidade Alta.
Interferência na integridade do kernel
`Defense Evasion: Unexpected ftrace handler`	`KERNEL_INTEGRITY_TAMPERING`	`ftrace` pontos estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou do kernel esperado. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Defense Evasion: Unexpected interrupt handler`	`KERNEL_INTEGRITY_TAMPERING`	Estão presentes controladores de interrupção que não se encontram nas regiões de código do módulo ou do kernel esperadas. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Defense Evasion: Unexpected kernel modules`	`KERNEL_INTEGRITY_TAMPERING`	Estão presentes páginas de código do kernel que não se encontram nas regiões de código do kernel ou do módulo esperadas. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Defense Evasion: Unexpected kprobe handler`	`KERNEL_INTEGRITY_TAMPERING`	`kprobe` pontos estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou do kernel esperado. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Defense Evasion: Unexpected processes in runqueue`	`KERNEL_INTEGRITY_TAMPERING`	Existem processos inesperados na fila de execução do agendador. Estes processos estão na fila de execução, mas não na lista de tarefas de processo. Por predefinição, as conclusões são classificadas como gravidade Alta.
`Defense Evasion: Unexpected system call handler`	`KERNEL_INTEGRITY_TAMPERING`	Estão presentes controladores de chamadas do sistema que não se encontram nas regiões de código do módulo ou do kernel esperadas. Por predefinição, as conclusões são classificadas como gravidade Alta.

Erros

Os detetores de erros podem ajudar a detetar erros na sua configuração que impedem as origens de segurança de gerar resultados. As conclusões de erros são geradas pela fonte de segurança Security Command Center e têm a classe de conclusões SCC errors.

Ações inadvertidas

As seguintes categorias de constatações representam erros possivelmente causados por ações não intencionais.

Ações inadvertidas
Nome da categoria	Nome da API	Resumo	Gravidade
`API disabled`	`API_DISABLED`	Descrição da localização: Uma API obrigatória está desativada para o projeto. O serviço desativado não pode enviar resultados para o Security Command Center. Nível de preços: Premium ou Standard Recursos suportados cloudresourcemanager.googleapis.com/Project Procuras em lote: a cada 60 horas Corrija esta descoberta	Crítico
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrição da descoberta: As configurações de valor dos recursos estão definidas para simulações de caminhos de ataque, mas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão a usar o conjunto de recursos de valor elevado predefinido. Este erro pode ter qualquer uma das seguintes causas: Nenhuma das configurações de valor do recurso corresponde a instâncias de recursos. Uma ou mais configurações de valor do recurso que especificam `NONE` substituem todas as outras configurações válidas. Todas as configurações de valor de recurso definidas especificam um valor de `NONE`. Nível de preços: Premium Recursos suportados cloudresourcemanager.googleapis.com/Organizations Análises em lote: antes de cada simulação de caminho de ataque. Corrija esta descoberta	Crítico
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrição da descoberta: Na última simulação de caminho de ataque, o número de instâncias de recursos de elevado valor, conforme identificado pelas configurações de valor dos recursos, excedeu o limite de 1000 instâncias de recursos num conjunto de recursos de elevado valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor. O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta `SCC Error` na Google Cloud consola. As pontuações de exposição a ataques em quaisquer resultados que afetem instâncias de recursos excluídas não refletem a designação de elevado valor das instâncias de recursos. Nível de preços: Premium Recursos suportados cloudresourcemanager.googleapis.com/Organizations Análises em lote: antes de cada simulação de caminho de ataque. Corrija esta descoberta	Alto
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descrição da deteção: Não é possível ativar a Deteção de ameaças de contentores no cluster porque não é possível obter (transferir) uma imagem de contentor necessária de `gcr.io`, o anfitrião de imagens do Container Registry. A imagem é necessária para implementar o DaemonSet de deteção de ameaças de contentores que a deteção de ameaças de contentores requer. A tentativa de implementar o DaemonSet de deteção de ameaças de contentores resultou no seguinte erro: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Nível de preços: Premium Recursos suportados container.googleapis.com/Cluster Análises em lote: a cada 30 minutos Corrija esta descoberta	Crítico
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrição da deteção: Não é possível ativar a Deteção de ameaças de contentores num cluster do Kubernetes. Um controlador de admissão de terceiros está a impedir a implementação de um objeto DaemonSet do Kubernetes que a deteção de ameaças de contentores requer. Quando visualizados na Google Cloud consola, os detalhes da deteção incluem a mensagem de erro devolvida pelo Google Kubernetes Engine quando a Deteção de ameaças de contentores tentou implementar um objeto DaemonSet de Deteção de ameaças de contentores. Nível de preços: Premium Recursos suportados container.googleapis.com/Cluster Análises em lote: a cada 30 minutos Corrija esta descoberta	Alto
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: Uma conta de serviço não tem as autorizações necessárias para a Deteção de ameaças de contentores. A Deteção de ameaças de contentores pode deixar de funcionar corretamente porque a instrumentação de deteção não pode ser ativada, atualizada nem desativada. Nível de preços: Premium Recursos suportados cloudresourcemanager.googleapis.com/Project Análises em lote: a cada 30 minutos Corrija esta descoberta	Crítico
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da deteção: A Deteção de ameaças de contentores não consegue gerar resultados para um cluster do Google Kubernetes Engine, porque a conta de serviço predefinida do GKE no cluster não tem autorizações. Isto impede que a Deteção de ameaças de contentores seja ativada com êxito no cluster. Nível de preços: Premium Recursos suportados container.googleapis.com/Cluster Análises em lote: todas as semanas Corrija esta descoberta	Alto
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrição da deteção: O projeto configurado para exportação contínua para o Cloud Logging está indisponível. O Security Command Center não consegue enviar resultados para o Logging. Nível de preços: Premium Recursos suportados cloudresourcemanager.googleapis.com/Organization Análises em lote: a cada 30 minutos Corrija esta descoberta	Alto
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrição da deteção: O Security Health Analytics não consegue produzir determinadas deteções para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. Nível de preços: Premium ou Standard Recursos suportados cloudresourcemanager.googleapis.com/Project Procuras em lote: a cada 6 horas Corrija esta descoberta	Alto
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da deteção: A conta de serviço do Security Command Center não tem as autorizações necessárias para funcionar corretamente. Não são produzidas conclusões. Nível de preços: Premium ou Standard Recursos suportados cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Análises em lote: a cada 30 minutos Corrija esta descoberta	Crítico

Para mais informações, consulte o artigo Erros do Security Command Center.

O que se segue?

Saiba mais sobre o Security Command Center na vista geral do Security Command Center.
Saiba como adicionar novas origens de segurança configurando os serviços do Security Command Center.

Serviços de deteção Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Serviços de deteção de vulnerabilidades

Avaliação de vulnerabilidades do Artifact Registry

Ative as conclusões da avaliação de vulnerabilidades do Artifact Registry

Desative as conclusões da avaliação de vulnerabilidades do Artifact Registry

Detetores de avaliação de vulnerabilidades do Artifact Registry

Veja as conclusões da avaliação de vulnerabilidades do Artifact Registry na consola

Resultados da gestão da postura de segurança dos dados

Veja as conclusões da DSPM na consola

Painel de controlo da postura de segurança do GKE

Veja as conclusões do painel de controlo da postura de segurança do GKE na consola

Recomendador de IAM

Ative ou desative as conclusões do recomendador do IAM

Detetores do Recomendador de IAM

IAM role has excessive permissions

Service agent role replaced with basic role

Service agent granted basic role

Unused IAM role

Veja as conclusões do Recomendador de IAM na consola

Mandiant Attack Surface Management

Reveja as conclusões do Mandiant Attack Surface Management na consola

Model Armor

Resultados de vulnerabilidades do serviço Model Armor

Floor settings violation

Notebook Security Scanner

Controlador de políticas

Risk Engine

Análise do estado de segurança

Serviço de postura de segurança

Resultados do serviço de postura de segurança

SHA Canned Module Drifted

SHA Custom Module Drifted

SHA Custom Module Deleted

Org Policy Canned Constraint Drifted

Org Policy Canned Constraint Deleted

Org Policy Custom Constraint Drifted

Org Policy Custom Constraint Deleted

Proteção de dados confidenciais

Resultados de vulnerabilidades do serviço de deteção da proteção de dados confidenciais

Public sensitive data

Secrets in environment variables

Secrets in storage

Resultados de erros de configuração do serviço de deteção da proteção de dados confidenciais

Sensitive data CMEK disabled

Resultados de observação da proteção de dados confidenciais

Conclusões de observação do serviço de deteção

Resultados de observações do serviço de inspeção da proteção de dados confidenciais

Reveja as conclusões da Proteção de dados confidenciais na consola

VM Manager

OS vulnerability

Avaliação de vulnerabilidades para AWS

Avaliação de vulnerabilidades para Google Cloud

Web Security Scanner

Análises geridas

Análises personalizadas

Detetores e conformidade

Serviços de deteção de ameaças

Deteção de anomalias

Account has leaked credentials

A conta tem credenciais roubadas

JSON: deteção de credenciais da conta roubadas

Deteção de ameaças de contentores

Deteção de ameaças de eventos

Destruição de dados

Exfiltração de dados

Atividade suspeita do Cloud SQL

Atividade suspeita do AlloyDB para PostgreSQL

Força bruta de SSH

Mineração de criptomoedas

Abuso de IAM

Inibir recuperação do sistema

Log4j

Software malicioso

DoS de saída

Acesso anómalo

Comportamento anómalo da IAM

Auto investigação da conta de serviço

O administrador do Compute Engine adicionou uma chave SSH

O administrador do Compute Engine adicionou um script de arranque

Atividade da Conta suspeita

Serviços de deteção

`IAM role has excessive permissions`

`Service agent role replaced with basic role`

`Service agent granted basic role`

`Unused IAM role`

`Floor settings violation`

`SHA Canned Module Drifted`

`SHA Custom Module Drifted`

`SHA Custom Module Deleted`

`Org Policy Canned Constraint Drifted`

`Org Policy Canned Constraint Deleted`

`Org Policy Custom Constraint Drifted`

`Org Policy Custom Constraint Deleted`

`Public sensitive data`

`Secrets in environment variables`

`Secrets in storage`

`Sensitive data CMEK disabled`

`OS vulnerability`

`Account has leaked credentials`

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`

`Execution: Cryptocurrency Mining Combined Detection`

`Defense Evasion: Rootkit`

`Defense Evasion: Unexpected kernel read-only data modification`

`Defense Evasion: Unexpected ftrace handler`

`Defense Evasion: Unexpected interrupt handler`

`Defense Evasion: Unexpected kernel modules`

`Defense Evasion: Unexpected kprobe handler`

`Defense Evasion: Unexpected processes in runqueue`

`Defense Evasion: Unexpected system call handler`

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`Security Command Center service account missing permissions`