Questa pagina è stata tradotta dall'API Cloud Translation.

Servizi di rilevamento

Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche chiamate origini di sicurezza, utilizzate da Security Command Center per rilevare sui problemi di sicurezza nei tuoi ambienti cloud.

Quando questi servizi rilevano un problema, generano un risultato, un record che identifichi il problema di sicurezza e ti fornisce le le informazioni necessarie a cui dare la priorità e risolvere il problema.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o per una risorsa specifica. Ogni origine di sicurezza potrebbe fornire più filtri ti aiutano a organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per ulteriori informazioni Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Servizi di rilevamento delle vulnerabilità

I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, configurazioni errate le violazioni della postura nei tuoi ambienti cloud. Collettivamente, questi tipi di problemi di sicurezza sono definite vulnerabilità.

Dashboard della strategia di sicurezza di GKE

La dashboard della strategia di sicurezza di GKE è una Console Google Cloud che fornisce risultati guidati e strategici sui potenziali problemi di sicurezza nei tuoi cluster GKE.

Se abiliti una delle seguenti dashboard della strategia di sicurezza di GKE vedrai i risultati nel livello Standard di Security Command Center il livello Premium:

Funzionalità della dashboard della strategia di sicurezza di GKE	Tipo di risultato di Security Command Center
Controllo della configurazione del carico di lavoro	`MISCONFIGURATION`
Analisi delle vulnerabilità di Container OS Analisi delle vulnerabilità dei pacchetti di lingue Bollettini sulla sicurezza utili (anteprima)	`VULNERABILITY`

I risultati mostrano informazioni sul problema di sicurezza e forniscono per risolvere i problemi dei carichi di lavoro o dei cluster.

Visualizza i risultati della dashboard della strategia di sicurezza di GKE nella console Google Cloud

Vai alla pagina Risultati di Security Command Center nella console Google Cloud:

Vai ai risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nel riquadro Filtri rapidi, nella sezione Nome visualizzato dell'origine, Seleziona Strategia di sicurezza di GKE. Se non vedi il Filtro Strategia di sicurezza di GKE: nessun risultato attivo.

Motore per suggerimenti IAM

Motore per suggerimenti IAM consigli sui problemi che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM delle entità quando i ruoli contengono Autorizzazioni IAM non necessarie all'entità.

Abilita o disabilita i risultati del motore per suggerimenti IAM

Per abilitare o disabilitare i risultati del motore per suggerimenti IAM in Security Command Center, segui questi passaggi:

Vai alla scheda Servizi integrati di Security Command Center Pagina Impostazioni nella console Google Cloud:

Vai alle impostazioni
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
Seleziona Attiva o Disattiva a destra della voce.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente in una tabella dei risultati del motore per suggerimenti IAM. I passaggi di correzione per ogni risultato sia incluso nella voce della tabella.

Rilevatori del motore per suggerimenti IAM

Risultati del motore per suggerimenti IAM
Rilevatore	Riepilogo
`IAM role has excessive permissions` Nome categoria nell'API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato un account di servizio con uno o più Ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli dei risultati nella console Google Cloud, copia e incolla l'URL della pagina IAM in un browser barra degli indirizzi e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, fai clic sul lato destro `Visualizza i consigli nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un consiglio relativo a autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina il consiglio per individuare le azioni che puoi intraprendere per risolvere il problema. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato a `INACTIVE` entro 24 ore.
`Service agent role replaced with basic role` Nome categoria nell'API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale a un agente di servizio è stato sostituito con uno dei ruoli IAM di base Ruoli: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivi ruoli legacy permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli dei risultati nella console Google Cloud, copia e incolla l'URL della pagina IAM in un browser barra degli indirizzi e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i consigli nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa a autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato a `INACTIVE` entro 24 ore.
`Service agent granted basic role` Nome categoria nell'API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato IAM che è stato concesso un agente di servizio uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non dovrebbero agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli dei risultati nella console Google Cloud, copia e incolla l'URL della pagina IAM in un browser barra degli indirizzi e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i consigli nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa a autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato a `INACTIVE` entro 24 ore.
`Unused IAM role` Nome categoria nell'API: `UNUSED_IAM_ROLE`	Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato un account utente con un Ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli dei risultati nella console Google Cloud, copia e incolla l'URL della pagina IAM in un browser barra degli indirizzi e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i consigli nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa a autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato a `INACTIVE` entro 24 ore.

Visualizza i risultati del motore per suggerimenti IAM nella console

Nella console Google Cloud, puoi visualizzare i risultati emessi dal motore per suggerimenti IAM Vulnerabilità selezionando la preimpostazione di query Motore per suggerimenti IAM o nella Risultati pagina selezionando Motore per suggerimenti IAM nella sezione Nome visualizzato origine del riquadro Filtri rapidi.

Mandiant Attack Surface Management

Mandiant è leader mondiale nell’intelligence di prima linea sulle minacce. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a rimanere al passo più recenti attacchi informatici.

Mandiant Attack Surface Management viene abilitato automaticamente quando attivi il Il livello e i risultati di Security Command Center Enterprise sono disponibili nella console Google Cloud.

Per informazioni sulle differenze con il prodotto autonomo Mandiant Attack Surface Management dall'integrazione di Mandiant Attack Surface Management in Security Command Center, vedi ASM e Security Command Center sul portale della documentazione Mandiant. Questo link richiede Mandiant autenticazione.

Rivedi i risultati di Mandiant Attack Surface Management nella console Google Cloud

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, in Nome visualizzato origine seleziona Mandiant Attack Surface Management.

La tabella viene compilata con i risultati di Mandiant Attack Surface Management.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Il riquadro dei dettagli per il risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, informazioni su ciò che è stato rilevato, la risorsa ne è stata influenzata e altre ancora.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Queste norme fungono da barriere e possono aiutarti con best practice, sicurezza e gestione della conformità dei tuoi cluster parco risorse.

Se installi Policy Controller, e abilitare CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1 I bundle di Policy Controller, o entrambi, Policy Controller scrivono automaticamente violazioni dei cluster a Security Command Center come classe Misconfiguration i risultati. La descrizione dei risultati e i passaggi successivi in Security Command Center i risultati sono gli stessi della descrizione del vincolo e dei passaggi di correzione del bundle Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

Benchmark CIS Kubernetes v.1.5.1, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida sicurezza postura. Puoi visualizzare informazioni su questo cofanetto anche nella Repository GitHub per cis-k8s-v1.5.1.
PCI DSS v3.2.1, un bundle che valuta la conformità delle risorse del cluster alcuni aspetti dello standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v3.2.1. Puoi visualizzare informazioni su questo cofanetto anche nella Repository GitHub per pci-dss-v3.

Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.

Motore di rischio

Il motore Risk di Security Command Center valuta l'esposizione al rischio dei tuoi i deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati di vulnerabilità e le tue risorse di alto valore, oltre a creare diagrammi dei percorsi che un potenziale che un utente malintenzionato potrebbe compiere per raggiungere le tue risorse di alto valore.

Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, quando si verificano insieme in un pattern particolare, crea un percorso verso uno o più dei tuoi le risorse che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.

Quando Risk Engine rileva una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION. Nel risultato, Risk Engine è elencato come origine del il risultato.

Per saperne di più, consulta Panoramica delle combinazioni dannose.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare e gli errori di configurazione più comuni.

Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli degli standard di sicurezza in modo da poter valutare la conformità.

Security Health Analytics scansiona le tue risorse su Google Cloud. Se utilizzando il livello Enterprise e di stabilire connessioni ad altre piattaforme cloud, Security Health Analytics può anche analizzare le tue risorse su quelle piattaforme cloud.

A seconda del livello di servizio di Security Command Center i rilevatori disponibili sono diversi:

Nel livello Standard, Security Health Analytics include solo un parametro gruppo di base di rilevatori di vulnerabilità di media e alta gravità.
Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.

Security Health Analytics viene abilitato automaticamente quando lo attivi Security Command Center.

Per ulteriori informazioni, vedi:

Servizio Security posture

La postura di sicurezza è un servizio integrato il livello Premium di Security Command Center che consente di definire, valutare e monitorare della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente sia in linea con i criteri che definisci nelle postura.

Il servizio Security posture non è correlato a GKE dashboard della postura di sicurezza, che mostra solo i risultati in GKE cluster.

Risultati del servizio Security posture

Risultati della security posture
Risultato	Riepilogo
`SHA Canned Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: Il servizio security posture ha rilevato una modifica a un rilevatore Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del rilevatore nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il rilevatore di Security Health Analytics o il deployment della postura e della postura. Per annullare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: Il servizio security posture ha rilevato una modifica a un modulo personalizzato Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Deleted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrizione dei risultati: Il servizio Security posture ha rilevato che Security Health Analytics modulo personalizzato è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrizione dei risultati: Il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: Il servizio Security posture ha rilevato l'eliminazione di un criterio dell'organizzazione. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrizione dei risultati: Il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: Il servizio Security posture ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.

Protezione dei dati sensibili

Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando dati sensibili o personali che consentono l'identificazione personale (PII), come segue:

Nomi di persone
Numeri di carte di credito
Numeri di documenti di identità statali o nazionali
Numeri di documenti di identità dell'assicurazione sanitaria
Secret

In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi viene chiamato un infoType.

Se configuri l'operazione di Sensitive Data Protection in modo da inviare a Security Command Center, puoi visualizzarli direttamente sezione Security Command Center della console Google Cloud, oltre alle Sensitive Data Protection.

Vulnerabilità rilevate dal servizio di rilevamento di Sensitive Data Protection

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se le variabili di ambiente Cloud Functions contengono secret, password, token di autenticazione e credenziali di Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, consulta Credenziali e segreti.

Tipo di risultato Descrizione del risultato Standard di conformità

Tipo di risultato	Descrizione del risultato	Standard di conformità
`Secrets in environment variables` Nome categoria nell'API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions. Soluzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in in Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Secrets in environment variables

Nome categoria nell'API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.

Soluzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in in Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, può richiedere fino a 12 ore per la scansione iniziale delle variabili di ambiente e affinché eventuali risultati relativi a "Secret nelle variabili di ambiente" vengano visualizzati in Security Command Center. Successivamente, Sensitive Data Protection analizza l'ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite più spesso.

Per abilitare questo rilevatore, consulta Segnala secret nell'ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Risultati dell'osservazione di Sensitive Data Protection

Questa sezione descrive i risultati di osservazione generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione dal servizio di rilevamento

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se le tue I dati BigQuery contengono infoType specifici e la posizione in cui si trovano dell'organizzazione, delle cartelle e dei progetti.

Un'operazione di rilevamento genera profili dell'ambiente BigQuery sottostante a livello di progetto, tabella e colonna. Ogni profilo dati della tabella genera le seguenti categorie di risultati in Security Command Center:

Data sensitivity: Un'indicazione del livello di sensibilità dei dati in un determinato asset di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere per un controllo o una gestione aggiuntivi. La gravità del risultato è la livello di sensibilità di Sensitive Data Protection calcolato quando generando il profilo dati.
Data risk: Il rischio associato ai dati nel loro stato attuale. Durante il calcolo dei dati il rischio, Sensitive Data Protection considera il livello di sensibilità i dati nell'asset di dati e la presenza di controlli di accesso per proteggerli. e i dati di Google Cloud. La gravità del risultato è il livello di rischio dei dati che Protezione dei dati sensibili calcolate durante la generazione il profilo dati.

Dal momento in cui Sensitive Data Protection genera i profili dati, può potrebbero essere necessarie fino a sei ore per gli elementi Data sensitivity e Data risk associati i risultati da visualizzare in Security Command Center.

Per informazioni su come inviare i risultati dei profili dati a Security Command Center, consulta Abilita il rilevamento dei dati sensibili.

Risultati dell'osservazione dal servizio di ispezione di Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o Tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione cerca tutte le stringhe che corrispondono al rilevatore di infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore di infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato di Security Command Center corrispondente. La categoria dei risultati è Il nome del rilevatore di infoType che ha avuto una corrispondenza, ad esempio Credit card number. Il risultato include il numero di stringhe corrispondenti che sono state rilevato nel testo o nelle immagini della risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non vengono incluse il risultato. Ad esempio, un risultato Credit card number mostra quanti Sono stati trovati i numeri di carta di credito, ma non sono indicati i numeri effettivi della carta di credito.

Perché ci sono più di 150 rilevatori di infoType integrati in Sensitive Data Protection, tutte le possibili categorie di risultati di Security Command Center non sono elencati qui. Per un elenco completo dei rilevatori di infoType, vedi Rilevatore di InfoType riferimento.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console Google Cloud

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, in Nome visualizzato origine seleziona Sensitive Data Protection.

La tabella viene compilata con i risultati di Sensitive Data Protection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Il riquadro dei dettagli per il risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, informazioni su ciò che è stato rilevato, la risorsa ne è stata influenzata e altre ancora.

VM Manager

VM Manager è una suite di strumenti può essere utilizzato per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.

Se abiliti VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente i risultati high e critical dai propri report sulle vulnerabilità, sono in anteprima in Security Command Center. I report identificano le vulnerabilità sistemi operativi installati sulle VM, tra cui vulnerabilità comuni e Esposizioni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo delle patch di VM Manager Funzionalità di conformità, che è in anteprima. La funzionalità ti permette di applicare una applicazione a livello di organizzazione per tutti i tuoi progetti. Attualmente, VM Manager supporta le patch a livello di singolo progetto.

Per correggere i risultati di VM Manager, consulta Correzione Risultati di VM Manager.

Per impedire la scrittura di report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.

Le vulnerabilità di questo tipo riguardano tutti i pacchetti di sistemi operativi installati in di Compute Engine supportate.

**Tabella 24.** Report sulle vulnerabilità di VM Manager
Rilevatore	Riepilogo	Impostazioni di scansione degli asset	Standard di conformità
`OS vulnerability` Nome categoria nell'API: `OS_VULNERABILITY`	Descrizione dei risultati: VM Manager ha rilevato una vulnerabilità nel sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato	di VM Manager i report sulle vulnerabilità descrivono in dettaglio le vulnerabilità nei sistemi operativi installati di pacchetti di sistema per le VM di Compute Engine, . Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, vedi Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue: Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi: prevedi di vedere Vulnerabilità ed esposizioni comuni (CVE) per la VM in Security Command Center entro due ore dalla modifica. Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, vengono aggiornati Le CVE sono generalmente disponibili entro 24 ore dal fornitore del sistema operativo pubblica l'avviso.

Valutazione delle vulnerabilità per AWS

Il servizio Vulnerability Assessment for Amazon Web Services (AWS) rileva le vulnerabilità del software nei carichi di lavoro in esecuzione su macchine virtuali (VM) EC2 con la piattaforma cloud AWS.

Per ogni vulnerabilità rilevata, Vulnerability Assessment per AWS genera un Vulnerability risultato del corso nel risultato Software vulnerability in Security Command Center.

Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot della macchina EC2 in esecuzione di istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agente, perché non è installato alcun agente target della scansione.

Per ulteriori informazioni, consulta le seguenti risorse:

Web Security Scanner

Web Security Scanner fornisce un'analisi delle vulnerabilità web gestita e personalizzata per i App Engine, GKE e Compute Engine servizio web diverse applicazioni.

Scansioni gestite

Le scansioni gestite di Web Security Scanner sono configurate e gestite tramite Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare per analizzare gli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano Richieste solo GET in modo che non inviino moduli su siti web attivi.

Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.

Se Security Command Center è attivato a livello di organizzazione, è possibile utilizzare le scansioni gestite per gestire centralmente le applicazioni web di base il rilevamento delle vulnerabilità per i progetti dell'organizzazione, coinvolgano singoli team di progetto. Una volta scoperti i risultati, puoi lavorare con questi team per configurare scansioni personalizzate più complete.

Quando si abilita Web Security Scanner as a Service, i risultati della scansione gestita vengono automaticamente disponibili nella pagina Vulnerabilità di Security Command Center. report correlati. Per informazioni su come abilitare Web Security Scanner scansioni gestite, consulta Configurare i servizi di Security Command Center.

Le scansioni gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una scansione personalizzata.

Scansioni personalizzate

Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari su risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, scripting o utilizzo di contenuti misti.

Le scansioni personalizzate vengono definite a livello di progetto.

I risultati della scansione personalizzata sono disponibili in Security Command Center dopo aver completato la guida configurare le scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie del OWASP Top Ten un documento che classifichi e fornisca indicazioni per rimediare ai primi 10 rischi critici per la sicurezza delle applicazioni web, in base a quanto determinato dall’Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta OWASP Top 10 mitigation options on Google Cloud.

La mappatura della conformità è inclusa come riferimento e non viene fornita né esaminata dalla OWASP Foundation.

Questa funzionalità è destinata solo a monitorare i controlli di conformità violazioni delle norme. Le mappature non sono fornite per essere utilizzate come base o come sostituire l'audit, la certificazione o il report sulla conformità del prodotti o servizi con benchmark o standard normativi o di settore.

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici non protetti da un firewall.

Categoria	Descrizione del risultato	OWASP 2017 - Top 10	Top 10 della classifica OWASP 2021
`Accessible Git repository` Nome categoria nell'API: `ACCESSIBLE_GIT_REPOSITORY`	Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi accesso pubblico non intenzionale al repository GIT. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Accessible SVN repository` Nome categoria nell'API: `ACCESSIBLE_SVN_REPOSITORY`	Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi pubblico non intenzionale al repository SVN. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Cacheable password input` Nome categoria nell'API: `CACHEABLE_PASSWORD_INPUT`	Le password inserite nell'applicazione web possono essere memorizzate nella cache di una normale cache del browser anziché un'archiviazione sicura delle password. Livello di prezzo: Premium Correggi questo risultato	A3	A04
`Clear text password` Nome categoria nell'API: `CLEAR_TEXT_PASSWORD`	Le password vengono trasmesse in chiaro e possono essere intercettate. A risolvere il problema, crittografare la password trasmessa in ogni rete. Livello di prezzo: Standard Correggi questo risultato	A3	A02
`Insecure allow origin ends with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere il problema risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione `Origin` prima nell'intestazione della risposta `Access-Control-Allow-Origin`. Per i caratteri jolly nei sottodomini, anteponi il punto al dominio principale, ad esempio `.endsWith(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Insecure allow origin starts with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere il problema risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione `Origin` prima nell'intestazione della risposta `Access-Control-Allow-Origin`, ad esempio `.equals(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Invalid content type` Nome categoria nell'API: `INVALID_CONTENT_TYPE`	È stata caricata una risorsa che non corrisponde al valore HTTP Content-Type della risposta intestazione. Per risolvere questo risultato, imposta l'intestazione HTTP `X-Content-Type-Options` con il valore corretto. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Invalid header` Nome categoria nell'API: `INVALID_HEADER`	Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Da risolvere risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mismatching security header values` Nome categoria nell'API: `MISMATCHING_SECURITY_HEADER_VALUES`	Un'intestazione di sicurezza contiene valori duplicati o non corrispondenti, che generano un comportamento indefinito. Per risolvere questo risultato, imposta le intestazioni di sicurezza HTTP in modo corretto. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Misspelled security header name` Nome categoria nell'API: `MISSPELLED_SECURITY_HEADER_NAME`	Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, impostare correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mixed content` Nome categoria nell'API: `MIXED_CONTENT`	Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere il problema assicurando che tutte le risorse vengano pubblicate tramite HTTPS. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Outdated library` Nome categoria nell'API: `OUTDATED_LIBRARY`	È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema eseguire l'upgrade delle librerie a una versione più recente. Livello di prezzo: Standard Correggi questo risultato	A9	A06
`Server side request forgery` Nome categoria nell'API: `SERVER_SIDE_REQUEST_FORGERY`	È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo risultato, utilizza un lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste. Livello di prezzo: Standard Correggi questo risultato	Non applicabile	A10
`Session ID leak` Nome categoria nell'API: `SESSION_ID_LEAK`	Quando si effettua una richiesta interdominio, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della sua richiesta `Referer`. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente. Livello di prezzo: Premium Correggi questo risultato	A2	A07
`SQL injection` Nome categoria nell'API: `SQL_INJECTION`	È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza query con parametri per impedire agli input dell'utente di influenzare la struttura della query SQL. Livello di prezzo: Premium Correggi questo risultato	A1	A03
`Struts insecure deserialization` Nome categoria nell'API: `STRUTS_INSECURE_DESERIALIZATION`	L'utilizzo di una versione vulnerabile di Apache È stato rilevato Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente. Livello di prezzo: Premium Correggi questo risultato	A8	A08
`XSS` Nome categoria nell'API: `XSS`	Un campo di questa applicazione web è vulnerabile a un cross-site scripting (XSS). Per risolvere questo risultato, convalida ed esca come non attendibile forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS angular callback` Nome categoria nell'API: `XSS_ANGULAR_CALLBACK`	Una stringa fornita dall'utente non presenta caratteri di escape e AngularJS può interporla. A risolvere questo risultato, convalidare ed eseguire l'escape dei dati non attendibili forniti dall'utente gestite dal framework Angular. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS error` Nome categoria nell'API: `XSS_ERROR`	Un campo di questa applicazione web è vulnerabile a un cross-site scripting un attacco. Per risolvere questo risultato, convalida ed esca come non attendibile forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XXE reflected file leakage` Nome categoria nell'API: `XXE_REFLECTED_FILE_LEAKAGE`	È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare il far trapelare un file sull'host. Per risolvere questo risultato, configura i parser XML in modo da non consentire entità esterne. Livello di prezzo: Premium Correggi questo risultato	A4	A05
`Prototype pollution` Nome categoria nell'API: `PROTOTYPE_POLLUTION`	L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando le proprietà dell'oggetto `Object.prototype` possono essere assegnati valori controllabili da utenti malintenzionati. Valori inseriti in questi prototipi universalmente si presume che si traduca in cross-site scripting (XSS) o in simili vulnerabilità lato client, nonché in bug logici. Livello di prezzo: Standard Correggi questo risultato	A1	A03

Servizi di rilevamento delle minacce

I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.

Rilevamento di anomalie

Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento all'esterno del sistema. Visualizza informazioni granulari sulla sicurezza di anomalie rilevate per i progetti e le istanze di macchine virtuali (VM), ad esempio come potenziali credenziali divulgate. Il rilevamento di anomalie è automaticamente abilitati quando attivi Security Command Center Standard o Il livello Premium e i risultati sono disponibili nella console Google Cloud.

I risultati del rilevamento di anomalie includono quanto segue:

Nome anomalia Categoria risultati Descrizione

Nome anomalia	Categoria risultati	Descrizione
`Account has leaked credentials`	`account_has_leaked_credentials`	Le credenziali di un account di servizio Google Cloud vengono accidentalmente sono trapelati online o sono compromessi. Gravità: critica

Account has leaked credentials

account_has_leaked_credentials

Le credenziali di un account di servizio Google Cloud vengono accidentalmente sono trapelati online o sono compromessi.

Gravità: critica

L'account presenta credenziali divulgate

GitHub ha informato Security Command Center che le credenziali utilizzate per un commit, sembrano essere le credenziali Account di servizio Google Cloud Identity and Access Management.

La notifica include il nome dell'account di servizio e la chiave privata identificativo dell'utente. Google Cloud invia inoltre contatto designato per la sicurezza e la privacy invia una notifica via email.

Per risolvere il problema, esegui una o più delle seguenti azioni:

Identifica l'utente legittimo della chiave.
Ruota la chiave.
Rimuovi la chiave.
Esamina tutte le azioni intraprese dalla chiave dopo è stata divulgata per garantire che nessuna delle azioni fosse dannosa.

JSON: rilevamento di credenziali dell'account divulgate

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection può rilevare gli attacchi più comuni al runtime dei container e ti avvisa in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi, e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ guest kernel ed esegue l'elaborazione del linguaggio naturale sugli script per rilevare i seguenti eventi:

Programma binario aggiuntivo eseguito
Libreria aggiuntiva caricata
Esecuzione: esecuzione di elementi binari dannosi aggiunta
Esecuzione: aggiunta di libreria dannosa caricata
Esecuzione: esecuzione binaria dannosa integrata
Esecuzione: esecuzione di un file binario dannoso modificato
Esecuzione: libreria dannosa modificata caricata
Script dannoso eseguito
Shell inversa
Shell figlio imprevista

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Guarda il flusso di Cloud Logging per i progetti e utilizza e i log non appena diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il Il livello Premium e i risultati di Security Command Center sono disponibili in nella console Google Cloud.

La tabella seguente elenca esempi di risultati di Event Threat Detection.

**Tabella C.** Tipi di risultati di Event Threat Detection
Distruzione dei dati	Event Threat Detection rileva l'eliminazione dei dati esaminando gli audit log di Backup & DR Service Management Server per individuare gli scenari seguenti: Eliminazione di un'immagine di backup Eliminazione di tutte le immagini di backup associate a un'applicazione Eliminazione di un'appliance di backup/ripristino
Esfiltrazione di dati	Event Threat Detection rileva l'esfiltrazione di dati da BigQuery Cloud SQL esaminando gli audit log per i seguenti scenari: Una risorsa BigQuery viene salvata all'esterno organizzazione oppure viene tentata un'operazione di copia bloccata Controlli di servizio VPC. Viene effettuato un tentativo di accedere alle risorse BigQuery sono protette dai Controlli di servizio VPC. Una risorsa Cloud SQL viene esportata completamente o parzialmente in un Bucket Cloud Storage all'esterno della tua organizzazione o in un bucket di proprietà della tua organizzazione e che sia accessibile pubblicamente. Un backup di Cloud SQL viene ripristinato su all'esterno dell'organizzazione. Una risorsa BigQuery di proprietà della tua organizzazione viene esportato in un bucket Cloud Storage esterno o a un bucket all'interno della tua organizzazione pubblicamente accessibili. Una risorsa BigQuery di proprietà della tua organizzazione è esportati in una cartella di Google Drive.
Attività sospette di Cloud SQL	Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze Cloud SQL: A un utente del database vengono concessi tutti i privilegi per il database Cloud SQL per PostgreSQL o per tutte le tabelle, le procedure funzioni in uno schema. Un super user dell'account di database predefinito di Cloud SQL ("postgres" su istanze PostgreSQL o sulle istanze MySQL) viene utilizzato per scrivere a tabelle non di sistema.
Attività sospette di AlloyDB per PostgreSQL	Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze AlloyDB per PostgreSQL: A un utente del database vengono concessi tutti i privilegi AlloyDB per PostgreSQL o a tutte le tabelle, le procedure funzioni in uno schema. Un super user dell'account di database predefinito AlloyDB per PostgreSQL ("postgres") è utilizzato per scrivere in tabelle non di sistema.
Forza bruta SSH	Event Threat Detection rileva la forza bruta dell'autenticazione password tramite SSH tramite esaminando i log di syslog per rilevare errori ripetuti seguiti da errori.
Cryptomining	Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP non validi noti dei pool di mining.
Illeciti IAM	Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di Concessioni IAM che potrebbero essere considerate anomale, ad esempio: Aggiunta di un utente gmail.com a un criterio con l'editor del progetto ruolo. Invitare un utente gmail.com come proprietario di un progetto dal nella console Google Cloud. Account di servizio che concede autorizzazioni sensibili. Ruolo personalizzato con autorizzazioni sensibili. Account di servizio aggiunto dall'esterno dell'organizzazione.
blocco recupero sistema	Event Threat Detection rileva modifiche anomale a Backup & RE che possono influire sulla postura del backup, incluse importanti modifiche ai criteri e la rimozione di componenti critici di Backup & RE.
Log4j	Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive.
Malware	Event Threat Detection rileva il malware esaminando i log di flusso VPC e Log di Cloud DNS per le connessioni a comandi e controlli noti domini e IP.
DoS in uscita	Event Threat Detection esamina i log di flusso VPC per rilevare il rifiuto in uscita di e il traffico dei servizi.
Accesso anomalo	Event Threat Detection rileva un accesso anomalo esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Comportamento IAM anomalo	Event Threat Detection rileva comportamenti IAM anomali esaminando Cloud Audit Logs per gli scenari seguenti: Account utente e di servizio IAM che accedono a Google Cloud da indirizzi IP anomali. Account di servizio IAM che accedono a Google Cloud da user agent anomali. Entità e risorse che si spacciano per account di servizio IAM per accedere a Google Cloud.
Auto-indagine sull'account di servizio	Event Threat Detection rileva quando viene utilizzata la credenziale di un account di servizio per analizza i ruoli e le autorizzazioni associati allo stesso servizio .
Chiave SSH aggiunta dall'amministratore di Compute Engine	Event Threat Detection rileva una modifica dei metadati dell'istanza Compute Engine Valore della chiave SSH su un'istanza stabilita (prima di 1 settimana).
Script di avvio aggiunto dall'amministratore di Compute Engine	Event Threat Detection rileva una modifica all'istanza Compute Engine valore dello script di avvio dei metadati su un'istanza stabilita (precedente a 1 settimana).
Attività sospetta dell'account	Event Threat Detection individua una potenziale compromissione di Google Workspace di account esaminando gli audit log per rilevare attività anomale dell'account, incluse password compromesse e tentativi di accessi sospetti.
Attacco sostenuto da un governo	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando aggressori sostenuti da un governo potrebbero aver tentato di compromettere un dall'account o dal computer dell'utente.
Modifiche Single Sign-On (SSO)	Event Threat Detection esamina gli audit log di Google Workspace per rileva se l'accesso SSO è disattivato o se vengono modificate le impostazioni Account amministratore di Google Workspace.
Verifica in due passaggi	Event Threat Detection esamina gli audit log di Google Workspace per rileva quando la verifica in due passaggi è disattivata per gli account utente e amministratore.
Comportamento anomalo dell'API	Event Threat Detection rileva un comportamento anomalo dell'API esaminando Cloud Audit Logs alla ricerca di richieste ai servizi Google Cloud che un'entità mai visti prima d'ora.
Evasione della difesa	Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari: Modifiche ai perimetri esistenti dei Controlli di servizio VPC che comporta una riduzione della protezione offerta. I deployment o gli aggiornamenti dei carichi di lavoro che utilizzano flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.^Anteprima
Discovery	Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per gli scenari seguenti: Un aggressore potenzialmente malintenzionato ha tentato di determinare cosa sensibili in GKE, possono utilizzando il comando `kubectl`. Le credenziali di un account di servizio vengono utilizzate per esaminare i ruoli e autorizzazioni associate allo stesso account di servizio.
Accesso iniziale	Event Threat Detection rileva le operazioni di accesso iniziali tramite esaminando gli audit log per gli scenari seguenti: Un servizio inattivo gestito dall'utente account ha attivato un'azione.^Anteprima Un'entità ha tentato di richiamare metodi Google Cloud, ma con errori ripetuti a causa dell'autorizzazione rifiutati.^Anteprima
Escalation dei privilegi	Event Threat Detection rileva l'escalation dei privilegi in GKE tramite esaminando gli audit log per gli scenari seguenti: Per eseguire l’escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modifica un `ClusterRole`, `RoleBinding` o `ClusterRoleBinding` Oggetto controllo dell'accesso basato su ruoli (RBAC) dell'oggetto `cluster-admin` sensibile utilizzando una richiesta `PUT` o `PATCH`. Un utente potenzialmente malintenzionato ha creato un certificato master Kubernetes di firma (CSR), che fornisce all'utente `cluster-admin` access. Per eseguire l’escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo `RoleBinding` o `ClusterRoleBinding` per il ruolo `cluster-admin`. Un utente potenzialmente malintenzionato ha eseguito una query richiesta di firma del certificato (CSR) con `kubectl` usando credenziali di bootstrap compromesse. Un utente potenzialmente malintenzionato ha creato un pod contenente o container con funzionalità di escalation dei privilegi.
Rilevamenti Cloud IDS	Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un Event Threat Detection ricerca. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS. ^Anteprima
Movimento laterale	Event Threat Detection rileva potenziali attacchi con disco di avvio modificato esaminando Cloud Audit Logs per rilevare frequenti scollegamenti e ricollegamenti del disco di avvio tra le istanze di Compute Engine.

Scopri di più su Event Threat Detection.

Forseti Security

Forseti Security ti offre gli strumenti per comprendere tutte le risorse di cui disponi in Google Cloud. I moduli Forseti principali interagiscono per fornire informazioni complete in modo da poter proteggere le risorse e ridurre al minimo i rischi per la sicurezza.

Per visualizzare le notifiche di violazione Forseti in Security Command Center: segui le istruzioni Guida alle notifiche di Security Command Center.

Per ulteriori informazioni:

Impara su Forseti.
Richiedi assistenza per Forseti.

Google Cloud Armor

Google Cloud Armor ti aiuta a proteggere applicando un filtro di livello 7. Esegui lo scrubbing di Google Cloud Armor in entrata richieste di attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o il backend con bilanciamento del carico bucket.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.

VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su VM Threat Detection, consulta VM Threat Detection Panoramica.

Risultati della minaccia di VM Threat Detection

VM Threat Detection può generare i seguenti risultati relativi alle minacce.

Risultati delle minacce di mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati delle minacce di mining di criptovaluta di VM Threat Detection
Categoria	Modulo	Descrizione
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Corrisponde ai pattern di memoria, come le costanti della prova del lavoro, che è noto per essere utilizzate da software di mining di criptovalute.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica una minaccia rilevata sia dal `CRYPTOMINING_HASH` e `CRYPTOMINING_YARA` moduli. Per ulteriori informazioni, vedi Rilevamenti combinati

Risultati delle minacce rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione più comuni utilizzate dal malware.

KERNEL_MEMORY_TAMPERING rileva le minacce facendo un confronto di hash sul e la memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando e l'integrità di importanti strutture di dati del kernel.

Risultati delle minacce rootkit in modalità kernel di VM Threat Detection
Categoria	Modulo	Descrizione
Manomissione della memoria del kernel
`Defense Evasion: Unexpected kernel code modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria del codice kernel.
`Defense Evasion: Unexpected kernel read-only data modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
`Defense Evasion: Unexpected ftrace handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti `ftrace` punti con callback che puntano a regioni che non si trovano l'intervallo di codice del kernel o del modulo previsto.
`Defense Evasion: Unexpected interrupt handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo.
`Defense Evasion: Unexpected kernel modules`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
`Defense Evasion: Unexpected kprobe handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti `kprobe` punti con callback che puntano a regioni che non si trovano l'intervallo di codice del kernel o del modulo previsto.
`Defense Evasion: Unexpected processes in runqueue`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono in esecuzione ma non nell'elenco delle attività del processo.
`Defense Evasion: Unexpected system call handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori di chiamate di sistema che non si trovano nelle regioni previste del kernel o del codice del modulo.
rootkit
`Defense Evasion: Rootkit`^Anteprima	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.

Rilevamento dell'osservazione di VM Threat Detection

VM Threat Detection può generare il seguente risultato di osservazione.

Risultato di osservazione di VM Threat Detection
Nome categoria	Nome API	Riepilogo	Gravità
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection è disabilitato. Fino a quando enable questo servizio non può eseguire la scansione dei tuoi progetti e istanze VM per applicazioni indesiderate. Questo risultato viene impostato su `INACTIVE` dopo 30 giorni. In seguito, questo risultato non viene generato nuovamente.	Alta

Errori

Possono essere utili per rilevare gli errori nella configurazione che impediscono alla generazione di risultati. I risultati degli errori vengono generati l'origine di sicurezza di Security Command Center e la classe dei risultati SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori che potrebbero essere causati da azioni involontarie.

Azioni involontarie
Nome categoria	Nome API	Riepilogo	Gravità
`API disabled`	`API_DISABLED`	Descrizione dei risultati: Un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 60 ore Correggi questo risultato	Critico
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrizione dei risultati: Configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, non corrisponde a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano di risorse di alto valore predefinito. Questo errore può avere una delle seguenti cause: Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa. Una o più configurazioni dei valori delle risorse che specificano l'override di `NONE` ogni un'altra configurazione valida. Tutte le configurazioni definite per i valori delle risorse specificano un valore `NONE`. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Critico
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrizione dei risultati: Negli ultimi simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un ambiente un set di risorse. Di conseguenza, Security Command Center ha escluso il numero in eccesso di e istanze VM del set di risorse di alto valore. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse del set vengono identificati nel risultato `SCC Error` della nella console Google Cloud. I punteggi dell'esposizione agli attacchi per tutti i risultati che interessano la risorsa esclusa le istanze di risorse non riflettono la designazione di alto valore delle istanze di risorse. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descrizione dei risultati: Impossibile abilitare Container Threat Detection sul cluster perché è richiesto un container l'immagine non può essere estratta (scaricata) da `gcr.io`, la Host dell'immagine Container Registry. L'immagine è necessari per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection. Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrizione dei risultati: Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un ingresso di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet che richiesto da Container Threat Detection. Quando visualizzati nella console Google Cloud, i dettagli dei risultati includono un messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire eseguire il deployment di un oggetto DaemonSet Container Threat Detection. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Rilevamento delle minacce a container potrebbe smettere di funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, aggiornata o disabilitata. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché . L'account di servizio predefinito di GKE sul cluster non dispone delle autorizzazioni. Questo impedisce che Container Threat Detection venga abilitato correttamente sul cluster. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni settimana Correggi questo risultato	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrizione dei risultati: Il progetto configurato per . l'esportazione continua in Cloud Logging non è disponibile. Security Command Center impossibile inviare i risultati a Logging. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrizione dei risultati: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio L'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 6 ore Correggi questo risultato	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione dei risultati: L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono generati risultati. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico

Per maggiori informazioni, vedi Errori di Security Command Center.

Passaggi successivi

Scopri di più su Security Command Center e sui casi d'uso di esempio nella Panoramica di Security Command Center.
Scopri come aggiungere nuove origini di sicurezza configurando Security Command Center Google Cloud.