Cette page contient la liste des services de détection, parfois appelés sources de sécurité, que Security Command Center utilise pour détecter les problèmes de sécurité dans vos environnements cloud.
Lorsque ces services détectent un problème, ils génèrent un résultat, qui est un enregistrement qui identifie le problème de sécurité et vous fournit les informations dont vous avez besoin pour hiérarchiser le problème et le résoudre.
Vous pouvez afficher les résultats dans la console Google Cloud et les filtrer de différentes manières, par exemple par type de résultat, par type de ressource ou pour un élément spécifique. Chaque source de sécurité peut fournir plus de filtres vous aider à organiser vos résultats.
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur Rôles Security Command Center, consultez la page Contrôle des accès.
Services de détection des failles
Les services de détection des failles incluent des services intégrés et intégrés qui détectent les failles logicielles, les erreurs de configuration les cas de non-respect des stratégies dans vos environnements cloud. Collectivement, ces types de problèmes de sécurité sont appelés failles.
Tableau de bord de stratégie de sécurité GKE
Le tableau de bord de stratégie de sécurité GKE est une page de la console Google Cloud qui vous fournit des résultats avisés et exploitables sur les problèmes de sécurité potentiels dans vos clusters GKE.
Si vous activez l'un des tableaux de bord de stratégie de sécurité GKE suivants vous verrez les résultats dans le niveau Standard de Security Command Center ou pour le niveau Premium:
Fonctionnalité du tableau de bord de stratégie de sécurité GKE | Classe de résultat Security Command Center |
---|---|
Audit de configuration de la charge de travail | MISCONFIGURATION |
VULNERABILITY |
Les résultats affichent des informations sur le problème de sécurité et fournissent des recommandations pour résoudre les problèmes dans vos charges de travail ou clusters.
Afficher les résultats du tableau de bord de stratégie de sécurité GKE dans la console
console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Stratégie de sécurité GKE : Les résultats de la requête sont mis à jour pour n'afficher que les les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Security Operations, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez sur Nom à afficher pour la source pour le développer. dans cette sous-section.
- Sélectionnez Stratégie de sécurité GKE. Les résultats de la requête de résultats sont mis à jour pour n'afficher les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Outil de recommandation IAM
Outil de recommandation IAM recommandations de problèmes que vous pouvez suivre pour renforcer la sécurité en supprimant ou le remplacement des rôles IAM des comptes principaux lorsqu'ils contiennent Autorisations IAM dont le compte principal n'a pas besoin.
Activer ou désactiver les résultats de l'outil de recommandation IAM
Pour activer ou désactiver les résultats de l'outil de recommandation IAM dans Security Command Center, procédez comme suit : procédez comme suit:
Accédez à l'onglet Services intégrés de la page Paramètres de Security Command Center dans la console Google Cloud :
Si nécessaire, faites défiler la page jusqu'à l'entrée Outil de recommandation IAM.
À droite de l'entrée, sélectionnez Activer ou Désactiver.
Les résultats de l'outil de recommandation IAM sont classés comme des failles.
Pour corriger un résultat de l'outil de recommandation IAM, développez la section suivante pour consultez le tableau des résultats de l'outil de recommandation IAM. Les mesures correctives pour chaque résultat sont inclus dans l'entrée du tableau.
Afficher les résultats de l'outil de recommandation IAM dans la console
console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Opérations de sécurité, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez sur Nom à afficher pour la source pour le développer. dans cette sous-section.
- Sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Dans la console Google Cloud, vous pouvez aussi afficher l'outil de recommandation IAM les résultats du Failles en sélectionnant le préréglage de la requête de l'outil de recommandation IAM.
Mandiant Attack Surface Management
Mandiant est un leader mondial du renseignement sur les menaces de première ligne. Mandiant Attack Surface Management identifie les failles et les erreurs de configuration dans vos surfaces d'attaque externes pour vous aider à rester à jour les dernières cyberattaques.
Mandiant Attack Surface Management s’active automatiquement dès que vous activez Le niveau et les résultats de Security Command Center Enterprise sont disponibles dans la console Google Cloud.
Découvrez les différences entre le produit autonome Mandiant Attack Surface Management de l'intégration de Mandiant Attack Surface Management à Security Command Center, consultez ASM et Security Command Center sur le portail de documentation Mandiant. Ce lien nécessite Mandiant l'authentification unique.
Examiner les résultats de Mandiant Attack Surface Management dans la console
console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Mandiant Attack Surface Management. Les résultats de la requête sont mis à jour pour n'afficher que les les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Opérations de sécurité, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
- Sélectionnez Mandiant Attack Surface Management. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Policy Controller
Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent aider avec les bonnes pratiques, la gestion de la sécurité et de la conformité de vos clusters et de votre parc d'appareils.
Si vous installez Policy Controller et activez le benchmark Kubernetes CIS v1.5.1 ou les bundles Policy Controller PCI-DSS v3.2.1, ou les deux, Policy Controller écrit automatiquement les cas de non-respect du cluster dans Security Command Center en tant que résultats de la classe Misconfiguration
. La description des résultats et les étapes suivantes des résultats de Security Command Center sont les mêmes que la description de la contrainte et les étapes de correction du bundle Policy Controller correspondant.
Les résultats de Policy Controller proviennent des lots Policy Controller suivants :
- Benchmark CIS de Kubernetes v.1.5.1
un ensemble de recommandations pour configurer Kubernetes afin de garantir
de sécurité. Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1
un groupe qui évalue la conformité de vos ressources de cluster par rapport
certains aspects de la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1 ;
Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
pci-dss-v3
.
Pour rechercher et corriger les résultats de Policy Controller, consultez Corriger les résultats de Policy Controller
Moteur de gestion des risques
Le moteur de gestion des risques de Security Command Center évalue l'exposition au risque des déploiements cloud, attribue des scores d'exposition aux attaques aux résultats des failles et vos ressources de forte valeur, et schématise les chemins qu'un client potentiel le pirate pourrait prendre pour atteindre vos ressources de forte valeur.
Dans le niveau Enterprise de Security Command Center, le moteur de risque détecte des groupes de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin vers une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.
Lorsque Risk Engine détecte
l'une de ces combinaisons, elle génère un résultat de classe TOXIC_COMBINATION
.
Dans le résultat, le moteur de risque est indiqué comme source.
Pour en savoir plus, consultez la section Présentation des combinaisons toxiques.
Security Health Analytics
Security Health Analytics est un service de détection intégré à Security Command Center qui fournit des analyses gérées de vos ressources cloud pour détecter les erreurs de configuration courantes.
Lorsqu'une erreur de configuration est détectée, Security Health Analytics génère un résultat. La plupart des résultats de Security Health Analytics sont mappés à des contrôles standards de sécurité pour pouvoir évaluer leur conformité.
Security Health Analytics analyse vos ressources sur Google Cloud. Si vous utilisez le niveau Enterprise et que vous établissez des connexions à d'autres plates-formes cloud, Security Health Analytics peut également analyser vos ressources sur ces plates-formes cloud.
Selon le niveau de service Security Command Center, les détecteurs disponibles diffèrent:
- Au niveau Standard, Security Health Analytics n'inclut qu'un groupe de base de détecteurs de failles de gravité moyenne et élevée.
- Le niveau Premium inclut tous les détecteurs de failles pour Google Cloud.
- Le niveau Enterprise inclut des détecteurs supplémentaires pour d'autres plates-formes cloud.
L'analyse de l'état de la sécurité est automatiquement activée lorsque vous l'activez Security Command Center.
Pour en savoir plus, consultez les pages suivantes :
- Présentation de Security Health Analytics
- Utiliser Security Health Analytics
- Corriger les résultats de Security Health Analytics
- Référence des résultats de Security Health Analytics
Service de stratégie de sécurité
Le service de stratégie de sécurité est un service intégré au niveau Premium de Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état global de votre sécurité dans Google Cloud. Il fournit des informations sur la façon dont votre environnement s'aligne sur les règles que que vous définissez dans votre stratégie de sécurité.
Le service de stratégie de sécurité n'est pas lié au GKE tableau de bord de stratégie de sécurité, qui n'affiche que les résultats dans GKE clusters.
Protection des données sensibles
Sensitive Data Protection est un service Google Cloud entièrement géré qui vous aide pour détecter, classer et protéger vos données sensibles. Vous pouvez utiliser la protection des données sensibles pour déterminer si vous stockez des données des informations permettant d'identifier l'utilisateur, par exemple:
- Noms de personnes
- Numéros de cartes de crédit
- Numéros d'identification nationaux ou d'État
- Numéros d'identification d'assurance santé
- Secrets
Dans Sensitive Data Protection, chaque type de données sensibles que vous recherchez est appelé un infoType.
Si vous configurez votre opération de protection des données sensibles à Security Command Center, vous pouvez consulter les résultats directement dans à la section "Security Command Center" de la console Google Cloud, en plus sur la protection des données sensibles.
Résultats de failles du service de découverte Sensitive Data Protection
Le service de détection de la protection des données sensibles vous aide à déterminer si vous stockez des données hautement sensibles qui ne sont pas protégées.
Catégorie | Résumé |
---|---|
Nom de la catégorie dans l'API :
|
Description du résultat : La ressource spécifiée contient des données sensibles auxquelles n'importe qui peut accéder sur Internet. Composants compatibles:
Correction : Pour les données Google Cloud, supprimez Pour les données Amazon S3, <ph type="x-smartling-placeholder"></ph> configurer les paramètres de blocage de l'accès public ou mettre à jour la LCA de l'objet pour refuser l'accès public en lecture. Normes de conformité : non mappées |
Nom de la catégorie dans l'API :
|
Description du résultat: Il y a des secrets tels que tels que les mots de passe, les jetons d'authentification et les identifiants Google Cloud, Variables d'environnement des fonctions Cloud Run. Pour activer ce détecteur, consultez la section Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation sur la protection des données sensibles. Composants compatibles:
Correction : supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager à la place. Normes de conformité:
|
Nom de la catégorie dans l'API :
|
Description du résultat : la ressource spécifiée contient des secrets (mots de passe, jetons d'authentification et identifiants cloud, par exemple). Composants compatibles :
Correction :
Normes de conformité : non mappées |
Résultats des observations de Sensitive Data Protection
Cette section décrit les résultats d'observation que la protection des données sensibles génère dans Security Command Center.
Résultats des observations du service de découverte
Le service de détection de la protection des données sensibles vous aide à déterminer si vos données contiennent des infoTypes spécifiques et leur emplacement dans votre l'organisation, les dossiers et les projets. Il génère les catégories de résultats d'observation suivantes dans Security Command Center :
Data sensitivity
- Indication du niveau de sensibilité des données d'un élément de données particulier. Les données sont sensibles si elles contiennent des informations permettant d'identifier personnellement l'utilisateur ou d'autres éléments pouvant nécessiter un contrôle ou une gestion supplémentaire. La gravité du résultat est la de sensibilité que Sensitive Data Protection calculé lorsque la génération du profil de données.
Data risk
- Risque associé aux données dans leur état actuel. Lors du calcul des données des données sensibles, la protection des données sensibles prend en compte le niveau de sensibilité les données contenues dans l'élément de données et la présence de contrôles d'accès visant à protéger données. La gravité de l'anomalie correspond au niveau de risque lié aux données calculé par Sensitive Data Protection lors de la génération du profil de données.
À partir du moment où Sensitive Data Protection génère les profils de données, l'affichage des résultats associés dans Security Command Center peut prendre jusqu'à six heures.
Pour savoir comment envoyer les résultats du profil de données à Security Command Center, consultez les ressources suivantes :
- Pour Security Command Center Enterprise: Activer les données sensibles découverte.
- Pour Security Command Center Premium ou Standard : Publiez des profils de données dans Security Command Center.
Résultats des observations du service d'inspection de la protection des données sensibles
Une tâche d'inspection de la protection des données sensibles identifie chaque instance de données d'un infoType spécifique dans un système de stockage, tel qu'un bucket Cloud Storage ou une table BigQuery. Par exemple, vous pouvez exécuter un job d'inspection
recherche toutes les chaînes correspondant au détecteur d'infoType CREDIT_CARD_NUMBER
dans un bucket Cloud Storage.
Pour chaque détecteur infoType qui présente une ou plusieurs correspondances, la protection des données sensibles génère un résultat Security Command Center correspondant. La catégorie de
résultats est
le nom du détecteur d'infoType ayant obtenu une correspondance, par exemple Credit
card number
. Le résultat inclut le nombre de chaînes correspondantes détectées dans le texte ou les images de la ressource.
Pour des raisons de sécurité, les chaînes réellement détectées ne sont pas incluses dans
le résultat. Par exemple, un résultat Credit card number
indique le nombre de numéros de carte de crédit détectés, mais pas les numéros de carte de crédit eux-mêmes.
Étant donné qu'il existe plus de 150 détecteurs d'infoTypes intégrés dans la protection des données sensibles, toutes les catégories de résultats possibles de Security Command Center ne sont pas listées ici. Pour obtenir la liste complète des détecteurs d'infoTypes, consultez la documentation de référence sur les détecteurs d'infoTypes.
Pour savoir comment envoyer les résultats d'une tâche d'inspection à Security Command Center, consultez Envoyer les résultats d'une tâche d'inspection de protection des données sensibles à Security Command Center.
Examiner les résultats de Sensitive Data Protection dans la console
console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Protection des données sensibles. Les résultats de la requête sont mis à jour pour n'afficher que les les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Security Operations, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez sur Nom à afficher pour la source pour le développer. dans cette sous-section.
- Sélectionnez Protection des données sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Résumé, examinez les détails du résultat, y compris des informations sur les éléments détectés, la ressource concernée et, le cas échéant, les étapes à suivre pour remédier au problème.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
VM Manager
VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.
Pour utiliser VM Manager avec les activations au niveau du projet de Security Command Center Premium, activer Security Command Center Standard dans l'organisation parente.
Si vous activez VM Manager avec
au niveau Premium de Security Command Center, VM Manager
écrit automatiquement les résultats high
et critical
à partir de ses rapports sur les failles, ce qui
sont en version preview dans Security Command Center. Les rapports identifient les failles
(OS) installés sur des VM, y compris
Common Vulnerabilities and Exposures (CVE).
Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.
Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. VM Manager permet de gérer les correctifs au niveau au niveau d'un seul projet.
Pour corriger les résultats de VM Manager, consultez la section Corriger les résultats de VM Manager.
Pour empêcher l'écriture des rapports de failles dans Security Command Center, consultez la section Ignorer les résultats de VM Manager.
Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Nom de la catégorie dans l'API : |
Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification : Premium Composants compatibles |
VM Manager <ph type="x-smartling-placeholder"></ph> rapports sur les failles détaillent les failles présentes dans les packages des systèmes d'exploitation installés pour Compute Engine. de VM, y compris CVE (Common Vulnerabilities and Exposures) Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez Détails des systèmes d'exploitation Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :
|
Évaluation des failles pour AWS
Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles logicielles dans vos charges de travail exécutées sur des machines virtuelles (VM) EC2 sur la plate-forme cloud AWS.
Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat de classe Vulnerability
dans la catégorie de résultats Software vulnerability
de Security Command Center.
L'évaluation des failles pour le service AWS analyse les instantanés de la machine EC2 en cours d'exécution de sorte que les charges de travail de production ne sont pas affectées. Cette méthode d'analyse appelée analyse de disque sans agent, car aucun agent n'est installé cibles d'analyse.
Pour en savoir plus, consultez les ressources suivantes :
- Présentation de l'évaluation des failles pour AWS
- Activer et utiliser l'évaluation des failles pour AWS
Web Security Scanner
Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.
Analyses gérées
Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.
Les analyses gérées s'exécutent séparément des analyses personnalisées.
Si Security Command Center est activé au niveau de l'organisation, vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.
Lorsque vous activez Web Security Scanner en tant que service, les résultats des analyses gérées sont disponibles automatiquement sur la page Failles de Security Command Center et rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la section Configurer les services Security Command Center.
Les analyses gérées ne sont compatibles qu'avec les applications qui utilisent le port par défaut, à savoir le port 80 pour les connexions HTTP et le port 443 pour les connexions HTTPS. Si votre application utilise un port autre que le port par défaut, effectuez plutôt une analyse personnalisée.
Analyses personnalisées
Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes.
Vous définissez des analyses personnalisées au niveau du projet.
Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez suivi le guide de configuration des analyses personnalisées de Web Security Scanner.
Détecteurs et conformité
Web Security Scanner accepte les catégories du Top 10 de l'OWASP, un document qui classe les 10 risques de sécurité les plus critiques pour les applications Web identifiés par le projet OWASP (Open Web Application Security Project) et fournit des conseils de résolution pour chacun. Pour obtenir des conseils visant à réduire les risques identifiés par l'OWASP, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.
Le mappage de conformité est inclus pour référence et n'est pas fourni ni examiné par la Fondation OWASP.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.
Catégorie | Description du résultat | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
---|---|---|---|
Nom de la catégorie dans l'API : |
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. Niveau de tarification: Standard |
A5 | A01 |
Nom de la catégorie dans l'API : |
Un dépôt SVN est exposé publiquement. Pour résoudre ce résultat, supprimez les contenus publics un accès non intentionnel au dépôt SVN. Niveau de tarification : Standard |
A5 | A01 |
Nom de la catégorie dans l'API : |
Les mots de passe saisis dans l'application Web peuvent être mis en cache dans le cache standard du navigateur d'un stockage sécurisé des mots de passe. Niveau de tarification : Premium |
A3 | A04 |
Nom de la catégorie dans l'API : |
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. Niveau de tarification: Standard |
A3 | A02 |
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersite ne valide qu'un suffixe de Niveau de tarification: Premium |
A5 | A01 |
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Niveau de tarification : Premium |
A5 | A01 |
Nom de la catégorie dans l'API : |
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP Niveau de tarification: Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce résultat, défini correctement les en-têtes de sécurité HTTP. Niveau de tarification: Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification : Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification: Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce résultat, assurez-vous toutes les ressources sont diffusées via HTTPS. Niveau de tarification: Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. Niveau de tarification : Standard |
A9 | A06 |
Nom de la catégorie dans l'API : |
Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utiliser une liste d'autorisation pour limiter les domaines et les adresses IP que l'application Web peut créer les requêtes. Niveau de tarification : Standard |
Non applicable | A10 |
Nom de la catégorie dans l'API : |
Lors d'une requête interdomaine, l'application Web inclut la session de l'utilisateur
dans son en-tête de requête Niveau de tarification: Premium |
A2 | A07 |
Nom de la catégorie dans l'API : |
Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées pour éviter que les entrées utilisateur n'influencent la structure du code SQL requête. Niveau de tarification: Premium |
A1 | A03 |
Nom de la catégorie dans l'API : |
Utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. Niveau de tarification : Premium |
A8 | A08 |
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification: Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. Niveau de tarification : Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites. À résoudre ce résultat, valider et échapper les données non fiables fournies par l'utilisateur. Niveau de tarification: Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner une application Web pour divulguer un fichier sur l’hôte. Pour résoudre ce résultat, configurez votre fichier XML pour interdire les entités externes. Niveau de tarification : Premium |
A4 | A05 |
Nom de la catégorie dans l'API : |
L'application est vulnérable à la pollution des prototypes. Cette vulnérabilité
survient lorsque
les propriétés de l'objet Niveau de tarification : Standard |
A1 | A03 |
Services de détection des menaces
Les services de détection des menaces incluent des services intégrés et intégrés qui détectent les événements potentiellement dangereux, tels que les ressources compromises ou les cyberattaques.
Détection d'anomalies
La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Il affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels. La détection d'anomalies est automatiquement lorsque vous activez Security Command Center Standard le niveau Premium et les résultats sont disponibles dans la console Google Cloud.
Voici quelques exemples de résultats de détection d'anomalies :
Nom de l'anomalie | Catégorie de résultats | Description |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Les identifiants d'un compte de service Google Cloud sont accidentellement fuites en ligne ou sont compromis. Gravité:Critique |
Des identifiants du compte ont été divulgués
GitHub a averti Security Command Center que les identifiants utilisés pour un commit semblent être les identifiants Compte de service Google Cloud Identity and Access Management.
La notification inclut le nom du compte de service et la clé privée identifiant. Google Cloud envoie également contact désigné pour la sécurité et la confidentialité envoie une notification par e-mail.
Pour résoudre ce problème, prenez une ou plusieurs des mesures suivantes:
- Identifiez l'utilisateur légitime de la clé.
- Effectuez une rotation de la clé.
- Retirez la clé.
- Examinez toutes les actions effectuées par la clé après sa fuite pour vous assurer qu'aucune d'elles n'était malveillante.
JSON: fuite d'identifiants de compte
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.
L’instrumentation de détection des menaces de Container Threat Detection collecte un comportement de bas niveau dans du noyau invité et effectue un traitement du langage naturel sur le code pour détecter événements suivants:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Apprenez-en davantage sur Container Threat Detection.
Event Threat Detection
Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging pour les projets et utilise les journaux dès qu'ils sont disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous activez le niveau Premium de Security Command Center, et les résultats sont disponibles dans la console Google Cloud.
Le tableau suivant répertorie des exemples de résultats d'Event Threat Detection.
<ph type="x-smartling-placeholder">Destruction des données |
Event Threat Detection détecte la destruction de données en examinant les journaux d'audit du serveur de gestion des services de sauvegarde et de DR pour les scénarios suivants :
|
Exfiltration de données |
Event Threat Detection détecte l'exfiltration de données de BigQuery et de Cloud SQL en recherchant dans les journaux d'audit les scénarios suivants :
|
Activité suspecte Cloud SQL |
Event Threat Detection examine les journaux d'audit pour détecter les événements suivants qui pourrait indiquer le piratage d’un compte utilisateur valide sur Instances Cloud SQL:
|
Activité suspecte AlloyDB pour PostgreSQL |
Event Threat Detection examine les journaux d'audit pour détecter les événements suivants qui pourrait indiquer le piratage d’un compte utilisateur valide sur Instances AlloyDB pour PostgreSQL:
|
Attaques par force brute SSH | Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite. |
Minage de cryptomonnaie | Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects ou des adresses IP de pools de minage. |
Abus IAM |
Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :
|
Blocage de la récupération système |
Event Threat Detection détecte les modifications anormales apportées à la sauvegarde et à la reprise après sinistre qui peuvent affecter la stratégie de sauvegarde, y compris des modifications majeures des stratégies et la suppression des composants de sauvegarde et de reprise après sinistre critiques. |
Log4j | Event Threat Detection détecte les tentatives possibles d'exploitation de Log4j et des failles actives Log4j. |
Logiciels malveillants | Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus. |
DoS sortant | Event Threat Detection examine les journaux de flux VPC pour détecter le trafic de déni de service sortant. |
Accès anormal | Event Threat Detection détecte les accès anormaux en consultant les journaux Cloud Audit pour examiner les modifications apportées aux services Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor. |
Comportement IAM anormal |
Event Threat Detection détecte les comportements IAM anormaux en examinant
Cloud Audit Logs pour les scénarios suivants:
<ph type="x-smartling-placeholder">
|
Auto-enquête sur les comptes de service | Event Threat Detection détecte quand un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service. |
Clé SSH ajoutée par l'administrateur Compute Engine | Event Threat Detection détecte une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
Ajout d'un script de démarrage par l'administrateur Compute Engine | Event Threat Detection détecte une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
Activité suspecte sur votre compte | Event Threat Detection détecte les menaces potentielles affectant les comptes Google Workspace en examinant les journaux d'audit pour détecter les activités anormales, y compris les fuites de mots de passe et les tentatives de connexion suspectes. |
Attaque de personnes malveillantes soutenues par un gouvernement | Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment des personnes malveillantes soutenues par un gouvernement ont tenté de compromettre le compte ou l'ordinateur d'un utilisateur. |
Modifications de l'authentification unique (SSO) | Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si l'authentification unique est désactivée ou si les paramètres sont modifiés pour les comptes d'administrateurs Google Workspace. |
Validation en deux étapes | Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment la validation en deux étapes est désactivée sur les comptes d'utilisateurs et d'administrateurs. |
Comportement anormal de l'API | Event Threat Detection détecte le comportement anormal des API en examinant les journaux d'audit Cloud pour rechercher des requêtes de services Google Cloud qu'un compte principal n'a pas encore vus. |
Défense de l'évasion |
Event Threat Detection détecte l'évasion de la défense en examinant les journaux d'audit Cloud pour les scénarios suivants :
|
Discovery |
Event Threat Detection détecte les opérations de découverte en examinant les journaux d'audit afin d'identifier les scénarios suivants :
|
Accès initial | Event Threat Detection détecte les opérations d'accès initiales
Examinez les journaux d'audit dans les cas suivants:
<ph type="x-smartling-placeholder">
|
Élévation des privilèges |
Event Threat Detection détecte l'élévation des privilèges dans GKE en examinant les journaux d'audit afin d'identifier les scénarios suivants :
|
Détections Cloud IDS | Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir Lorsqu'il détecte un événement suspect, il déclenche Event Threat Detection trouver. Pour en savoir plus sur les détections Cloud IDS, consultez Informations sur Cloud IDS Logging Aperçu |
Mouvement latéral | Event Threat Detection détecte les attaques potentielles sur le disque de démarrage modifié en examinant les journaux Cloud Audit Logging pour détecter les déconnexions et les réassociations fréquentes du disque de démarrage sur les instances Compute Engine. |
Apprenez-en davantage sur Event Threat Detection.
Google Cloud Armor
Google Cloud Armor vous aide à protéger application en fournissant un filtrage de couche 7. Google Cloud Armor nettoie les requêtes entrantes des attaques Web courantes ou d'autres attributs de couche 7, afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets de backend.
Google Cloud Armor exporte deux résultats vers Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection, un service intégré de Security Command Center Premium, permet de détecter les menaces via une instrumentation au niveau de l'hyperviseur et une analyse de disque persistante. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans dans les environnements cloud compromis.
VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.
Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.
Résultats de VM Threat Detection sur les menaces
VM Threat Detection peut générer les résultats suivants concernant les menaces.
Résultats des menaces de minage de cryptomonnaie
VM Threat Detection détecte les catégories de résultats suivantes à l'aide de la correspondance de hachage ou de règles YARA.
Catégorie | Module | Description |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifie une menace détectée à la fois par le
Modules CRYPTOMINING_HASH et CRYPTOMINING_YARA .
Pour en savoir plus, consultez la section Détections combinées.
|
Détection des menaces de rootkit en mode noyau
VM Threat Detection analyse l'intégrité du noyau au moment de l'exécution pour détecter les techniques d'évasion courantes utilisées par les logiciels malveillants.
KERNEL_MEMORY_TAMPERING
détecte les menaces en effectuant une comparaison du hachage
le code du noyau et la mémoire de données
en lecture seule du noyau d’une machine virtuelle.
Le module KERNEL_INTEGRITY_TAMPERING
détecte les menaces en vérifiant
l’intégrité des structures
de données du noyau importantes.
Catégorie | Module | Description |
---|---|---|
Altération de la mémoire du noyau | ||
Defense Evasion: Unexpected kernel code modification Aperçu
|
KERNEL_MEMORY_TAMPERING
|
Des modifications inattendues de la mémoire du code du kernel sont présentes. |
Defense Evasion: Unexpected kernel read-only data modification Aperçu
|
KERNEL_MEMORY_TAMPERING
|
Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes. |
Atteinte à l'intégrité du noyau | ||
Defense Evasion: Unexpected ftrace handler Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Les points ftrace sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans
la plage de code du noyau ou du module attendue.
|
Defense Evasion: Unexpected interrupt handler Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Des gestionnaires d'interruption qui ne se trouvent pas dans les régions attendues du code du noyau ou du module sont présents. |
Defense Evasion: Unexpected kernel modules Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Des pages de code kernel qui ne se trouvent pas dans les régions de code kernel ou de module attendues sont présentes. |
Defense Evasion: Unexpected kprobe handler Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Les points kprobe sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans
la plage de code du noyau ou du module attendue.
|
Defense Evasion: Unexpected processes in runqueue Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Des processus inattendus sont présents dans la file d'attente d'exécution de l'ordonnanceur. De tels processus sont en cours d'exécution mais pas dans la liste des tâches du processus. |
Defense Evasion: Unexpected system call handler Aperçu
|
KERNEL_INTEGRITY_TAMPERING
|
Des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code de kernel ou de module attendues sont présents. |
rootkit | ||
Defense Evasion: Rootkit Aperçu
|
|
Une combinaison de signaux correspondant à un rootkit connu en mode noyau est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés. |
Erreurs
Les détecteurs d'erreurs peuvent vous aider à détecter des erreurs dans votre configuration qui empêchent les sources de sécurité de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center
et ont la classe de résultat SCC errors
.
Actions accidentelles
Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.
Nom de la catégorie | Nom de l'API | Résumé | Gravité |
---|---|---|---|
API disabled |
API_DISABLED |
Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center. Niveau de tarification : Premium ou Standard
Éléments compatibles Analyses par lot : toutes les 60 heures |
Critique |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Description du résultat: Configurations de valeurs de ressources sont définis pour les simulations de chemin d'attaque, ne correspondent à aucune instance ressource de votre environnement. Les simulations utilisent de ressources à forte valeur par défaut. Cette erreur peut être due à l'une des raisons suivantes :
Niveau de tarification : Premium
Éléments compatibles Analyses par lot : avant chaque simulation de chemin d'attaque. |
Critique |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Description du résultat: Au cours des simulation du chemin d'attaque, le nombre d'instances de ressources à forte valeur, tel qu'identifié par le configurations de valeurs de ressources, a dépassé la limite de 1 000 instances de ressources ensemble de ressources. Par conséquent, Security Command Center a exclu le nombre excédentaire de l'ensemble de ressources à forte valeur. Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont indiqués dans la recherche Scores d'exposition aux attaques pour tous les résultats qui affectent les ressources exclues ne reflètent pas la désignation à forte valeur des instances ressources. Niveau de tarification : Premium
Éléments compatibles Analyses par lot: avant chaque simulation du chemin d'attaque. |
Élevée |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Description du résultat:
Impossible d'activer Container Threat Detection sur le cluster, car un conteneur
image ne peut pas être extraite (téléchargée) à partir de La tentative de déploiement du DaemonSet Container Threat Detection a entraîné l'erreur suivante:
Niveau de tarification : Premium
Éléments compatibles Analyses par lot : toutes les 30 minutes |
Critique |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Description du résultat : Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Admission tierce empêche le déploiement d'un objet Kubernetes DaemonSet Container Threat Detection requiert. Dans la console Google Cloud, les détails de la recherche incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection. Niveau de tarification : Premium
Éléments compatibles Analyses par lot : toutes les 30 minutes |
Élevée |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée. Niveau de tarification : Premium
Éléments compatibles Analyses par lot : toutes les 30 minutes |
Critique |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster. Niveau de tarification : Premium
Éléments compatibles Analyses par lot : toutes les semaines |
High |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging. Niveau de tarification : Premium
Éléments compatibles Analyses par lot : toutes les 30 minutes |
Élevé |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre. Niveau de tarification : Premium ou Standard
Éléments compatibles Analyses par lot : toutes les 6 heures |
Élevé |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit. Niveau de tarification : Premium ou Standard
Composants compatibles Analyses par lot : toutes les 30 minutes |
Critique |
Pour en savoir plus, consultez la page Erreurs Security Command Center.
Étape suivante
- Pour en savoir plus sur Security Command Center et découvrir des exemples de cas d'utilisation, consultez la présentation de Security Command Center.
- Découvrez comment ajouter de nouvelles sources de sécurité en configurant les services Security Command Center.