Servicios de detección

Esta página contiene una lista de los servicios de detección, a veces también conocidas como fuentes de seguridad, que Security Command Center usa para detectar problemas de seguridad en tus entornos de nube.

Cuando estos servicios detectan un problema, generan un hallazgo, que es un registro que identifica el problema de seguridad y le proporciona la información que necesitas para priorizar y resolver el problema.

Puedes ver los resultados en la consola de Google Cloud y filtrarlos. de muchas maneras diferentes; por ejemplo, por tipo de búsqueda, tipo de recurso o un recurso específico. Cada fuente de seguridad puede proporcionar más filtros para ayudarte a organizar tus resultados.

Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para obtener más información Para los roles de Security Command Center, consulta Control de acceso.

Servicios de detección de vulnerabilidades

Los servicios de detección de vulnerabilidades incluyen servicios integrados y también integrados que detectan vulnerabilidades de software, errores de configuración y infracciones de la postura en tus entornos de nube. En conjunto, estos tipos problemas de seguridad se denominan vulnerabilidades.

Panel de postura de seguridad de GKE

El panel de postura de seguridad de GKE es una página La consola de Google Cloud que te proporciona hallazgos prácticos y bien definidos. sobre posibles problemas de seguridad en los clústeres de GKE.

Si habilitas cualquiera de los siguientes paneles de postura de seguridad de GKE verás los hallazgos en el nivel Estándar de Security Command Center o el nivel Premium:

Función del panel de postura de seguridad de GKE Clase de hallazgo de Security Command Center
Auditoría de la configuración de las cargas de trabajo MISCONFIGURATION
VULNERABILITY

Los hallazgos muestran información sobre el problema de seguridad recomendaciones para resolver los problemas en tus cargas de trabajo o clústeres.

Visualiza los hallazgos del panel de postura de seguridad de GKE en la consola de Google Cloud

  1. Ve a la página Hallazgos de Security Command Center en la consola de Google Cloud:

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.

  3. En la sección Nombre visible de la fuente del panel Filtros rápidos, haz lo siguiente: Selecciona Postura de seguridad de GKE. Si no ves el botón Postura de seguridad de GKE, no hay hallazgos activos.

Recomendador de IAM

Recomendador de IAM de problemas y recomendaciones que puedes seguir para mejorar la seguridad quitando o reemplazar roles de IAM por principales cuando estos contienen Permisos de IAM que la principal no necesita.

Habilita o inhabilita los resultados del recomendador de IAM

Para habilitar o inhabilitar los resultados del recomendador de IAM en Security Command Center, sigue estos pasos:

  1. Ir a la pestaña Servicios integrados de Security Command Center Página de Configuración en la consola de Google Cloud:

    Ir a la configuración

  2. Si es necesario, desplázate hacia abajo hasta la entrada del recomendador de IAM.

  3. A la derecha de la entrada, selecciona Habilitar o Inhabilitar.

Los resultados del recomendador de IAM se clasifican como vulnerabilidades.

Para corregir un hallazgo de recomendador de IAM, expande la siguiente sección a consulta una tabla de los resultados del recomendador de IAM. Los pasos de solución para cada hallazgo están incluidos en la entrada de la tabla.

Visualiza los resultados del recomendador de IAM en la consola

En la consola de Google Cloud, puedes ver los hallazgos que emitió el recomendador de IAM Vulnerabilidades selecciona el ajuste predeterminado de consulta del recomendador de IAM o Hallazgos seleccionando Recomendador de IAM en la sección Nombre visible de la fuente del panel Filtros rápidos.

Administración de la superficie de ataque de Mandiant

Mandiant es un líder mundial en inteligencia de amenazas de primera línea. Mandiant Attack Surface Management identifica vulnerabilidades y parámetros de configuración incorrectos en las superficies de ataque externas para que te mantengas al tanto los ciberataques más recientes.

Mandiant Attack Surface Management se habilita automáticamente cuando activas el El nivel y los hallazgos de Security Command Center Enterprise están disponibles en la consola de Google Cloud.

Para obtener información sobre en qué se diferencia el producto independiente Attack Surface Management de Mandiant de la integración de Mandiant Attack Surface Management en Security Command Center, consulta ASM y Security Command Center en el portal de documentación de Mandiant. Este vínculo requiere que Mandiant la autenticación de varios factores.

Revisa los hallazgos de Mandiant Attack Surface Management en la consola de Google Cloud

Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.

  3. En la sección Filtros rápidos, en Nombre visible de la fuente seleccione Mandiant Attack Surface Management.

    La tabla se completa con los hallazgos de Mandiant Attack Surface Management.

  4. Para ver los detalles de un resultado específico, haz clic en el nombre Category (Categoría). El panel de detalles de se abre el hallazgo y se muestra la pestaña Resumen.

  5. En la pestaña Resumen, revisa la información sobre el hallazgo. incluida la información sobre lo que se detectó, el recurso que se vio afectado y mucho más.

Policy Controller

Controlador de políticas permite la aplicación de políticas del programa para tus clústeres de Kubernetes. Estas políticas actúan como protecciones y pueden ayudar con las prácticas recomendadas, la seguridad y la administración del cumplimiento de tus clústeres de la flota.

Si instalas Policy Controller, y habilitar la comparativa de CIS para Kubernetes v1.5.1 o PCI-DSS v3.2.1 Los paquetes de Policy Controller, o ambos, escriben automáticamente. incumplimientos del clúster a Security Command Center como clase Misconfiguration de los resultados de búsqueda. La descripción del hallazgo y los próximos pasos en Security Command Center los resultados son los mismos que la descripción de la restricción y los pasos de solución del paquete de Policy Controller correspondiente.

Los hallazgos de Policy Controller provienen de los siguientes paquetes de Policy Controller:

Para encontrar y corregir los hallazgos del controlador de políticas, consulta Soluciona los hallazgos del controlador de políticas.

Motor de riesgos

El motor de riesgos de Security Command Center evalúa la exposición al riesgo de tu de implementaciones en la nube, asigna puntuaciones de exposición a ataques a hallazgos de vulnerabilidades y tus recursos de alto valor, y diagramas las rutas que un posible que el atacante podría hacer para alcanzar sus recursos de alto valor.

En el nivel Enterprise de Security Command Center, el motor de riesgos detecta grupos de problemas de seguridad que, cuando ocurren juntos en una patrón particular, crea una ruta hacia uno o más de tus atributos recursos que un atacante determinado podría usar para alcanzar y comprometer esos recursos.

Cuando Risk Engine detecta una de estas combinaciones, emite un hallazgo de clase TOXIC_COMBINATION. En el hallazgo, el motor de riesgos aparece como la fuente de el hallazgo.

Para obtener más información, consulta Descripción general de las combinaciones tóxicas.

Security Health Analytics

Security Health Analytics es un servicio de detección integrado de Security Command Center que proporciona análisis administrados de tus recursos en la nube para detectar errores de configuración comunes.

Cuando se detecta una configuración incorrecta, Security Health Analytics emite un hallazgo. La mayoría de los resultados de Security Health Analytics se asignan a controles estándar de seguridad para que puedas evaluar el cumplimiento.

Security Health Analytics analiza tus recursos en Google Cloud. Si eres usar el nivel Enterprise y establecer conexiones con otras plataformas en la nube, Security Health Analytics también puede analizar tus recursos en esas plataformas en la nube.

Según el nivel de servicio de Security Command Center, los detectores disponibles son diferentes:

Security Health Analytics se habilita automáticamente cuando la activas Security Command Center.

Para obtener más información, consulte:

Servicio de postura de seguridad

El servicio de postura de seguridad es un servicio integrado para el nivel Premium de Security Command Center que te permite definir, evaluar y supervisar el estado general de la seguridad en Google Cloud. Proporciona información sobre cómo tu entorno se alinea con las políticas que que defines en tu postura de seguridad.

El servicio de postura de seguridad no está relacionado con la GKE panel de postura de seguridad, en el que solo se muestran los resultados en GKE entre los clústeres de Kubernetes.

Protección de datos sensibles

Sensitive Data Protection es un servicio de Google Cloud completamente administrado que te ayuda descubrir, clasificar y proteger tus datos sensibles. Puedes usar Sensitive Data Protection para determinar si almacenas datos sensibles o personales información de identificación personal (PII), como los siguientes ejemplos:

  • Nombres de personas
  • Números de tarjetas de crédito
  • Números de ID nacionales o estatales
  • Números de ID de seguro médico
  • Secrets

En Protección de datos sensibles, cada tipo de datos sensibles que buscas se llama Un infoType.

Si configuras la operación de Sensitive Data Protection para enviar los resultados a Security Command Center, puedes verlos directamente en la Security Command Center de la consola de Google Cloud, además del Sección Sensitive Data Protection.

Hallazgos de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si: para almacenar datos muy sensibles que no están protegidos.

Categoría Resumen

Public sensitive data

Nombre de la categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción del resultado: el recurso especificado tiene datos de alta sensibilidad al que todos pueden acceder desde Internet.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Solución:

Para los datos de Google Cloud, quita allUsers y allAuthenticatedUsers de la política de IAM del recurso de datos.

Para los datos de Amazon S3, establecer la configuración del bloqueo de acceso público o actualizar la LCA del objeto para denegar el acceso de lectura pública.

Estándares de cumplimiento: Sin asignación

Secrets in environment variables

Nombre de la categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del hallazgo: Hay Secret, como como contraseñas, tokens de autenticación y credenciales de Google Cloud, en Variables de entorno de las funciones de Cloud Run.

Para habilitar este detector, consulta Informa los secretos en las variables de entorno a Security Command Center en la documentación de Protección de datos sensibles.

Recursos admitidos: cloudfunctions.googleapis.com/CloudFunction

Solución: Quita el secreto de la variable de entorno y guárdalo en Secret Manager en su lugar.

Estándares de cumplimiento:

  • CIS para GCP Foundation 1.3: 1.18
  • CIS para GCP Foundation 2.0: 1.18

Secrets in storage

Nombre de la categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: Hay Secret, como contraseñas, tokens de autenticación y credenciales de nube, en el recurso.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Solución:

  1. En el caso de los datos de Google Cloud, usa Sensitive Data Protection para ejecutar un análisis de inspección profunda del recurso especificado para identificar todos los recursos afectados. Para los datos de Cloud SQL, expórtalos a un archivo CSV. o AVRO en un bucket de Cloud Storage y ejecutar un análisis de inspección bucket.

    Para los datos de Amazon S3, inspecciona de forma manual el bucket especificado.

  2. Quita los secretos detectados.
  3. Considera restablecer las credenciales.
  4. Para los datos de Google Cloud, considera almacenar los secretos detectados en Secret Manager en su lugar.

Estándares de cumplimiento: Sin asignación

Hallazgos de observación de Sensitive Data Protection

En esta sección, se describen los hallazgos de las observaciones que genera Sensitive Data Protection en Security Command Center.

Hallazgos de observación del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tus datos contienen infotipos específicos y dónde residen en tu organización, carpetas y proyectos. Genera las siguientes categorías de hallazgo de observación en Security Command Center:

Data sensitivity
Una indicación del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o cualquier otro elemento que pueda requerir control o administración adicional. La gravedad del hallazgo es la que Sensitive Data Protection cuando se calcula generar el perfil de datos.
Data risk
El riesgo asociado con los datos en su estado actual. Al calcular los datos la protección de datos sensibles considera el nivel de sensibilidad los datos en el recurso de datos y la presencia de controles de acceso para proteger ese de datos no estructurados. La gravedad del hallazgo es el nivel de riesgo de los datos que Protección de datos sensibles calcularse al generar el perfil de datos.

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, puede pueden pasar hasta seis horas para que los resultados asociados aparezcan en Security Command Center.

Para obtener información sobre cómo enviar los resultados del perfil de datos a Security Command Center, consulta lo siguiente:

Hallazgos de observación del servicio de inspección de Sensitive Data Protection

Un trabajo de inspección de Sensitive Data Protection identifica cada instancia de datos de un Infotipo específico en un sistema de almacenamiento, como un bucket de Cloud Storage o un en la tabla de BigQuery. Por ejemplo, puedes ejecutar un trabajo de inspección que Busca todas las strings que coinciden con el detector de Infotipo CREDIT_CARD_NUMBER en un bucket de Cloud Storage.

Para cada detector de Infotipo que tenga una o más coincidencias, Sensitive Data Protection genera el hallazgo de Security Command Center correspondiente. La categoría de hallazgo el nombre del detector de Infotipo que tenía una coincidencia, por ejemplo, Credit card number El hallazgo incluye la cantidad de cadenas coincidentes que se detectadas en el texto o las imágenes del recurso.

Por motivos de seguridad, las cadenas reales que se detectaron no se incluyen en el hallazgo. Por ejemplo, un hallazgo Credit card number muestra cuántos Se encontraron números de tarjetas de crédito, pero no muestra los números de tarjetas de crédito reales.

Debido a que hay más de 150 detectores de Infotipo integrados en Sensitive Data Protection, no se incluyen todas las categorías de hallazgos de Security Command Center posibles que se enumeran aquí. Para obtener una lista completa de los detectores de Infotipo, consulta Detector de Infotipos referencia.

Para obtener información sobre cómo enviar los resultados de un trabajo de inspección a Security Command Center, consulta Envía los resultados de los trabajos de inspección de Sensitive Data Protection a Security Command Center.

Revisa los hallazgos de Sensitive Data Protection en la consola de Google Cloud

Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.

  3. En la sección Filtros rápidos, en Nombre visible de la fuente en la subsección correspondiente, selecciona Protección de datos sensibles.

    La tabla se propaga con los resultados de la protección de datos sensibles.

  4. Para ver los detalles de un resultado específico, haz clic en el nombre Category (Categoría). El panel de detalles de se abre el hallazgo y se muestra la pestaña Resumen.

  5. En la pestaña Resumen, revisa la información sobre el hallazgo. incluida la información sobre lo que se detectó, el recurso que se vio afectado y mucho más.

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Para usar VM Manager con activaciones a nivel de proyecto de Security Command Center Premium, activar Security Command Center Standard en la organización superior.

Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe automáticamente los resultados de high y critical de sus informes de vulnerabilidades, que están en vista previa, a Security Command Center. Los informes identifican vulnerabilidades en sistemas operativos (SO) instalados en las VMs, como Vulnerabilidades y exposiciones comunes (CVE).

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. VM Manager admite la administración de parches a nivel único nivel de proyecto.

Para corregir los hallazgos de VM Manager, consulta Soluciona los resultados de VM Manager.

Para evitar que se escriban los informes de vulnerabilidades en Security Command Center, consulta Silencia los resultados de VM Manager.

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

Detector Resumen Configuración de análisis de elementos

OS vulnerability

Nombre de categoría en la API: OS_VULNERABILITY

Descripción del hallazgo: VM Manager detectó una vulnerabilidad en el un paquete de sistema operativo (SO) instalado para una VM de Compute Engine.

Nivel de precios: Premium

Recursos admitidos

compute.googleapis.com/Instance

Corrige este hallazgo

VM Manager informes de vulnerabilidad detallan vulnerabilidades en paquetes de sistemas operativos instalados para Compute Engine VMs, incluidas Vulnerabilidades y exposiciones comunes (CVE).

Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles del sistema operativo.

Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:

  • Cuando se instala o actualiza un paquete en el sistema operativo de una VM, verás Vulnerabilidades y exposiciones comunes (CVE) información para la VM en Security Command Center dentro de las dos horas posteriores al cambio.
  • Cuando se publican nuevos avisos de seguridad para un sistema operativo, se actualizan las CVE normalmente disponible en un plazo de 24 horas a partir de la publicación del proveedor del sistema operativo de seguridad.

Evaluación de vulnerabilidades para AWS

El servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades de software de las cargas de trabajo que se ejecutan en máquinas virtuales (VMs) de EC2 en la AWS Cloud Platform.

Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un Hallazgo de clase Vulnerability en el resultado Software vulnerability en Security Command Center.

La Evaluación de vulnerabilidades para el servicio de AWS analiza las instantáneas de la máquina EC2 en ejecución. instancias, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de búsqueda es llamado análisis de discos sin agente, ya que no hay agentes instalados objetivos de análisis.

Para obtener más información, consulta lo siguiente:

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma independiente de los personalizados.

Si Security Command Center se activa en el a nivel de la organización, puedes usar análisis administrados de forma centralizada para controlar de forma centralizada detección de vulnerabilidades para proyectos en tu organización, sin tener que involucrar a equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas Web Security Scanner como servicio, los resultados del análisis administrado se disponibles automáticamente en la página Vulnerabilidades de Security Command Center y informes relacionados. Para obtener información sobre cómo habilitar Web Security Scanner análisis administrados, consulta Configura los servicios de Security Command Center.

Los análisis administrados solo admiten aplicaciones que usan el puerto predeterminado, que es 80. para conexiones HTTP y 443 para conexiones HTTPS. Si tu aplicación usa un puerto no predeterminado, realiza un análisis personalizado.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto.

Puedes definir análisis personalizados a nivel de proyecto.

Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

Detectores y cumplimiento

Web Security Scanner admite categorías en las OWASP Top Ten, un documento que clasifica y proporciona orientación de solución para los 10 riesgos de seguridad de aplicaciones web más importantes, según lo determinado por Abre el proyecto de seguridad para aplicaciones web (OWASP). Para obtener orientación sobre cómo mitigar los riesgos de OWASP, consulta las 10 opciones de mitigación de OWASP en Google Cloud.

La asignación de cumplimiento se incluye como referencia y no se proporciona ni se revisa mediante OWASP Foundation.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En la En el nivel Estándar, Web Security Scanner es compatible con análisis personalizados de aplicaciones implementadas con las direcciones IP y las URL que no están detrás de un firewall.

Categoría Descripción del resultado Los 10 mejores de OWASP de 2017 Los 10 mejores de OWASP de 2021

Accessible Git repository

Nombre de categoría en la API: ACCESSIBLE_GIT_REPOSITORY

Un repositorio de Git se expone públicamente. Para resolver este hallazgo, quita los errores involuntarios acceso público al repositorio de GIT.

Nivel de precios: Estándar

Corregir este hallazgo

A5 A01

Accessible SVN repository

Nombre de categoría en la API: ACCESSIBLE_SVN_REPOSITORY

Un repositorio de SVN se expone públicamente. Para resolver este resultado, quita el elemento público acceso involuntario al repositorio de SVN.

Nivel de precios: Estándar

Corregir este hallazgo

A5 A01

Cacheable password input

Nombre de categoría en la API: CACHEABLE_PASSWORD_INPUT

Las contraseñas que se ingresan en la aplicación web se pueden almacenar en la caché de un navegador normal en su lugar. de un almacenamiento seguro de contraseñas.

Nivel de precios: Premium

Corregir este hallazgo

A3 A04

Clear text password

Nombre de categoría en la API: CLEAR_TEXT_PASSWORD

Las contraseñas se transmiten en texto claro y se pueden interceptar. Para solucionar este problema, sigue estos pasos: y, así, encriptar la contraseña transmitida a través de la red.

Nivel de precios: Estándar

Corregir este hallazgo

A3 A02

Insecure allow origin ends with validation

Nombre de categoría en la API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un extremo HTTP o HTTPS entre sitios valida solo un sufijo de Origin. encabezado de la solicitud antes de reflejarlo en Access-Control-Allow-Origin encabezado de respuesta. Para resolver este hallazgo, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el Encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, anteponga el punto al dominio raíz, por ejemplo, .endsWith(".google.com")

Nivel de precios: Premium

Corregir este hallazgo

A5 A01

Insecure allow origin starts with validation

Nombre de categoría en la API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del Origin. encabezado de la solicitud antes de reflejarlo en Access-Control-Allow-Origin encabezado de respuesta. Para resolver este hallazgo, valida que el dominio esperado coincida por completo el valor del encabezado Origin antes de reflejarlo en el Encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals(".google.com")

Nivel de precios: Premium

Corregir este hallazgo

A5 A01

Invalid content type

Nombre de categoría en la API: INVALID_CONTENT_TYPE

Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resuelve este hallazgo, establece el encabezado HTTP X-Content-Type-Options con el valor.

Nivel de precios: Estándar

Corregir este hallazgo

A6 A05

Invalid header

Nombre de categoría en la API: INVALID_HEADER

Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para resolver este hallazgo, los encabezados de seguridad HTTP correctamente.

Nivel de precios: Estándar

Corregir este hallazgo

A6 A05

Mismatching security header values

Nombre de categoría en la API: MISMATCHING_SECURITY_HEADER_VALUES

Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este hallazgo, configura los encabezados de seguridad HTTP correctamente.

Nivel de precios: Estándar

Corregir este hallazgo

A6 A05

Misspelled security header name

Nombre de categoría en la API: MISSPELLED_SECURITY_HEADER_NAME

Un encabezado de seguridad está mal escrito y se ignora. Para resolver este hallazgo, configura HTTP encabezados de seguridad correctos.

Nivel de precios: Estándar

Corregir este hallazgo

A6 A05

Mixed content

Nombre de categoría en la API: MIXED_CONTENT

Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este hallazgo, asegúrate de que todos los recursos se entreguen a través de HTTPS.

Nivel de precios: Estándar

Corregir este hallazgo

A6 A05

Outdated library

Nombre de categoría en la API: OUTDATED_LIBRARY

Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este hallazgo, actualiza bibliotecas a una versión más reciente.

Nivel de precios: Estándar

Corregir este hallazgo

A9 A06

Server side request forgery

Nombre de categoría en la API: SERVER_SIDE_REQUEST_FORGERY

Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este hallazgo, usar una lista de entidades permitidas para limitar los dominios y las direcciones IP que la aplicación web puede hacer a las que envían solicitudes.

Nivel de precios: Estándar

Corregir este hallazgo

No aplicable A10

Session ID leak

Nombre de categoría en la API: SESSION_ID_LEAK

Cuando se realiza una solicitud multidominio, la aplicación web incluye la sesión del usuario identificador en su encabezado de solicitud Referer. Esta vulnerabilidad le brinda que reciben acceso al dominio al identificador de la sesión, que puede usarse para suplantar o identificar de manera inequívoca al usuario.

Nivel de precios: Premium

Corregir este hallazgo

A2 A07

SQL injection

Nombre de categoría en la API: SQL_INJECTION

Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este hallazgo, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura del SQL para cada búsqueda.

Nivel de precios: Premium

Corregir este hallazgo

A1 A03

Struts insecure deserialization

Nombre de categoría en la API: STRUTS_INSECURE_DESERIALIZATION

El uso de una versión vulnerable de Apache Struts se detectó. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.

Nivel de precios: Premium

Corregir este hallazgo

A8 A08

XSS

Nombre de categoría en la API: XSS

Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver este hallazgo, validar y escapar de los datos que no son de confianza proporcionados por los usuarios.

Nivel de precios: Estándar

Corregir este hallazgo

A7 A03

XSS angular callback

Nombre de categoría en la API: XSS_ANGULAR_CALLBACK

La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para solucionar este problema, sigue estos pasos: Buscar, validar y escapar los datos que no son de confianza proporcionados por los usuarios y que administra Angular en un framework de aplicaciones.

Nivel de precios: Estándar

Corregir este hallazgo

A7 A03

XSS error

Nombre de categoría en la API: XSS_ERROR

Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver este hallazgo, validar y escapar de los datos que no son de confianza proporcionados por los usuarios.

Nivel de precios: Estándar

Corregir este hallazgo

A7 A03

XXE reflected file leakage

Nombre de categoría en la API: XXE_REFLECTED_FILE_LEAKAGE

Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede causar filtrar un archivo en el host. Para resolver este hallazgo, configura tu XML analizadores para inhabilitar entidades externas.

Nivel de precios: Premium

Corregir este hallazgo

A4 A05

Prototype pollution

Nombre de categoría en la API: PROTOTYPE_POLLUTION

La aplicación es vulnerable a la contaminación prototípica. Esta vulnerabilidad surge cuando se pueden asignar propiedades del objeto Object.prototype y que el atacante puede controlar. Los valores colocados en estos prototipos se asumen universalmente. para traducir en secuencia de comandos entre sitios o vulnerabilidades similares del cliente, así como errores lógicos.

Nivel de precios: Estándar

Corregir este hallazgo

A1 A03

Servicios de detección de amenazas

Los servicios de detección de amenazas incluyen servicios integrados que detectan eventos que podrían indicar eventos potencialmente dañinos como recursos comprometidos o ciberataques.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa indicadores de comportamiento de fuera de tu sistema. Muestra información detallada sobre la seguridad anomalías detectadas en tus proyectos e instancias de máquina virtual (VM), como como posibles credenciales filtradas. La Detección de anomalías es se habilita automáticamente cuando activas Security Command Center Standard o El nivel Premium y los hallazgos están disponibles en la consola de Google Cloud.

Los hallazgos de la Detección de anomalías incluyen lo siguiente:

Nombre de la anomalía Categoría Descripción
Account has leaked credentials account_has_leaked_credentials

Las credenciales de una cuenta de servicio de Google Cloud se se filtren en línea o se vean vulnerados.

Gravedad: crítica

La cuenta tiene credenciales filtradas

GitHub notificó a Security Command Center que las credenciales que se usaron para una confirmación parecen ser las credenciales de una Cuenta de servicio de Google Cloud Identity and Access Management.

La notificación incluirá el nombre de la cuenta de servicio y la clave privada identificador. Google Cloud también envía tus contacto designado para cuestiones de seguridad y privacidad emite una notificación por correo electrónico.

Para solucionar este problema, realiza una o más de las siguientes acciones:

  • Identifica al usuario legítimo de la clave.
  • Rota la clave.
  • Quita la llave.
  • Investiga las acciones tomadas por la clave después del para garantizar que ninguna de las acciones fuera maliciosa.

JSON: hallazgo de credenciales de cuentas filtradas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución de los contenedores y alertarte. en Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de Container Threat Detection recopila el comportamiento de bajo nivel en la kernel de invitado y realiza un procesamiento de lenguaje natural en el código para detectar la siguientes eventos:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Obtén más información sobre Detección de amenazas a contenedores.

Event Threat Detection

Event Threat Detection usa datos de registro dentro de tus sistemas. Observa de Cloud Logging para proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Detección de eventos de amenazas escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita automáticamente cuando activas el El nivel Premium de Security Command Center y los hallazgos están disponibles en la Consola de Google Cloud

En la siguiente tabla, se enumeran ejemplos de los hallazgos de Event Threat Detection.

Tabla C. Tipos de hallazgos de Event Threat Detection
Destrucción de datos

Event Threat Detection detecta la destrucción de datos a través del análisis de los registros de auditoría del servidor de administración de servicios de copia de seguridad y DR para las siguientes situaciones:

  • Eliminación de una imagen de copia de seguridad
  • Eliminación de todas las imágenes de copia de seguridad asociadas a una aplicación
  • Eliminación de un dispositivo de copia de seguridad o recuperación
Robo de datos

Event Threat Detection detecta el robo de datos de BigQuery y Cloud SQL mediante el análisis de los registros de auditoría para las siguientes situaciones:

  • Un recurso de BigQuery se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
  • Un recurso de Cloud SQL se exporta de forma completa o parcial a un bucket de Cloud Storage fuera de tu organización o a un bucket que pertenece a tu organización y al que se puede acceder públicamente.
  • Una copia de seguridad de Cloud SQL se restablece a una instancia de Cloud SQL fuera de tu organización.
  • Un recurso de BigQuery que pertenece a tu organización se exporta a un bucket de Cloud Storage fuera de tu organización o a un bucket de tu organización de acceso público.
  • Un recurso BigQuery de tu organización se exporta a una carpeta de Google Drive.
Actividad sospechosa de Cloud SQL

Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que pueden indicar la vulneración de una cuenta de usuario válida en Instancias de Cloud SQL:

  • A un usuario de la base de datos se le otorgan todos los privilegios base de datos de Cloud SQL para PostgreSQL o a todas las tablas, procedimientos o funciones en un esquema.
  • Un superusuario de cuenta de base de datos predeterminada de Cloud SQL (“postgres”) en instancias de PostgreSQL o “raíz” en instancias de MySQL) se usa para escribir a tablas que no son del sistema.
Actividad sospechosa de AlloyDB para PostgreSQL

Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que pueden indicar la vulneración de una cuenta de usuario válida en Instancias de AlloyDB para PostgreSQL:

  • A un usuario de la base de datos se le otorgan todos los privilegios base de datos de AlloyDB para PostgreSQL, o a todas las tablas, procedimientos o funciones en un esquema.
  • Un superusuario de cuenta de base de datos predeterminada de AlloyDB para PostgreSQL (`postgres`) se usa para escribir en tablas que no son del sistema.
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta software malicioso de minería de criptomonedas a través de un análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos o direcciones IP conocidas de grupos de minería.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Si invitas a un usuario de gmail.com como propietario del proyecto desde el Consola de Google Cloud
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.
Inhibición de la recuperación del sistema

Event Threat Detection detecta cambios anómalos en la copia de seguridad y DR que pueden afectar la postura de la copia de seguridad, incluidos los cambios importantes en las políticas y la eliminación de componentes críticos de Copia de seguridad y DR.
Log4j Event Threat Detection detecta posibles intentos de explotación de Log4j y vulnerabilidades de Log4j activas.
Software malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
DoS saliente La Detección de eventos de amenazas examina los registros de flujo de VPC para detectar denegación saliente del tráfico de servicio.
Acceso anómalo Event Threat Detection detecta el acceso anómalo mediante el análisis de los registros de auditoría de Cloud para las modificaciones del servicio de Google Cloud que se originaron en las direcciones IP de proxy anónimas, como las direcciones IP de Tor.
Comportamiento de IAM anómalo Event Threat Detection detecta comportamientos anómalos de IAM examinando Registros de auditoría de Cloud para las siguientes situaciones:
  • Cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde direcciones IP anómalas.
  • Cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos
  • Principales y recursos que se hacen pasar por cuentas de servicio de IAM para acceder a Google Cloud.
Autoinvestigación de la cuenta de servicio Container Threat Detection detecta cuándo se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.
Clave SSH agregada por el administrador de Compute Engine Event Threat Detection detecta una modificación en el valor de la llave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana).
Secuencia de comandos de inicio agregada por el administrador de Compute Engine Event Threat Detection detecta una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Hay actividad sospechosa en la cuenta Container Threat Detection detecta un posible compromiso de las cuentas de Google Workspace mediante el análisis de los registros de auditoría para actividades anómalas de la cuenta, incluidas las filtraciones de contraseñas y los intentos de acceso sospechosos.
Ataque respaldado por el Gobierno La Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo los atacantes respaldados por el Gobierno podrían haber intentado comprometer la cuenta o computadora de un miembro.
Cambios en el inicio de sesión único (SSO) Container Threat Detection examina los registros de auditoría de Google Workspace a fin de detectar cuándo el SSO está inhabilitado o se cambia la configuración de las cuentas de administrador de Google Workspace.
Verificación en dos pasos Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo la verificación en 2 pasos está inhabilitada en las cuentas de usuario y administrador.
Comportamiento anómalo de la API Event Threat Detection detecta comportamiento de API anómalo mediante el análisis de los registros de auditoría de Cloud para solicitudes a los servicios de Google Cloud que un principal no vio antes.
Evasión de defensa

Event Threat Detection detecta la evasión de la defensa examinando los Registros de auditoría de Cloud en los siguientes casos:

  • Los cambios en los perímetros existentes de los Controles del servicio de VPC reduciendo la protección que se ofrece.
  • Las implementaciones o actualizaciones de las cargas de trabajo que usan marca de emergencia para anular los controles de Autorización Binaria.Vista previa
Discovery

Event Threat Detection detecta operaciones de descubrimiento según examinar los registros de auditoría en las siguientes situaciones:

  • Un agente potencialmente malicioso trató de determinar qué objetos sensibles en GKE pueden consulta mediante kubectl kubectl.
  • Se usa una credencial de cuenta de servicio para investigar los roles y permisos asociados con esa misma cuenta de servicio.
Acceso inicial Event Threat Detection detecta las operaciones de acceso inicial examinar los registros de auditoría en las siguientes situaciones:
  • Un servicio inactivo administrado por el usuario cuenta activó una acción.Obtener vista previa
  • Una principal intentó invocar varias métodos de Google Cloud, pero fallaron reiteradamente debido al permiso errores.Vista previa
Elevación de privilegios

Event Threat Detection detecta la elevación de privilegios en GKE mediante examinar los registros de auditoría en las siguientes situaciones:

  • Para elevar privilegios, un agente potencialmente malicioso trató de modificar una ClusterRole, RoleBinding o ClusterRoleBinding objeto de control de acceso basado en roles (RBAC) del cluster-admin sensible rol con una solicitud PUT o PATCH.
  • Un agente potencialmente malicioso creó un certificado de plano de control de Kubernetes firma de la solicitud (CSR), lo que otorga cluster-admin el acceso a los datos.
  • Para elevar privilegios, un agente potencialmente malicioso trató de crear un nuevo elemento RoleBinding o ClusterRoleBinding objeto de la función cluster-admin.
  • Un agente potencialmente malicioso realizó una consulta para obtener solicitud de firma de certificado (CSR), con el kubectl con credenciales de arranque comprometidas.
  • Un agente potencialmente malicioso creó un Pod que contiene contenedores o contenedores con capacidades de elevación de privilegios.
Detecciones de IDS de Cloud IDS de Cloud detecta ataques de capa 7 a través del análisis de paquetes duplicados y, cuando detecta un evento sospechoso, activa una Event Threat Detection hallazgo. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud. Vista previa
Movimiento lateral Event Threat Detection detecta posibles ataques de disco de arranque modificados mediante el examen de los Registros de auditoría de Cloud para detectar desconexiones y nuevos adjuntos de discos de arranque frecuentes en las instancias de Compute Engine.

Obtén más información sobre Event Threat Detection.

Google Cloud Armor

Google Cloud Armor te ayuda a proteger tu con el filtrado de capa 7. Google Cloud Armor analiza los datos entrantes solicitudes de ataques web comunes u otros atributos de capa 7 para bloquear antes de que llegue a tus servicios de backend con balanceo de cargas buckets.

Google Cloud Armor exporta dos hallazgos a Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, brinda Detección de amenazas a través de instrumentación a nivel de hipervisor y disco persistente de análisis de datos en la nube. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como las siguientes: software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecuta en en entornos de nube comprometidos.

VM Threat Detection forma parte de la detección de amenazas de Security Command Center Premium y está diseñado para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información sobre la detección de amenazas a VM, consulta Descripción general de VM Threat Detection.

Hallazgos de amenazas de la Detección de amenazas de VM

VM Threat Detection puede generar los siguientes hallazgos de amenazas.

Hallazgos de amenazas de minería de criptomonedas

VM Threat Detection detecta las siguientes categorías de hallazgos a través de la coincidencia de hash o las reglas YARA.

()
Hallazgos de amenazas de minería de criptomonedas de VM Threat Detection
Categoría Módulo Descripción
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifica una amenaza que fue detectada por ambos Módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA Para obtener más información, consulta Detecciones combinadas.

Hallazgos de amenazas de rootkit en modo kernel

VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa software malicioso.

El KERNEL_MEMORY_TAMPERING de seguridad detecta amenazas a través de una comparación de hash en el código y la memoria de datos de solo lectura de kernel de una máquina virtual.

El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas verificando la integridad de estructuras importantes de datos del kernel.

()
Hallazgos de amenazas de rootkit en modo kernel de la detección de amenazas de VM
Categoría Módulo Descripción
Manipulación de la memoria del kernel
Defense Evasion: Unexpected kernel code modificationVista previa KERNEL_MEMORY_TAMPERING Hay modificaciones inesperadas de la memoria del código del kernel.
Defense Evasion: Unexpected kernel read-only data modificationVista previa KERNEL_MEMORY_TAMPERING Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel.
Manipulación de la integridad del kernel
Defense Evasion: Unexpected ftrace handlerVista previa KERNEL_INTEGRITY_TAMPERING Los puntos ftrace están presentes con devoluciones de llamada que apuntan a regiones que no están en el kernel o el rango de código de módulo esperados.
Defense Evasion: Unexpected interrupt handlerVista previa KERNEL_INTEGRITY_TAMPERING Interrumpe los controladores que no estén presentes en las regiones esperadas de código de kernel o módulo.
Defense Evasion: Unexpected kernel modulesVista previa KERNEL_INTEGRITY_TAMPERING Están presentes las páginas de código de kernel que no se encuentran en las regiones esperadas de código de kernel o módulo.
Defense Evasion: Unexpected kprobe handlerVista previa KERNEL_INTEGRITY_TAMPERING Los puntos kprobe están presentes con devoluciones de llamada que apuntan a regiones que no están en el kernel o el rango de código de módulo esperados.
Defense Evasion: Unexpected processes in runqueueVista previa KERNEL_INTEGRITY_TAMPERING Hay procesos inesperados en la cola de ejecución del programador. Esos procesos están en ejecución pero no en la lista de tareas del proceso.
Defense Evasion: Unexpected system call handlerVista previa KERNEL_INTEGRITY_TAMPERING Los controladores de llamadas del sistema que no están en las regiones esperadas de código de kernel o módulo, están presentes.
Rootkit
Defense Evasion: RootkitVista previa
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Existe una combinación de señales que coinciden con un rootkit de modo de kernel conocido. Para recibir hallazgos de esta categoría, asegúrate de que ambos módulos estén habilitados.

Hallazgo de observación de VM Threat Detection

VM Threat Detection puede generar el siguiente hallazgo de observación.

Resultado de la observación de VM Threat Detection
Nombre de categoría Nombre de la API Resumen Gravedad
VMTD disabled VMTD_DISABLED

La detección de amenazas de VM está inhabilitada. Hasta que habilitar este servicio no puede analizar tus proyectos de Compute Engine y las instancias de VM para aplicaciones no deseadas.

Este resultado se establece en INACTIVE después de 30 días. Después de eso, este resultado no se vuelve a generar.

Alta

Errores

Los detectores de errores pueden ayudarte a detectar errores en la configuración que evitan que las fuentes de seguridad generen resultados. La fuente de seguridad Security Command Center genera los resultados de error y estos tienen la clase de resultado SCC errors.

Acciones involuntarias

Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.

Acciones involuntarias
Nombre de categoría Nombre de la API Resumen Gravedad
API disabled API_DISABLED

Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 60 horas

Corrige este resultado

Crítico
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descripción del hallazgo: Parámetros de configuración de los valores de recursos se definen para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos de tu entorno. Las simulaciones usan el de alto valor predeterminado.

Este error puede tener cualquiera de las siguientes causas:

  • Ninguna de las configuraciones de valores de recursos coincide con ninguna instancia de recursos.
  • Una o más configuraciones de valores de recursos que especifican NONE se anulan cada otra configuración válida.
  • Todas las configuraciones definidas de valores de recursos especifican un valor de NONE.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque.

Corrige este hallazgo

Crítico
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descripción del hallazgo: En los últimos simulación de rutas de ataque, la cantidad de instancias de recursos de alto valor identificadas por el configuraciones de valores de recursos superó el límite de 1,000 instancias de recursos en una cuenta conjunto de recursos. Como resultado, Security Command Center excluyó el número excesivo de del conjunto de recursos de alto valor.

La cantidad total de instancias coincidentes y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo SCC Error del Consola de Google Cloud

Las puntuaciones de exposición a ataques de cualquier hallazgo que afecte a un recurso excluido no reflejan la designación de alto valor de las instancias de recursos.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque.

Corrige este hallazgo

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descripción del hallazgo: No se puede habilitar Container Threat Detection en el clúster porque se requiere un contenedor imagen no se puede extraer (descargar) desde gcr.io, el Host de imagen de Container Registry. La imagen es para implementar el DaemonSet de Container Threat Detection que requiere Container Threat Detection.

El intento de implementar el DaemonSet de detección de amenazas de contenedores dio como resultado el siguiente error:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítico
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descripción del hallazgo: La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Una admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes Container Threat Detection requiere.

Cuando se ven en la consola de Google Cloud, los detalles del hallazgo incluyen lo siguiente: mensaje de error que mostró Google Kubernetes Engine cuando la detección de amenazas a contenedores intentó implementar un objeto DaemonSet de detección de amenazas a contenedores.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: todas las semanas

Corrige este resultado

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 6 horas

Corrige este resultado

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados.

Nivel de precios: Premium o Estándar

Recursos admitidos

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica

Para obtener más información, consulta Errores de Security Command Center.

¿Qué sigue?