Services de détection

Cette page contient la liste des services de détection, parfois appelés sources de sécurité, que Security Command Center utilise pour détecter les problèmes de sécurité dans vos environnements cloud.

Lorsqu'ils détectent un problème, ces services génèrent un résultat, qui est un enregistrement qui identifie le problème de sécurité et vous fournit les informations dont vous avez besoin pour hiérarchiser et résoudre le problème.

Vous pouvez afficher les résultats dans la console Google Cloud et les filtrer de différentes manières, par exemple par type de résultat, par type de ressource ou pour un élément spécifique. Chaque source de sécurité peut fournir davantage de filtres pour vous aider à organiser vos résultats.

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Services de détection des failles

Les services de détection des failles incluent des services intégrés qui détectent les failles logicielles, les erreurs de configuration et les cas de non-conformité dans vos environnements cloud. Collectivement, ces types de problèmes de sécurité sont appelés failles de sécurité.

Tableau de bord de stratégie de sécurité GKE

Le tableau de bord de stratégie de sécurité GKE est une page de la console Google Cloud qui vous fournit des résultats avisés et exploitables sur les problèmes de sécurité potentiels dans vos clusters GKE.

Si vous activez l'une des fonctionnalités suivantes du tableau de bord de stratégie de sécurité GKE, les résultats s'affichent dans le niveau Standard ou Premium de Security Command Center:

Fonctionnalité du tableau de bord de stratégie de sécurité GKE Classe de résultats de Security Command Center
Audit de configuration de la charge de travail MISCONFIGURATION
VULNERABILITY

Les résultats affichent des informations sur le problème de sécurité et fournissent des recommandations pour résoudre les problèmes dans vos charges de travail ou clusters.

Afficher les résultats du tableau de bord de stratégie de sécurité GKE dans la console

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Stratégie de sécurité GKE. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Stratégie de sécurité GKE. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Outil de recommandation IAM

L'outil de recommandation IAM émet des recommandations que vous pouvez suivre pour améliorer la sécurité en supprimant ou en remplaçant les rôles IAM des comptes principaux lorsque les rôles contiennent des autorisations IAM dont le compte principal n'a pas besoin.

L'outil de recommandation IAM est automatiquement activé lorsque vous activez Security Command Center.

Activer ou désactiver les résultats de l'outil de recommandation IAM

Pour activer ou désactiver les résultats du recommendeur IAM dans Security Command Center, procédez comme suit:

  1. Accédez à l'onglet Services intégrés de la page Paramètres de Security Command Center dans la console Google Cloud:

    Accéder aux paramètres

  2. Si nécessaire, faites défiler la page jusqu'à l'entrée Outil de recommandation IAM.

  3. À droite de l'entrée, sélectionnez Activer ou Désactiver.

Les résultats de l'outil de recommandation IAM sont classés comme des failles.

Pour corriger un résultat de l'outil de recommandation IAM, développez la section suivante pour afficher un tableau des résultats de l'outil de recommandation IAM. Les étapes de correction pour chaque résultat sont incluses dans l'entrée du tableau.

Afficher les résultats de l'outil de recommandation IAM dans la console

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Dans la console Google Cloud, vous pouvez également consulter les résultats du recommendeur IAM sur la page Vulnérabilités en sélectionnant le préréglage de requête Recommendeur IAM.

Mandiant Attack Surface Management

Mandiant est un leader mondial du renseignement direct sur les menaces. Mandiant Attack Surface Management identifie les failles et les erreurs de configuration dans vos surfaces d'attaque externes pour vous aider à vous tenir informé des dernières cyberattaques.

Mandiant Attack Surface Management est automatiquement activé lorsque vous activez le niveau Security Command Center Enterprise, et les résultats sont disponibles dans la console Google Cloud.

Pour en savoir plus sur les différences entre le produit Mandiant Attack Surface Management autonome et l'intégration de Mandiant Attack Surface Management dans Security Command Center, consultez ASM et Security Command Center sur le portail de documentation Mandiant. Ce lien nécessite une authentification Mandiant.

Examiner les résultats de Mandiant Attack Surface Management dans la console

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Mandiant Attack Surface Management. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Mandiant Attack Surface Management. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Policy Controller

Policy Controller permet d'appliquer des règles programmables à vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc.

Si vous installez Policy Controller et activez les bundles de règles Policy Controller CIS Kubernetes Benchmark v1.5.1 ou PCI-DSS v3.2.1, ou les deux, Policy Controller écrit automatiquement les cas de non-respect du cluster dans Security Command Center en tant que résultats de la classe Misconfiguration. La description des résultats et les étapes suivantes des résultats de Security Command Center sont les mêmes que la description de la contrainte et les étapes de correction du bundle Policy Controller correspondant.

Les résultats de Policy Controller proviennent des lots Policy Controller suivants:

Pour rechercher et corriger les résultats de Policy Controller, consultez la section Corriger les résultats de Policy Controller.

Moteur de gestion des risques

Le moteur de risque de Security Command Center évalue l'exposition aux risques de vos déploiements cloud, attribue des scores d'exposition aux attaques aux résultats de détection de failles et à vos ressources à forte valeur, et représente les chemins qu'un pirate informatique potentiel pourrait emprunter pour atteindre vos ressources à forte valeur.

Dans le niveau Enterprise de Security Command Center, le moteur de risque détecte des groupes de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin vers une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.

Lorsque le moteur de risque détecte l'une de ces combinaisons, il émet un résultat de classe TOXIC_COMBINATION. Dans le résultat, le moteur de risque est indiqué comme source.

Pour en savoir plus, consultez la section Présentation des combinaisons toxiques.

Security Health Analytics

Security Health Analytics est un service de détection intégré à Security Command Center qui fournit des analyses gérées de vos ressources cloud pour détecter les erreurs de configuration courantes.

Lorsqu'une erreur de configuration est détectée, Security Health Analytics génère un résultat. La plupart des résultats de Security Health Analytics sont mappés sur les contrôles de conformité des normes de sécurité afin que vous puissiez évaluer la conformité.

Security Health Analytics analyse vos ressources sur Google Cloud. Si vous utilisez le niveau Enterprise et que vous établissez des connexions à d'autres plates-formes cloud, Security Health Analytics peut également analyser vos ressources sur ces plates-formes cloud.

Les détecteurs disponibles varient en fonction du niveau de service Security Command Center que vous utilisez:

Security Health Analytics est automatiquement activé lorsque vous activez Security Command Center.

Pour en savoir plus, consultez les pages suivantes :

Service de stratégie de sécurité

Le service de stratégie de sécurité est un service intégré au niveau Premium de Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état global de votre sécurité dans Google Cloud. Il fournit des informations sur l'alignement de votre environnement sur les règles que vous définissez dans votre stratégie de sécurité.

Le service de stratégie de sécurité n'est pas associé au tableau de bord de stratégie de sécurité GKE, qui n'affiche que les résultats dans les clusters GKE.

Sensitive Data Protection

La protection des données sensibles est un service Google Cloud entièrement géré qui vous aide à découvrir, classer et protéger vos données sensibles. Vous pouvez utiliser la protection des données sensibles pour déterminer si vous stockez des informations sensibles ou permettant d'identifier personnellement l'utilisateur, comme les suivantes:

  • Noms de personnes
  • Numéros de cartes de crédit
  • Numéros d'identification nationaux ou d'État
  • Numéros d'identification de l'assurance santé
  • Secrets

Dans la protection des données sensibles, chaque type de données sensibles que vous recherchez est appelé infoType.

Si vous configurez votre opération de protection des données sensibles pour envoyer les résultats à Security Command Center, vous pouvez consulter les résultats directement dans la section Security Command Center de la console Google Cloud, en plus de la section Protection des données sensibles.

Résultats de failles du service de découverte Sensitive Data Protection

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données hautement sensibles qui ne sont pas protégées.

Catégorie Résumé

Public sensitive data

Nom de la catégorie dans l'API:

PUBLIC_SENSITIVE_DATA

Description du résultat: La ressource spécifiée contient des données hautement sensibles auxquelles n'importe qui peut accéder sur Internet.

Composants compatibles:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correction:

Pour les données Google Cloud, supprimez allUsers et allAuthenticatedUsers de la stratégie IAM de l'asset de données.

Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès en lecture public.

Normes de conformité: non mappées

Secrets in environment variables

Nom de la catégorie dans l'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Description du résultat: Des secrets (mots de passe, jetons d'authentification et identifiants Google Cloud, par exemple) sont présents dans les variables d'environnement.

Pour activer ce détecteur, consultez la section Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation sur la protection des données sensibles.

Composants compatibles:

Correction:

Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager à la place.

Pour les variables d'environnement de révision du service Cloud Run, déplacez tout le trafic hors de la révision, puis supprimez-la.

Normes de conformité:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nom de la catégorie dans l'API:

SECRETS_IN_STORAGE

Description du résultat: la ressource spécifiée contient des secrets (mots de passe, jetons d'authentification et identifiants cloud, par exemple).

Composants compatibles:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correction:

  1. Pour les données Google Cloud, utilisez la protection des données sensibles pour exécuter une analyse approfondie de la ressource spécifiée afin d'identifier toutes les ressources concernées. Pour les données Cloud SQL, exportez-les vers un fichier CSV ou AVRO dans un bucket Cloud Storage, puis exécutez une analyse approfondie du bucket.

    Pour les données Amazon S3, inspectez manuellement le bucket spécifié.

  2. Supprimez les secrets détectés.
  3. Envisagez de réinitialiser les identifiants.
  4. Pour les données Google Cloud, envisagez plutôt de stocker les secrets détectés dans Secret Manager.

Normes de conformité: non mappées

Observations issues de Sensitive Data Protection

Cette section décrit les résultats d'observation que la protection des données sensibles génère dans Security Command Center.

Résultats des observations du service de découverte

Le service de détection de la protection des données sensibles vous aide à déterminer si vos données contiennent des infoTypes spécifiques et où elles se trouvent dans votre organisation, vos dossiers et vos projets. Il génère les catégories de résultats d'observation suivantes dans Security Command Center:

Data sensitivity
Indique le niveau de sensibilité des données d'un élément de données spécifique. Les données sont sensibles si elles contiennent des informations permettant d'identifier personnellement l'utilisateur ou d'autres éléments qui peuvent nécessiter un contrôle ou une gestion supplémentaires. La gravité de la découverte correspond au niveau de sensibilité calculé par Sensitive Data Protection lors de la génération du profil de données.
Data risk
Risque associé aux données dans leur état actuel. Lors du calcul du risque des données, la protection des données sensibles tient compte du niveau de sensibilité des données de l'élément de données et de la présence de contrôles d'accès pour protéger ces données. La gravité de l'anomalie correspond au niveau de risque lié aux données calculé par Sensitive Data Protection lors de la génération du profil de données.

À partir du moment où Sensitive Data Protection génère les profils de données, l'affichage des résultats associés dans Security Command Center peut prendre jusqu'à six heures.

Pour savoir comment envoyer les résultats du profil de données à Security Command Center, consultez les ressources suivantes:

Résultats des observations du service d'inspection Sensitive Data Protection

Une tâche d'inspection de la protection des données sensibles identifie chaque instance de données d'un infoType spécifique dans un système de stockage, tel qu'un bucket Cloud Storage ou une table BigQuery. Par exemple, vous pouvez exécuter une tâche d'inspection qui recherche toutes les chaînes correspondant au détecteur d'infoType CREDIT_CARD_NUMBER dans un bucket Cloud Storage.

Pour chaque détecteur infoType qui présente une ou plusieurs correspondances, la protection des données sensibles génère un résultat Security Command Center correspondant. La catégorie de résultat correspond au nom du détecteur d'infoType qui a enregistré une correspondance (par exemple, Credit card number). Le résultat inclut le nombre de chaînes correspondantes détectées dans le texte ou les images de la ressource.

Pour des raisons de sécurité, les chaînes réelles détectées ne sont pas incluses dans le résultat. Par exemple, un résultat Credit card number indique le nombre de numéros de carte de crédit détectés, mais pas les numéros de carte de crédit eux-mêmes.

Étant donné qu'il existe plus de 150 détecteurs d'infoTypes intégrés dans la protection des données sensibles, toutes les catégories de résultats possibles de Security Command Center ne sont pas listées ici. Pour obtenir la liste complète des détecteurs d'infoTypes, consultez la documentation de référence sur les détecteurs d'infoTypes.

Pour savoir comment envoyer les résultats d'une tâche d'inspection à Security Command Center, consultez Envoyer les résultats d'une tâche d'inspection de protection des données sensibles à Security Command Center.

Examiner les résultats de Sensitive Data Protection dans la console

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Protection des données sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Protection des données sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Pour utiliser VM Manager avec des activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.

Si vous activez VM Manager avec le niveau Premium de Security Command Center, VM Manager écrit automatiquement les résultats high et critical de ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation (OS) installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. VM Manager permet de gérer les correctifs au niveau d'un seul projet.

Pour corriger les résultats de VM Manager, consultez la section Corriger les résultats de VM Manager.

Pour empêcher l'écriture des rapports de failles dans Security Command Center, consultez la section Ignorer les résultats de VM Manager.

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Détecteur Résumé Paramètres d'analyse des éléments

OS vulnerability

Nom de la catégorie dans l'API : OS_VULNERABILITY

Description du résultat: VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification: Premium

Composants compatibles

compute.googleapis.com/Instance

Corriger ce résultat

Les rapports de failles de VM Manager détaillent les failles dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.

Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la section Détails des systèmes d'exploitation.

Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

  • Lorsqu'un package est installé ou mis à jour dans le système d'exploitation d'une VM, vous pouvez vous attendre à voir les informations sur les failles et risques courants (CVE) de la VM dans Security Command Center dans un délai de deux heures après la modification.
  • Lorsque de nouveaux avis de sécurité sont publiés pour un système d'exploitation, les failles CVE mises à jour sont généralement disponibles dans les 24 heures suivant la publication de l'avis par le fournisseur du système d'exploitation.

Évaluation des failles pour AWS

Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles logicielles dans vos charges de travail exécutées sur des machines virtuelles (VM) EC2 sur la plate-forme cloud AWS.

Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat de classe Vulnerability dans la catégorie de résultats Software vulnerability de Security Command Center.

Le service d'évaluation des failles pour AWS analyse les instantanés des instances de machines EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les cibles d'analyse.

Pour en savoir plus, consultez les ressources suivantes :

Web Security Scanner

Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.

Analyses gérées

Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.

Les analyses gérées s'exécutent indépendamment des analyses personnalisées.

Si Security Command Center est activé au niveau de l'organisation, vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.

Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles sur la page Failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la section Configurer les services Security Command Center.

Les analyses gérées ne sont compatibles qu'avec les applications qui utilisent le port par défaut, à savoir le port 80 pour les connexions HTTP et le port 443 pour les connexions HTTPS. Si votre application utilise un port autre que le port par défaut, effectuez plutôt une analyse personnalisée.

Analyses personnalisées

Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes.

Vous définissez des analyses personnalisées au niveau du projet.

Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez suivi le guide de configuration des analyses personnalisées de Web Security Scanner.

Détecteurs et conformité

Web Security Scanner accepte les catégories du Top 10 de l'OWASP, un document qui classe les 10 risques de sécurité les plus critiques pour les applications Web identifiés par le projet OWASP (Open Web Application Security Project) et fournit des conseils de résolution pour chacun. Pour obtenir des conseils visant à réduire les risques identifiés par l'OWASP, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Le mappage de conformité est inclus pour référence et n'est pas fourni ni examiné par la Fondation OWASP.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Catégorie Description du résultat OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

Nom de la catégorie dans l'API : ACCESSIBLE_GIT_REPOSITORY

Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A5 A01

Accessible SVN repository

Nom de la catégorie dans l'API : ACCESSIBLE_SVN_REPOSITORY

Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A5 A01

Cacheable password input

Nom de la catégorie dans l'API : CACHEABLE_PASSWORD_INPUT

Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé.

Niveau de tarification: Premium

Corriger ce résultat

A3 A04

Clear text password

Nom de la catégorie dans l'API : CLEAR_TEXT_PASSWORD

Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A3 A02

Insecure allow origin ends with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith(".google.com").

Niveau de tarification: Premium

Corriger ce résultat

A5 A01

Insecure allow origin starts with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals(".google.com")).

Niveau de tarification: Premium

Corriger ce résultat

A5 A01

Invalid content type

Nom de la catégorie dans l'API : INVALID_CONTENT_TYPE

Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Invalid header

Nom de la catégorie dans l'API : INVALID_HEADER

Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Mismatching security header values

Nom de la catégorie dans l'API : MISMATCHING_SECURITY_HEADER_VALUES

Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Misspelled security header name

Nom de la catégorie dans l'API : MISSPELLED_SECURITY_HEADER_NAME

Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Mixed content

Nom de la catégorie dans l'API : MIXED_CONTENT

Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Outdated library

Nom de la catégorie dans l'API : OUTDATED_LIBRARY

Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A9 A06

Server side request forgery

Nom de la catégorie dans l'API : SERVER_SIDE_REQUEST_FORGERY

Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

Non applicable A10

Session ID leak

Nom de la catégorie dans l'API : SESSION_ID_LEAK

Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Referer. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique.

Niveau de tarification: Premium

Corriger ce résultat

A2 A07

SQL injection

Nom de la catégorie dans l'API : SQL_INJECTION

Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL.

Niveau de tarification: Premium

Corriger ce résultat

A1 A03

Struts insecure deserialization

Nom de la catégorie dans l'API : STRUTS_INSECURE_DESERIALIZATION

L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.

Niveau de tarification: Premium

Corriger ce résultat

A8 A08

XSS

Nom de la catégorie dans l'API : XSS

Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XSS angular callback

Nom de la catégorie dans l'API : XSS_ANGULAR_CALLBACK

Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XSS error

Nom de la catégorie dans l'API : XSS_ERROR

Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XXE reflected file leakage

Nom de la catégorie dans l'API : XXE_REFLECTED_FILE_LEAKAGE

Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.

Niveau de tarification: Premium

Corriger ce résultat

A4 A05

Prototype pollution

Nom de la catégorie dans l'API : PROTOTYPE_POLLUTION

L'application est vulnérable à la pollution des prototypes. Cette faille survient lorsque des valeurs qu'un pirate informatique peut contrôler peuvent être attribuées aux propriétés de l'objet Object.prototype. Il est universellement admis que des valeurs introduites dans ces prototypes peuvent se traduire en scripts intersites ou en failles similaires côté client, ainsi qu'en bugs logiques.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A1 A03

Services de détection des menaces

Les services de détection des menaces incluent des services intégrés et intégrés qui détectent les événements potentiellement dangereux, tels que les ressources compromises ou les cyberattaques.

Détection d'anomalies

La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Il affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels. La détection d'anomalies est automatiquement activée lorsque vous activez le niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans la console Google Cloud.

Voici quelques exemples de résultats de détection d'anomalies:

Nom de l'anomalie Catégorie de résultats Description
Account has leaked credentials account_has_leaked_credentials

Identifiants d'un compte de service Google Cloud accidentellement divulgués en ligne ou compromis.

Gravité:critique

Des identifiants du compte ont été divulgués

GitHub a informé Security Command Center que les identifiants utilisés pour un commit semblent être ceux d'un compte de service Google Cloud Identity and Access Management.

La notification inclut le nom du compte de service et l'identifiant de la clé privée. Google Cloud envoie également une notification par e-mail à votre contact désigné pour la sécurité et la confidentialité.

Pour résoudre ce problème, effectuez une ou plusieurs des actions suivantes:

  • Identifiez l'utilisateur légitime de la clé.
  • Faites pivoter la clé.
  • Retirez la clé.
  • Examinez toutes les actions effectuées par la clé après sa fuite pour vous assurer qu'aucune d'elles n'était malveillante.

JSON: détection de fuite d'identifiants de compte

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et effectue un traitement du langage naturel sur le code pour détecter les événements suivants:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Apprenez-en davantage sur Container Threat Detection.

Event Threat Detection

Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging pour les projets et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous activez le niveau Premium de Security Command Center, et les résultats sont disponibles dans la console Google Cloud.

Le tableau suivant présente des exemples de résultats d'Event Threat Detection.

Tableau C. Types de résultats d'Event Threat Detection
Destruction des données

Event Threat Detection détecte la destruction de données en examinant les journaux d'audit du serveur de gestion des services de sauvegarde et de DR pour les scénarios suivants:

  • Suppression d'une image de sauvegarde
  • Suppression de toutes les images de sauvegarde associées à une application
  • Suppression d'un appareil de sauvegarde/restauration
Exfiltration de données

Event Threat Detection détecte l'exfiltration de données de BigQuery et de Cloud SQL en recherchant dans les journaux d'audit les scénarios suivants :

  • Une ressource BigQuery est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
  • Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
  • Une ressource Cloud SQL est entièrement ou partiellement exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket appartenant à votre organisation et accessible au public.
  • Une sauvegarde Cloud SQL est restaurée sur une instance Cloud SQL en dehors de votre organisation.
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket de votre organisation accessible à tous.Bêta
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un dossier Google Drive.
  • Une ressource BigQuery est enregistrée dans une ressource publique appartenant à votre organisation.
Activité suspecte dans Cloud SQL

Event Threat Detection examine les journaux d'audit pour détecter les événements suivants qui peuvent indiquer la compromission d'un compte utilisateur valide sur les instances Cloud SQL:

  • Un utilisateur de base de données dispose de tous les privilèges sur une base de données Cloud SQL pour PostgreSQL, ou sur toutes les tables, procédures ou fonctions d'un schéma.
  • Un super-utilisateur de compte de base de données par défaut Cloud SQL ("postgres" sur les instances PostgreSQL ou "root" sur les instances MySQL) est utilisé pour écrire dans des tables non système.
Activité suspecte AlloyDB pour PostgreSQL

Event Threat Detection examine les journaux d'audit pour détecter les événements suivants qui peuvent indiquer la compromission d'un compte utilisateur valide sur les instances AlloyDB pour PostgreSQL:

  • Un utilisateur de base de données dispose de tous les privilèges sur une base de données AlloyDB pour PostgreSQL, ou sur toutes les tables, procédures ou fonctions d'un schéma.
  • Un super-utilisateur de compte de base de données par défaut AlloyDB pour PostgreSQL ("postgres") est utilisé pour écrire dans les tables non système.
Attaques par force brute SSH Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite.
Minage de cryptomonnaie Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects ou des adresses IP de pools de minage.
Abus IAM

Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :

  • Ajouter un utilisateur gmail.com à une stratégie dotée du rôle d'éditeur de projet
  • Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de Google Cloud Console.
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé disposant d'autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation
Inhibit System Recovery

Event Threat Detection détecte les modifications anormales apportées à Backup and DR qui peuvent avoir un impact sur la posture de sauvegarde, y compris les modifications majeures des règles et la suppression de composants de sauvegarde et de reprise après sinistre critiques.

Log4j Event Threat Detection détecte les tentatives possibles d'exploitation de Log4j et des failles actives Log4j.
Logiciels malveillants Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus.
DoS sortant Event Threat Detection examine les journaux de flux VPC pour détecter le trafic de déni de service sortant.
Accès anormal Event Threat Detection détecte les accès anormaux en consultant les journaux Cloud Audit pour examiner les modifications apportées aux services Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Comportement IAM anormal Event Threat Detection détecte un comportement IAM anormal en examinant Cloud Audit Logs pour détecter les scénarios suivants :
  • Comptes utilisateur et de service IAM qui accèdent à Google Cloud à partir d'adresses IP anormales.
  • Comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux.
  • Comptes principaux et ressources usurpant l'identité de comptes de service IAM pour accéder à Google Cloud
Auto-enquête sur les comptes de service Event Threat Detection détecte quand un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service.
Ajout d'une clé SSH par l'administrateur Compute Engine Event Threat Detection détecte une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Ajout d'un script de démarrage par l'administrateur Compute Engine Event Threat Detection détecte une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Activité suspecte sur votre compte Event Threat Detection détecte les menaces potentielles affectant les comptes Google Workspace en examinant les journaux d'audit pour détecter les activités anormales, y compris les fuites de mots de passe et les tentatives de connexion suspectes.
Attaque de personnes malveillantes soutenues par un gouvernement Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment des personnes malveillantes soutenues par un gouvernement ont tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Modifications de l'authentification unique (SSO) Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si l'authentification unique est désactivée ou si les paramètres sont modifiés pour les comptes d'administrateurs Google Workspace.
Validation en deux étapes Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment la validation en deux étapes est désactivée sur les comptes d'utilisateurs et d'administrateurs.
Comportement anormal de l'API Event Threat Detection détecte le comportement anormal des API en examinant les journaux d'audit Cloud pour rechercher des requêtes de services Google Cloud qu'un compte principal n'a pas encore vus.
Défense de l'évasion

Event Threat Detection détecte l'évasion de la défense en examinant Cloud Audit Logs pour les scénarios suivants:

  • Modifications apportées aux périmètres VPC Service Controls existants qui entraîneraient une réduction de la protection proposée.
  • Déploiements ou mises à jour de charges de travail qui utilisent l'indicateur "break-glass" pour ignorer les contrôles de l'autorisation binaire.Aperçu
Discovery

Event Threat Detection détecte les opérations de découverte en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande kubectl.
  • Des identifiants de compte de service sont utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Accès initial Event Threat Detection détecte les opérations d'accès initial en examinant les journaux d'audit pour les scénarios suivants :
  • Un compte de service géré par l'utilisateur inactif a déclenché une action.Aperçu
  • Un principal a tenté d'appeler diverses méthodes Google Cloud, mais a échoué à plusieurs reprises en raison d'erreurs de refus d'autorisation.Aperçu
Élévation des privilèges

Event Threat Detection détecte l'élévation des privilèges dans GKE en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
  • Une personne potentiellement malveillante a créé une requête de signature de certificat (CSR) de plan de contrôle Kubernetes, ce qui lui permet de disposer de l'accès cluster-admin.
  • Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
  • Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
  • Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.
Détections Cloud IDS Cloud IDS détecte les attaques de couche 7 en analysant les paquets miroirs et, lorsqu'il détecte un événement suspect, déclenche une analyse Event Threat Detection. Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur la journalisation Cloud IDS. Aperçu
Mouvement latéral Event Threat Detection détecte les attaques potentielles sur le disque de démarrage modifié en examinant Cloud Audit Logs pour détecter les déconnexions et les réassociations fréquentes du disque de démarrage sur les instances Compute Engine.

Apprenez-en davantage sur Event Threat Detection.

Google Cloud Armor

Google Cloud Armor permet de protéger votre application en fournissant un filtrage de couche 7. Google Cloud Armor nettoie les requêtes entrantes des attaques Web courantes ou d'autres attributs de couche 7, afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets de backend.

Google Cloud Armor exporte deux résultats dans Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection est un service intégré de Security Command Center disponible dans les niveaux Enterprise et Premium. Ce service analyse les instances Compute Engine pour détecter les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode kernel et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.

Résultats de VM Threat Detection sur les menaces

VM Threat Detection peut générer les résultats de menace suivants.

Résultats des menaces de minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes à l'aide de la correspondance de hachage ou des règles YARA.

Résultats de menaces de minage de cryptomonnaie de VM Threat Detection
Catégorie Module Description
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Identifie une menace détectée à la fois par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA. Pour en savoir plus, consultez la section Détections combinées.

Résultats de la détection des menaces de rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau au moment de l'exécution pour détecter les techniques d'évasion courantes utilisées par les logiciels malveillants.

Le module KERNEL_MEMORY_TAMPERING détecte les menaces en effectuant une comparaison de hachage sur le code du noyau et la mémoire de données en lecture seule du noyau d'une machine virtuelle.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l'intégrité des structures de données du noyau importantes.

Résultats de VM Threat Detection concernant les menaces de rootkit en mode kernel
Catégorie Module Description
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Une combinaison de signaux correspondant à un rootkit en mode kernel connu est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés.
Altération de la mémoire du noyau
Defense Evasion: Unexpected kernel code modificationAperçu KERNEL_MEMORY_TAMPERING Des modifications inattendues de la mémoire de code du kernel sont présentes.
Defense Evasion: Unexpected kernel read-only data modificationAperçu KERNEL_MEMORY_TAMPERING Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Atteinte à l'intégrité du noyau
Defense Evasion: Unexpected ftrace handlerAperçu KERNEL_INTEGRITY_TAMPERING Des points ftrace sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code de kernel ou de module attendue.
Defense Evasion: Unexpected interrupt handlerAperçu KERNEL_INTEGRITY_TAMPERING Des gestionnaires d'interruption qui ne se trouvent pas dans les régions de code de kernel ou de module attendues sont présents.
Defense Evasion: Unexpected kernel modulesAperçu KERNEL_INTEGRITY_TAMPERING Des pages de code kernel qui ne se trouvent pas dans les régions de code kernel ou de module attendues sont présentes.
Defense Evasion: Unexpected kprobe handlerAperçu KERNEL_INTEGRITY_TAMPERING Des points kprobe sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code de kernel ou de module attendue.
Defense Evasion: Unexpected processes in runqueueAperçu KERNEL_INTEGRITY_TAMPERING Des processus inattendus sont présents dans la file d'attente d'exécution de l'ordonnanceur. Ces processus se trouvent dans la file d'exécution, mais pas dans la liste des tâches de traitement.
Defense Evasion: Unexpected system call handlerAperçu KERNEL_INTEGRITY_TAMPERING Des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code de kernel ou de module attendues sont présents.

Erreurs

Les détecteurs d'erreurs peuvent vous aider à détecter des erreurs dans votre configuration qui empêchent les sources de sécurité de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center et ont la classe de résultat SCC errors.

Actions accidentelles

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.

Actions involontaires
Nom de la catégorie Nom de l'API Résumé Gravité
API disabled API_DISABLED

Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 60 heures

Corriger ce résultat

Critique
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Description du résultat:des configurations de valeurs de ressources sont définies pour les simulations de chemins d'attaque, mais elles ne correspondent à aucune instance de ressource de votre environnement. Les simulations utilisent plutôt l'ensemble de ressources à forte valeur par défaut.

Cette erreur peut être due à l'une des raisons suivantes:

  • Aucune des configurations des valeurs de ressources ne correspond à une instance de ressource.
  • Une ou plusieurs configurations de valeurs de ressources spécifiant NONE remplacent toutes les autres configurations valides.
  • Toutes les configurations de valeurs de ressources définies spécifient une valeur de NONE.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot: avant chaque simulation de chemin d'attaque.

Corriger ce résultat

Critique
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Description du résultat:lors de la dernière simulation de chemin d'attaque, le nombre d'instances de ressources à forte valeur, identifié par les configurations de valeurs de ressources, a dépassé la limite de 1 000 instances de ressources dans un ensemble de ressources à forte valeur. Par conséquent, Security Command Center a exclu le nombre excédentaire d'instances de l'ensemble de ressources à forte valeur.

Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont indiqués dans la recherche SCC Error de la console Google Cloud.

Les scores d'exposition aux attaques pour les résultats qui affectent les instances de ressources exclues ne reflètent pas la désignation de ressources de grande valeur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot: avant chaque simulation de chemin d'attaque.

Corriger ce résultat

Élevée
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Description du résultat:Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) à partir de gcr.io, l'hôte d'image Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection.

La tentative de déploiement du DaemonSet Container Threat Detection a généré l'erreur suivante:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Description du résultat:Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet DaemonSet Kubernetes requis par Container Threat Detection.

Dans la console Google Cloud, les détails de la recherche incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevée
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les semaines

Corriger ce résultat

High
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevé
VPC Service Controls Restriction VPC_SC_RESTRICTION

Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 6 heures

Corriger ce résultat

Élevé
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit.

Niveau de tarification : Premium ou Standard

Composants compatibles

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique

Pour en savoir plus, consultez la page Erreurs Security Command Center.

Étape suivante