Sources de sécurité

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page contient une liste des sources de sécurité Google Cloud disponibles dans Security Command Center. Lorsque vous activez une source de sécurité, celle-ci fournit des données sur les failles et les menaces dans le tableau de bord Security Command Center.

Security Command Center vous permet de filtrer et d'afficher les résultats concernant les failles et les menaces de différentes manières, en filtrant par exemple suivant un type de résultat, un type de ressource ou un élément spécifique. Chaque source de sécurité peut fournir davantage de filtres pour vous aider à organiser les résultats de votre organisation.

Les rôles Security Command Center sont attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Failles

Les détecteurs de failles peuvent vous aider à identifier les vulnérabilités potentielles de vos ressources Google Cloud.

Détection rapide des failles

La détection rapide des failles exécute des analyses gérées qui détectent les failles connues, qui permettent un accès arbitraire aux données et l'exécution de code à distance, y compris des identifiants faibles, des installations logicielles incomplètes et des interfaces utilisateur d'administrateur exposées.

Pour obtenir la liste complète des failles détectées par la détection rapide de failles, consultez la page Résultats de la détection rapide des failles et solutions.

Types de failles de Security Health Analytics

L'analyse d'évaluation des failles gérée par Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les éléments suivants :

  • Cloud Monitoring et Cloud Logging
  • Compute Engine
  • Conteneurs et réseaux Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Gestion de l'authentification et des accès (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics est automatiquement activé lorsque vous sélectionnez le niveau Standard ou Premium de Security Command Center. Les détecteurs Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) à l'aide des trois modes d'analyse suivants pour la détection des failles :

  • Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations enregistrées, deux fois ou plus par jour. Les détecteurs s'exécutent selon un calendrier différent afin d'atteindre des objectifs de niveau de service (SLO) spécifiques. Pour respecter les SLO de 12 et 24 heures, les détecteurs exécutent des analyses par lot toutes les six heures ou toutes les douze heures, respectivement. Les modifications de ressources et de règles effectuées entre deux analyses par lot ne sont pas immédiatement capturées et sont appliquées à la prochaine analyse par lot. Remarque : les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.

  • Analyse en temps réel : Les détecteurs compatibles lancent des analyses chaque fois que l'outil CAI signale une modification dans la configuration d'un élément. Les résultats sont immédiatement écrits dans Security Command Center.

  • Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel dans tous les éléments compatibles. Dans ce cas, les modifications de configuration de certains éléments sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot.

Pour afficher la liste complète des résultats et des détecteurs de Security Health Analytics, consultez la page Résultats de Security Health Analytics ou développez la section suivante.

Web Security Scanner

Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.

Analyses gérées

Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.

Les analyses gérées s'exécutent indépendamment des analyses personnalisées que vous définissez au niveau du projet. Vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.

Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles dans l'onglet des failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la page Configurer Security Command Center.

Analyses personnalisées

Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes. Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez suivi le guide de configuration des analyses personnalisées de Web Security Scanner.

Détecteurs et conformité

Web Security Scanner accepte les catégories du Top 10 de l'OWASP, un document qui classe les 10 risques de sécurité les plus critiques pour les applications Web identifiés par le projet OWASP (Open Web Application Security Project) et fournit des conseils de résolution pour chacun. Pour obtenir des conseils visant à réduire les risques identifiés par l'OWASP, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Le mappage de conformité est inclus pour référence et n'est pas fourni ni examiné par la Fondation OWASP.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Catégorie Description du résultat OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

Nom de la catégorie dans l'API : ACCESSIBLE_GIT_REPOSITORY

Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.

Niveau de tarification : Standard

Corriger ce résultat

A5 A01
Accessible SVN repository

Nom de la catégorie dans l'API : ACCESSIBLE_SVN_REPOSITORY

Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.

Niveau de tarification : Standard

Corriger ce résultat

A5 A01
Cacheable password input

Nom de la catégorie dans l'API : CACHEABLE_PASSWORD_INPUT

Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé.

Niveau de tarification : Premium

Corriger ce résultat

A3 A04
Clear text password

Nom de la catégorie dans l'API : CLEAR_TEXT_PASSWORD

Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.

Niveau de tarification : Standard

Corriger ce résultat

A3 A02
Insecure allow origin ends with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith(".google.com").

Niveau de tarification : Premium

Corriger ce résultat

A5 A01
Insecure allow origin starts with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals(".google.com")).

Niveau de tarification : Premium

Corriger ce résultat

A5 A01
Invalid content type

Nom de la catégorie dans l'API : INVALID_CONTENT_TYPE

Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour corriger ce résultat, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Invalid header

Nom de la catégorie dans l'API : INVALID_HEADER

Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Mismatching security header values

Nom de la catégorie dans l'API : MISMATCHING_SECURITY_HEADER_VALUES

Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Misspelled security header name

Nom de la catégorie dans l'API : MISSPELLED_SECURITY_HEADER_NAME

Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Mixed content

Nom de la catégorie dans l'API : MIXED_CONTENT

Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Outdated library

Nom de la catégorie dans l'API : OUTDATED_LIBRARY

Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.

Niveau de tarification : Standard

Corriger ce résultat

A9 A06
Server side request forgery

Nom de la catégorie dans l'API : SERVER_SIDE_REQUEST_FORGERY

Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.

Niveau de tarification : Standard

Corriger ce résultat

Non applicable A10
Session ID leak

Nom de la catégorie dans l'API : SESSION_ID_LEAK

Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Referer. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique.

Niveau de tarification : Premium

Corriger ce résultat

A2 A07
SQL injection

Nom de la catégorie dans l'API : SQL_INJECTION

Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL.

Niveau de tarification : Premium

Corriger ce résultat

A1 A03
Struts insecure deserialization

Nom de la catégorie dans l'API : STRUTS_INSECURE_DESERIALIZATION

L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.

Niveau de tarification : Premium

Corriger ce résultat

A8 A08
XSS

Nom de la catégorie dans l'API : XSS

Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XSS angular callback

Nom de la catégorie dans l'API : XSS_ANGULAR_CALLBACK

Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XSS error

Nom de la catégorie dans l'API : XSS_ERROR

Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XXE reflected file leakage

Nom de la catégorie dans l'API : XXE_REFLECTED_FILE_LEAKAGE

Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.

Niveau de tarification : Premium

Corriger ce résultat

A4 A05

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Si vous activez VM Manager et que vous êtes abonné au niveau Premium de Security Command Center, VM Manager écrit automatiquement les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation (OS) installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.

Pour corriger les résultats de VM Manager, consultez la section Corriger les résultats de VM Manager.

Pour empêcher l'écriture des rapports de failles dans Security Command Center, consultez la section Désactiver les rapports de failles de VM Manager.

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Tableau 23. Rapports de failles de VM Manager
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
OS vulnerability

Nom de la catégorie dans l'API : OS_VULNERABILITY

Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.

  • Éléments exclus des analyses : SUSE Linux Enterprise Server (SLES), systèmes d'exploitation Windows

Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

  • Pour la plupart des failles du package d'OS installé, l'API OS Config génère un rapport de failles quelques minutes après la modification.
  • En cas de failles CVE, l'API OS Config génère le rapport de failles dans un délai de trois à quatre heures après la publication des failles CVE sur le système d'exploitation.

Menaces

Les détecteurs de menaces peuvent vous aider à détecter des événements potentiellement dangereux.

Détection d'anomalies

La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels et le minage de monnaie. La détection d'anomalies est automatiquement activée lorsque vous vous abonnez au niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.

Voici quelques exemples de résultats de détection d'anomalies :

Tableau B. Catégories de résultats de détection d'anomalies
Potentiel de compromis Description
account_has_leaked_credentials Les identifiants d'un compte de service Google Cloud sont accidentellement divulgués en ligne ou compromis.
Scénarios d'utilisation abusive Description
resource_involved_in_coin_mining Les signaux de comportement autour d'une VM de votre organisation indiquent qu'une ressource a peut-être été piratée et pourrait être utilisée pour le minage de cryptomonnaies.

Container Threat Detection

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et effectue un traitement du langage naturel sur les scripts pour détecter les événements suivants:

  • Fichier binaire ajouté exécuté
  • Ajout de bibliothèque chargée
  • Script malveillant exécuté
  • Interface système inversée

Apprenez-en davantage sur Container Threat Detection.

Cloud Data Loss Prevention

Cloud DLP Data Discovery vous permet d'afficher les résultats des analyses Cloud de protection contre la perte de données (Cloud DLP) directement dans le tableau de bord de Security Command Center et dans l'inventaire des résultats. Cloud DLP peut vous aider à mieux comprendre et gérer les données sensibles et les informations personnelles, telles que les suivantes :

  • Numéros de cartes de crédit
  • Noms
  • Numéros de sécurité sociale
  • Numéros d'identification américains et internationaux sélectionnés
  • Numéros de téléphone
  • Identifiants Google Cloud

Chaque résultat de la découverte de données Cloud DLP n'inclut que le type de catégorie des informations personnelles et la ressource dans laquelle il a été trouvé. Il n'inclut aucune des données sous-jacentes spécifiques.

Une fois que vous avez suivi les étapes de configuration décrites dans le guide pour envoyer les résultats de l'API DLP à Security Command Center, les résultats de l'analyse Cloud DLP s'affichent dans Security Command Center.

Pour en savoir plus, consultez les pages suivantes :

Event Threat Detection

Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging de votre organisation pour un ou plusieurs projets, et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous vous abonnez au niveau Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.

Voici quelques exemples de résultats de Event Threat Detection :

Tableau C. Types de résultats d'Event Threat Detection
Exfiltration de données

Event Threat Detection détecte l'exfiltration de données de BigQuery et de Cloud SQL en recherchant dans les journaux d'audit les scénarios suivants :

  • Une ressource BigQuery est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
  • Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
  • Une ressource Cloud SQL est entièrement ou partiellement exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket appartenant à votre organisation et accessible au public.
  • Une sauvegarde Cloud SQL est restaurée sur une instance Cloud SQL en dehors de votre organisation.
  • Un utilisateur Cloud SQL dispose de tous les privilèges sur une base de données Cloud SQL Postgres, sur toutes les tables, procédures ou fonctions d'un schéma.
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket de votre organisation accessible à tous.Bêta
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un dossier Google Drive.
Attaques par force brute SSH Event Threat Detection détecte la force brute de l'authentification SSH par mot de passe en examinant les journaux syslog pour les échecs répétés suivis d'un succès.
Minage de cryptomonnaie Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects ou des adresses IP de pools de minage.
Abus IAM

Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :

  • Ajout d'un utilisateur gmail.com à une stratégie avec le rôle d'éditeur de projet
  • Inviter un utilisateur gmail.com en tant que propriétaire du projet depuis Google Cloud Console
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé disposant d'autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation
Log4j Event Threat Detection détecte les tentatives possibles d'exploitation de Log4j et des failles actives Log4j.
Logiciels malveillants Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS à la recherche de connexions à des domaines et adresses IP de commande et de contrôle connus.
DoS sortant Event Threat Detection examine les journaux de flux VPC pour détecter le trafic déni de service sortant.
Accès anormal Event Threat Detection détecte les accès anormaux en consultant les journaux Cloud Audit pour examiner les modifications apportées aux services Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Comportement IAM anormal Event Threat Detection détecte un comportement IAM anormal en examinant les journaux d'audit Cloud pour détecter les accès provenant d'adresses IP et de user-agents anormaux.
Auto-enquête sur les comptes de service Event Threat Detection détecte quand un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service.
Ajout de clé SSH par l'administrateur Compute Engine
Event Threat Detection détecte une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Ajout de script de démarrage par l'administrateur Compute Engine
Event Threat Detection détecte une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Activité suspecte sur votre compte Event Threat Detection détecte les menaces potentielles affectant les comptes Google Workspace en examinant les journaux d'audit pour détecter les activités anormales, y compris les fuites de mots de passe et les tentatives de connexion suspectes.
Attaque de personnes malveillantes soutenues par un gouvernement Event Threat Detection examine les journaux d'audit de Google Workspace pour détecter le moment où des pirates soutenus par un gouvernement ont tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Modifications de l'authentification unique (SSO) Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si l'authentification unique est désactivée ou si les paramètres sont modifiés pour les comptes d'administrateurs Google Workspace.
Validation en deux étapes Event Threat Detection examine les journaux d'audit de Google Workspace pour détecter quand la validation en deux étapes est désactivée pour les comptes utilisateur et administrateur.
Comportement anormal d'une APIPreview Event Threat Detection détecte le comportement anormal des API en examinant les journaux d'audit Cloud pour rechercher des requêtes de services Google Cloud qu'un compte principal n'a pas encore vus.
Défense de l'évasion Event Threat Detection détecte les modifications apportées aux périmètres VPC Service Controls existants qui entraîneraient une réduction de la protection proposée.
Discovery

Event Threat Detection détecte les opérations de découverte en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Un individu malveillant a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande kubectl.Preview
  • Des identifiants de compte de service sont utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Élévation des privilègesPreview

Event Threat Detection détecte l'élévation des privilèges dans GKE en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Un individu malveillant a tenté de modifier des objets RBAC sensibles afin d'élever des privilèges.
  • Un individu malveillant a créé un certificat principal Kubernetes, qui lui permet de disposer de l'accès cluster-admin.
  • Un individu malveillant a tenté de créer de nouveaux objets cluster-admin RoleBinding ou ClusterRoleBinding pour élever ses privilèges.
  • Un individu malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
  • Un individu malveillant a créé des pods contenant des conteneurs privilégiés ou des conteneurs dotés de fonctionnalités d'élévation des privilèges.

Apprenez-en davantage sur Event Threat Detection.

Forseti Security

Forseti Security vous offre des outils pour comprendre toutes les ressources à votre disposition dans Google Cloud. Les modules Forseti principaux fonctionnent conjointement pour vous fournir des informations complètes afin que vous puissiez sécuriser les ressources et minimiser les risques de sécurité.

Pour afficher les notifications de violation de Forseti dans Security Command Center, suivez le guide de notification de Security Command Center pour Forseti.

Pour en savoir plus, consultez les pages suivantes :

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un service intégré de Security Command Center Premium, permet de détecter les menaces via une instrumentation au niveau de l'hyperviseur. VM Threat Detection détecte les logiciels de minage de cryptomonnaie, qui font partie des types de logiciels les plus courants dans les environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

VM Threat Detection comporte les détections de minage de cryptomonnaie suivantes :

Résultats de menaces de détection de menaces de VM
Category Technique de détection Description
Execution: Cryptocurrency Mining Hash Match Correspondance de hachage Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
Execution: Cryptocurrency Mining YARA Rule Règles YARA Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
Execution: Cryptocurrency Mining Combined Detection Correspondance de hachages/Règles YARA Combine plusieurs catégories de résultats détectés au cours d'une période de 24 heures. Les menaces sont regroupées en un seul résultat. Pour en savoir plus, consultez la section Détections combinées.

VM Threat Detection génère également le résultat d'observation suivant :

Résultat d'observation de VM Threat Detection
Nom de la catégorie Nom de l'API Résumé Gravité
VMTD disabled VMTD_DISABLED

VM Threat Detection est désactivé pour votre organisation. Tant que vous n'avez pas activé ce service, il ne peut pas analyser vos projets Compute Engine et vos instances de VM pour rechercher des applications indésirables.

Ce résultat est défini sur INACTIVE après 30 jours. Après cela, ce résultat n'est plus généré.

Importante

Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.

Erreurs

Les détecteurs d'erreurs peuvent vous aider à détecter des erreurs dans votre configuration qui empêchent les sources de sécurité de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center et ont la classe de résultat SCC errors.

Actions accidentelles

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.