Halaman ini berisi daftar layanan deteksi, yang terkadang juga disebut sebagai sumber keamanan, yang digunakan Security Command Center untuk mendeteksi masalah keamanan di lingkungan cloud Anda.
Saat mendeteksi masalah, layanan ini akan menghasilkan temuan, yaitu data yang mengidentifikasi masalah keamanan dan memberi Anda informasi yang diperlukan untuk memprioritaskan dan menyelesaikan masalah.
Anda dapat melihat temuan di konsol Google Cloud dan memfilternya dengan berbagai cara, seperti dengan menemukan jenis, jenis resource, atau untuk aset tertentu. Setiap sumber keamanan mungkin menyediakan lebih banyak filter untuk membantu Anda mengatur temuan.
Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang Anda terima. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.
Layanan deteksi kerentanan
Layanan deteksi kerentanan mencakup layanan bawaan dan terintegrasi yang mendeteksi kerentanan software, kesalahan konfigurasi, dan pelanggaran postur di lingkungan cloud Anda. Secara kolektif, jenis masalah keamanan ini disebut sebagai kerentanan.
Dasbor postur keamanan GKE
Dasbor postur keamanan GKE adalah halaman di konsol Google Cloud yang memberikan temuan opini yang dapat ditindaklanjuti tentang potensi masalah keamanan di cluster GKE Anda.
Jika Anda mengaktifkan salah satu fitur dasbor postur keamanan GKE berikut, Anda akan melihat temuan di paket Security Command Center Standar atau paket Premium:
Fitur dasbor postur keamanan GKE | Class temuan Security Command Center |
---|---|
Audit konfigurasi workload | MISCONFIGURATION |
VULNERABILITY |
Temuan ini menampilkan informasi tentang masalah keamanan dan memberikan rekomendasi untuk menyelesaikan masalah di workload atau cluster Anda.
Melihat temuan dasbor postur keamanan GKE di konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih GKE Security Posture. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Postur Keamanan GKE. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Pemberi rekomendasi IAM
Pemberi rekomendasi IAM mengeluarkan rekomendasi yang dapat Anda ikuti untuk meningkatkan keamanan dengan menghapus atau mengganti peran IAM dari akun utama jika peran tersebut berisi izin IAM yang tidak diperlukan akun utama.
Rekomendasi IAM otomatis diaktifkan saat Anda mengaktifkan Security Command Center.
Mengaktifkan atau menonaktifkan temuan perekomendasikan IAM
Untuk mengaktifkan atau menonaktifkan temuan perekomendasikan IAM di Security Command Center, ikuti langkah-langkah berikut:
Buka tab Layanan terintegrasi di halaman Setelan Security Command Center di konsol Google Cloud:
Jika perlu, scroll ke bawah ke entri IAM recommender.
Di sebelah kanan entri, pilih Enable atau Disable.
Temuan dari pemberi rekomendasi IAM diklasifikasikan sebagai kerentanan.
Untuk memperbaiki temuan pemberi rekomendasi IAM, luaskan bagian berikut untuk melihat tabel temuan pemberi rekomendasi IAM. Langkah-langkah perbaikan untuk setiap temuan disertakan dalam entri tabel.
Melihat temuan pemberi rekomendasi IAM di konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih IAM Recommender. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Pemberi Rekomendasi IAM. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Di konsol Google Cloud, Anda juga dapat melihat temuan rekomendasi IAM di halaman Vulnerabilities dengan memilih preset kueri IAM recommender.
Mandiant Attack Surface Management
Mandiant adalah pemimpin dunia dalam kecerdasan ancaman frontline. Mandiant Attack Surface Management mengidentifikasi kerentanan dan kesalahan konfigurasi di permukaan serangan eksternal Anda untuk membantu Anda tetap mendapatkan informasi terbaru tentang serangan cyber terbaru.
Mandiant Attack Surface Management diaktifkan secara otomatis saat Anda mengaktifkan tingkat Security Command Center Enterprise dan temuan tersedia di konsol Google Cloud.
Untuk mengetahui perbedaan produk Mandiant Attack Surface Management mandiri dengan integrasi Mandiant Attack Surface Management dalam Security Command Center, lihat ASM dan Security Command Center di portal dokumentasi Mandiant. Link ini memerlukan autentikasi Mandiant.
Meninjau temuan Mandiant Attack Surface Management di konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Pengontrol Kebijakan
Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan armada Anda.
Jika Anda menginstal Pengontrol Kebijakan,
dan mengaktifkan paket Pengontrol Kebijakan CIS Kubernetes Benchmark v1.5.1 atau PCI-DSS v3.2.1, atau keduanya, Pengontrol Kebijakan akan otomatis menulis
pelanggaran cluster ke Security Command Center sebagai temuan
class Misconfiguration
. Deskripsi temuan dan langkah berikutnya dalam temuan Security Command Center
sama dengan deskripsi batasan dan langkah perbaikan
dari paket Pengontrol Kebijakan yang sesuai.
Temuan Pengontrol Kebijakan berasal dari paket Pengontrol Kebijakan berikut:
- CIS Kubernetes Benchmark v.1.5.1,
serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan
yang kuat. Anda juga dapat melihat informasi tentang paket ini di
repositori GitHub untuk
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
paket yang mengevaluasi kepatuhan resource cluster Anda terhadap
beberapa aspek Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1.
Anda juga dapat melihat informasi tentang paket ini di
repositori GitHub untuk
pci-dss-v3
.
Untuk menemukan dan memperbaiki temuan Pengontrol Kebijakan, lihat Memperbaiki temuan Pengontrol Kebijakan.
Mesin Risiko
Mesin Risiko Security Command Center menilai eksposur risiko deployment cloud Anda, menetapkan skor eksposur serangan ke temuan kerentanan dan resource bernilai tinggi Anda, serta membuat diagram jalur yang dapat diambil oleh penyerang potensial untuk menjangkau resource bernilai tinggi Anda.
Di tingkat Enterprise Security Command Center, Mesin Risiko mendeteksi grup masalah keamanan yang, jika terjadi bersama-sama dalam pola tertentu, akan membuat jalur ke satu atau beberapa resource bernilai tinggi Anda yang berpotensi digunakan oleh penyerang yang bertekad untuk menjangkau dan membahayakan resource tersebut.
Saat mendeteksi salah satu kombinasi ini, Mesin Risiko akan mengeluarkan temuan class TOXIC_COMBINATION
.
Dalam temuan, Mesin Risiko tercantum sebagai sumber
temuan.
Untuk informasi selengkapnya, lihat Ringkasan kombinasi beracun.
Security Health Analytics
Security Health Analytics adalah layanan deteksi bawaan Security Command Center yang menyediakan pemindaian terkelola resource cloud Anda untuk mendeteksi kesalahan konfigurasi umum.
Saat kesalahan konfigurasi terdeteksi, Security Health Analytics akan mengeluarkan temuan. Sebagian besar temuan Security Health Analytics dipetakan ke kontrol standar keamanan sehingga Anda dapat menilai kepatuhan.
Security Health Analytics memindai resource Anda di Google Cloud. Jika Anda menggunakan tingkat Enterprise dan membuat koneksi ke platform cloud lainnya, Security Health Analytics juga dapat memindai resource Anda di platform cloud tersebut.
Bergantung pada tingkat layanan Security Command Center yang Anda gunakan, pendeteksi yang tersedia akan berbeda:
- Di paket Standar, Security Health Analytics hanya menyertakan grup dasar dari pendeteksi kerentanan tingkat sedang dan tinggi.
- Paket Premium mencakup semua pendeteksi kerentanan untuk Google Cloud.
- Tingkat Enterprise menyertakan detektor tambahan untuk platform cloud lainnya.
Security Health Analytics otomatis diaktifkan saat Anda mengaktifkan Security Command Center.
Untuk informasi selengkapnya, lihat:
- Ringkasan Security Health Analytics
- Cara menggunakan Security Health Analytics
- Memperbaiki temuan Security Health Analytics
- Referensi temuan Security Health Analytics
Layanan postur keamanan
Layanan postur keamanan adalah layanan bawaan untuk paket Security Command Center Premium yang memungkinkan Anda menentukan, menilai, dan memantau status keamanan secara keseluruhan di Google Cloud. Laporan ini memberikan informasi tentang bagaimana lingkungan Anda selaras dengan kebijakan yang Anda tentukan dalam postur keamanan.
Layanan postur keamanan tidak terkait dengan dasbor postur keamanan GKE, yang hanya menampilkan temuan di cluster GKE.
Sensitive Data Protection
Perlindungan Data Sensitif adalah layanan Google Cloud terkelola sepenuhnya yang membantu Anda menemukan, mengklasifikasikan, dan melindungi data sensitif Anda. Anda dapat menggunakan Perlindungan Data Sensitif untuk menentukan apakah Anda menyimpan informasi sensitif atau informasi identitas pribadi (PII), seperti berikut:
- Nama orang
- Nomor kartu kredit
- Nomor ID nasional atau negara bagian
- Nomor ID asuransi kesehatan
- Rahasia
Di Sensitive Data Protection, setiap jenis data sensitif yang Anda telusuri disebut infoType.
Jika mengonfigurasi operasi Sensitive Data Protection untuk mengirim hasil ke Security Command Center, Anda dapat melihat temuan langsung di bagian Security Command Center di konsol Google Cloud, selain di bagian Sensitive Data Protection.
Temuan kerentanan dari layanan penemuan Sensitive Data Protection
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.
Kategori | Ringkasan |
---|---|
Nama kategori di API:
|
Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet. Aset yang didukung:
Penyelesaian: Untuk data Google Cloud, hapus Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Standar kepatuhan: Tidak dipetakan |
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan. Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif. Aset yang didukung: Penyelesaian: Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager. Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi. Standar kepatuhan:
|
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan. Aset yang didukung:
Penyelesaian:
Standar kepatuhan: Tidak dipetakan |
Temuan pengamatan dari Perlindungan Data Sensitif
Bagian ini menjelaskan temuan pengamatan yang dihasilkan oleh Perlindungan Data Sensitif di Security Command Center.
Temuan pengamatan dari layanan penemuan
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah data Anda berisi infoType tertentu dan tempatnya berada di organisasi, folder, dan project Anda. Tindakan ini akan menghasilkan kategori temuan pengamatan berikut di Security Command Center:
Data sensitivity
- Indikasi tingkat sensitivitas data dalam aset data tertentu. Data bersifat sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Data risk
- Risiko yang terkait dengan data dalam statusnya saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Sejak Sensitive Data Protection membuat profil data, mungkin perlu waktu hingga enam jam agar temuan terkait muncul di Security Command Center.
Untuk informasi tentang cara mengirim hasil profil data ke Security Command Center, lihat hal berikut:
- Untuk Security Command Center Enterprise: Aktifkan penemuan data sensitif.
- Untuk Security Command Center Premium atau Standar: Publikasikan profil data ke Security Command Center.
Temuan pengamatan dari layanan pemeriksaan Perlindungan Data Sensitif
Tugas pemeriksaan Perlindungan Data Sensitif mengidentifikasi setiap instance data
infoType tertentu dalam sistem penyimpanan seperti bucket Cloud Storage atau
tabel BigQuery. Misalnya, Anda dapat menjalankan tugas pemeriksaan yang
menelusuri semua string yang cocok dengan detektor infoType CREDIT_CARD_NUMBER
di bucket Cloud Storage.
Untuk setiap detektor infoType yang memiliki satu atau beberapa kecocokan, Perlindungan Data Sensitif
akan menghasilkan temuan Security Command Center yang sesuai. Kategori temuan adalah
nama pendeteksi infoType yang memiliki kecocokan—misalnya, Credit
card number
. Temuan ini mencakup jumlah string yang cocok yang
terdeteksi dalam teks atau gambar di resource.
Untuk alasan keamanan, string sebenarnya yang terdeteksi tidak disertakan dalam
temuan. Misalnya, temuan Credit card number
menunjukkan jumlah
nomor kartu kredit yang ditemukan, tetapi tidak menampilkan nomor kartu kredit yang sebenarnya.
Karena ada lebih dari 150 detektor infoType bawaan di Perlindungan Data Sensitif, semua kemungkinan kategori temuan Security Command Center tidak tercantum di sini. Untuk mengetahui daftar lengkap detektor infoType, lihat Referensi detektor InfoType.
Untuk informasi tentang cara mengirim hasil tugas pemeriksaan ke Security Command Center, lihat Mengirim hasil tugas pemeriksaan Perlindungan Data Sensitif ke Security Command Center.
Meninjau temuan Perlindungan Data Sensitif di konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Sensitive Data Protection. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Perlindungan Data Sensitif. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
VM Manager
VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.
Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.
Jika Anda mengaktifkan VM Manager dengan
paket Security Command Center Premium, VM Manager
akan otomatis menulis temuan high
dan critical
dari laporan kerentanan-nya, yang
berada dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam
sistem operasi (OS) yang diinstal di VM, termasuk
Kerentanan dan Eksposur Umum (CVE).
Laporan kerentanan tidak tersedia untuk Security Command Center Standar.
Temuan menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager, yang masih dalam pratinjau. Fitur ini memungkinkan Anda melakukan pengelolaan patch di tingkat organisasi di seluruh semua project Anda. VM Manager mendukung pengelolaan patch di satu tingkat project.
Untuk memperbaiki temuan VM Manager, lihat Memperbaiki temuan VM Manager.
Untuk menghentikan laporan kerentanan agar tidak ditulis ke Security Command Center, lihat Menonaktifkan temuan VM Manager.
Kerentanan jenis ini semuanya terkait dengan paket sistem operasi yang diinstal di VM Compute Engine yang didukung.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Nama kategori di API: |
Deskripsi temuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang diinstal untuk VM Compute Engine. Paket harga: Premium Aset yang didukung |
Laporan kerentanan VM Manager menjelaskan kerentanan dalam paket sistem operasi terinstal untuk VM Compute Engine, termasuk Common Vulnerabilities and Exposures (CVE). Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi. Temuan akan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:
|
Penilaian Kerentanan untuk AWS
Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan software dalam beban kerja Anda yang berjalan di virtual machine (VM) EC2 di platform cloud AWS.
Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS akan menghasilkan
temuan class Vulnerability
dalam kategori temuan
Software vulnerability
di Security Command Center.
Layanan Penilaian Kerentanan untuk AWS memindai snapshot instance mesin EC2 yang berjalan, sehingga workload produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal di target pemindaian.
Untuk informasi selengkapnya, lihat referensi berikut:
- Ringkasan Vulnerability Assessment untuk AWS
- Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS
Web Security Scanner
Web Security Scanner menyediakan pemindaian kerentanan web terkelola dan kustom untuk aplikasi web publik yang dilayani App Engine, GKE, dan Compute Engine.
Pemindaian terkelola
Pemindaian terkelola Web Security Scanner dikonfigurasi dan dikelola oleh Security Command Center. Pemindaian terkelola otomatis berjalan seminggu sekali untuk mendeteksi dan memindai endpoint web publik. Pemindaian ini tidak menggunakan autentikasi dan mengirim permintaan khusus GET sehingga tidak mengirimkan formulir apa pun di situs aktif.
Pemindaian terkelola berjalan secara terpisah dari pemindaian kustom.
Jika Security Command Center diaktifkan di level organisasi, Anda dapat menggunakan pemindaian terkelola untuk mengelola deteksi kerentanan aplikasi web dasar secara terpusat untuk project di organisasi Anda, tanpa harus melibatkan setiap tim project. Saat temuan ditemukan, Anda dapat bekerja sama dengan tim tersebut untuk menyiapkan pemindaian kustom yang lebih komprehensif.
Saat Anda mengaktifkan Web Security Scanner sebagai layanan, temuan pemindaian terkelola akan tersedia secara otomatis di halaman Kerentanan Security Command Center dan laporan terkait. Untuk informasi tentang cara mengaktifkan pemindaian yang dikelola Web Security Scanner, lihat Mengonfigurasi layanan Security Command Center.
Pemindaian terkelola hanya mendukung aplikasi yang menggunakan port default, yaitu 80 untuk koneksi HTTP dan 443 untuk koneksi HTTPS. Jika aplikasi Anda menggunakan port non-default, lakukan pemindaian kustom.
Pemindaian kustom
Pemindaian kustom Web Security Scanner memberikan informasi terperinci tentang temuan kerentanan aplikasi, seperti library yang sudah usang, pembuatan skrip lintas situs, atau penggunaan konten campuran.
Anda menentukan pemindaian kustom di level project.
Temuan pemindaian kustom tersedia di Security Command Center setelah Anda menyelesaikan panduan untuk menyiapkan pemindaian kustom Web Security Scanner.
Pendeteksi dan kepatuhan
Web Security Scanner mendukung kategori dalam Sepuluh Teratas OWASP, dokumen yang memberi peringkat dan memberikan panduan perbaikan untuk 10 risiko keamanan aplikasi web yang paling penting, seperti yang ditentukan oleh Open Web Application Security Project (OWASP). Untuk panduan tentang cara memitigasi risiko OWASP, lihat 10 opsi mitigasi teratas OWASP di Google Cloud.
Pemetaan kepatuhan disertakan sebagai referensi dan tidak disediakan atau ditinjau oleh OWASP Foundation.
Fungsi ini hanya ditujukan untuk Anda memantau pelanggaran kontrol kepatuhan. Pemetaan tidak disediakan untuk digunakan sebagai dasar, atau sebagai pengganti, audit, sertifikasi, atau laporan kepatuhan produk atau layanan Anda terhadap tolok ukur atau standar peraturan atau industri.
Pemindaian kustom dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Di tingkat Standar, Web Security Scanner mendukung pemindaian kustom aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.
Kategori | Menemukan deskripsi | 10 Teratas OWASP 2017 | OWASP 2021 Top 10 |
---|---|---|---|
Nama kategori di API: |
Repositori Git diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT. Paket harga: Premium atau Standar |
A5 | A01 |
Nama kategori di API: |
Repositori SVN diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN. Paket harga: Premium atau Standar |
A5 | A01 |
Nama kategori di API: |
Sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler, bukan penyimpanan sandi yang aman. Paket harga: Premium |
A3 | A04 |
Nama kategori di API: |
Sandi dikirim dalam bentuk teks biasa dan dapat disadap. Untuk mengatasi penemuan ini, enkripsi sandi yang ditransmisikan melalui jaringan. Paket harga: Premium atau Standar |
A3 | A02 |
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Paket harga: Premium |
A5 | A01 |
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Paket harga: Premium |
A5 | A01 |
Nama kategori di API: |
Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk
mengatasi temuan ini, tetapkan header HTTP Paket harga: Premium atau Standar |
A6 | A05 |
Nama kategori di API: |
Header keamanan memiliki error sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
Nama kategori di API: |
Header keamanan memiliki nilai duplikat yang tidak cocok, yang menghasilkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
Nama kategori di API: |
Header keamanan salah eja dan diabaikan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
Nama kategori di API: |
Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk mengatasi temuan ini, pastikan semua resource ditayangkan melalui HTTPS. Paket harga: Premium atau Standar |
A6 | A05 |
Nama kategori di API: |
Library terdeteksi yang memiliki kerentanan umum. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru. Paket harga: Premium atau Standar |
A9 | A06 |
Nama kategori di API: |
Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat menerima permintaan dari aplikasi web. Paket harga: Premium atau Standar |
Tidak berlaku | A10 |
Nama kategori di API: |
Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan Paket harga: Premium |
A2 | A07 |
Nama kategori di API: |
Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL. Paket harga: Premium |
A1 | A03 |
Nama kategori di API: |
Penggunaan versi Apache Struts yang rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Struts ke versi terbaru. Paket harga: Premium |
A8 | A08 |
Nama kategori di API: |
Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Paket harga: Premium atau Standar |
A7 | A03 |
Nama kategori di API: |
String yang disediakan pengguna tidak di-escape dan AngularJS dapat melakukan interpolasi. Untuk mengatasi penemuan ini, validasi dan hindari data tidak tepercaya dari pengguna yang ditangani oleh framework Angular. Paket harga: Premium atau Standar |
A7 | A03 |
Nama kategori di API: |
Kolom di aplikasi web ini rentan terhadap serangan cross-site scripting. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Paket harga: Premium atau Standar |
A7 | A03 |
Nama kategori di API: |
Terdeteksi adanya kerentanan Entity Eksternal XML (XXE). Kerentanan ini dapat menyebabkan aplikasi web membocorkan file di host. Untuk mengatasi temuan ini, konfigurasikan parser XML Anda agar tidak mengizinkan entity eksternal. Paket harga: Premium |
A4 | A05 |
Nama kategori di API: |
Aplikasi rentan terhadap polusi prototipe. Kerentanan ini muncul saat properti objek Paket harga: Premium atau Standar |
A1 | A03 |
Layanan deteksi ancaman
Layanan deteksi ancaman mencakup layanan bawaan dan terintegrasi yang mendeteksi peristiwa yang mungkin mengindikasikan peristiwa yang berpotensi berbahaya, seperti resource yang disusupi atau serangan cyber.
Anomaly Detection
Anomaly Detection adalah layanan bawaan yang menggunakan sinyal perilaku dari luar sistem Anda. Layanan ini menampilkan informasi terperinci tentang anomali keamanan yang terdeteksi untuk project dan instance virtual machine (VM), seperti kemungkinan kredensial bocor. Anomaly Detection otomatis diaktifkan saat Anda mengaktifkan paket Security Command Center Standard atau Premium, dan temuan tersedia di konsol Google Cloud.
Temuan Deteksi Anomali mencakup hal berikut:
Nama anomali | Menemukan kategori | Deskripsi |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Kredensial untuk akun layanan Google Cloud tidak sengaja bocor secara online atau disusupi. Keparahan: Kritis |
Akun memiliki kebocoran kredensial
GitHub memberi tahu Security Command Center bahwa kredensial yang digunakan untuk commit tampaknya adalah kredensial untuk akun layanan Identity and Access Management Google Cloud.
Notifikasi menyertakan nama akun layanan dan ID kunci pribadi. Google Cloud juga mengirimkan pemberitahuan melalui email kepada kontak yang ditunjuk untuk keamanan dan privasi.
Untuk memperbaiki masalah ini, lakukan satu atau beberapa tindakan berikut:
- Identifikasi pengguna kunci yang sah.
- Putar kunci.
- Hapus kunci.
- Selidiki tindakan apa pun yang dilakukan oleh kunci setelah kunci bocor untuk memastikan tidak ada tindakan yang berbahaya.
JSON: temuan kredensial akun yang bocor
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection dapat mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan secara opsional di Cloud Logging. Container Threat Detection mencakup beberapa kemampuan deteksi, alat analisis, dan API.
Instrumentasi deteksi Container Threat Detection mengumpulkan perilaku tingkat rendah di kernel tamu dan melakukan pemrosesan bahasa alami pada kode untuk mendeteksi peristiwa berikut:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Pelajari Container Threat Detection lebih lanjut.
Event Threat Detection
Event Threat Detection menggunakan data log dari dalam sistem Anda. Fungsi ini memantau streaming Cloud Logging untuk project, dan menggunakan log saat tersedia. Saat ancaman terdeteksi, Event Threat Detection akan menulis temuan ke Security Command Center dan ke project Cloud Logging. Deteksi Ancaman Peristiwa otomatis diaktifkan saat Anda mengaktifkan paket Security Command Center Premium dan temuan tersedia di Konsol Google Cloud.
Tabel berikut mencantumkan contoh temuan Event Threat Detection.
Penghancuran data |
Event Threat Detection mendeteksi pemusnahan data dengan memeriksa log audit dari Server Pengelolaan Layanan Pencadangan dan DR untuk skenario berikut:
|
Eksfiltrasi data |
Event Threat Detection mendeteksi pemindahan tidak sah data dari BigQuery dan Cloud SQL dengan memeriksa log audit untuk skenario berikut:
|
Aktivitas mencurigakan Cloud SQL |
Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin menunjukkan adanya pelanggaran akun pengguna yang valid di instance Cloud SQL:
|
Aktivitas mencurigakan AlloyDB untuk PostgreSQL |
Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin menunjukkan adanya penyusupan akun pengguna yang valid di instance AlloyDB untuk PostgreSQL:
|
SSH Brute Force | Event Threat Detection mendeteksi brute force SSH autentikasi sandi dengan memeriksa log syslog untuk menemukan kegagalan berulang yang diikuti dengan keberhasilan. |
Cryptomining | Event Threat Detection mendeteksi malware penambangan koin dengan memeriksa log alur VPC dan log Cloud DNS untuk menemukan koneksi ke domain atau alamat IP buruk yang diketahui dari kumpulan penambangan. |
Penyalahgunaan IAM |
Pemberian IAM yang tidak wajar: Event Threat Detection mendeteksi penambahan pemberian IAM yang mungkin dianggap tidak wajar, seperti:
|
Menghambat Pemulihan Sistem |
Deteksi Ancaman Peristiwa mendeteksi perubahan anomali pada Pencadangan dan DR yang dapat memengaruhi postur pencadangan, termasuk perubahan kebijakan besar dan penghapusan komponen Pencadangan dan DR penting. |
Log4j | Event Threat Detection mendeteksi kemungkinan upaya eksploitasi Log4j dan kerentanan Log4j yang aktif. |
Malware | Event Threat Detection mendeteksi malware dengan memeriksa log alur VPC dan log Cloud DNS untuk menemukan koneksi ke domain dan IP perintah dan kontrol yang diketahui. |
DoS keluar | Event Threat Detection memeriksa log alur VPC untuk mendeteksi traffic penolakan layanan keluar. |
Akses yang tidak wajar | Event Threat Detection mendeteksi akses yang tidak wajar dengan memeriksa Cloud Audit Logs untuk modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor. |
Perilaku IAM yang tidak wajar |
Event Threat Detection mendeteksi perilaku IAM yang tidak wajar dengan memeriksa
Log Audit Cloud untuk skenario berikut:
|
Investigasi mandiri akun layanan | Event Threat Detection mendeteksi saat kredensial akun layanan digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. |
Admin Compute Engine Menambahkan Kunci SSH | Event Threat Detection mendeteksi modifikasi pada nilai kunci ssh metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu). |
Admin Compute Engine Menambahkan Skrip Startup | Event Threat Detection mendeteksi perubahan pada nilai skrip startup metadata instance Compute Engine pada instance yang sudah ada (lebih lama dari 1 minggu). |
Aktivitas akun yang mencurigakan | Event Threat Detection mendeteksi potensi penyusupan akun Google Workspace dengan memeriksa log audit untuk menemukan aktivitas akun yang tidak wajar, termasuk kebocoran sandi dan upaya login yang mencurigakan. |
Serangan yang didukung pemerintah | Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi saat penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna. |
Perubahan Single Sign-On (SSO) | Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi kapan SSO dinonaktifkan atau setelan diubah untuk akun admin Google Workspace. |
Verifikasi 2 langkah | Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi kapan verifikasi 2 langkah dinonaktifkan di akun pengguna dan admin. |
Perilaku API yang tidak wajar | Event Threat Detection mendeteksi perilaku API yang tidak wajar dengan memeriksa Log Audit Cloud untuk menemukan permintaan ke layanan Google Cloud yang belum pernah dilihat oleh akun utama. |
Penghindaran Pertahanan |
Event Threat Detection mendeteksi Defense Evasion dengan memeriksa Cloud Audit Logs untuk skenario berikut:
|
Discovery |
Event Threat Detection mendeteksi operasi penemuan dengan memeriksa log audit untuk skenario berikut:
|
Akses Awal | Event Threat Detection mendeteksi operasi akses awal dengan
memeriksa log audit untuk skenario berikut:
|
Eskalasi akses |
Event Threat Detection mendeteksi eskalasi hak istimewa di GKE dengan memeriksa log audit untuk skenario berikut:
|
Deteksi Cloud IDS | Cloud IDS mendeteksi serangan lapisan 7 dengan menganalisis paket yang dicerminkan, dan saat mendeteksi peristiwa yang mencurigakan, memicu temuan Event Threat Detection. Untuk mempelajari deteksi Cloud IDS lebih lanjut, lihat Informasi Logging Cloud IDS. Pratinjau |
Gerakan lateral | Event Threat Detection mendeteksi potensi serangan disk booting yang dimodifikasi dengan memeriksa Cloud Audit Logs untuk menemukan pelepasan dan pemasangan ulang disk booting yang sering terjadi di seluruh instance Compute Engine. |
Pelajari Event Threat Detection lebih lanjut.
Google Cloud Armor
Google Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Google Cloud Armor menyaring permintaan masuk untuk serangan web umum atau atribut Lapisan 7 lainnya yang berpotensi memblokir traffic sebelum mencapai layanan backend atau bucket backend ber-load balancer.
Google Cloud Armor mengekspor dua temuan ke Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai instance Compute Engine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan cryptocurrency, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.
Deteksi Ancaman VM adalah bagian dari suite deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada dari Event Threat Detection dan Container Threat Detection.
Untuk mengetahui informasi selengkapnya tentang VM Threat Detection, lihat ringkasan VM Threat Detection.
Temuan ancaman Virtual Machine Threat Detection
Virtual Machine Threat Detection dapat menghasilkan temuan ancaman berikut.
Temuan ancaman penambangan mata uang kripto
Deteksi Ancaman VM mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.
Kategori | Modul | Deskripsi |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Mencocokkan hash memori program yang berjalan dengan hash memori yang diketahui dari software penambangan mata uang kripto. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Mengidentifikasi ancaman yang terdeteksi oleh modul
CRYPTOMINING_HASH dan CRYPTOMINING_YARA .
Untuk mengetahui informasi selengkapnya, lihat
Deteksi gabungan.
|
Temuan ancaman rootkit mode kernel
VM Threat Detection menganalisis integritas kernel pada waktu proses untuk mendeteksi teknik pengelakan umum yang digunakan oleh malware.
Modul KERNEL_MEMORY_TAMPERING
mendeteksi ancaman dengan melakukan perbandingan hash pada
kode kernel dan memori data hanya baca kernel dari virtual machine.
Modul KERNEL_INTEGRITY_TAMPERING
mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.
Kategori | Modul | Deskripsi |
---|---|---|
Rootkit | ||
Defense Evasion: Rootkit
|
|
Ada kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan. |
Penyalahgunaan memori kernel | ||
Defense Evasion: Unexpected kernel code modification Pratinjau
|
KERNEL_MEMORY_TAMPERING
|
Terdapat modifikasi memori kode kernel yang tidak terduga. |
Defense Evasion: Unexpected kernel read-only data modification Pratinjau
|
KERNEL_MEMORY_TAMPERING
|
Terdapat modifikasi memori data hanya baca kernel yang tidak terduga. |
Penyalahgunaan integritas kernel | ||
Defense Evasion: Unexpected ftrace handler Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Titik ftrace ada dengan callback yang mengarah ke region yang tidak berada dalam
rentang kode kernel atau modul yang diharapkan.
|
Defense Evasion: Unexpected interrupt handler Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Pengendali interupsi yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada. |
Defense Evasion: Unexpected kernel modules Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Halaman kode kernel yang tidak berada di region kode kernel atau modul yang diharapkan ada. |
Defense Evasion: Unexpected kprobe handler Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Titik kprobe ada dengan callback yang mengarah ke region yang tidak berada dalam
rentang kode kernel atau modul yang diharapkan.
|
Defense Evasion: Unexpected processes in runqueue Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Terdapat proses yang tidak terduga di antrean run penjadwal. Proses tersebut berada dalam antrean operasi, tetapi tidak dalam daftar tugas proses. |
Defense Evasion: Unexpected system call handler Pratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Pengendali panggilan sistem yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada. |
Error
Pendeteksi error dapat membantu Anda mendeteksi error dalam konfigurasi yang mencegah
sumber keamanan menghasilkan temuan. Temuan error dihasilkan oleh
sumber keamanan Security Command Center
dan
memiliki class temuan SCC errors
.
Tindakan yang tidak disengaja
Kategori temuan berikut menunjukkan error yang mungkin disebabkan oleh tindakan yang tidak disengaja.
Nama kategori | Nama API | Ringkasan | Keparahan |
---|---|---|---|
API disabled |
API_DISABLED |
Deskripsi temuan: API yang diperlukan dinonaktifkan untuk project. Layanan yang dinonaktifkan tidak dapat mengirim temuan ke Security Command Center. Tingkat harga: Premium atau Standar
Aset yang didukung Pemindaian batch: Setiap 60 jam |
Kritis |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Deskripsi temuan: Konfigurasi nilai resource ditentukan untuk simulasi jalur serangan, tetapi tidak cocok dengan instance resource apa pun di lingkungan Anda. Sebagai gantinya, simulasi menggunakan kumpulan resource bernilai tinggi default. Error ini dapat disebabkan oleh salah satu hal berikut:
Paket harga: Premium
Aset yang didukung Pemindaian batch: Sebelum setiap simulasi jalur serangan. |
Kritis |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Deskripsi temuan: Dalam simulasi jalur serangan terakhir, jumlah instance resource bernilai tinggi, seperti yang diidentifikasi oleh konfigurasi nilai resource, melebihi batas 1.000 instance resource dalam kumpulan resource bernilai tinggi. Akibatnya, Security Command Center mengecualikan jumlah instance yang berlebih dari kumpulan resource bernilai tinggi. Jumlah total instance yang cocok dan jumlah total instance yang dikecualikan dari set diidentifikasi dalam temuan Skor eksposur serangan pada temuan apa pun yang memengaruhi instance resource yang dikecualikan tidak mencerminkan penetapan instance resource bernilai tinggi. Paket harga: Premium
Aset yang didukung Pemindaian batch: Sebelum setiap simulasi jalur serangan. |
Tinggi |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Deskripsi temuan:
Container Threat Detection tidak dapat diaktifkan di cluster karena image
container yang diperlukan tidak dapat diambil (didownload) dari Upaya untuk men-deploy DaemonSet Container Threat Detection menghasilkan error berikut:
Paket harga: Premium
Aset yang didukung Pemindaian batch: Setiap 30 menit |
Kritis |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Deskripsi temuan: Container Threat Detection tidak dapat diaktifkan di cluster Kubernetes. Pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan Container Threat Detection. Saat dilihat di konsol Google Cloud, detail temuan mencakup pesan error yang ditampilkan oleh Google Kubernetes Engine saat Pendeteksian Ancaman Penampung mencoba men-deploy Objek DaemonSet Pendeteksian Ancaman Penampung. Paket harga: Premium
Aset yang didukung Pemindaian batch: Setiap 30 menit |
Tinggi |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Deskripsi temuan: Akun layanan tidak memiliki izin yang diperlukan oleh Container Threat Detection. Deteksi Ancaman Penampung dapat berhenti berfungsi dengan baik karena instrumentasi deteksi tidak dapat diaktifkan, diupgrade, atau dinonaktifkan. Paket harga: Premium
Aset yang didukung Pemindaian batch: Setiap 30 menit |
Kritis |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Deskripsi temuan: Container Threat Detection tidak dapat menghasilkan temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tidak memiliki izin. Hal ini mencegah Container Threat Detection berhasil diaktifkan di cluster. Paket harga: Premium
Aset yang didukung Pemindaian batch: Setiap minggu |
Tinggi |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Deskripsi temuan: Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Security Command Center tidak dapat mengirim temuan ke Logging. Paket harga: Premium
Aset yang didukung Pemindaian batch: Setiap 30 menit |
Tinggi |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Deskripsi temuan: Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk sebuah project. Project dilindungi oleh perimeter layanan, dan akun layanan Security Command Center tidak memiliki akses ke perimeter. Tingkat harga: Premium atau Standar
Aset yang didukung Pemindaian batch: Setiap 6 jam |
Tinggi |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Deskripsi temuan: Akun layanan Security Command Center tidak memiliki izin yang diperlukan agar dapat berfungsi dengan benar. Tidak ada temuan yang dihasilkan. Tingkat harga: Premium atau Standar
Aset yang didukung Pemindaian batch: Setiap 30 menit |
Kritis |
Untuk informasi selengkapnya, lihat Error Security Command Center.
Langkah selanjutnya
- Pelajari Security Command Center dan contoh kasus penggunaan di ringkasan Security Command Center.
- Pelajari cara menambahkan sumber keamanan baru dengan mengonfigurasi layanan Security Command Center.