Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche indicati come origini di sicurezza, che Security Command Center utilizza per rilevare i problemi di sicurezza nei tuoi ambienti cloud.
Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e fornisce le informazioni necessarie per stabilire le priorità e risolverlo.
Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o a un asset specifico. Ogni origine di sicurezza potrebbe fornire più filtri per aiutarti a organizzare i risultati.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.
Servizi di rilevamento delle vulnerabilità
I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, errori di configurazione e violazioni della postura nei tuoi ambienti cloud. Nel loro insieme, questi tipi di problemi di sicurezza sono definiti vulnerabilità.
Dashboard della strategia di sicurezza di GKE
La dashboard della postura di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati strategici e strategici su potenziali problemi di sicurezza nei cluster GKE.
Se attivi una delle seguenti funzionalità della dashboard della postura di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:
Funzionalità della dashboard della postura di sicurezza di GKE | Classe di risultati di Security Command Center |
---|---|
Controllo della configurazione dei workload | MISCONFIGURATION |
VULNERABILITY |
I risultati mostrano informazioni sul problema di sicurezza e forniscono consigli per risolverlo nei carichi di lavoro o nei cluster.
Visualizzare i risultati della dashboard della postura di sicurezza di GKE nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona GKE Security Posture (Strategia di sicurezza di GKE). I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Motore per suggerimenti IAM
Il motore per suggerimenti IAM emana suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM dalle entità quando contengono autorizzazioni IAM di cui l'entità non ha bisogno.
Il motore per suggerimenti IAM viene attivato automaticamente quando attivi Security Command Center.
Attivare o disattivare i risultati del motore per suggerimenti IAM
Per attivare o disattivare i risultati del Recommender IAM in Security Command Center, segui questi passaggi:
Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
A destra della voce, seleziona Attiva o Disattiva.
I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.
Per correggere un rilevamento del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei rilevamenti del motore per suggerimenti IAM. I passaggi per la correzione di ciascun rilevamento sono inclusi nella voce della tabella.
Visualizzare i risultati del motore per suggerimenti IAM nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Consigliere IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Nella console Google Cloud, puoi anche visualizzare i risultati del Recommender IAM nella pagina Vulnerabilità selezionando la preimpostazione di query Recommender IAM.
Mandiant Attack Surface Management
Mandiant è un leader mondiale nell'intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a stare al passo con gli ultimi attacchi informatici.
La gestione della superficie di attacco di Mandiant viene attivata automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.
Per informazioni sulle differenze tra il prodotto Mandiant Attack Surface Management autonomo e l'integrazione di Mandiant Attack Surface Management in Security Command Center, consulta ASM e Security Command Center nel portale della documentazione di Mandiant. Questo link richiede l'autenticazione di Mandiant.
Esamina i risultati di Mandiant Attack Surface Management nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.
Se installi Policy Controller e attivi i bundle di Policy Controller CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1 o entrambi, Policy Controller scrive automaticamente le violazioni del cluster in Security Command Center come risultati di classe Misconfiguration
. La descrizione del rilevamento e i passaggi successivi nei rilevamenti di Security Command Center sono gli stessi della descrizione del vincolo e dei passaggi di correzione del bundle Policy Controller corrispondente.
I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:
- CIS Kubernetes Benchmark v.1.5.1,
un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. Puoi anche visualizzare le informazioni su questo bundle nel
repository GitHub per
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
un pacchetto che valuta la conformità delle risorse del cluster ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1.
Puoi anche visualizzare le informazioni su questo bundle nel
repository GitHub per
pci-dss-v3
.
Per trovare e correggere i risultati di Policy Controller, consulta Correggere i risultati di Policy Controller.
Risk Engine
Il motore di rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati relativi alle vulnerabilità e alle tue risorse di alto valore e mostra i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.
Nel livello Enterprise di Security Command Center, l'engine di analisi del rischio rileva gruppi di problemi di sicurezza che, se si verificano insieme in un determinato schema, creano un percorso verso una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungere e compromettere queste risorse.
Quando il motore di rischio rileva una di queste combinazioni, genera un rilevamento di classe TOXIC_COMBINATION
.
Nel risultato, Risk Engine è indicato come origine del risultato.
Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.
Security Health Analytics
Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che esegue scansioni gestite delle risorse cloud per rilevare configurazioni errate comuni.
Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli standard di sicurezza in modo da poter valutare la conformità.
Security Health Analytics esegue la scansione delle risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni con altre piattaforme cloud, Security Health Analytics può eseguire la scansione delle tue risorse anche su queste piattaforme cloud.
A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili sono diversi:
- Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di gravità media e elevata.
- Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
- Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.
Security Health Analytics viene attivato automaticamente quando attivi Security Command Center.
Per ulteriori informazioni, vedi:
- Panoramica di Security Health Analytics
- Come utilizzare Security Health Analytics
- Correzione dei risultati di Security Health Analytics
- Riferimento ai risultati di Security Health Analytics
Servizio di security posture
Il servizio di security posture è un servizio integrato per il livello Security Command Center Premium che ti consente di definire, valutare e monitorare lo stato complessivo della tua sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è in linea con le norme che definisci nella tua postura di sicurezza.
Il servizio di postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.
Sensitive Data Protection
Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), ad esempio:
- Nomi di persone
- Numeri di carte di credito
- Documenti di identità nazionali o statali
- Numeri di identificazione dell'assicurazione sanitaria
- Secret
In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.
Se configuri l'operazione Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.
Risultati relativi alle vulnerabilità del servizio di rilevamento Sensitive Data Protection
Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.
Categoria | Riepilogo |
---|---|
Nome della categoria nell'API:
|
Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet. Asset supportati:
Correzione: Per i dati di Google Cloud, rimuovi Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Standard di conformità: non mappato |
Nome della categoria nell'API:
|
Descrizione del problema: nelle variabili di ambiente sono presenti secret, come passwords, token di autenticazione e credenziali Google Cloud. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati: Correzione: Per le variabili di ambiente delle funzioni Cloud Run, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager. Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed eliminala. Standard di conformità:
|
Nome della categoria nell'API:
|
Descrizione del problema: nella risorsa specificata sono presenti secret, come password, token di autenticazione e credenziali cloud. Asset supportati:
Correzione:
Standard di conformità: non mappato |
Risultati dell'osservazione di Sensitive Data Protection
Questa sezione descrive i risultati dell'osservazione generati da Sensitive Data Protection in Security Command Center.
Risultati dell'osservazione del servizio di discovery
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se i tuoi dati contengono infoType specifici e dove si trovano nell'organizzazione, nelle cartelle e nei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:
Data sensitivity
- Un'indicazione del livello di sensibilità dei dati in una determinata risorsa di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del rilevamento corrisponde al livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
- Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, la funzionalità Protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset dati e la presenza di controlli di accesso per proteggerli. La gravità del rilevamento corrisponde al livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.
Per informazioni su come inviare i risultati del profilo dei dati a Security Command Center, consulta quanto segue:
- Per Security Command Center Enterprise: abilita il rilevamento dei dati sensibili.
- Per Security Command Center Premium o Standard: pubblica i profili di dati in Security Command Center.
Risultati dell'osservazione del servizio di ispezione Sensitive Data Protection
Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati
di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o una tabella
BigQuery. Ad esempio, puoi eseguire un job di ispezione che cerca tutte le stringhe corrispondenti al rilevatore di infoType CREDIT_CARD_NUMBER
in un bucket Cloud Storage.
Per ogni rilevatore di infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato corrispondente di Security Command Center. La categoria del risultato è il nome del rilevatore di infoType che ha trovato una corrispondenza, ad esempio Credit
card number
. Il rilevamento include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini della risorsa.
Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel ritrovato. Ad esempio, un risultato Credit card number
mostra il numero di
numeri di carte di credito trovati, ma non mostra i numeri effettivi delle carte di credito.
Poiché in Sensitive Data Protection sono disponibili più di 150 rilevatori di infoType integrati, non tutte le possibili categorie di risultati di Security Command Center sono elencate qui. Per un elenco completo dei rilevatori di infoType, consulta la guida di riferimento per i rilevatori di infoType.
Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati dei job di ispezione di Sensitive Data Protection a Security Command Center.
Esamina i risultati di Sensitive Data Protection nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
VM Manager
VM Manager è una suite di strumenti che puoi utilizzare per gestire i sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.
Se attivi VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente i risultati high
e critical
dei suoi report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi (SO) installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano la procedura di utilizzo della funzionalità di conformità ai patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.
Per correggere i risultati di VM Manager, consulta Correggere i risultati di VM Manager.
Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.
Le vulnerabilità di questo tipo si riferiscono ai pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Nome della categoria nell'API: |
Descrizione del rilevamento: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo (OS) installato per una VM Compute Engine. Livello di prezzo: Premium Asset supportati |
I report sulle vulnerabilità di VM Manager descrivono nel dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, tra cui le vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati nel seguente modo:
|
Vulnerability Assessment per AWS
Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei tuoi workload in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.
Per ogni vulnerabilità rilevata, la Valutazione delle vulnerabilità per AWS genera un risultato della classe Vulnerability
nella categoria dei risultati Software vulnerability
in Security Command Center.
Il servizio di valutazione delle vulnerabilità per AWS esegue la scansione degli snapshot delle istanze di macchine EC2 in esecuzione, pertanto i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamato scansione dei dischi senza agenti, perché non vengono installati agenti nei target di scansione.
Per ulteriori informazioni, consulta le seguenti risorse:
- Panoramica di Vulnerability Assessment per AWS
- Attivare e utilizzare Vulnerability Assessment per AWS
Web Security Scanner
Web Security Scanner fornisce analisi delle vulnerabilità web gestite e personalizzate per le applicazioni web pubbliche di App Engine, GKE e Compute Engine.
Scansioni gestite
Le scansioni gestite di Web Security Scanner vengono configurate e gestite da Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare e analizzare gli endpoint web pubblici. Queste scansioni non utilizzano l'autenticazione e inviano richieste solo GET, pertanto non inviano moduli sui siti web attivi.
Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.
Se Security Command Center è attivato a livello di organizzazione, puoi utilizzare le scansioni gestite per gestire in modo centralizzato il rilevamento di vulnerabilità di base delle applicazioni web per i progetti della tua organizzazione, senza dover coinvolgere i singoli team di progetto. Quando vengono rilevati risultati, puoi collaborare con questi team per configurare scansioni personalizzate più complete.
Quando attivi Web Security Scanner come servizio, i risultati delle scansioni gestite sono disponibili automaticamente nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come attivare le analisi gestite di Web Security Scanner, consulta Configurare i servizi di Security Command Center.
Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una ricerca personalizzata.
Scansioni personalizzate
Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, cross-site scripting o utilizzo di contenuti misti.
Le analisi personalizzate vengono definite a livello di progetto.
I risultati delle scansioni personalizzate sono disponibili in Security Command Center dopo aver completato la guida per configurare le scansioni personalizzate di Web Security Scanner.
Rilevatori e conformità
Web Security Scanner supporta le categorie della OWASP Top Ten, un documento che classifica e fornisce indicazioni per la correzione dei 10 rischi per la sicurezza delle applicazioni web più critici, come stabilito dall'Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta Opzioni di mitigazione dei 10 principali rischi OWASP su Google Cloud.
La mappatura della conformità è inclusa come riferimento e non viene fornita o esaminata dalla OWASP Foundation.
Questa funzionalità è pensata solo per monitorare le violazioni dei controlli di conformità. Le mappature non sono fornite per essere utilizzate come base o come sostituzione per la verifica, la certificazione o la segnalazione della conformità dei tuoi prodotti o servizi a eventuali benchmark o standard normativi o di settore.
Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.
Categoria | Descrizione del risultato | Top 10 OWASP 2017 | OWASP Top 10 2021 |
---|---|---|---|
Nome della categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere il problema, rimuovi l'accesso pubblico non intenzionale al repository GIT. Livello di prezzo: Premium o Standard |
A5 | A01 |
Nome della categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository SVN. Livello di prezzo: Premium o Standard |
A5 | A01 |
Nome della categoria nell'API: |
Le password inserite nell'applicazione web possono essere memorizzate nella cache di un normale browser anziché in uno spazio di archiviazione sicuro delle password. Livello di prezzo: Premium |
A3 | A04 |
Nome della categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo rilevamento, cripta la password trasmessa sulla rete. Livello di prezzo: Premium o Standard |
A3 | A02 |
Nome della categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Livello di prezzo: Premium |
A5 | A01 |
Nome della categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Livello di prezzo: Premium |
A5 | A01 |
Nome della categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo problema, imposta l'intestazione HTTP Livello di prezzo: Premium o Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene un errore ortografico e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
Nome della categoria nell'API: |
Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS. Livello di prezzo: Premium o Standard |
A6 | A05 |
Nome della categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Premium o Standard |
A9 | A06 |
Nome della categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste. Livello di prezzo: Premium o Standard |
Non applicabile | A10 |
Nome della categoria nell'API: |
Quando effettua una richiesta tra domini, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta Livello di prezzo: Premium |
A2 | A07 |
Nome della categoria nell'API: |
È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL. Livello di prezzo: Premium |
A1 | A03 |
Nome della categoria nell'API: |
È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione. Livello di prezzo: Premium |
A8 | A08 |
Nome della categoria nell'API: |
Un campo in questa applicazione web è vulnerabile a un attacco di tipo cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. Livello di prezzo: Premium o Standard |
A7 | A03 |
Nome della categoria nell'API: |
Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo rilevamento, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular. Livello di prezzo: Premium o Standard |
A7 | A03 |
Nome della categoria nell'API: |
Un campo in questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. Livello di prezzo: Premium o Standard |
A7 | A03 |
Nome della categoria nell'API: |
È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la fuga di un file sull'host da parte dell'applicazione web. Per risolvere questo problema, configura i tuoi analizzatori XML in modo da non consentire le entità esterne. Livello di prezzo: Premium |
A4 | A05 |
Nome della categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento da prototipi. Questa vulnerabilità si verifica quando
alle proprietà dell'oggetto Livello di prezzo: Premium o Standard |
A1 | A03 |
Servizi di rilevamento delle minacce
I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi che potrebbero indicare eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.
Rilevamento di anomalie
Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento dall'esterno del sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le tue istanze di macchine virtuali (VM), ad esempio potenziali credenziali divulgate. Il rilevamento delle anomalie viene attivato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.
I risultati del rilevamento delle anomalie includono quanto segue:
Nome dell'anomalia | Categoria risultati | Descrizione |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Le credenziali di un account di servizio Google Cloud vengono accidentalmente divulge online o sono compromesse. Gravità: critica |
Le credenziali dell'account sono state divulgate
GitHub ha comunicato a Security Command Center che le credenziali impiegate per un commit sembrano essere quelle di un account di servizio Cloud Identity and Access Management di Google.
La notifica include il nome dell'account di servizio e l'identificatore della chiave privata. Google Cloud invia inoltre al tuo contatto designato per la sicurezza e la privacy una notifica via email.
Per risolvere il problema, esegui una o più delle seguenti azioni:
- Identifica l'utente legittimo della chiave.
- Ruota la chiave.
- Rimuovi la chiave.
- Esamina le azioni intraprese con la chiave dopo la sua compromissione per assicurarti che nessuna sia stata dannosa.
JSON: risultato relativo alle credenziali dell'account compromesse
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection può rilevare gli attacchi runtime ai container più comuni e inviare avvisi in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.
La strumentazione di rilevamento di Container Threat Detection raccoglie il comportamento a basso livello nel kernel guest ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare i seguenti eventi:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Scopri di più su Container Threat Detection.
Event Threat Detection
Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Controlla lo stream di Cloud Logging per i progetti e consuma i log man mano che diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene attivato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.
La tabella seguente elenca alcuni esempi di risultati di Event Threat Detection.
Distruzione dei dati |
Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di Backup e DR per i seguenti scenari:
|
Esfiltrazione di dati |
Rilevamento delle minacce basato sugli eventi rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando i log di controllo per i seguenti scenari:
|
Attività sospette Cloud SQL |
Event Threat Detection esamina i log di controllo per rilevare i seguenti eventi che potrebbero indicare la compromissione di un account utente valido sulle istanze Cloud SQL:
|
Attività sospette in AlloyDB per PostgreSQL |
Event Threat Detection esamina i log di controllo per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL:
|
Forza bruta SSH | Event Threat Detection rileva l'attacco di forza bruta dell'autenticazione SSH tramite password esaminando i log syslog per verificare la presenza di errori ripetuti seguiti da un successo. |
Cryptomining | Event Threat Detection rileva i malware per il mining di monete esaminando i log di flusso VPC e i log di Cloud DNS per rilevare connessioni a domini o indirizzi IP dannosi noti di pool di mining. |
Illeciti IAM |
Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:
|
Blocco recupero sistema |
Event Threat Detection rileva modifiche anomale a Backup e RE che potrebbero influire sulla configurazione del backup, incluse modifiche importanti ai criteri e rimozione di componenti critici di Backup e RE. |
Log4j | Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive. |
Malware | Event Threat Detection rileva i malware esaminando i log di flusso VPC e i log di Cloud DNS per verificare la presenza di connessioni a IP e a domini di comando e controllo noti. |
DoS in uscita | Event Threat Detection esamina i log di flusso VPC per rilevare il traffico di denial of service in uscita. |
Accesso anomalo | Event Threat Detection rileva gli accessi anomali esaminando Cloud Audit Logs per le modifiche ai servizi Google Cloud originate da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor. |
Comportamento anomalo IAM |
Event Threat Detection rileva comportamenti anomali di IAM esaminando Cloud Audit Logs per i seguenti scenari:
|
Auto-indagine sull'account di servizio | Rilevamento minacce da eventi rileva quando viene utilizzata una credenziale dell'account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. |
Amministratore Compute Engine ha aggiunto una chiave SSH | Event Threat Detection rileva una modifica al valore della chiave ssh dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana). |
Script di avvio aggiunto dall'amministratore Compute Engine | Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana). |
Attività dell'account sospette | Event Threat Detection rileva potenziali compromissioni degli account Google Workspace esaminando i log di controllo per rilevare attività anomale dell'account, tra cui password trapelate e tentativi di accesso sospetti. |
Attacco sostenuto da un governo | Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando gli aggressori sostenuti dai governi potrebbero aver tentato di compromettere un account o un computer dell'utente. |
Modifiche al Single Sign-On (SSO) | Rilevamento minacce da eventi esamina i log di controllo di Google Workspace per rilevare quando l'accessoSSO è disattivato o le impostazioni vengono modificate per gli account amministratore di Google Workspace. |
Verifica in due passaggi | Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando la verifica in due passaggi è disattivata negli account utente e amministratore. |
Comportamento anomalo dell'API | Event Threat Detection rileva il comportamento anomalo dell'API esaminando Cloud Audit Logs per individuare richieste ai servizi Google Cloud che un principale non ha mai visto prima. |
Evasione della difesa |
Event Threat Detection rileva l'elusione della difesa esaminando Cloud Audit Logs per i seguenti scenari:
|
Discovery |
Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:
|
Accesso iniziale | Event Threat Detection rileva le operazioni di accesso iniziali esaminando i log di controllo per i seguenti scenari:
|
Escalation dei privilegi |
Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per i seguenti scenari:
|
Rilevamento di Cloud IDS | Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando rileva un evento sospetto, attiva un rilevamento di Event Threat Detection. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Cloud IDS Logging. Anteprima |
Movimento laterale | Event Threat Detection rileva potenziali attacchi al disco di avvio modificato esaminando Cloud Audit Logs per rilevare scollegamento e ricollegamento frequenti del disco di avvio nelle istanze Compute Engine. |
Scopri di più su Event Threat Detection.
Google Cloud Armor
Google Cloud Armor contribuisce a proteggere la tua applicazione fornendo il filtro a livello 7. Google Cloud Armor esegue la scansione delle richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.
Google Cloud Armor esporta due risultati in Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle istanze Compute Engine per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
Virtual Machine Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettata per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni su Virtual Machine Threat Detection, consulta la panoramica di Virtual Machine Threat Detection.
Risultati delle minacce di VM Threat Detection
VM Threat Detection può generare i seguenti risultati relativi alle minacce.
Risultati relativi alle minacce legate al mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
Categoria | Modulo | Descrizione |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Confronta gli hash della memoria dei programmi in esecuzione con gli hash della memoria noti del software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde a pattern di memoria, come le costanti proof-of-work, noti per essere utilizzati dal software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata sia dai moduli CRYPTOMINING_HASH sia da CRYPTOMINING_YARA .
Per ulteriori informazioni, vedi
Rilevamenti combinati.
|
Risultati relativi alle minacce di rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni utilizzate dai malware.
Il modulo KERNEL_MEMORY_TAMPERING
rileva le minacce eseguendo un confronto di hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING
rileva le minacce controllando
l'integrità di strutture di dati importanti del kernel.
Categoria | Modulo | Descrizione |
---|---|---|
Rootkit | ||
Defense Evasion: Rootkit
|
|
È presente una combinazione di indicatori corrispondenti a un rootkit in modalità kernel noto. Per ricevere i risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice del kernel. |
Defense Evasion: Unexpected kernel read-only data modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel. |
Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti punti ftrace con callback che rimandano a regioni non incluse
nell'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected interrupt handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interruzioni che non si trovano nelle regioni del codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kernel modules Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti punti kprobe con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected processes in runqueue Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono nella coda di esecuzione, ma non nell'elenco delle attività di elaborazione. |
Defense Evasion: Unexpected system call handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori chiamate di sistema che non si trovano nelle regioni del codice del kernel o del modulo previste. |
Errori
I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati di errore vengono generati dalla fonte di sicurezza Security Command Center
e hanno la classe di risultato SCC errors
.
Azioni involontarie
Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
API disabled |
API_DISABLED |
Descrizione del problema: Un'API richiesta è disattivata per il progetto. Il servizio disattivato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard
Asset supportati Ricerca batch: ogni 60 ore |
Critico |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrizione del problema: le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece l'insieme di risorse di valore elevato predefinito. Questo errore può essere causato da una delle seguenti cause:
Livello di prezzo: Premium
Asset supportati Scansioni collettive: prima di ogni simulazione del percorso di attacco. |
Critico |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrizione del risultato: Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse
dall'insieme sono identificati nel rilevamento I punteggi di esposizione agli attacchi relativi a eventuali risultati che interessano le istanze di risorse escluse non riflettono la designazione di risorse di alto valore. Livello di prezzo: Premium
Asset supportati Scansioni collettive: prima di ogni simulazione del percorso di attacco. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descrizione del problema:
non è possibile attivare il rilevamento delle minacce ai container nel cluster perché non è possibile estrarre (scaricare) un'immagine container obbligatoria da Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:
Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrizione del problema: Non è possibile attivare Container Threat Detection su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto DaemonSet Kubernetes richiesto da Container Threat Detection. Se visualizzati nella console Google Cloud, i dettagli del rilevamento includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione del problema: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Il rilevamento minacce dei contenitori potrebbe non funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, disattivata o sottoposta ad upgrade. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione del rilevamento: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché al account di servizio predefinito GKE del cluster mancano le autorizzazioni. In questo modo viene impedita l'attivazione di Container Threat Detection sul cluster. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni settimana |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrizione del problema: il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare i risultati a Logging. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrizione del risultato: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard
Asset supportati Ricerca batch: ogni 6 ore |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione del problema: All'account di servizio Security Command Center mancano le autorizzazioni necessarie per il funzionamento corretto. Non vengono prodotti risultati. Livello di prezzo: Premium o Standard
Asset supportati Scansioni collettive: ogni 30 minuti |
Critico |
Per ulteriori informazioni, consulta Errori di Security Command Center.
Passaggi successivi
- Scopri di più su Security Command Center e su casi d'uso di esempio nella panoramica di Security Command Center.
- Scopri come aggiungere nuove origini di sicurezza configurando i servizi di Security Command Center.