Servizi di rilevamento

Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche indicati come origini di sicurezza, che Security Command Center utilizza per rilevare i problemi di sicurezza nei tuoi ambienti cloud.

Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e fornisce le informazioni necessarie per stabilire le priorità e risolverlo.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o a un asset specifico. Ogni origine di sicurezza potrebbe fornire più filtri per aiutarti a organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.

Servizi di rilevamento delle vulnerabilità

I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, errori di configurazione e violazioni della postura nei tuoi ambienti cloud. Nel loro insieme, questi tipi di problemi di sicurezza sono definiti vulnerabilità.

Dashboard della strategia di sicurezza di GKE

La dashboard della postura di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati strategici e strategici su potenziali problemi di sicurezza nei cluster GKE.

Se attivi una delle seguenti funzionalità della dashboard della postura di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:

Funzionalità della dashboard della postura di sicurezza di GKE Classe di risultati di Security Command Center
Controllo della configurazione dei workload MISCONFIGURATION
VULNERABILITY

I risultati mostrano informazioni sul problema di sicurezza e forniscono consigli per risolverlo nei carichi di lavoro o nei cluster.

Visualizzare i risultati della dashboard della postura di sicurezza di GKE nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console Security Operations

  1. Nella console Security Operations, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona GKE Security Posture (Strategia di sicurezza di GKE). I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Motore per suggerimenti IAM

Il motore per suggerimenti IAM emana suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM dalle entità quando contengono autorizzazioni IAM di cui l'entità non ha bisogno.

Il motore per suggerimenti IAM viene attivato automaticamente quando attivi Security Command Center.

Attivare o disattivare i risultati del motore per suggerimenti IAM

Per attivare o disattivare i risultati del Recommender IAM in Security Command Center, segui questi passaggi:

  1. Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:

    Vai alle impostazioni

  2. Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.

  3. A destra della voce, seleziona Attiva o Disattiva.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un rilevamento del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei rilevamenti del motore per suggerimenti IAM. I passaggi per la correzione di ciascun rilevamento sono inclusi nella voce della tabella.

Visualizzare i risultati del motore per suggerimenti IAM nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Consigliere IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console Security Operations

  1. Nella console Security Operations, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Nella console Google Cloud, puoi anche visualizzare i risultati del Recommender IAM nella pagina Vulnerabilità selezionando la preimpostazione di query Recommender IAM.

Mandiant Attack Surface Management

Mandiant è un leader mondiale nell'intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a stare al passo con gli ultimi attacchi informatici.

La gestione della superficie di attacco di Mandiant viene attivata automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.

Per informazioni sulle differenze tra il prodotto Mandiant Attack Surface Management autonomo e l'integrazione di Mandiant Attack Surface Management in Security Command Center, consulta ASM e Security Command Center nel portale della documentazione di Mandiant. Questo link richiede l'autenticazione di Mandiant.

Esamina i risultati di Mandiant Attack Surface Management nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console Security Operations

  1. Nella console Security Operations, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Se installi Policy Controller e attivi i bundle di Policy Controller CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1 o entrambi, Policy Controller scrive automaticamente le violazioni del cluster in Security Command Center come risultati di classe Misconfiguration. La descrizione del rilevamento e i passaggi successivi nei rilevamenti di Security Command Center sono gli stessi della descrizione del vincolo e dei passaggi di correzione del bundle Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

Per trovare e correggere i risultati di Policy Controller, consulta Correggere i risultati di Policy Controller.

Risk Engine

Il motore di rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati relativi alle vulnerabilità e alle tue risorse di alto valore e mostra i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.

Nel livello Enterprise di Security Command Center, l'engine di analisi del rischio rileva gruppi di problemi di sicurezza che, se si verificano insieme in un determinato schema, creano un percorso verso una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungere e compromettere queste risorse.

Quando il motore di rischio rileva una di queste combinazioni, genera un rilevamento di classe TOXIC_COMBINATION. Nel risultato, Risk Engine è indicato come origine del risultato.

Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che esegue scansioni gestite delle risorse cloud per rilevare configurazioni errate comuni.

Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli standard di sicurezza in modo da poter valutare la conformità.

Security Health Analytics esegue la scansione delle risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni con altre piattaforme cloud, Security Health Analytics può eseguire la scansione delle tue risorse anche su queste piattaforme cloud.

A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili sono diversi:

Security Health Analytics viene attivato automaticamente quando attivi Security Command Center.

Per ulteriori informazioni, vedi:

Servizio di security posture

Il servizio di security posture è un servizio integrato per il livello Security Command Center Premium che ti consente di definire, valutare e monitorare lo stato complessivo della tua sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è in linea con le norme che definisci nella tua postura di sicurezza.

Il servizio di postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.

Sensitive Data Protection

Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), ad esempio:

  • Nomi di persone
  • Numeri di carte di credito
  • Documenti di identità nazionali o statali
  • Numeri di identificazione dell'assicurazione sanitaria
  • Secret

In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.

Se configuri l'operazione Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.

Risultati relativi alle vulnerabilità del servizio di rilevamento Sensitive Data Protection

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.

Categoria Riepilogo

Public sensitive data

Nome della categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correzione:

Per i dati di Google Cloud, rimuovi allUsers e allAuthenticatedUsers dal criterio IAM della risorsa dati.

Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico.

Standard di conformità: non mappato

Secrets in environment variables

Nome della categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrizione del problema: nelle variabili di ambiente sono presenti secret, come passwords, token di autenticazione e credenziali Google Cloud.

Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati:

Correzione:

Per le variabili di ambiente delle funzioni Cloud Run, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager.

Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed eliminala.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Descrizione del problema: nella risorsa specificata sono presenti secret, come password, token di autenticazione e credenziali cloud.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correzione:

  1. Per i dati di Google Cloud, utilizza Sensitive Data Protection per eseguire una scansione approfondita della risorsa specificata per identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o Avro in un bucket Cloud Storage ed esegui una scansione approfondita del bucket.

    Per i dati Amazon S3, controlla manualmente il bucket specificato.

  2. Rimuovi gli secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati di Google Cloud, ti consigliamo di archiviare gli secret rilevati in Secret Manager.

Standard di conformità: non mappato

Risultati dell'osservazione di Sensitive Data Protection

Questa sezione descrive i risultati dell'osservazione generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione del servizio di discovery

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se i tuoi dati contengono infoType specifici e dove si trovano nell'organizzazione, nelle cartelle e nei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:

Data sensitivity
Un'indicazione del livello di sensibilità dei dati in una determinata risorsa di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del rilevamento corrisponde al livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, la funzionalità Protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset dati e la presenza di controlli di accesso per proteggerli. La gravità del rilevamento corrisponde al livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.

Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.

Per informazioni su come inviare i risultati del profilo dei dati a Security Command Center, consulta quanto segue:

Risultati dell'osservazione del servizio di ispezione Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o una tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione che cerca tutte le stringhe corrispondenti al rilevatore di infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore di infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato corrispondente di Security Command Center. La categoria del risultato è il nome del rilevatore di infoType che ha trovato una corrispondenza, ad esempio Credit card number. Il rilevamento include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini della risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel ritrovato. Ad esempio, un risultato Credit card number mostra il numero di numeri di carte di credito trovati, ma non mostra i numeri effettivi delle carte di credito.

Poiché in Sensitive Data Protection sono disponibili più di 150 rilevatori di infoType integrati, non tutte le possibili categorie di risultati di Security Command Center sono elencate qui. Per un elenco completo dei rilevatori di infoType, consulta la guida di riferimento per i rilevatori di infoType.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati dei job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console Security Operations

  1. Nella console Security Operations, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

VM Manager

VM Manager è una suite di strumenti che puoi utilizzare per gestire i sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.

Se attivi VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente i risultati high e critical dei suoi report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi (SO) installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano la procedura di utilizzo della funzionalità di conformità ai patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.

Per correggere i risultati di VM Manager, consulta Correggere i risultati di VM Manager.

Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.

Le vulnerabilità di questo tipo si riferiscono ai pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.

Rilevatore Riepilogo Impostazioni di scansione degli asset

OS vulnerability

Nome della categoria nell'API: OS_VULNERABILITY

Descrizione del rilevamento: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo (OS) installato per una VM Compute Engine.

Livello di prezzo: Premium

Asset supportati

compute.googleapis.com/Instance

Correggi questo risultato

I report sulle vulnerabilità di VM Manager descrivono nel dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, tra cui le vulnerabilità ed esposizioni comuni (CVE).

Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.

I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati nel seguente modo:

  • Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, dovresti visualizzare le informazioni relative alle vulnerabilità e alle esposizioni comuni (CVE) della VM in Security Command Center entro due ore dalla modifica.
  • Quando vengono pubblicati nuovi avvisi sulla sicurezza per un sistema operativo, le CVE aggiornate sono solitamente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Vulnerability Assessment per AWS

Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei tuoi workload in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.

Per ogni vulnerabilità rilevata, la Valutazione delle vulnerabilità per AWS genera un risultato della classe Vulnerability nella categoria dei risultati Software vulnerability in Security Command Center.

Il servizio di valutazione delle vulnerabilità per AWS esegue la scansione degli snapshot delle istanze di macchine EC2 in esecuzione, pertanto i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamato scansione dei dischi senza agenti, perché non vengono installati agenti nei target di scansione.

Per ulteriori informazioni, consulta le seguenti risorse:

Web Security Scanner

Web Security Scanner fornisce analisi delle vulnerabilità web gestite e personalizzate per le applicazioni web pubbliche di App Engine, GKE e Compute Engine.

Scansioni gestite

Le scansioni gestite di Web Security Scanner vengono configurate e gestite da Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare e analizzare gli endpoint web pubblici. Queste scansioni non utilizzano l'autenticazione e inviano richieste solo GET, pertanto non inviano moduli sui siti web attivi.

Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.

Se Security Command Center è attivato a livello di organizzazione, puoi utilizzare le scansioni gestite per gestire in modo centralizzato il rilevamento di vulnerabilità di base delle applicazioni web per i progetti della tua organizzazione, senza dover coinvolgere i singoli team di progetto. Quando vengono rilevati risultati, puoi collaborare con questi team per configurare scansioni personalizzate più complete.

Quando attivi Web Security Scanner come servizio, i risultati delle scansioni gestite sono disponibili automaticamente nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come attivare le analisi gestite di Web Security Scanner, consulta Configurare i servizi di Security Command Center.

Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una ricerca personalizzata.

Scansioni personalizzate

Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, cross-site scripting o utilizzo di contenuti misti.

Le analisi personalizzate vengono definite a livello di progetto.

I risultati delle scansioni personalizzate sono disponibili in Security Command Center dopo aver completato la guida per configurare le scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie della OWASP Top Ten, un documento che classifica e fornisce indicazioni per la correzione dei 10 rischi per la sicurezza delle applicazioni web più critici, come stabilito dall'Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta Opzioni di mitigazione dei 10 principali rischi OWASP su Google Cloud.

La mappatura della conformità è inclusa come riferimento e non viene fornita o esaminata dalla OWASP Foundation.

Questa funzionalità è pensata solo per monitorare le violazioni dei controlli di conformità. Le mappature non sono fornite per essere utilizzate come base o come sostituzione per la verifica, la certificazione o la segnalazione della conformità dei tuoi prodotti o servizi a eventuali benchmark o standard normativi o di settore.

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

Categoria Descrizione del risultato Top 10 OWASP 2017 OWASP Top 10 2021

Accessible Git repository

Nome della categoria nell'API: ACCESSIBLE_GIT_REPOSITORY

Un repository Git è esposto pubblicamente. Per risolvere il problema, rimuovi l'accesso pubblico non intenzionale al repository GIT.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A5 A01

Accessible SVN repository

Nome della categoria nell'API: ACCESSIBLE_SVN_REPOSITORY

Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository SVN.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A5 A01

Cacheable password input

Nome della categoria nell'API: CACHEABLE_PASSWORD_INPUT

Le password inserite nell'applicazione web possono essere memorizzate nella cache di un normale browser anziché in uno spazio di archiviazione sicuro delle password.

Livello di prezzo: Premium

Correggi questo risultato

A3 A04

Clear text password

Nome della categoria nell'API: CLEAR_TEXT_PASSWORD

Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo rilevamento, cripta la password trasmessa sulla rete.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A3 A02

Insecure allow origin ends with validation

Nome della categoria nell'API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

A5 A01

Insecure allow origin starts with validation

Nome della categoria nell'API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione di risposta Access-Control-Allow-Origin, ad esempio .equals(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

A5 A01

Invalid content type

Nome della categoria nell'API: INVALID_CONTENT_TYPE

È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo problema, imposta l'intestazione HTTP X-Content-Type-Options con il valore corretto.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A6 A05

Invalid header

Nome della categoria nell'API: INVALID_HEADER

Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A6 A05

Mismatching security header values

Nome della categoria nell'API: MISMATCHING_SECURITY_HEADER_VALUES

Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A6 A05

Misspelled security header name

Nome della categoria nell'API: MISSPELLED_SECURITY_HEADER_NAME

Un'intestazione di sicurezza contiene un errore ortografico e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A6 A05

Mixed content

Nome della categoria nell'API: MIXED_CONTENT

Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A6 A05

Outdated library

Nome della categoria nell'API: OUTDATED_LIBRARY

È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A9 A06

Server side request forgery

Nome della categoria nell'API: SERVER_SIDE_REQUEST_FORGERY

È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Non applicabile A10

Session ID leak

Nome della categoria nell'API: SESSION_ID_LEAK

Quando effettua una richiesta tra domini, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta Referer. Questa vulnerabilità consente al dominio di destinazione di accedere all'identificatore di sessione, che può essere utilizzato per rubare l'identità o identificare in modo univoco l'utente.

Livello di prezzo: Premium

Correggi questo risultato

A2 A07

SQL injection

Nome della categoria nell'API: SQL_INJECTION

È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL.

Livello di prezzo: Premium

Correggi questo risultato

A1 A03

Struts insecure deserialization

Nome della categoria nell'API: STRUTS_INSECURE_DESERIALIZATION

È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione.

Livello di prezzo: Premium

Correggi questo risultato

A8 A08

XSS

Nome della categoria nell'API: XSS

Un campo in questa applicazione web è vulnerabile a un attacco di tipo cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A7 A03

XSS angular callback

Nome della categoria nell'API: XSS_ANGULAR_CALLBACK

Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo rilevamento, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A7 A03

XSS error

Nome della categoria nell'API: XSS_ERROR

Un campo in questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A7 A03

XXE reflected file leakage

Nome della categoria nell'API: XXE_REFLECTED_FILE_LEAKAGE

È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la fuga di un file sull'host da parte dell'applicazione web. Per risolvere questo problema, configura i tuoi analizzatori XML in modo da non consentire le entità esterne.

Livello di prezzo: Premium

Correggi questo risultato

A4 A05

Prototype pollution

Nome della categoria nell'API: PROTOTYPE_POLLUTION

L'applicazione è vulnerabile all'inquinamento da prototipi. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto Object.prototype possono essere assegnati valori controllabili dall'utente malintenzionato. Si presume che i valori inseriti in questi prototipi si traducano universalmente in cross-site scripting o vulnerabilità simili sul lato client, oltre a bug logici.

Livello di prezzo: Premium o Standard

Correggi questo risultato

A1 A03

Servizi di rilevamento delle minacce

I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi che potrebbero indicare eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.

Rilevamento di anomalie

Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento dall'esterno del sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le tue istanze di macchine virtuali (VM), ad esempio potenziali credenziali divulgate. Il rilevamento delle anomalie viene attivato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

I risultati del rilevamento delle anomalie includono quanto segue:

Nome dell'anomalia Categoria risultati Descrizione
Account has leaked credentials account_has_leaked_credentials

Le credenziali di un account di servizio Google Cloud vengono accidentalmente divulge online o sono compromesse.

Gravità: critica

Le credenziali dell'account sono state divulgate

GitHub ha comunicato a Security Command Center che le credenziali impiegate per un commit sembrano essere quelle di un account di servizio Cloud Identity and Access Management di Google.

La notifica include il nome dell'account di servizio e l'identificatore della chiave privata. Google Cloud invia inoltre al tuo contatto designato per la sicurezza e la privacy una notifica via email.

Per risolvere il problema, esegui una o più delle seguenti azioni:

  • Identifica l'utente legittimo della chiave.
  • Ruota la chiave.
  • Rimuovi la chiave.
  • Esamina le azioni intraprese con la chiave dopo la sua compromissione per assicurarti che nessuna sia stata dannosa.

JSON: risultato relativo alle credenziali dell'account compromesse

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection può rilevare gli attacchi runtime ai container più comuni e inviare avvisi in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie il comportamento a basso livello nel kernel guest ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare i seguenti eventi:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Controlla lo stream di Cloud Logging per i progetti e consuma i log man mano che diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene attivato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

La tabella seguente elenca alcuni esempi di risultati di Event Threat Detection.

Tabella C. Tipi di risultati di Event Threat Detection
Distruzione dei dati

Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di Backup e DR per i seguenti scenari:

  • Eliminazione di un'immagine di backup
  • Eliminazione di tutte le immagini di backup associate a un'applicazione
  • Eliminazione di un'appliance di backup/ripristino
Esfiltrazione di dati

Rilevamento delle minacce basato sugli eventi rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando i log di controllo per i seguenti scenari:

  • Una risorsa BigQuery viene salvata al di fuori della tua organizzazione o viene tentata un'operazione di copia bloccata da Controlli di servizio VPC.
  • Viene tentato di accedere alle risorse BigQuery protette da Controlli di servizio VPC.
  • Una risorsa Cloud SQL viene esportata completamente o parzialmente in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket di proprietà della tua organizzazione e accessibile pubblicamente.
  • Un backup di Cloud SQL viene ripristinato in un'istanza Cloud SQL al di fuori della tua organizzazione.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket della tua organizzazione accessibile pubblicamente.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in una cartella di Google Drive.
  • Una risorsa BigQuery viene salvata in una risorsa pubblica di proprietà della tua organizzazione.
Attività sospette Cloud SQL

Event Threat Detection esamina i log di controllo per rilevare i seguenti eventi che potrebbero indicare la compromissione di un account utente valido sulle istanze Cloud SQL:

  • A un utente del database vengono concessi tutti i privilegi per un database Cloud SQL per PostgreSQL o per tutte le tabelle, procedure o funzioni in uno schema.
  • Un superutente dell'account database predefinito di Cloud SQL ("postgres" su istanze PostgreSQL o "root" su istanze MySQL) viene utilizzato per scrivere nelle tabelle non di sistema.
Attività sospette in AlloyDB per PostgreSQL

Event Threat Detection esamina i log di controllo per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL:

  • A un utente del database vengono concessi tutti i privilegi per un database AlloyDB per PostgreSQL o per tutte le tabelle, procedure o funzioni in uno schema.
  • Un superutente dell'account database predefinito AlloyDB per PostgreSQL (`postgres`) viene utilizzato per scrivere nelle tabelle non di sistema.
Forza bruta SSH Event Threat Detection rileva l'attacco di forza bruta dell'autenticazione SSH tramite password esaminando i log syslog per verificare la presenza di errori ripetuti seguiti da un successo.
Cryptomining Event Threat Detection rileva i malware per il mining di monete esaminando i log di flusso VPC e i log di Cloud DNS per rilevare connessioni a domini o indirizzi IP dannosi noti di pool di mining.
Illeciti IAM

Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:

  • Aggiunta di un utente gmail.com a un criterio con il ruolo Editor del progetto.
  • Invitare un utente gmail.com come proprietario del progetto dalla console Google Cloud.
  • Service account che concede autorizzazioni sensibili.
  • Il ruolo personalizzato ha concesso autorizzazioni sensibili.
  • Account di servizio aggiunto dall'esterno dell'organizzazione.
Blocco recupero sistema

Event Threat Detection rileva modifiche anomale a Backup e RE che potrebbero influire sulla configurazione del backup, incluse modifiche importanti ai criteri e rimozione di componenti critici di Backup e RE.

Log4j Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive.
Malware Event Threat Detection rileva i malware esaminando i log di flusso VPC e i log di Cloud DNS per verificare la presenza di connessioni a IP e a domini di comando e controllo noti.
DoS in uscita Event Threat Detection esamina i log di flusso VPC per rilevare il traffico di denial of service in uscita.
Accesso anomalo Event Threat Detection rileva gli accessi anomali esaminando Cloud Audit Logs per le modifiche ai servizi Google Cloud originate da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor.
Comportamento anomalo IAM Event Threat Detection rileva comportamenti anomali di IAM esaminando Cloud Audit Logs per i seguenti scenari:
  • Account utente e di servizio IAM che accedono a Google Cloud da indirizzi IP anomali.
  • Account di servizio IAM che accedono a Google Cloud da agenti utente anomali.
  • Principali e risorse che rubano l'identità di account di servizio IAM per accedere a Google Cloud.
Auto-indagine sull'account di servizio Rilevamento minacce da eventi rileva quando viene utilizzata una credenziale dell'account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Amministratore Compute Engine ha aggiunto una chiave SSH Event Threat Detection rileva una modifica al valore della chiave ssh dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana).
Script di avvio aggiunto dall'amministratore Compute Engine Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana).
Attività dell'account sospette Event Threat Detection rileva potenziali compromissioni degli account Google Workspace esaminando i log di controllo per rilevare attività anomale dell'account, tra cui password trapelate e tentativi di accesso sospetti.
Attacco sostenuto da un governo Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando gli aggressori sostenuti dai governi potrebbero aver tentato di compromettere un account o un computer dell'utente.
Modifiche al Single Sign-On (SSO) Rilevamento minacce da eventi esamina i log di controllo di Google Workspace per rilevare quando l'accessoSSO è disattivato o le impostazioni vengono modificate per gli account amministratore di Google Workspace.
Verifica in due passaggi Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando la verifica in due passaggi è disattivata negli account utente e amministratore.
Comportamento anomalo dell'API Event Threat Detection rileva il comportamento anomalo dell'API esaminando Cloud Audit Logs per individuare richieste ai servizi Google Cloud che un principale non ha mai visto prima.
Evasione della difesa

Event Threat Detection rileva l'elusione della difesa esaminando Cloud Audit Logs per i seguenti scenari:

  • Modifiche ai perimetri esistenti di Controlli di servizio VPC che comporterebbero una riduzione della protezione offerta.
  • Deployment o aggiornamenti dei workload che utilizzano il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.Anteprima
Discovery

Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:

  • Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando kubectl.
  • Viene utilizzata una credenziale dell'account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Accesso iniziale Event Threat Detection rileva le operazioni di accesso iniziali esaminando i log di controllo per i seguenti scenari:
  • Un account di servizio gestito dall'utente inattivo ha attivato un'azione.Anteprima
  • Un entità ha tentato di richiamare vari metodi di Google Cloud, ma non è riuscita ripetutamente a causa di errori di autorizzazione negata.Anteprima
Escalation dei privilegi

Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per i seguenti scenari:

  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo dell'accesso basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
  • Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) del control plane di Kubernetes, che gli consente di accedere con il ruolo cluster-admin.
  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
  • Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
  • Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi.
Rilevamento di Cloud IDS Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando rileva un evento sospetto, attiva un rilevamento di Event Threat Detection. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Cloud IDS Logging. Anteprima
Movimento laterale Event Threat Detection rileva potenziali attacchi al disco di avvio modificato esaminando Cloud Audit Logs per rilevare scollegamento e ricollegamento frequenti del disco di avvio nelle istanze Compute Engine.

Scopri di più su Event Threat Detection.

Google Cloud Armor

Google Cloud Armor contribuisce a proteggere la tua applicazione fornendo il filtro a livello 7. Google Cloud Armor esegue la scansione delle richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle istanze Compute Engine per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

Virtual Machine Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettata per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su Virtual Machine Threat Detection, consulta la panoramica di Virtual Machine Threat Detection.

Risultati delle minacce di VM Threat Detection

VM Threat Detection può generare i seguenti risultati relativi alle minacce.

Risultati relativi alle minacce legate al mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati relativi alle minacce di mining di criptovalute di VM Threat Detection
Categoria Modulo Descrizione
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Confronta gli hash della memoria dei programmi in esecuzione con gli hash della memoria noti del software di mining di criptovalute.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Corrisponde a pattern di memoria, come le costanti proof-of-work, noti per essere utilizzati dal software di mining di criptovalute.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Identifica una minaccia rilevata sia dai moduli CRYPTOMINING_HASH sia da CRYPTOMINING_YARA. Per ulteriori informazioni, vedi Rilevamenti combinati.

Risultati relativi alle minacce di rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni utilizzate dai malware.

Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce eseguendo un confronto di hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando l'integrità di strutture di dati importanti del kernel.

Risultati relativi alle minacce di rootkit in modalità kernel di VM Threat Detection
Categoria Modulo Descrizione
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
È presente una combinazione di indicatori corrispondenti a un rootkit in modalità kernel noto. Per ricevere i risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.
Manomissione della memoria del kernel
Defense Evasion: Unexpected kernel code modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria del codice del kernel.
Defense Evasion: Unexpected kernel read-only data modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
Defense Evasion: Unexpected ftrace handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti punti ftrace con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected interrupt handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori di interruzioni che non si trovano nelle regioni del codice del kernel o del modulo previste.
Defense Evasion: Unexpected kernel modulesAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
Defense Evasion: Unexpected kprobe handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti punti kprobe con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected processes in runqueueAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono nella coda di esecuzione, ma non nell'elenco delle attività di elaborazione.
Defense Evasion: Unexpected system call handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori chiamate di sistema che non si trovano nelle regioni del codice del kernel o del modulo previste.

Errori

I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati di errore vengono generati dalla fonte di sicurezza Security Command Center e hanno la classe di risultato SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.

Azioni involontarie
Nome categoria Nome API Riepilogo Gravità
API disabled API_DISABLED

Descrizione del problema: Un'API richiesta è disattivata per il progetto. Il servizio disattivato non può inviare risultati a Security Command Center.

Livello di prezzo: Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Ricerca batch: ogni 60 ore

Correggi questo risultato

Critico
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrizione del problema: le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece l'insieme di risorse di valore elevato predefinito.

Questo errore può essere causato da una delle seguenti cause:

  • Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa.
  • Una o più configurazioni di valori delle risorse che specificano NONE sostituiscono ogni altra configurazione valida.
  • Tutte le configurazioni dei valori delle risorse definite specificano un valore NONE.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni collettive: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Critico
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrizione del risultato: Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato.

Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dall'insieme sono identificati nel rilevamento SCC Error nella console Google Cloud.

I punteggi di esposizione agli attacchi relativi a eventuali risultati che interessano le istanze di risorse escluse non riflettono la designazione di risorse di alto valore.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni collettive: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descrizione del problema: non è possibile attivare il rilevamento delle minacce ai container nel cluster perché non è possibile estrarre (scaricare) un'immagine container obbligatoria da gcr.io, l'host delle immagini di Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection.

Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrizione del problema: Non è possibile attivare Container Threat Detection su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto DaemonSet Kubernetes richiesto da Container Threat Detection.

Se visualizzati nella console Google Cloud, i dettagli del rilevamento includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del problema: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Il rilevamento minacce dei contenitori potrebbe non funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, disattivata o sottoposta ad upgrade.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del rilevamento: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché al account di servizio predefinito GKE del cluster mancano le autorizzazioni. In questo modo viene impedita l'attivazione di Container Threat Detection sul cluster.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni collettive: ogni settimana

Correggi questo risultato

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrizione del problema: il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare i risultati a Logging.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descrizione del risultato: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro.

Livello di prezzo: Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Ricerca batch: ogni 6 ore

Correggi questo risultato

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del problema: All'account di servizio Security Command Center mancano le autorizzazioni necessarie per il funzionamento corretto. Non vengono prodotti risultati.

Livello di prezzo: Premium o Standard

Asset supportati

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico

Per ulteriori informazioni, consulta Errori di Security Command Center.

Passaggi successivi