Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página contém uma lista das fontes de segurança do Google Cloud disponíveis no
Security Command Center. Quando você ativa uma fonte de segurança, ela fornece
vulnerabilidades e descobertas de ameaças ao Security Command Center.
É possível visualizar as descobertas no Console do Google Cloud e filtrá-las de várias maneiras diferentes, como por tipo de descoberta, tipo de recurso ou recurso específico. Cada fonte de segurança pode fornecer mais filtros para
ajudar você a organizar as descobertas.
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização,
da pasta ou do projeto. A capacidade de
ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do
nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Vulnerabilidades
Os detectores de vulnerabilidades podem ajudar você a encontrar possíveis pontos fracos nos
recursos do Google Cloud.
Painel de postura de segurança do GKE
O painel de postura de segurança do GKE é uma página no
console do Google Cloud que apresenta descobertas úteis e opinativas
sobre possíveis problemas de segurança nos seus clusters do GKE.
Se você ativar qualquer um dos seguintes recursos do painel de postura de segurança
do GKE, verá as descobertas no nível Standard ou Premium
do Security Command Center:
As descobertas exibem informações sobre o problema de segurança e fornecem
recomendações para resolver os problemas nas cargas de trabalho ou nos clusters.
Recomendador IAM
O recomendador do IAM emite recomendações que você pode seguir para melhorar a segurança removendo ou substituindo papéis do IAM de principais quando os papéis contiverem permissões do IAM de que o principal não precisa.
Ativar ou desativar as descobertas do recomendador do IAM
Para ativar ou desativar as descobertas do recomendador do IAM no Security Command Center, siga estas etapas:
Acesse a guia Serviços integrados da página Configurações do Security Command Center no Console do Google Cloud:
Se necessário, role para baixo até a entrada do recomendador do IAM.
À direita da entrada, selecione Ativar ou Desativar.
As descobertas do recomendador do IAM são classificadas como vulnerabilidades.
Para corrigir uma descoberta do recomendador do IAM, expanda a seção a seguir
para ver uma tabela das descobertas do recomendador do IAM.
As etapas de correção para cada descoberta estão incluídas na entrada da tabela.
Detectores de recomendador do IAM
Descobertas do recomendador do IAM
Detector
Resumo
IAM role has excessive permissions
Nome da categoria na API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS
Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário.
Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione Enter. A página do IAM é carregada.
Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
Na coluna Insights de segurança, clique em qualquer recomendação relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir.
Analise a recomendação das ações que podem ser tomadas para resolver o problema.
Clique em Aplicar.
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 24 horas.
Service agent role replaced with basic role
Nome da categoria na API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE
Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietária, Editor ou Espectador do Google Analytics. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.
Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione Enter. A página do IAM é carregada.
Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir.
Analise as permissões em excesso.
Clique em Aplicar.
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 24 horas.
Service agent granted basic role
Nome da categoria na API: SERVICE_AGENT_GRANTED_BASIC_ROLE
Descrição da descoberta: o recomendador do IAM detectou que o agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou
Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.
Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione Enter. A página do IAM é carregada.
Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir.
Analise as permissões em excesso.
Clique em Aplicar.
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 24 horas.
Unused IAM role
Nome da categoria na API: UNUSED_IAM_ROLE
Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel de IAM que não foi usado nos últimos 90 dias.
Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Na seção Próximas etapas dos detalhes de descoberta no console do Google Cloud, copie e cole o URL da página do IAM na barra de endereço do navegador e pressione Enter. A página do IAM é carregada.
Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação vai abrir.
Analise as permissões em excesso.
Clique em Aplicar.
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 24 horas.
Mostrar as descobertas do recomendador do IAM no console
No console do Google Cloud, é possível visualizar as descobertas
emitidas pelo recomendador do IAM na página
Vulnerabilidades,
selecionando a predefinição de consulta do recomendador do IAM ou na página
Descobertas,
selecionando Nome de exibição da origem do painel
Filtros rápidos.
Controlador de Políticas
O Policy Controller permite a aplicação de políticas programáveis
aos clusters do Kubernetes. Essas políticas funcionam como proteções e podem ajudar
com as práticas recomendadas, a segurança e o gerenciamento da conformidade dos clusters e
da frota.
Se você instalar o Policy Controller
e ativar os pacotes CIS Kubernetes Benchmark v1.5.1 ou PCI-DSS v3.2.1
(ou ambos), o Policy Controller gravará automaticamente
violações de cluster no Security Command Center como descobertas de
classe Misconfiguration. A descrição da descoberta e as próximas etapas nas descobertas do Security Command Center
são os mesmos que a descrição da restrição e as etapas de correção
do pacote do Policy Controller correspondente.
As descobertas do Policy Controller vêm dos seguintes pacotes:
PCI-DSS v3.2.1,
um pacote que avalia a conformidade dos recursos do cluster em relação a
alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1.
Também é possível ver informações sobre esse pacote no
repositório do GitHub para pci-dss-v3.
A detecção de vulnerabilidades rápida executa verificações gerenciadas que detectam vulnerabilidades
conhecidas como "N-dia", explorações conhecidas que permitem acesso a dados arbitrários
e execução de código remoto, incluindo credenciais fracas, instalações de software incompletas
e administrador exposto. interfaces do usuário.
Tipos de vulnerabilidade do Security Health Analytics
A verificação de avaliação de vulnerabilidade
gerenciada do Security Health Analytics do Google Cloud pode detectar
automaticamente vulnerabilidades e erros de configuração comuns em:
Cloud Monitoring e Cloud Logging
Compute Engine
Contêineres e redes do Google Kubernetes Engine
Cloud Storage
Cloud SQL
Identity and Access Management (IAM)
Cloud Key Management Service (Cloud KMS)
Cloud DNS
O Security Health Analytics é ativado automaticamente quando você seleciona o
nível Standard ou Premium do Security Command Center. Os detectores de análise de integridade de segurança
monitoram um subconjunto de recursos do
Inventário de recursos do Cloud,
usando verificações em lote, em tempo real e de modo misto.
Para ver uma lista completa dos detectores e descobertas do Security Health Analytics, consulte a página
Descobertas do Security Health Analytics
ou expanda a seção a seguir.
Detectores do Security Health Analytics
Nesta seção, descrevemos os tipos de detectores, os recursos compatíveis, os padrões de
conformidade e os tipos específicos de descoberta de vulnerabilidade que o
Security Health Analytics pode gerar. É possível filtrar as descobertas por nome de detector e
por tipo de descoberta usando a página Vulnerabilidades do Security Command Center no console do Google Cloud. As categorias de descoberta disponíveis incluem:
Descobertas da análise de integridade de segurança por categoria de alto nível
Clique no link para visualizar as descobertas individuais.
O Security Command Center monitora sua conformidade com detectores que são mapeados para os controles de uma ampla variedade de padrões de segurança.
Para cada padrão de segurança compatível,
o Security Command Center
verifica um subconjunto dos controles.
Nos controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os
controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que
descrevem as falhas de controle.
O CIS analisa e certifica os mapeamentos dos
detectores do Security Command Center
para cada versão compatível
do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.
O Security Command Center
adiciona suporte a novas versões e padrões de comparação periodicamente. As versões
mais antigas continuam com suporte, mas são descontinuadas.
Recomendamos que você use o comparativo de mercado ou o padrão compatível mais recente disponível.
Com o
serviço de postura de segurança,
é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e
controles que se aplicam à sua empresa.
Depois de criar uma postura de segurança, monitore
as alterações no ambiente que possam afetar a conformidade da sua empresa.
O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
Tabela 1. Leitor de chave de API
Detector
Resumo
Configurações da verificação de recursos
API key APIs unrestricted
Nome da categoria na API: API_KEY_APIS_UNRESTRICTED
Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver
isso, limite o uso da chave de API para permitir
apenas as APIs necessárias ao aplicativo.
Recupera arestrictions de todas as
chaves de API em um projeto, verificando se
browserKeyRestrictions ,serverKeyRestrictions ,androidKeyRestrictions ouiosKeyRestrictions está definido.
Verificações em tempo real: sim
API key exists
Nome da categoria na API: API_KEY_EXISTS
Descrição da descoberta:
um projeto está usando chaves de API em vez da
autenticação padrão.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica a política de permissão de IAM nos metadados
de recursos para os membros allUsers ou
allAuthenticatedUsers, que concedem acesso público.
Verificações em tempo real: sim
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.
Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
Tabela 4. Verificador de instâncias do Compute
Detector
Resumo
Configurações da verificação de recursos
Confidential Computing disabled
Nome da categoria na API: CONFIDENTIAL_COMPUTING_DISABLED
Como encontrar a descrição:
a Computação confidencial está desativada em uma instância do Compute Engine.
Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "block-project-ssh-keys", "value":
TRUE.
Recursos excluídos das verificações: instâncias
do GKE, job do Dataflow, instância do Windows
Permissões adicionais do IAM:
roles/compute.Viewer
Entradas adicionais: lê metadados do Compute Engine
Verificações em tempo real: não
Compute Secure Boot disabled
Nome da categoria na API: COMPUTE_SECURE_BOOT_DISABLED
Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso
da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits
e bootkits.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se enableSecureBoot está definido como true. Esse detector verifica se os discos anexados são compatíveis com a Inicialização segura e se ela está ativada.
Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
Verificações em tempo real: sim
Compute serial ports enabled
Nome da categoria na API: COMPUTE_SERIAL_PORTS_ENABLED
Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância.
Verifica a propriedade serviceAccounts nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo PROJECT_NUMBER-compute@developer.gserviceaccount.com, indicando a conta de serviço padrão criada pelo Google.
Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
Verificações em tempo real: sim
Disk CMEK disabled
Nome da categoria na API: DISK_CMEK_DISABLED
Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para
ativar Para ver instruções, consulte
Ativar e desativar detectores.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados do disco, para o nome do recurso do seu CMEK.
Recursos excluídos das verificações: discos relacionados a ambientes do Cloud Composer, jobs do Dataflow e instâncias do GKE.
Verificações em tempo real: sim
Disk CSEK disabled
Nome da categoria na API: DISK_CSEK_DISABLED
Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse
detector requer configuração adicional para ativar Para mais instruções, consulte
Detector de casos especiais.
Verifica o campo kmsKeyName no objeto diskEncryptionKey do nome do recurso da sua CSEK.
Recursos excluídos das verificações:
discos do Compute Engine sem a
marca de segurança enforce_customer_supplied_disk_encryption_keys definida como
true
Permissões adicionais do IAM: roles/compute.Viewer
Entradas adicionais: lê metadados do Compute Engine
Verificações em tempo real: sim
Full API access
Nome da categoria na API: FULL_API_ACCESS
Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.
Recupera o campo scopes na propriedade serviceAccounts para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo cloud-platform.
Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
Verificações em tempo real: sim
HTTP load balancer
Nome da categoria na API: HTTP_LOAD_BALANCER
Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Determina se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se ela contém um campo loadBalancingScheme definido como External.
Permissões adicionais do IAM: roles/compute.Viewer
Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas
Verificações em tempo real: sim
IP forwarding enabled
Nome da categoria na API: IP_FORWARDING_ENABLED
Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias.
Verifica se a propriedade canIpForward da instância está definida como true.
Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor
Verificações em tempo real: sim
OS login disabled
Nome da categoria na API: OS_LOGIN_DISABLED
Encontrar descrição: o Login do SO está desativado nesta instância.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica o objeto commonInstanceMetadata.items[] nos metadados do projeto para o par de chave-valor, "key": "enable-oslogin", "value": TRUE.
O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais.
Recursos excluídos das verificações: instâncias do GKE, instâncias relacionadas a jobs do Dataflow
Permissões adicionais do IAM: roles/compute.Viewer
Entradas adicionais: lê metadados do Compute Engine O detector também examina instâncias do Compute Engine no projeto
Verificações em tempo real: não
Public IP address
Nome da categoria na API: PUBLIC_IP_ADDRESS
Como encontrar a descrição: uma instância tem um endereço IP público.
Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se os campos enableIntegrityMonitoring e enableVtpm estão definidos como true. Os campos indicam se a VM protegida está ativada.
Recursos excluídos das verificações: instâncias do GKE e acesso VPC sem servidor
Verificações em tempo real: sim
Weak SSL policy
Nome da categoria na API: WEAK_SSL_POLICY
Como encontrar a descrição: uma instância tem uma política de SSL fraca.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se sslPolicy nos metadados do recurso está vazio ou está usando a
política padrão do Google Cloud e, para o recurso sslPolicies anexado,
se profile está definido como Restricted ou
Modern, minTlsVersion está definido como TLS 1.2 e
customFeatures está vazio ou não contém as seguintes criptografias:
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA.
Permissões adicionais do IAM: roles/compute.Viewer
Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas
Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy
do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER.
Tabela 5. Leitor de contêineres
Detector
Resumo
Configurações da verificação de recursos
Alpha cluster enabled
Nome da categoria na API: ALPHA_CLUSTER_ENABLED
Como encontrar a descrição:
os recursos do cluster Alfa estão ativados para um cluster do GKE.
Verifica a propriedade management de um pool de nós para o par de chave-valor, "key":"autoRepair", "value":true.
Verificações em tempo real: sim
Auto upgrade disabled
Nome da categoria na API: AUTO_UPGRADE_DISABLED
Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
Verifica a propriedade management de um pool de nós para o par de chave-valor, "key":"autoUpgrade", "value":true.
Verificações em tempo real: sim
Binary authorization disabled
Nome da categoria na API: BINARY_AUTHORIZATION_DISABLED
Descrição da descoberta:
a autorização binária está desativada no cluster do GKE ou a
política correspondente está configurada para permitir a implantação de todas as imagens.
Verifica se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas.
Verificações em tempo real: sim
Cluster private Google access disabled
Nome da categoria na API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica a propriedade shieldedNodes do par de chave-valor "enabled":
true.
Verificações em tempo real: sim
COS not used
Nome da categoria na API: COS_NOT_USED
Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.
Verifica o campo networkPolicy da propriedade addonsConfig do par de chave-valor "disabled": true.
Verificações em tempo real: sim
Nodepool boot CMEK disabled
Nome da categoria na API: NODEPOOL_BOOT_CMEK_DISABLED
Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se o escopo de acesso listado na
propriedade config.oauthScopes de um pool de nós
é limitado por uma conta de serviço:
https://www.googleapis.com/auth/devstorage.read_only,
https://www.googleapis.com/auth/logging.write,
ou https://www.googleapis.com/auth/monitoring.
Verificações em tempo real: sim
Pod security policy disabled
Nome da categoria na API: POD_SECURITY_POLICY_DISABLED
Como encontrar a descrição:PodSecurityPolicy está desativada em um cluster do GKE.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica a propriedade podSecurityPolicyConfig
de um cluster para o par de chave-valor,
"enabled": false.
Permissões adicionais do IAM: roles/container.clusterViewer
Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta.
Aviso: o Kubernetes oficialmente suspendeu o PodSecurityPolicy na
versão 1.21.
O PodSecurityPolicy será encerrado na versão 1.25. Para informações
sobre alternativas, consulte Suspensão de uso de PodSecurityPolicy.
Verificações em tempo real: não
Private cluster disabled
Nome da categoria na API: PRIVATE_CLUSTER_DISABLED
Descrição da descoberta: um cluster privado do GKE está desativado.
Verifica se a propriedade workloadIdentityConfig de um cluster está definida. O detector também verifica se a propriedade workloadMetadataConfig de um pool de nós está definida como GKE_METADATA.
Permissões adicionais do IAM: roles/container.clusterViewer
Verificações em tempo real: sim
Descobertas de vulnerabilidades do Dataproc
As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao
tipo de detector DATAPROC_SCANNER.
Tabela 6. Verificação do Dataproc
Detector
Resumo
Configurações da verificação de recursos
Dataproc CMEK disabled
Nome da categoria na API: DATAPROC_CMEK_DISABLED
Descrição da descoberta: um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles.
Esse detector requer configuração adicional para ativar. Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se o campo kmsKeyName na propriedade encryptionConfiguration está vazio.
Verificações em tempo real: sim
Dataproc image outdated
Nome da categoria na API: DATAPROC_IMAGE_OUTDATED
Como encontrar a descrição:
um cluster do Dataproc foi criado com uma versão de imagem do Dataproc
que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2
(CVE-2021-44228
e CVE-2021-45046).
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica se o campo softwareConfig.imageVersion na propriedade
config
de um Cluster é anterior a 1.3.95 ou é uma versão de imagem menor anterior
que 1.4.77, 1.5.53 ou 2.0.27.
Verificações em tempo real: sim
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.
Tabela 7. Leitor de conjunto de dados
Detector
Resumo
Configurações da verificação de recursos
BigQuery table CMEK disabled
Nome da categoria na API: BIGQUERY_TABLE_CMEK_DISABLED
Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se o campo kmsKeyName na propriedade encryptionConfiguration está vazio.
Verificações em tempo real: sim
Dataset CMEK disabled
Nome da categoria na API: DATASET_CMEK_DISABLED
Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se o objeto defaultKeySpecs.algorithm da propriedade dnssecConfig está definido como rsasha1.
Verificações em tempo real: sim
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER.
Tabela 9. Leitor de firewall
Detector
Resumo
Configurações da verificação de recursos
Egress deny rule not set
Nome da categoria na API: EGRESS_DENY_RULE_NOT_SET
Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade destinationRanges no firewall está definida como
0.0.0.0/0 e se a propriedade denied contém o par de chave-valor,
"IPProtocol": "all".
Entradas adicionais: lê firewalls de saída de um projeto do armazenamento.
Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall
Firewall rule logging disabled
Nome da categoria na API: FIREWALL_RULE_LOGGING_DISABLED
Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede
Verifica as propriedades sourceRanges e allowed para uma das duas
configurações:
A propriedade sourceRanges contém 0.0.0.0/0, e a
propriedade allowed contém uma combinação de regras que inclui qualquer
protocol ou protocol:port, exceto:
icmp
tcp:22
tcp:443
tcp:3389
udp:3389
sctp:22
A propriedade sourceRanges contém uma combinação de intervalos de IP que
inclui qualquer endereço IP não particular, e a propriedade allowed contém uma
combinação de regras que permitem todas as portas tcp ou todas as portas udp.
Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:23.
Verificações em tempo real: sim
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER.
Tabela 10. Leitor do IAM
Detector
Resumo
Configurações da verificação de recursos
Access Transparency disabled
Nome da categoria na API: ACCESS_TRANSPARENCY_DISABLED
Descrição da descoberta: a Transparência no acesso do Google Cloud está desativada para sua organização. Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê.
Verifica se sua organização tem a Transparência no acesso ativada.
Verificações em tempo real: não
Admin service account
Nome da categoria na API: ADMIN_SERVICE_ACCOUNT
Como encontrar a descrição:
uma conta de serviço tem os privilégios de Administrador,
Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.
Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem roles/Owner ou roles/Editor, ou um código de papel que contém admin.
Recursos excluídos das verificações: conta de serviço do
Container Registry
(containerregistry.iam.gserviceaccount.com)
e conta de serviço do Security Command Center
(security-center-api.iam.gserviceaccount.com)
Verificações em tempo real: sim, a menos que a atualização do IAM
seja feita em uma pasta
Essential Contacts Not Configured
Nome da categoria na API: ESSENTIAL_CONTACTS_NOT_CONFIGURED
Descrição da descoberta: sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud. Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios.
Verifica se um contato foi especificado para as categorias de contato essencial a seguir:
Ofício
Segurança
Suspensão
Benefícios técnicos
Verificações em tempo real: não
KMS role separation
Nome da categoria na API: KMS_ROLE_SEPARATION
Como encontrar a descrição:
a separação de tarefas não é aplicada e existe um usuário
que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS)
ao mesmo tempo: Criptografador/Descriptografador de CryptoKey,
Criptografador ou Descriptografador.
Essa descoberta não está disponível para ativações no nível do projeto.
Verifica as políticas de permissão do IAM nos metadados do recurso
e recupera os principais atribuídos a qualquer um dos seguintes
papéis ao mesmo tempo:
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer,
roles/cloudkms.signerVerifier,
roles/cloudkms.publicKeyViewer.
Verificações em tempo real: sim
Non org IAM member
Nome da categoria na API: NON_ORG_IAM_MEMBER
Encontrando descrição:
há um usuário que não está usando credenciais
organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente
apenas identidades com endereços de e-mail @gmail.com
acionam esse detector.
Compara os endereços de e-mail @gmail.com no campo
user nos metadados da política de permissão do IAM com uma lista de identidades aprovadas para sua
organização.
Verificações em tempo real: sim
Open group IAM member
Nome da categoria na API: OPEN_GROUP_IAM_MEMBER
Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica a política
de IAM nos metadados de
recursos para verificar se há vinculações
contendo um membro (principal) que tenha o prefixo group. Se o
grupo for aberto, o Security Health Analytics gerará essa descoberta.
Entradas adicionais: lê
os metadados do Grupos
do Google para verificar se o grupo identificado é aberto.
Verificações em tempo real: não
Over privileged service account user
Nome da categoria na API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
Como encontrar a descrição:
um usuário tem o papel Usuário da conta de serviço ou
Criador de token da conta de serviço para
envolvidos no projeto, em vez de para uma conta de serviço específica.
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro atribuído
roles/iam.serviceAccountUser ou
roles/iam.serviceAccountTokenCreator no
nível do projeto.
Recursos excluídos das verificações: contas de serviço do Cloud Build
Verificações em tempo real: sim
Primitive roles used
Nome da categoria na API: PRIMITIVE_ROLES_USED
Descrição da descoberta:
um usuário tem um destes papéis básicos:
Proprietário (roles/owner)
Editor (roles/editor)
Leitor (roles/viewer)
Esses papéis são muito permissivos e não devem ser usados.
Verifica a política de permissão do IAM nos metadados de
recursos para membros atribuídos a
roles/redis.admin,
roles/redis.editor,
roles/redis.viewer na organização ou no
nível da pasta.
Verificações em tempo real: sim
Service account role separation
Nome da categoria na API: SERVICE_ACCOUNT_ROLE_SEPARATION
Como encontrar a descrição:
um usuário recebeu os papéis Administrador da conta de serviço e
Usuário da conta de serviço. Isso
viola o princípio de "Separação de tarefas".
Essa descoberta não está disponível para ativações no nível do projeto.
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro com
roles/iam.serviceAccountUser e
roles/iam.serviceAccountAdmin atribuídos.
Verificações em tempo real: sim
Service account key not rotated
Nome da categoria na API: SERVICE_ACCOUNT_KEY_NOT_ROTATED
Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias.
Verifica se a propriedade keyType nos metadados da chave da conta de serviço está definida como User_Managed.
Verificações em tempo real: sim
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER.
Tabela 11. Leitor do KMS
Detector
Resumo
Configurações da verificação de recursos
KMS key not rotated
Nome da categoria na API: KMS_KEY_NOT_ROTATED
Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias
Verifica os metadados do recurso para a existência de propriedades rotationPeriod ou nextRotationTime.
Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas
Verificações em tempo real: sim
KMS project has owner
Nome da categoria na API: KMS_PROJECT_HAS_OWNER
Como encontrar a descrição:
um usuário tem permissões de Proprietário em um projeto que tem
chaves criptográficas.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica a política de permissão de IAM nos metadados
de recursos para os membros allUsers ou
allAuthenticatedUsers, que concedem acesso público.
Verificações em tempo real: sim
Too many KMS users
Nome da categoria na API: TOO_MANY_KMS_USERS
Como encontrar a descrição: há mais de três usuários de chaves criptográficas.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica políticas de permissão do IAM para keyrings,
projetos e organizações e recupera principais com
papéis que permitem que eles criptografem, descriptografem ou assinem dados
usando as chaves do Cloud KMS: roles/owner,
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter,
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier.
Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de permissão de IAM do conjunto de chaves, projetos e organizações do armazenamento
Verificações em tempo real: sim
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER.
Tabela 12. Leitor de geração de registros
Detector
Resumo
Configurações da verificação de recursos
Audit logging disabled
Nome da categoria na API: AUDIT_LOGGING_DISABLED
Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso.
Essa descoberta não está disponível para ativações no nível do projeto.
Verifica se o campo logBucket, na
propriedade logging do bucket, está vazio.
Verificações em tempo real: sim
Locked retention policy not set
Nome da categoria na API: LOCKED_RETENTION_POLICY_NOT_SET
Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se o campo isLocked, na
propriedade retentionPolicy do bucket, está definido como
true.
Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
Verificações em tempo real: sim
Log not exported
Nome da categoria na API: LOG_NOT_EXPORTED
Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Recupera um objeto logSink em um projeto, verificando se o campo includeChildren está definido como true, o campo destination inclui o local para gravar registros, e o campo filter é preenchido.
Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização
Object versioning disabled
Nome da categoria na API: OBJECT_VERSIONING_DISABLED
Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se o campo enabled, na
propriedade versioning do bucket, está definido como
true.
Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada
Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:
O RecommendedLogFilter a ser usado na criação das métricas de registro.
O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
Os AlertPolicyFailureReasons que indicam se o projeto não tem políticas de alertas criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alertas atuais não têm as configurações recomendadas.
Tabela 13. Leitor de monitoramento
Detector
Resumo
Configurações da verificação de recursos
Audit config not monitored
Nome da categoria na API: AUDIT_CONFIG_NOT_MONITORED
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global ,
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Bucket IAM not monitored
Nome da categoria na API: BUCKET_IAM_NOT_MONITORED
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Custom role not monitored
Nome da categoria na API: CUSTOM_ROLE_NOT_MONITORED
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Firewall not monitored
Nome da categoria na API: FIREWALL_NOT_MONITORED
Como encontrar a descrição:
as métricas e os alertas de registro não estão configurados para monitorar
alterações na regra de firewall da rede de nuvem privada virtual (VPC).
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Network not monitored
Nome da categoria na API: NETWORK_NOT_MONITORED
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Owner not monitored
Nome da categoria na API: OWNER_NOT_MONITORED
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global.
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Route not monitored
Nome da categoria na API: ROUTE_NOT_MONITORED
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
SQL instance not monitored
SQL_INSTANCE_NOT_MONITORED
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global.
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
Permissões adicionais do IAM:
roles/monitoring.alertPolicyViewer
Entradas adicionais: lê métricas de registro para o projeto do armazenamento.
Lê as informações da conta de observabilidade do
Google Cloud, registrando apenas descobertas de
projetos com contas ativas
Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas
Descobertas da autenticação multifator
O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.
Tabela 14. Verificador de autenticação multifator
Detector
Resumo
Configurações da verificação de recursos
MFA not enforced
Nome da categoria na API: MFA_NOT_ENFORCED
Há usuários que não estão usando a verificação em duas etapas.
O Google Workspace permite especificar um período de carência de inscrição para novos usuários
em que eles precisam se inscrever na verificação em duas etapas. Esse detector cria descobertas para
os usuários durante o período de carência da inscrição.
Essa descoberta não está disponível para ativações no nível do projeto.
Avalia políticas de gerenciamento de identidade em organizações
e configurações de usuários para contas gerenciadas no Cloud Identity.
Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política
Entradas adicionais: lê dados do Google Workspace.
Verificações em tempo real: não
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER.
Tabela 15. Leitor de rede
Detector
Resumo
Configurações da verificação de recursos
Default network
Nome da categoria na API: DEFAULT_NETWORK
Como encontrar a descrição: a rede padrão existe em um projeto.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade name nos metadados da rede está definida como default
Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
Verificações em tempo real: sim
DNS logging disabled
Nome da categoria na API: DNS_LOGGING_DISABLED
Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica todos os policies associados
a uma rede VPC pelo campo networks[].networkUrl
e procura pelo menos uma política que tenha enableLogging
definido como true.
Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
Verificações em tempo real: sim
Legacy network
Nome da categoria na API: LEGACY_NETWORK
Como encontrar a descrição: há uma rede legada em um projeto.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Verifica se a propriedade enableLogging do serviço de back-end no balanceador de carga está definida como true.
Verificações em tempo real: sim
Descobertas da vulnerabilidade da política da organização
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.
Tabela 16. Verificador de políticas da organização
Detector
Resumo
Configurações da verificação de recursos
Org policy Confidential VM policy
Nome da categoria na API: ORG_POLICY_CONFIDENTIAL_VM_POLICY
Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte
Como aplicar restrições de políticas da organização na documentação da VM confidencial.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica se a propriedade enableConfidentialCompute de uma instância do Compute Engine está definida como true.
Recursos excluídos das verificações: instâncias do GKE
Permissões adicionais do IAM:
permissions/orgpolicy.policy.get
Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
Verificações em tempo real: não
Org policy location restriction
Nome da categoria na API: ORG_POLICY_LOCATION_RESTRICTION
Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos.
2 Como os jobs de importação do Cloud KMS têm um ciclo de vida
controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado
fora da região se o job expirar e não puder mais ser usado para importar
chaves.
3 Como o ciclo de vida dos jobs
do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois
de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais
usados para processar dados.
Descobertas de vulnerabilidades do Pub/Sub
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub
e pertencem ao tipo PUBSUB_SCANNER.
Tabela 17. Verificador do Pub/Sub
Detector
Resumo
Configurações da verificação de recursos
Pubsub CMEK disabled
Nome da categoria na API: PUBSUB_CMEK_DISABLED
Como encontrar a descrição:
um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK).
Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se a
propriedade automated_backup_policy.enabled nos metadados de um
cluster do AlloyDB para PostgreSQL está definida como true.
Recursos excluídos das verificações: clusters secundários do AlloyDB para PostgreSQL
Verificações em tempo real: sim
AlloyDB log min error statement severity
Nome da categoria na API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY
Descrição da descoberta:
a sinalização do banco de dados log_min_error_statement para uma instância do AlloyDB para PostgreSQL
não está definida como error ou outro valor recomendado.
Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o campo log_min_error_statement da propriedade databaseFlags não estiver definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning ou o valor padrão error.
Verificações em tempo real: sim
AlloyDB log min messages
Nome da categoria na API: ALLOYDB_LOG_MIN_MESSAGES
Descrição da descoberta:
a sinalização do banco de dados log_min_messages para uma instância do AlloyDB para PostgreSQL
não está definida como warning ou outro valor recomendado.
Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o
campo log_min_messages da propriedade databaseFlags não estiver
definido como um dos seguintes valores:
debug5, debug4, debug3,
debug2, debug1, info,
notice ou o valor padrãowarning.
Verificações em tempo real: sim
AlloyDB log error verbosity
Nome da categoria na API: ALLOYDB_LOG_ERROR_VERBOSITY
Descrição da descoberta:
a sinalização do banco de dados log_error_verbosity para uma instância do AlloyDB para PostgreSQL
não está definida como default ou outro valor recomendado.
Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o campo log_error_verbosity da propriedade databaseFlags não estiver definido como um dos seguintes valores: verbose ou o valor padrão default.
Verificações em tempo real: sim
Auto backup disabled
Nome da categoria na API: AUTO_BACKUP_DISABLED
Descrição da descoberta:
um banco de dados do Cloud SQL não tem backups
automáticos ativados.
Verifica se a propriedade sslMode da instância do Cloud SQL está definida para um modo SSL aprovado, ENCRYPTED_ONLY ou TRUSTED_CLIENT_CERTIFICATE_REQUIRED.
Verificações em tempo real: sim
SQL CMEK disabled
Nome da categoria na API: SQL_CMEK_DISABLED
Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com
chaves de criptografia gerenciadas pelo cliente (CMEK). Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Verifica o campo kmsKeyName no
objeto diskEncryptionKey, nos metadados da instância,
para o nome do recurso da CMEK.
Verificações em tempo real: sim
SQL contained database authentication
Nome da categoria na API: SQL_CONTAINED_DATABASE_AUTHENTICATION
Como encontrar a descrição:
a sinalização do banco de dados contained database authentication para
uma instância do Cloud SQL para SQL Server não está definida como off.
Verifica a propriedade databaseFlags dos metadados da instância para o
par de chave-valor, "name": "contained database
authentication", "value": "on" ou se
está ativado por padrão.
Verificações em tempo real: sim
SQL cross DB ownership chaining
Nome da categoria na API: SQL_CROSS_DB_OWNERSHIP_CHAINING
Descoberta de localização:
a sinalização do banco
de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como
off.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "cross_db_ownership_chaining", "value":
"on".
Verificações em tempo real: sim
SQL external scripts enabled
Nome da categoria na API: SQL_EXTERNAL_SCRIPTS_ENABLED
Descoberta de localização:
a sinalização do banco
de dados external scripts enabled para uma instância do Cloud SQL para SQL Server não está definida como
off.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "log_connections", "value":
"on".
Verificações em tempo real: sim
SQL log disconnections disabled
Nome da categoria na API: SQL_LOG_DISCONNECTIONS_DISABLED
Descoberta de localização:
a sinalização do banco de dados log_disconnections para uma
instância do Cloud SQL para PostgreSQL não está definida como on.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "log_duration", "value":
"on".
Verificações em tempo real: sim
SQL log error verbosity
Nome da categoria na API: SQL_LOG_ERROR_VERBOSITY
Descrição da descoberta: a sinalização do banco de dados log_error_verbosity de uma instância do Cloud SQL para PostgreSQL não está definida como default ou verbose.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "log_lock_waits", "value":
"on".
Verificações em tempo real: sim
SQL log min duration statement enabled
Nome da categoria na API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
Como encontrar a descrição:
a sinalização do banco de dados log_min_duration_statement para uma
instância do Cloud SQL para PostgreSQL não está definida como
"-1".
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "log_min_duration_statement", "value":
"-1".
Verificações em tempo real: sim
SQL log min error statement
Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT
Encontrando descrição
a sinalização do banco de dados log_min_error_statement para uma
instância do Cloud SQL para PostgreSQL não está
definida corretamente.
Verifica se o campo log_min_error_statement
da propriedade databaseFlags está definido como
um dos seguintes valores:
debug5, debug4, debug3,
debug2, debug1, info,
notice, warning ou o valor
padrão error.
Verificações em tempo real: sim
SQL log min error statement severity
Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
Descrição da descoberta:
a sinalização do banco de dados log_min_error_statement para uma
instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.
Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido com um dos seguintes valores: error, log, fatal ou panic.
Verificações em tempo real: sim
SQL log min messages
Nome da categoria na API: SQL_LOG_MIN_MESSAGES
Descrição da descoberta:
a sinalização de banco de dados log_min_messages de uma instância
do Cloud SQL para PostgreSQL não está definida como warning ou outro valor recomendado.
Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o
campo log_min_messages da propriedade databaseFlags não estiver
definido como um dos seguintes valores:
debug5, debug4, debug3,
debug2, debug1, info,
notice ou o valor padrãowarning.
Verificações em tempo real: sim
SQL log executor stats enabled
Nome da categoria na API: SQL_LOG_EXECUTOR_STATS_ENABLED
Como encontrar a descrição:
a sinalização de banco de dados log_executor_stats para uma
instância do Cloud SQL para PostgreSQL não está definida como
off.
Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_hostname está definida como on.
Verificações em tempo real: sim
SQL log parser stats enabled
Nome da categoria na API: SQL_LOG_PARSER_STATS_ENABLED
Como encontrar a descrição:
a sinalização de banco de dados log_parser_stats para uma
instância do Cloud SQL para PostgreSQL não está definida como
off.
Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_parser_stats está definida como on.
Verificações em tempo real: sim
SQL log planner stats enabled
Nome da categoria na API: SQL_LOG_PLANNER_STATS_ENABLED
Como encontrar a descrição:
a sinalização de banco de dados log_planner_stats para uma
instância do Cloud SQL para PostgreSQL não está definida como
off.
Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_planner_stats está definida como on.
Verificações em tempo real: sim
SQL log statement
Nome da categoria na API: SQL_LOG_STATEMENT
Como encontrar a descrição: a sinalização do banco de dados log_statement para uma instância do Cloud SQL para PostgreSQL não está definida como ddl (todas as instruções de definição de dados).
Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_statement está definida como ddl.
Verificações em tempo real: sim
SQL log statement stats enabled
Nome da categoria na API: SQL_LOG_STATEMENT_STATS_ENABLED
Como encontrar a descrição:
a sinalização de banco de dados log_statement_stats para uma
instância do Cloud SQL para PostgreSQL não está definida como
off.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "log_temp_files", "value":
"0".
Verificações em tempo real: sim
SQL no root password
Nome da categoria na API: SQL_NO_ROOT_PASSWORD
Descrição da descoberta: um banco de dados do Cloud SQL que tem
um endereço IP público não tem uma
senha configurada para a conta raiz. Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Verifica a propriedade databaseFlags dos metadados da instância para o par de
chave-valor "name": "user options", "value":
"" (vazio).
Verificações em tempo real: sim
SQL weak root password
Nome da categoria na API: SQL_WEAK_ROOT_PASSWORD
Descrição da descoberta: um banco de dados do Cloud SQL que tem
um endereço IP público também tem uma senha fraca
configurada para a conta raiz. Esse
detector requer configuração adicional para ativar Para ver instruções, consulte
Ativar e desativar detectores.
Esta categoria de descoberta não está associada a nenhum controle padrão de compliance.
Compara a senha da conta raiz do banco de dados do
Cloud SQL com uma lista de senhas
comuns.
Permissões adicionais do IAM:
roles/cloudsql.client
Entradas adicionais: consulta instâncias ativas
Verificações em tempo real: não
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER.
Tabela 19. Leitor de armazenamento
Detector
Resumo
Configurações da verificação de recursos
Bucket CMEK disabled
Nome da categoria na API: BUCKET_CMEK_DISABLED
Descrição da descoberta: um bucket não é criptografado com chaves de criptografia
gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para
instruções, consulte
Ativar e desativar detectores.
Verifica se a propriedade enableFlowLogs
das sub-redes do Compute Engine está ausente ou definida como
false.
Recursos excluídos das verificações:
acesso VPC sem servidor, sub-redes do balanceador de carga
Verificações em tempo real: sim
Flow logs settings not recommended
Nome da categoria na API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Descrição da descoberta: em uma sub-rede VPC, os registros de fluxo de VPC estão desativados ou não estão configurados de acordo com as recomendações do comparativo de mercado CIS 1.3.
Esse detector requer configuração adicional para ativar. Para ver instruções, consulte
Ativar e desativar detectores.
Verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.
Quando os registros de fluxo de VPC estão ativados, verifica a propriedade Aggregation Interval definida como 5 SEC, o Include metadata definido como true, o Sample rate como 100%.
Recursos excluídos das verificações:
acesso VPC sem servidor, sub-redes do balanceador de carga
Verificações em tempo real: sim
Private Google access disabled
Nome da categoria na API: PRIVATE_GOOGLE_ACCESS_DISABLED
Descrição da descoberta:
há sub-redes particulares sem acesso às APIs públicas do
Google.
Verifica se a propriedade privateIpGoogleAccess
das sub-redes do Compute Engine está definida como
false.
Verificações em tempo real: sim
Serviço de postura de segurança
O serviço de postura de segurança é integrado ao nível Premium do Security Command Center e permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. Ele fornece informações sobre como seu ambiente se alinha com as políticas que você define em sua postura de segurança.
O serviço de postura de segurança não está relacionado ao painel de postura de
segurança do GKE, que mostra apenas descobertas em clusters
do GKE.
Descobertas do serviço de postura de segurança
Descobertas de postura de segurança
Localizando
Resumo
SHA Canned Module Drifted
Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT
Descrição da descoberta:o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as configurações do detector na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector da Análise de integridade da segurança ou atualizar a postura e a implantação dela.
Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console do Google Cloud. Para mais instruções, consulte Ativar e desativar detectores.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT
Descrição da descoberta:o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a mudança ou a reverta para que as configurações do módulo personalizado na sua postura sejam iguais às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação dela.
Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para conferir instruções, consulte Atualizar um módulo personalizado.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DELETE
Descrição da descoberta:o serviço de postura de segurança detectou que um módulo personalizado
da Análise de integridade da segurança foi excluído. Esta exclusão ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a mudança ou a reverta para que as configurações do módulo personalizado na sua postura sejam iguais às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação dela.
Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para conferir instruções, consulte Atualizar um módulo personalizado.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT
Descrição da descoberta:
o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições de política da organização na sua postura correspondam ao ambiente. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela.
Para reverter a alteração, atualize a política da organização no console do Google Cloud. Consulte as instruções em Como criar e editar políticas.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE
Descrição da descoberta:
o serviço de postura de segurança detectou que uma política da organização foi excluída. Esta exclusão ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições de política da organização na sua postura correspondam ao ambiente. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela.
Para reverter a alteração, atualize a política da organização no console do Google Cloud. Consulte as instruções em Como criar e editar políticas.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT
Descrição da descoberta:
o serviço de postura de segurança detectou uma mudança em uma política da organização personalizada que ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições da política personalizada da organização na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação dela.
Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE
Descrição da descoberta:
o serviço de postura de segurança detectou que uma política da organização personalizada foi excluída. Esta exclusão ocorreu fora de uma atualização de postura.
Essa descoberta exige que você aceite a alteração ou reverta a alteração para que as definições da política personalizada da organização na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação dela.
Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada.
Para aceitar a mudança, siga estas etapas:
Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar uma postura.
A proteção de dados confidenciais é um serviço do Google Cloud totalmente gerenciado que ajuda a
descobrir, classificar e proteger dados confidenciais. É possível usar a proteção de dados confidenciais para determinar se você está armazenando informações confidenciais ou de identificação pessoal (PII), como estas:
Nomes pessoais
Números de cartões de crédito
Números de identificação nacionais ou estaduais
Números de identificação de seguro de saúde
Secrets
Na Proteção de dados confidenciais, cada tipo de dados confidenciais que você pesquisa é chamado
de infoType.
Se você configurar a operação de proteção de dados confidenciais para enviar
resultados ao Security Command Center, poderá acessar as descobertas diretamente na
seção Security Command Center do console do Google Cloud, além da seção de
Proteção de dados confidenciais.
Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais
O serviço de descoberta da proteção de dados confidenciais ajuda a determinar
se as variáveis de ambiente do Cloud Functions contêm secrets, como
senhas, tokens de autenticação e credenciais do Google Cloud. Para acessar a lista completa
de tipos de secrets que a proteção de dados confidenciais detecta nesse recurso,
consulte Credenciais e secrets.
Tipo de descoberta
Descrição da descoberta
Padrões de compliance
Secrets in environment variables
Nome da categoria na API: SECRETS_IN_ENVIRONMENT_VARIABLES
Esse detector verifica secrets nas variáveis de ambiente do Cloud Functions.
A partir do momento em que você ativa a descoberta de secrets na proteção de dados confidenciais,
pode levar até 12 horas para a verificação inicial de variáveis de ambiente ser
concluída. Em seguida, a proteção de dados confidenciais verifica as variáveis de ambiente
a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.
Descobertas de observação da proteção de dados confidenciais
Nesta seção, descrevemos as descobertas de observação geradas pela proteção de dados confidenciais no Security Command Center.
Descobertas de observação do serviço de descoberta
O serviço de descoberta da proteção de dados confidenciais ajuda a determinar se os dados do BigQuery contêm infoTypes específicos e onde eles residem na organização, nas pastas e nos projetos.
Uma operação de descoberta gera perfis dos dados subjacentes do BigQuery nos níveis de projeto, tabela e coluna. Cada perfil de dados da tabela gera as seguintes categorias de descoberta no Security Command Center:
Data sensitivity
Uma indicação do nível de confidencialidade dos dados em uma tabela específica.
Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk
Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados confidenciais considera o nível de confidencialidade dos dados na tabela e a presença de controles de acesso para protegê-los. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.
Quando a proteção de dados confidenciais gera os perfis de dados, pode
levar até seis horas para que as descobertas de Data sensitivity e Data risk
associadas apareçam no Security Command Center.
Para informações sobre como enviar resultados de perfil de dados para o Security Command Center, consulte uma das seguintes opções:
Descobertas de observação do serviço de inspeção de proteção de dados confidenciais
Um job de inspeção de proteção de dados confidenciais identifica cada instância de dados de um infoType específico em um sistema de armazenamento, como um bucket do Cloud Storage ou uma tabela do BigQuery. Por exemplo, é possível executar um job de inspeção que procure todas as strings que correspondem ao detector de infoType CREDIT_CARD_NUMBER em um bucket do Cloud Storage.
Para cada detector de infoType que tem uma ou mais correspondências, a proteção de dados confidenciais gera uma descoberta correspondente do Security Command Center. A categoria de descoberta é
o nome do detector de infoType que teve uma correspondência, por exemplo, Credit
card number. A descoberta inclui o número de strings correspondentes que foram
detectadas no texto ou nas imagens do recurso.
Por motivos de segurança, as strings reais detectadas não são incluídas na
descoberta. Por exemplo, uma descoberta de Credit card number mostra quantos números de cartão de crédito foram encontrados, mas não os reais.
Como há mais de 150 detectores de infoType integrados na proteção de dados confidenciais, todas as categorias de descoberta possíveis do Security Command Center não estão listadas aqui. Para uma lista completa de detectores de infoType, consulte Referência
de detectores de infoType.
Selecione a organização ou o projeto do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Proteção de dados confidenciais.
A tabela é preenchida com as descobertas da proteção de dados confidenciais.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em
Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
VM Manager
O VM Manager é um conjunto de ferramentas que
podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs)
que executam o Windows e o Linux no Compute Engine.
Para usar o VM Manager com ativações em nível de projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.
Se você ativar o VM Manager com
o nível Premium do Security Command Center, ele
gravará automaticamente as descobertas high e critical dos relatórios de vulnerabilidade, que
estão em pré-lançamento, no Security Command Center. Os relatórios identificam vulnerabilidades em
sistemas operacionais (SO) instalados em VMs, incluindo Vulnerabilidades e
exposições Comuns (CVEs, na sigla em inglês).
Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.
As descobertas simplificam o processo de uso do recurso Conformidade
com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de
patches no nível da organização em
todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento
de patches no nível do projeto único.
As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas.
Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:
Para a maioria das vulnerabilidades no pacote do SO instalado, a API OS Config
gera um relatório de vulnerabilidade alguns minutos após a alteração.
Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a
quatro horas após a publicação da CVE no SO.
Web Security Scanner
O Web Security Scanner
fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos
da Web públicos do App Engine, GKE e do
Compute Engine.
Verificações gerenciadas
As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo
Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e
verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam
solicitações somente GET para que não enviem formulários em sites ativos.
As verificações gerenciadas são executadas separadamente das verificações personalizadas.
Se o Security Command Center estiver ativado no nível da organização,
é possível usar verificações gerenciadas para gerenciar de maneira centralizada a detecção de vulnerabilidades
de aplicativos da Web básicos em projetos da organização, sem precisar
envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe
com essas equipes para configurar verificações personalizadas mais abrangentes.
Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são
disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e
nos relatórios relacionados. Para ver informações sobre como ativar as verificações gerenciadas
do Web Security Scanner, consulte Como configurar o Security Command Center.
As verificações gerenciadas são compatíveis apenas com aplicativos que usam a porta padrão, que é 80
para conexões HTTP e 443 para conexões HTTPS. Se o aplicativo usar
uma porta não padrão, faça uma verificação personalizada.
Verificações personalizadas
As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre
descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre
sites ou uso de conteúdo misto.
As verificações personalizadas são definidas no nível do projeto.
O Web Security Scanner é compatível com categorias do
OWASP Top 10,
um documento que classifica e fornece orientações de correção para os 10 riscos
mais críticos de segurança de aplicativos da Web, conforme determinado pelos Open Web
Application Security Project (OWASP). Para orientações sobre como reduzir os riscos do OWASP,
consulte As 10 principais opções de mitigação do OWASP no Google Cloud.
O mapeamento de conformidade está incluído para referência e não é fornecido ou revisado
pela OWASP Foundation.
Essa funcionalidade destina-se apenas ao monitoramento de violações
de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como
substitutos para a auditoria, certificação ou relatório de conformidade dos
produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.
As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas.
No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos
implantados com URLs e IPs públicos que não estão atrás de um firewall.
Categoria
Descrição da descoberta
10 principais OWASP de 2017
10 principais OWASP de 2021
Accessible Git repository
Nome da categoria na API: ACCESSIBLE_GIT_REPOSITORY
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova
o acesso público não intencional ao repositório do GIT.
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para
resolver isso, criptografe a senha transmitida pela
rede.
Nome da categoria na API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION
Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa
descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio,
inclua o ponto no domínio raiz, por exemplo, .endsWith(".google.com").
Nome da categoria na API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION
Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa
descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo,
.equals(".google.com").
Um recurso foi carregado e ele não corresponde ao cabeçalho
HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options
com o valor correto.
Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso,
defina os cabeçalhos de segurança HTTP corretamente.
Nome da categoria na API: MISMATCHING_SECURITY_HEADER_VALUES
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em
comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP
corretamente.
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa
descoberta, faça upgrade das bibliotecas para uma versão mais recente.
Nome da categoria na API: SERVER_SIDE_REQUEST_FORGERY
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma
lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web podem fazer solicitações.
Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário
no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de recebimento acesso
ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.
Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use
consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
Nome da categoria na API: STRUTS_INSECURE_DESERIALIZATION
Foi detectado o uso de uma versão vulnerável do Apache
Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
Um campo nesse aplicativo da Web é vulnerável a um ataque
de scripting em vários locais (XSS). Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para
resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário
e manipulados pelo framework Angular.
Um campo neste aplicativo da Web é vulnerável a um ataque
de scripting em vários locais. Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Nome da categoria na API: XXE_REFLECTED_FILE_LEAKAGE
Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web
vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir
entidades externas.
Os detectores de ameaças ajudam você a encontrar eventos potencialmente nocivos.
Detecção de anomalias
A detecção de anomalias é um serviço integrado que usa sinais
de comportamento fora do seu sistema. Ela exibe informações granulares sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas. A detecção de anomalias é
ativada automaticamente quando você ativa o nível Standard ou
Premium do Security Command Center e as descobertas estão disponíveis no console do Google Cloud.
As credenciais de uma conta de serviço do Google Cloud são vazadas on-line ou comprometidas.
Gravidade: crítica
A conta vazou credenciais
O GitHub notificou o Security Command Center de que as credenciais usadas para uma confirmação parecem ser as credenciais para uma conta de serviço do Google Cloud Identity and Access Management.
O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e
alertar você no Security Command Center e, opcionalmente, no Cloud Logging.
O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise
e uma API.
A instrumentação de detecção do Container Threat Detection coleta comportamentos de baixo nível no
kernel convidado e executa o processamento de linguagem natural em scripts para detectar os
seguintes eventos:
O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ele observa
o stream do Cloud Logging dos projetos e consome
os registros à medida que são disponibilizados. Quando uma ameaça é detectada, o Event Threat Detection
grava uma descoberta no Security Command Center e em um projeto do Cloud Logging.
O Event Threat Detection é ativado automaticamente quando você ativa o
nível Premium do Security Command Center e as descobertas estão disponíveis no
Console do Google Cloud.
A tabela a seguir lista exemplos de descobertas do Event Threat Detection.
Tabela C. Tipos de descoberta do Event Threat Detection
Destruição de dados
O Event Threat Detection detecta a destruição de dados examinando os registros de auditoria do servidor de gerenciamento de serviços de backup e DR nos seguintes cenários:
Exclusão de uma imagem de backup
Exclusão de todas as imagens de backup associadas a um aplicativo
Exclusão de um dispositivo de backup/recuperação
Exfiltração de dados
O Event Threat Detection detecta a exfiltração de dados no BigQuery e
do Cloud SQL examinando os registros de auditoria nestes cenários:
Um recurso BigQuery é salvo fora da organização ou uma
operação de cópia é bloqueada por meio do VPC Service Controls.
Foi feita uma tentativa de acessar os recursos do BigQuery
protegidos pelo VPC Service Controls.
Um recurso do Cloud SQL é total ou parcialmente exportado para um
bucket do Cloud Storage fora da organização ou para um bucket
de propriedade da sua organização que pode ser acessado publicamente.
Um backup do Cloud SQL é restaurado em uma instância do
Cloud SQL fora da sua organização.
Um recurso do BigQuery da sua organização
é exportado para um bucket do Cloud Storage fora dela
ou para um bucket da sua organização
acessível publicamente.
Um recurso do BigQuery da sua organização é
exportado para uma pasta do Google Drive.
Atividade suspeita do Cloud SQL
O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos que podem indicar o comprometimento de uma conta de usuário válida em instâncias do Cloud SQL:
Um usuário de banco de dados recebe todos os privilégios para um
banco de dados do Cloud SQL para PostgreSQL ou para todas as tabelas, procedimentos ou
funções em um esquema.
Um superusuário da conta padrão do Cloud SQL (`postgres` em
instâncias do PostgreSQL ou 'root' em instâncias do MySQL) é usado para gravar em
tabelas que não são do sistema.Visualizar
Atividade suspeita do AlloyDB para PostgreSQL
O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos
que podem indicar o comprometimento de uma conta de usuário válida em
instâncias do AlloyDB para PostgreSQL:
Um usuário do banco de dados recebe todos os privilégios para um
banco de dados do AlloyDB para PostgreSQL ou para todas as tabelas, procedimentos ou
funções em um esquema.
Um superusuário da conta de banco de dados padrão do AlloyDB para PostgreSQL
("postgres") é usado para gravar em tabelas que não são do sistema.
Ataques de força bruta contra SSH
O Event Threat Detection detecta a força bruta do SSH de autenticação por senha
examinando os registros syslog em busca de falhas repetidas, seguidas por um sucesso.
Criptomineração
A detecção de ameaças de eventos detecta malware de mineração de moedas examinando registros de fluxo da VPC e registros do Cloud DNS em busca de conexões com domínios inválidos conhecidos ou endereços IP de pools de mineração.
Abuso do IAM
Concessões do IAM anômalas: o Event Threat Detection detecta a adição de
concessões de IAM que podem ser consideradas anômalas, como:
Adição de um usuário do gmail.com a uma política com o papel de editor de projeto.
convidar um usuário do gmail.com como proprietário do projeto pelo console do Google Cloud;
Conta de serviço que concede permissões confidenciais.
O papel personalizado concedeu permissões confidenciais.
Conta de serviço adicionada de fora da organização.
Inibir a recuperação do sistema
O Event Threat Detection detecta mudanças anômalas no backup e DR que podem afetar a postura do backup, incluindo grandes mudanças nas políticas e remoção de componentes críticos de backup e DR.
Log4j
A detecção de ameaças de eventos detecta possíveis tentativas de exploração do Log4j e vulnerabilidades ativas do Log4j.
Malware
O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e
os registros do Cloud DNS para conexões com domínios e IPs de comando e controle
conhecidos.
DoS de saída
O Event Threat Detection examina os registros de fluxo de VPC para detectar tráfego de negação de serviço
de saída.
Acesso anômalo
A detecção de ameaças de eventos detecta acesso anômalo examinando os registros de auditoria do Cloud para modificações de serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP de Tor.
Comportamento anômalo do IAM
O Event Threat Detection detecta um comportamento anômalo do IAM examinando
os Registros de auditoria do Cloud nos seguintes cenários:
Contas de usuário e serviço do IAM que acessam o Google Cloud a partir de endereços IP anômalos.
Contas de serviço do IAM que acessam o Google Cloud de user agents anômalos.
Participantes e recursos que se passam por contas de serviço do IAM para acessar o Google Cloud.
Autoinvestigação da conta de serviço
O Event Threat Detection detecta quando uma credencial da conta de serviço é usada para
investigar os papéis e as permissões associados
a ela.
Chave SSH adicionada pelo administrador do Compute Engine
O Event Threat Detection detecta uma modificação no valor da chave SSH
dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
O administrador do Compute Engine adicionou script de inicialização
O Event Threat Detection detecta uma modificação no valor do script de inicialização dos
metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma
semana).
Atividade suspeita da conta
O Event Threat Detection detecta possíveis comprometimentos nas contas do Google Workspace
examinando os registros de auditoria de atividades anômalas de contas,
incluindo senhas vazadas e tentativas de login suspeito.
Ataque apoiado pelo governo
O Event Threat Detection examina os registros de auditoria do Google Workspace para
detectar quando invasores apoiados pelo governo podem ter tentado comprometer a
conta ou o computador de um usuário.
Mudanças no Logon único (SSO)
O Event Threat Detection examina os registros de auditoria do Google Workspace para
detectar quando o SSO está desativado ou as configurações são alteradas para
as contas de administrador do Google Workspace.
Verificação em duas etapas
O Event Threat Detection examina os registros de auditoria do Google Workspace para
detectar quando a verificação em duas etapas está desativada nas contas de usuário e de administrador.
Comportamento anômalo da API
A detecção de ameaças de eventos detecta um comportamento anômalo de API ao examinar os registros de auditoria do Cloud em busca de solicitações para os serviços do Google Cloud que um diretor não viu antes.
Evasão de defesa
O Event Threat Detection detecta a Evasão de defesa examinando os Registros de auditoria do Cloud
em busca dos seguintes cenários:
Alterações nos perímetros atuais do VPC Service Controls que
levariam a uma redução na proteção oferecida.
Implantações ou atualizações em cargas de trabalho que usam a
sinalização de acesso imediato para modificar os controles de autorização binária.Visualizar
Discovery
O Event Threat Detection detecta operações de descoberta
examinando os registros de auditoria para os cenários a seguir:
Uma pessoa mal-intencionada tentou determinar quais objetos
sensíveis no GKE eles podem
consultar usando o comando kubectl.
Uma credencial de conta de serviço está sendo usada para investigar os papéis
e as permissões associados a essa mesma conta de serviço.
Acesso inicial
O Event Threat Detection detecta operações de acesso iniciais
examinando os registros de auditoria dos seguintes cenários:
Um principal tentou invocar vários métodos do Google Cloud, mas falhou repetidamente devido a erros de permissão negada.Prévia
Escalonamento de privilégios
O Event Threat Detection detecta o escalonamento de privilégios no GKE
examinando os registros de auditoria para os cenários a seguir:
Para escalonar o privilégio, uma pessoa mal-intencionada tentou
modificar um objeto de controle de acesso baseado em papéis (RBAC) ClusterRole ou ClusterRoleBinding
do papel confidencialcluster-admin
usando uma solicitação PUT ou PATCH.
Uma pessoa possivelmente maliciosa criou uma solicitação
de assinatura de certificado (CSR, na sigla em inglês) mestre do Kubernetes, o que lhes dá
acesso cluster-admin.
Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou criar
um novo objeto RoleBinding ou ClusterRoleBinding
para o papel cluster-admin.
Uma pessoa mal-intencionada consultada para uma
solicitação de assinatura de certificado (CSR), com o comando
kubectl usando credenciais de inicialização comprometida.
Uma pessoa possivelmente mal-intencionada criou um pod com contêineres privilegiados
ou contêineres com recursos de escalonamento de privilégios.
Detecções do Cloud IDS
O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando detecta um evento suspeito, aciona uma descoberta do Event Threat Detection. Para saber mais sobre as detecções do Cloud IDS, consulte as
informações de geração de registros do Cloud IDS.
Prévia
Movimentação lateral
O Event Threat Detection detecta possíveis ataques no disco de inicialização modificado examinando os Registros de auditoria do Cloud e identificando remoções frequentes do disco de inicialização e reanexos em instâncias do Compute Engine.
O Forseti Security oferece ferramentas para você entender todos os recursos disponíveis no
Google Cloud. Os principais módulos Forseti trabalham em conjunto para fornecer
informações completas para que você possa proteger recursos e minimizar riscos de segurança.
O Google Cloud Armor ajuda a proteger seu
aplicativo fornecendo a filtragem da Camada 7. O Google Cloud Armor analisa as solicitações
recebidas de ataques comuns na Web ou outros atributos da camada 7 para possivelmente bloquear
o tráfego antes que ele alcance os serviços ou buckets de
back-end com balanceamento de carga.
O Google Cloud Armor exporta duas descobertas para o Security Command Center:
A Detecção de ameaças a máquinas virtuais, um serviço integrado do Security Command Center Premium, detecta
ameaças por meio de instrumentação no nível do hipervisor e análise disco permanente.
A Detecção de ameaças à VM detecta aplicativos potencialmente maliciosos, como software de mineração de criptomoedas, rootkits no modo kernel e malware em execução em ambientes de nuvem comprometidos.
A VM Threat Detection faz parte do pacote de detecção de ameaças do Security Command Center Premium
e foi projetada para complementar os recursos atuais do Event Threat Detection e
do Container Threat Detection.
Identifica uma ameaça que foi detectada pelos módulos
CRYPTOMINING_HASH e CRYPTOMINING_YARA.
Para mais informações, consulte Detecções combinadas.
Descobertas de ameaças do rootkit no modo kernel
A VM Threat Detection analisa a integridade do kernel no ambiente de execução para detectar técnicas comuns de evasão
usadas por malware.
O módulo KERNEL_MEMORY_TAMPERING detecta ameaças fazendo uma comparação de hash no código e na memória de dados somente leitura do kernel de uma máquina virtual.
O módulo KERNEL_INTEGRITY_TAMPERING detecta ameaças verificando
a integridade de estruturas de dados importantes do kernel.
Descobertas de ameaças do rootkit no modo kernel da VM Threat Detection
Os pontos kprobe estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
Defense Evasion: Unexpected processes in runqueuePré-lançamento
KERNEL_INTEGRITY_TAMPERING
Há processos inesperados na fila de execução do programador. Esses processos estão na fila
de execução, mas não na lista de tarefas do processo.
Defense Evasion: Unexpected system call handlerPré-lançamento
KERNEL_INTEGRITY_TAMPERING
Os gerenciadores de chamadas do sistema que não estão nas regiões de código de módulo ou kernel esperado estão presentes.
Rootkit
Defense Evasion: RootkitPré-lançamento
KERNEL_MEMORY_TAMPERING
KERNEL_INTEGRITY_TAMPERING
Há uma combinação de sinais que corresponde a um rootkit conhecido no modo kernel. Para receber
as descobertas dessa categoria, verifique se os dois módulos estão ativados.
Descoberta da observação da VM Threat Detection
A VM Threat Detectio pode gerar a seguinte descoberta de observação.
Descoberta da observação da VM Threat Detection
Nome da categoria
Nome da API
Resumo
Gravidade
VMTD disabled
VMTD_DISABLED
A VM Threat Detection está desativada. Até que você
enable, esse serviço não poderá verificar seus projetos do Compute Engine
e instâncias de VM em busca de aplicativos indesejados.
Esta descoberta é definida como INACTIVE após 30 dias. Depois disso,
essa descoberta não é gerada novamente.
Alta
Erros
Os detectores de erro ajudam a detectar erros na configuração que impedem as fontes de segurança de gerar descobertas. As descobertas de erro são geradas pela fonte de segurança Security Command Center e têm a classe de descoberta SCC errors.
Ações acidentais
As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.
Ações acidentais
Nome da categoria
Nome da API
Resumo
Gravidade
API disabled
API_DISABLED
Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center.
Attack path simulation: no resource value configs match any resources
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES
Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor.
Esse erro pode ter uma das seguintes causas:
Nenhuma das configurações de valor de recurso corresponde a nenhuma instância de recurso.
Uma ou mais configurações de valor de recurso que especificam NONE substituem todas
as outras configurações válidas.
Todas as configurações de valor de recurso definidas especificam um valor de NONE.
Attack path simulation: resource value assignment limit exceeded
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED
Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor.
O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta SCC Error no console do Google Cloud.
As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos.
Descrição da descoberta:
o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária
não pode ser extraída (transferida por download) de gcr.io, o
Host de imagens do Container Registry. A imagem é
necessária para implantar o DaemonSet do Container Threat Detection.
A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro:
Failed to pull image
"badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error:
code = NotFound desc = failed to pull and unpack image
"badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to
resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00":
badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found
Container Threat Detection
Blocked By Admission Controller
KTD_BLOCKED_BY_ADMISSION_CONTROLLER
Descrição da descoberta:
O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de
admissão terceirizado está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo
Container Threat Detection.
Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a
mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou
implantar um objeto DaemonSet do Container Threat Detection.
Container Threat
Detection service account missing permissions
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.
Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a
conta de serviço padrão do GKE no cluster não tem permissões. Isso
impede que a detecção de ameaças do contêiner seja ativada no cluster.
Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging.
Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro.
Security Command
Center service account missing permissions
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.