Fontes de segurança

Esta página contém uma lista das fontes de segurança do Google Cloud disponíveis no Security Command Center. Quando você ativa uma fonte de segurança, ela fornece vulnerabilidades e descobertas de ameaças ao Security Command Center.

É possível visualizar as descobertas no Console do Google Cloud e filtrá-las de várias maneiras diferentes, como por tipo de descoberta, tipo de recurso ou recurso específico. Cada fonte de segurança pode fornecer mais filtros para ajudar você a organizar as descobertas.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Vulnerabilidades

Os detectores de vulnerabilidades podem ajudar você a encontrar possíveis pontos fracos nos recursos do Google Cloud.

Painel de postura de segurança do GKE

O painel de postura de segurança do GKE é uma página no console do Google Cloud que apresenta descobertas úteis e opinativas sobre possíveis problemas de segurança nos seus clusters do GKE.

Se você ativar qualquer um dos seguintes recursos do painel de postura de segurança do GKE, verá as descobertas no nível Standard ou Premium do Security Command Center:

Recurso do painel de postura de segurança do GKE Tipo de descoberta do Security Command Center
Auditoria de configuração da carga de trabalho MISCONFIGURATION
VULNERABILITY

As descobertas exibem informações sobre o problema de segurança e fornecem recomendações para resolver os problemas nas cargas de trabalho ou nos clusters.

Recomendador IAM

O recomendador do IAM emite recomendações que você pode seguir para melhorar a segurança removendo ou substituindo papéis do IAM de principais quando os papéis contiverem permissões do IAM de que o principal não precisa.

Ativar ou desativar as descobertas do recomendador do IAM

Para ativar ou desativar as descobertas do recomendador do IAM no Security Command Center, siga estas etapas:

  1. Acesse a guia Serviços integrados da página Configurações do Security Command Center no Console do Google Cloud:

    Acesse configurações

  2. Se necessário, role para baixo até a entrada do recomendador do IAM.

  3. À direita da entrada, selecione Ativar ou Desativar.

As descobertas do recomendador do IAM são classificadas como vulnerabilidades.

Para corrigir uma descoberta do recomendador do IAM, expanda a seção a seguir para ver uma tabela das descobertas do recomendador do IAM. As etapas de correção para cada descoberta estão incluídas na entrada da tabela.

Mostrar as descobertas do recomendador do IAM no console

No console do Google Cloud, é possível visualizar as descobertas emitidas pelo recomendador do IAM na página Vulnerabilidades, selecionando a predefinição de consulta do recomendador do IAM ou na página Descobertas, selecionando Nome de exibição da origem do painel Filtros rápidos.

Controlador de Políticas

O Policy Controller permite a aplicação de políticas programáveis aos clusters do Kubernetes. Essas políticas funcionam como proteções e podem ajudar com as práticas recomendadas, a segurança e o gerenciamento da conformidade dos clusters e da frota.

Se você instalar o Policy Controller e ativar os pacotes CIS Kubernetes Benchmark v1.5.1 ou PCI-DSS v3.2.1 (ou ambos), o Policy Controller gravará automaticamente violações de cluster no Security Command Center como descobertas de classe Misconfiguration. A descrição da descoberta e as próximas etapas nas descobertas do Security Command Center são os mesmos que a descrição da restrição e as etapas de correção do pacote do Policy Controller correspondente.

As descobertas do Policy Controller vêm dos seguintes pacotes:

Para encontrar e corrigir as descobertas do Policy Controller, consulte Como corrigir as descobertas do Policy Controller.

Detecção rápida de vulnerabilidades

A detecção de vulnerabilidades rápida executa verificações gerenciadas que detectam vulnerabilidades conhecidas como "N-dia", explorações conhecidas que permitem acesso a dados arbitrários e execução de código remoto, incluindo credenciais fracas, instalações de software incompletas e administrador exposto. interfaces do usuário.

Para ver a lista completa de vulnerabilidades que a detecção rápida de vulnerabilidades detecta, consulte Descobertas e correções da detecção rápida de vulnerabilidades.

Tipos de vulnerabilidade do Security Health Analytics

A verificação de avaliação de vulnerabilidade gerenciada do Security Health Analytics do Google Cloud pode detectar automaticamente vulnerabilidades e erros de configuração comuns em:

  • Cloud Monitoring e Cloud Logging
  • Compute Engine
  • Contêineres e redes do Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Identity and Access Management (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

O Security Health Analytics é ativado automaticamente quando você seleciona o nível Standard ou Premium do Security Command Center. Os detectores de análise de integridade de segurança monitoram um subconjunto de recursos do Inventário de recursos do Cloud, usando verificações em lote, em tempo real e de modo misto.

Para mais informações sobre os tipos de verificação do Análise de integridade da segurança, consulte Tipos de verificação do Análise de integridade da segurança.

Para ver uma lista completa dos detectores e descobertas do Security Health Analytics, consulte a página Descobertas do Security Health Analytics ou expanda a seção a seguir.

Serviço de postura de segurança

O serviço de postura de segurança é integrado ao nível Premium do Security Command Center e permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. Ele fornece informações sobre como seu ambiente se alinha com as políticas que você define em sua postura de segurança.

O serviço de postura de segurança não está relacionado ao painel de postura de segurança do GKE, que mostra apenas descobertas em clusters do GKE.

Proteção de dados sensíveis

A proteção de dados confidenciais é um serviço do Google Cloud totalmente gerenciado que ajuda a descobrir, classificar e proteger dados confidenciais. É possível usar a proteção de dados confidenciais para determinar se você está armazenando informações confidenciais ou de identificação pessoal (PII), como estas:

  • Nomes pessoais
  • Números de cartões de crédito
  • Números de identificação nacionais ou estaduais
  • Números de identificação de seguro de saúde
  • Secrets

Na Proteção de dados confidenciais, cada tipo de dados confidenciais que você pesquisa é chamado de infoType.

Se você configurar a operação de proteção de dados confidenciais para enviar resultados ao Security Command Center, poderá acessar as descobertas diretamente na seção Security Command Center do console do Google Cloud, além da seção de Proteção de dados confidenciais.

Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais

O serviço de descoberta da proteção de dados confidenciais ajuda a determinar se as variáveis de ambiente do Cloud Functions contêm secrets, como senhas, tokens de autenticação e credenciais do Google Cloud. Para acessar a lista completa de tipos de secrets que a proteção de dados confidenciais detecta nesse recurso, consulte Credenciais e secrets.

Tipo de descoberta Descrição da descoberta Padrões de compliance
Secrets in environment variables

Nome da categoria na API:
SECRETS_IN_ENVIRONMENT_VARIABLES
Esse detector verifica secrets nas variáveis de ambiente do Cloud Functions.

Correção: remova o secret da variável de ambiente e armazene-o no Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

A partir do momento em que você ativa a descoberta de secrets na proteção de dados confidenciais, pode levar até 12 horas para a verificação inicial de variáveis de ambiente ser concluída. Em seguida, a proteção de dados confidenciais verifica as variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação de proteção de dados confidenciais.

Descobertas de observação da proteção de dados confidenciais

Nesta seção, descrevemos as descobertas de observação geradas pela proteção de dados confidenciais no Security Command Center.

Descobertas de observação do serviço de descoberta

O serviço de descoberta da proteção de dados confidenciais ajuda a determinar se os dados do BigQuery contêm infoTypes específicos e onde eles residem na organização, nas pastas e nos projetos.

Uma operação de descoberta gera perfis dos dados subjacentes do BigQuery nos níveis de projeto, tabela e coluna. Cada perfil de dados da tabela gera as seguintes categorias de descoberta no Security Command Center:

Data sensitivity
Uma indicação do nível de confidencialidade dos dados em uma tabela específica. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk
Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados confidenciais considera o nível de confidencialidade dos dados na tabela e a presença de controles de acesso para protegê-los. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.

Quando a proteção de dados confidenciais gera os perfis de dados, pode levar até seis horas para que as descobertas de Data sensitivity e Data risk associadas apareçam no Security Command Center.

Para informações sobre como enviar resultados de perfil de dados para o Security Command Center, consulte uma das seguintes opções:

Descobertas de observação do serviço de inspeção de proteção de dados confidenciais

Um job de inspeção de proteção de dados confidenciais identifica cada instância de dados de um infoType específico em um sistema de armazenamento, como um bucket do Cloud Storage ou uma tabela do BigQuery. Por exemplo, é possível executar um job de inspeção que procure todas as strings que correspondem ao detector de infoType CREDIT_CARD_NUMBER em um bucket do Cloud Storage.

Para cada detector de infoType que tem uma ou mais correspondências, a proteção de dados confidenciais gera uma descoberta correspondente do Security Command Center. A categoria de descoberta é o nome do detector de infoType que teve uma correspondência, por exemplo, Credit card number. A descoberta inclui o número de strings correspondentes que foram detectadas no texto ou nas imagens do recurso.

Por motivos de segurança, as strings reais detectadas não são incluídas na descoberta. Por exemplo, uma descoberta de Credit card number mostra quantos números de cartão de crédito foram encontrados, mas não os reais.

Como há mais de 150 detectores de infoType integrados na proteção de dados confidenciais, todas as categorias de descoberta possíveis do Security Command Center não estão listadas aqui. Para uma lista completa de detectores de infoType, consulte Referência de detectores de infoType.

Para informações sobre como enviar os resultados de um job de inspeção para o Security Command Center, consulte Enviar os resultados do job de inspeção de proteção de dados confidenciais para o Security Command Center.

Analise as descobertas da proteção de dados confidenciais no console do Google Cloud

Use o procedimento a seguir para analisar as descobertas no console do Google Cloud:

  1. Acesse a página Descobertas do Security Command Center no Console do Google Cloud.

    Acesse Descobertas

  2. Selecione a organização ou o projeto do Google Cloud.

  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Proteção de dados confidenciais.

    A tabela é preenchida com as descobertas da proteção de dados confidenciais.

  4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.

  5. Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Para usar o VM Manager com ativações em nível de projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.

Se você ativar o VM Manager com o nível Premium do Security Command Center, ele gravará automaticamente as descobertas high e critical dos relatórios de vulnerabilidade, que estão em pré-lançamento, no Security Command Center. Os relatórios identificam vulnerabilidades em sistemas operacionais (SO) instalados em VMs, incluindo Vulnerabilidades e exposições Comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Para corrigir as descobertas do VM Manager, consulte Como corrigir as descobertas do VM Manager.

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, consulte Silenciar as descobertas do VM Manager.

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Tabela 24. Relatórios de vulnerabilidades do VM Manager
Detector Resumo Configurações da verificação de recursos Padrões de compliance
OS vulnerability

Nome da categoria na API: OS_VULNERABILITY

Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Para uma lista completa dos sistemas operacionais compatíveis, consulte Detalhes do sistema operacional.

As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

  • Para a maioria das vulnerabilidades no pacote do SO instalado, a API OS Config gera um relatório de vulnerabilidade alguns minutos após a alteração.
  • Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Web Security Scanner

O Web Security Scanner fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos da Web públicos do App Engine, GKE e do Compute Engine.

Verificações gerenciadas

As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam solicitações somente GET para que não enviem formulários em sites ativos.

As verificações gerenciadas são executadas separadamente das verificações personalizadas.

Se o Security Command Center estiver ativado no nível da organização, é possível usar verificações gerenciadas para gerenciar de maneira centralizada a detecção de vulnerabilidades de aplicativos da Web básicos em projetos da organização, sem precisar envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe com essas equipes para configurar verificações personalizadas mais abrangentes.

Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e nos relatórios relacionados. Para ver informações sobre como ativar as verificações gerenciadas do Web Security Scanner, consulte Como configurar o Security Command Center.

As verificações gerenciadas são compatíveis apenas com aplicativos que usam a porta padrão, que é 80 para conexões HTTP e 443 para conexões HTTPS. Se o aplicativo usar uma porta não padrão, faça uma verificação personalizada.

Verificações personalizadas

As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre sites ou uso de conteúdo misto.

As verificações personalizadas são definidas no nível do projeto.

As descobertas da verificação personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar verificações personalizadas do Web Security Scanner.

Detectores e compliance

O Web Security Scanner é compatível com categorias do OWASP Top 10, um documento que classifica e fornece orientações de correção para os 10 riscos mais críticos de segurança de aplicativos da Web, conforme determinado pelos Open Web Application Security Project (OWASP). Para orientações sobre como reduzir os riscos do OWASP, consulte As 10 principais opções de mitigação do OWASP no Google Cloud.

O mapeamento de conformidade está incluído para referência e não é fornecido ou revisado pela OWASP Foundation.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Categoria Descrição da descoberta 10 principais OWASP de 2017 10 principais OWASP de 2021
Accessible Git repository

Nome da categoria na API: ACCESSIBLE_GIT_REPOSITORY

Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.

Nível de preços:padrão

Corrigir essa descoberta

A5 A01
Accessible SVN repository

Nome da categoria na API: ACCESSIBLE_SVN_REPOSITORY

Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN.

Nível de preços:padrão

Corrigir essa descoberta

A5 A01
Cacheable password input

Nome da categoria na API: CACHEABLE_PASSWORD_INPUT

As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.

Nível de preços: Premium

Corrigir essa descoberta

A3 A04
Clear text password

Nome da categoria na API: CLEAR_TEXT_PASSWORD

As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.

Nível de preços:padrão

Corrigir essa descoberta

A3 A02
Insecure allow origin ends with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio, inclua o ponto no domínio raiz, por exemplo, .endsWith(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01
Insecure allow origin starts with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01
Invalid content type

Nome da categoria na API: INVALID_CONTENT_TYPE

Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Invalid header

Nome da categoria na API: INVALID_HEADER

Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Mismatching security header values

Nome da categoria na API: MISMATCHING_SECURITY_HEADER_VALUES

Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Misspelled security header name

Nome da categoria na API: MISSPELLED_SECURITY_HEADER_NAME

Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Mixed content

Nome da categoria na API: MIXED_CONTENT

Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Outdated library

Nome da categoria na API: OUTDATED_LIBRARY

Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.

Nível de preços:padrão

Corrigir essa descoberta

A9 A06
Server side request forgery

Nome da categoria na API: SERVER_SIDE_REQUEST_FORGERY

Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web podem fazer solicitações.

Nível de preços:padrão

Corrigir essa descoberta

Não relevante A10
Session ID leak

Nome da categoria na API: SESSION_ID_LEAK

Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.

Nível de preços: Premium

Corrigir essa descoberta

A2 A07
SQL injection

Nome da categoria na API: SQL_INJECTION

Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.

Nível de preços: Premium

Corrigir essa descoberta

A1 A03
Struts insecure deserialization

Nome da categoria na API: STRUTS_INSECURE_DESERIALIZATION

Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.

Nível de preços: Premium

Corrigir essa descoberta

A8 A08
XSS

Nome da categoria na API: XSS

Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XSS angular callback

XSS_ANGULAR_CALLBACKNome da categoria na API:

Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XSS error

XSS_ERRORNome da categoria na API:

Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XXE reflected file leakage

Nome da categoria na API: XXE_REFLECTED_FILE_LEAKAGE

Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.

Nível de preços: Premium

Corrigir essa descoberta

A4 A05

Ameaças

Os detectores de ameaças ajudam você a encontrar eventos potencialmente nocivos.

Detecção de anomalias

A detecção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Ela exibe informações granulares sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas. A detecção de anomalias é ativada automaticamente quando você ativa o nível Standard ou Premium do Security Command Center e as descobertas estão disponíveis no console do Google Cloud.

As descobertas da detecção de anomalias incluem:

Nome da anomalia Categoria da descoberta Descrição
Account has leaked credentials account_has_leaked_credentials

As credenciais de uma conta de serviço do Google Cloud são vazadas on-line ou comprometidas.

Gravidade: crítica

A conta vazou credenciais

O GitHub notificou o Security Command Center de que as credenciais usadas para uma confirmação parecem ser as credenciais para uma conta de serviço do Google Cloud Identity and Access Management.

A notificação inclui o nome da conta de serviço e o identificador da chave privada. O Google Cloud também envia uma notificação por e-mail aos contatos designados para questões de segurança e privacidade.

Para corrigir esse problema, escolha uma ou mais das seguintes opções:

  • Identifique o usuário legítimo da chave.
  • Gire a chave.
  • Remova a chave.
  • Investigue as ações realizadas pela chave depois que ela foi vazada para garantir que nenhuma foi mal-intencionada.

JSON: descoberta de credenciais da conta vazadas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.

A instrumentação de detecção do Container Threat Detection coleta comportamentos de baixo nível no kernel convidado e executa o processamento de linguagem natural em scripts para detectar os seguintes eventos:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Execução: binário malicioso executado
  • Execução: biblioteca maliciosa carregada
  • Execução: Criado em binário malicioso executado
  • Execução: binário malicioso modificado, executado
  • Execução: biblioteca maliciosa modificada carregada
  • Script malicioso executado
  • Shell reverso
  • Shell filho inesperado

Saiba mais sobre o Container Threat Detection.

Event Threat Detection

O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ele observa o stream do Cloud Logging dos projetos e consome os registros à medida que são disponibilizados. Quando uma ameaça é detectada, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. O Event Threat Detection é ativado automaticamente quando você ativa o nível Premium do Security Command Center e as descobertas estão disponíveis no Console do Google Cloud.

A tabela a seguir lista exemplos de descobertas do Event Threat Detection.

Tabela C. Tipos de descoberta do Event Threat Detection
Destruição de dados

O Event Threat Detection detecta a destruição de dados examinando os registros de auditoria do servidor de gerenciamento de serviços de backup e DR nos seguintes cenários:

  • Exclusão de uma imagem de backup
  • Exclusão de todas as imagens de backup associadas a um aplicativo
  • Exclusão de um dispositivo de backup/recuperação
Exfiltração de dados

O Event Threat Detection detecta a exfiltração de dados no BigQuery e do Cloud SQL examinando os registros de auditoria nestes cenários:

  • Um recurso BigQuery é salvo fora da organização ou uma operação de cópia é bloqueada por meio do VPC Service Controls.
  • Foi feita uma tentativa de acessar os recursos do BigQuery protegidos pelo VPC Service Controls.
  • Um recurso do Cloud SQL é total ou parcialmente exportado para um bucket do Cloud Storage fora da organização ou para um bucket de propriedade da sua organização que pode ser acessado publicamente.
  • Um backup do Cloud SQL é restaurado em uma instância do Cloud SQL fora da sua organização.
  • Um recurso do BigQuery da sua organização é exportado para um bucket do Cloud Storage fora dela ou para um bucket da sua organização acessível publicamente.
  • Um recurso do BigQuery da sua organização é exportado para uma pasta do Google Drive.
Atividade suspeita do Cloud SQL

O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos que podem indicar o comprometimento de uma conta de usuário válida em instâncias do Cloud SQL:

  • Um usuário de banco de dados recebe todos os privilégios para um banco de dados do Cloud SQL para PostgreSQL ou para todas as tabelas, procedimentos ou funções em um esquema.
  • Um superusuário da conta padrão do Cloud SQL (`postgres` em instâncias do PostgreSQL ou 'root' em instâncias do MySQL) é usado para gravar em tabelas que não são do sistema.Visualizar
Atividade suspeita do AlloyDB para PostgreSQL

O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos que podem indicar o comprometimento de uma conta de usuário válida em instâncias do AlloyDB para PostgreSQL:

  • Um usuário do banco de dados recebe todos os privilégios para um banco de dados do AlloyDB para PostgreSQL ou para todas as tabelas, procedimentos ou funções em um esquema.
  • Um superusuário da conta de banco de dados padrão do AlloyDB para PostgreSQL ("postgres") é usado para gravar em tabelas que não são do sistema.
Ataques de força bruta contra SSH O Event Threat Detection detecta a força bruta do SSH de autenticação por senha examinando os registros syslog em busca de falhas repetidas, seguidas por um sucesso.
Criptomineração A detecção de ameaças de eventos detecta malware de mineração de moedas examinando registros de fluxo da VPC e registros do Cloud DNS em busca de conexões com domínios inválidos conhecidos ou endereços IP de pools de mineração.
Abuso do IAM

Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:

  • Adição de um usuário do gmail.com a uma política com o papel de editor de projeto.
  • convidar um usuário do gmail.com como proprietário do projeto pelo console do Google Cloud;
  • Conta de serviço que concede permissões confidenciais.
  • O papel personalizado concedeu permissões confidenciais.
  • Conta de serviço adicionada de fora da organização.
Inibir a recuperação do sistema

O Event Threat Detection detecta mudanças anômalas no backup e DR que podem afetar a postura do backup, incluindo grandes mudanças nas políticas e remoção de componentes críticos de backup e DR.

Log4j A detecção de ameaças de eventos detecta possíveis tentativas de exploração do Log4j e vulnerabilidades ativas do Log4j.
Malware O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com domínios e IPs de comando e controle conhecidos.
DoS de saída O Event Threat Detection examina os registros de fluxo de VPC para detectar tráfego de negação de serviço de saída.
Acesso anômalo A detecção de ameaças de eventos detecta acesso anômalo examinando os registros de auditoria do Cloud para modificações de serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP de Tor.
Comportamento anômalo do IAM O Event Threat Detection detecta um comportamento anômalo do IAM examinando os Registros de auditoria do Cloud nos seguintes cenários:
  • Contas de usuário e serviço do IAM que acessam o Google Cloud a partir de endereços IP anômalos.
  • Contas de serviço do IAM que acessam o Google Cloud de user agents anômalos.
  • Participantes e recursos que se passam por contas de serviço do IAM para acessar o Google Cloud.
Autoinvestigação da conta de serviço O Event Threat Detection detecta quando uma credencial da conta de serviço é usada para investigar os papéis e as permissões associados a ela.
Chave SSH adicionada pelo administrador do Compute Engine O Event Threat Detection detecta uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
O administrador do Compute Engine adicionou script de inicialização O Event Threat Detection detecta uma modificação no valor do script de inicialização dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Atividade suspeita da conta O Event Threat Detection detecta possíveis comprometimentos nas contas do Google Workspace examinando os registros de auditoria de atividades anômalas de contas, incluindo senhas vazadas e tentativas de login suspeito.
Ataque apoiado pelo governo O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando invasores apoiados pelo governo podem ter tentado comprometer a conta ou o computador de um usuário.
Mudanças no Logon único (SSO) O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando o SSO está desativado ou as configurações são alteradas para as contas de administrador do Google Workspace.
Verificação em duas etapas O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando a verificação em duas etapas está desativada nas contas de usuário e de administrador.
Comportamento anômalo da API A detecção de ameaças de eventos detecta um comportamento anômalo de API ao examinar os registros de auditoria do Cloud em busca de solicitações para os serviços do Google Cloud que um diretor não viu antes.
Evasão de defesa

O Event Threat Detection detecta a Evasão de defesa examinando os Registros de auditoria do Cloud em busca dos seguintes cenários:

  • Alterações nos perímetros atuais do VPC Service Controls que levariam a uma redução na proteção oferecida.
  • Implantações ou atualizações em cargas de trabalho que usam a sinalização de acesso imediato para modificar os controles de autorização binária.Visualizar
Discovery

O Event Threat Detection detecta operações de descoberta examinando os registros de auditoria para os cenários a seguir:

  • Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no GKE eles podem consultar usando o comando kubectl.
  • Uma credencial de conta de serviço está sendo usada para investigar os papéis e as permissões associados a essa mesma conta de serviço.
Acesso inicial O Event Threat Detection detecta operações de acesso iniciais examinando os registros de auditoria dos seguintes cenários:
  • Uma conta de serviço gerenciado pelo usuário inativa acionou uma ação.Visualizar
  • Um principal tentou invocar vários métodos do Google Cloud, mas falhou repetidamente devido a erros de permissão negada.Prévia
Escalonamento de privilégios

O Event Threat Detection detecta o escalonamento de privilégios no GKE examinando os registros de auditoria para os cenários a seguir:

  • Para escalonar o privilégio, uma pessoa mal-intencionada tentou modificar um objeto de controle de acesso baseado em papéis (RBAC) ClusterRole ou ClusterRoleBinding do papel confidencialcluster-admin usando uma solicitação PUT ou PATCH.
  • Uma pessoa possivelmente maliciosa criou uma solicitação de assinatura de certificado (CSR, na sigla em inglês) mestre do Kubernetes, o que lhes dá acesso cluster-admin.
  • Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou criar um novo objeto RoleBinding ou ClusterRoleBinding para o papel cluster-admin.
  • Uma pessoa mal-intencionada consultada para uma solicitação de assinatura de certificado (CSR), com o comando kubectl usando credenciais de inicialização comprometida.
  • Uma pessoa possivelmente mal-intencionada criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.
Detecções do Cloud IDS O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando detecta um evento suspeito, aciona uma descoberta do Event Threat Detection. Para saber mais sobre as detecções do Cloud IDS, consulte as informações de geração de registros do Cloud IDS. Prévia
Movimentação lateral O Event Threat Detection detecta possíveis ataques no disco de inicialização modificado examinando os Registros de auditoria do Cloud e identificando remoções frequentes do disco de inicialização e reanexos em instâncias do Compute Engine.

Saiba mais sobre o Event Threat Detection.

Segurança Forseti

O Forseti Security oferece ferramentas para você entender todos os recursos disponíveis no Google Cloud. Os principais módulos Forseti trabalham em conjunto para fornecer informações completas para que você possa proteger recursos e minimizar riscos de segurança.

Para exibir notificações de violação do Forseti no Security Command Center, siga o Guia de notificação do Security Command Center.

Para mais informações:

Google Cloud Armor

O Google Cloud Armor ajuda a proteger seu aplicativo fornecendo a filtragem da Camada 7. O Google Cloud Armor analisa as solicitações recebidas de ataques comuns na Web ou outros atributos da camada 7 para possivelmente bloquear o tráfego antes que ele alcance os serviços ou buckets de back-end com balanceamento de carga.

O Google Cloud Armor exporta duas descobertas para o Security Command Center:

Detecção de ameaças a máquinas virtuais

A Detecção de ameaças a máquinas virtuais, um serviço integrado do Security Command Center Premium, detecta ameaças por meio de instrumentação no nível do hipervisor e análise disco permanente. A Detecção de ameaças à VM detecta aplicativos potencialmente maliciosos, como software de mineração de criptomoedas, rootkits no modo kernel e malware em execução em ambientes de nuvem comprometidos.

A VM Threat Detection faz parte do pacote de detecção de ameaças do Security Command Center Premium e foi projetada para complementar os recursos atuais do Event Threat Detection e do Container Threat Detection.

Para mais informações sobre a VM Threat Detection, consulte Visão geral da VM Threat Detection.

Descobertas de ameaças da VM Threat Detection

A VM Threat Detection pode gerar as seguintes ameaças.

Descobertas de ameaças de mineração de criptomoedas

A detecção de ameaças da VM detecta as seguintes categorias de descoberta usando correspondência de hash ou regras YARA.

Descobertas de ameaças de mineração de criptomoedas na detecção de ameaças de VM
Categoria Módulo Descrição
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Corresponde os hashes de memória da execução de programas a hashes de memória conhecidos de software de mineração de criptomoeda.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Corresponde aos padrões de memória, como constantes de prova de trabalho, conhecidas por serem usadas por software de mineração de criptomoeda.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Identifica uma ameaça que foi detectada pelos módulos CRYPTOMINING_HASH e CRYPTOMINING_YARA. Para mais informações, consulte Detecções combinadas.

Descobertas de ameaças do rootkit no modo kernel

A VM Threat Detection analisa a integridade do kernel no ambiente de execução para detectar técnicas comuns de evasão usadas por malware.

O módulo KERNEL_MEMORY_TAMPERING detecta ameaças fazendo uma comparação de hash no código e na memória de dados somente leitura do kernel de uma máquina virtual.

O módulo KERNEL_INTEGRITY_TAMPERING detecta ameaças verificando a integridade de estruturas de dados importantes do kernel.

Descobertas de ameaças do rootkit no modo kernel da VM Threat Detection
Categoria Módulo Descrição
Adulteração de memória do kernel
Defense Evasion: Unexpected kernel code modificationPré-lançamento KERNEL_MEMORY_TAMPERING Há modificações inesperadas da memória de código do kernel.
Defense Evasion: Unexpected kernel read-only data modificationPré-lançamento KERNEL_MEMORY_TAMPERING Há modificações inesperadas da memória de dados somente leitura do kernel.
Adulteração de integridade do kernel
Defense Evasion: Unexpected ftrace handlerPré-lançamento KERNEL_INTEGRITY_TAMPERING Os pontos ftrace estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
Defense Evasion: Unexpected interrupt handlerPré-lançamento KERNEL_INTEGRITY_TAMPERING São interrompidos os gerenciadores que não estão nas regiões esperadas de kernel ou módulo de código.
Defense Evasion: Unexpected kernel modulesPré-lançamento KERNEL_INTEGRITY_TAMPERING As páginas de código do kernel que não estão nas regiões de código de kernel ou módulo esperadas estão presentes.
Defense Evasion: Unexpected kprobe handlerPré-lançamento KERNEL_INTEGRITY_TAMPERING Os pontos kprobe estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
Defense Evasion: Unexpected processes in runqueuePré-lançamento KERNEL_INTEGRITY_TAMPERING Há processos inesperados na fila de execução do programador. Esses processos estão na fila de execução, mas não na lista de tarefas do processo.
Defense Evasion: Unexpected system call handlerPré-lançamento KERNEL_INTEGRITY_TAMPERING Os gerenciadores de chamadas do sistema que não estão nas regiões de código de módulo ou kernel esperado estão presentes.
Rootkit
Defense Evasion: RootkitPré-lançamento
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Há uma combinação de sinais que corresponde a um rootkit conhecido no modo kernel. Para receber as descobertas dessa categoria, verifique se os dois módulos estão ativados.

Descoberta da observação da VM Threat Detection

A VM Threat Detectio pode gerar a seguinte descoberta de observação.

Descoberta da observação da VM Threat Detection
Nome da categoria Nome da API Resumo Gravidade
VMTD disabled VMTD_DISABLED

A VM Threat Detection está desativada. Até que você enable, esse serviço não poderá verificar seus projetos do Compute Engine e instâncias de VM em busca de aplicativos indesejados.

Esta descoberta é definida como INACTIVE após 30 dias. Depois disso, essa descoberta não é gerada novamente.

Alta

Erros

Os detectores de erro ajudam a detectar erros na configuração que impedem as fontes de segurança de gerar descobertas. As descobertas de erro são geradas pela fonte de segurança Security Command Center e têm a classe de descoberta SCC errors.

Ações acidentais

As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.

Ações acidentais
Nome da categoria Nome da API Resumo Gravidade
API disabled API_DISABLED

Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center.

Nível de preço: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada 60 horas

Corrigir essa descoberta

Crítica
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor.

Esse erro pode ter uma das seguintes causas:

  • Nenhuma das configurações de valor de recurso corresponde a nenhuma instância de recurso.
  • Uma ou mais configurações de valor de recurso que especificam NONE substituem todas as outras configurações válidas.
  • Todas as configurações de valor de recurso definidas especificam um valor de NONE.

Nível de preço: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organizations

Verificações em lote: antes de cada simulação de caminho de ataque.

Corrigir essa descoberta

Crítica
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor.

O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta SCC Error no console do Google Cloud.

As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos.

Nível de preço: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organizations

Verificações em lote: antes de cada simulação de caminho de ataque.

Corrigir essa descoberta

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descrição da descoberta: o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) de gcr.io, o Host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection.

A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nível de preço: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrição da descoberta: O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão terceirizado está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection.

Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection.

Nível de preço: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.

Nível de preço: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster.

Nível de preço: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: semanalmente

Corrigir essa descoberta

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging.

Nível de preço: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro.

Nível de preço: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada seis horas

Corrigir essa descoberta

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.

Nível de preço: Premium ou Standard

Recursos compatíveis

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica

Para saber mais, consulte Erros do Security Command Center.

A seguir