检测服务

本页面包含 Security Command Center 用于检测云环境中的安全问题的检测服务（有时也称为安全来源）列表。

当这些服务检测到问题时，会生成发现结果，这是一个记录，用于标识安全问题，并为您提供确定问题优先级和解决问题所需的信息。

您可以在 Google Cloud 控制台中查看发现结果，并以多种不同的方式过滤发现结果，例如按发现结果类型、资源类型或特定资产过滤。每个安全来源都可能提供更多过滤条件，以帮助您整理发现结果。

Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源，取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色，请参阅访问权限控制。

漏洞检测服务

漏洞检测服务包括内置服务和集成服务，可检测云环境中的软件漏洞、错误配置和安全状况违规情况。这些类型的安全问题统称为“漏洞”。

Artifact Registry 漏洞评估

Artifact Registry 漏洞评估是一项检测服务，可提醒您已部署的容器映像中的漏洞。

在以下情况下，此检测服务会针对容器映像生成漏洞发现结果：

• 容器映像存储在 Artifact Registry 中。

• 容器映像会部署到以下资产之一：

  • Google Kubernetes Engine 集群
  • Cloud Run 服务
  • Cloud Run 作业
  • App Engine

Artifact Registry 漏洞评估不会为不符合此条件的容器映像生成发现结果。

在生成 Artifact Registry 漏洞评估发现结果后，您可以在最后一次执行容器映像扫描后的最长五周内查询这些结果。如需详细了解 Security Command Center 数据保留，请参阅数据保留。

启用 Artifact Registry 漏洞评估发现结果

如需让 Artifact Registry 漏洞评估在 Security Command Center 中针对存储在 Artifact Registry 中的已部署容器映像生成发现结果，您必须为项目启用 Container Scanning API。

如果您尚未启用 Container Scanning API，请执行以下操作：

1. 在 Google Cloud 控制台中，前往 Container Scanning API 页面。

   前往 Container Scanning API

2. 选择要为其启用 Container Scanning API 的项目。

3. 点击启用。

Security Command Center 将显示已扫描的易受攻击的容器映像的发现结果，这些映像已主动部署到适用的运行时资产。不过，检测服务行为会因您启用 Security Command Center 和 Container Scanning API 的时间而异。

停用 Artifact Registry 漏洞评估发现结果

如需停用 Artifact Registry 漏洞评估发现结果，请执行以下操作：

1. 在 Google Cloud 控制台中，前往 Container Scanning API 的 API/服务详细信息页面。

   前往 API/服务详细信息

2. 选择要为其停用 Container Scanning API 的项目。

3. 点击停用 API。

Security Command Center 不会显示未来容器映像扫描检测到的漏洞的发现结果。在执行最后一次容器映像扫描后，Security Command Center 会保留任何现有的 Artifact Registry 漏洞评估发现结果至少 35 天。如需详细了解 Security Command Center 数据保留，请参阅数据保留。

您还可以通过在 Security Command Center 设置中停用漏洞评估来源 ID 来停用 Artifact Registry 漏洞评估；不过，我们不建议这样做。停用漏洞评估来源 ID 将停用归类为漏洞评估来源 ID 的所有检测服务。因此，我们建议您使用上述过程停用 Container Scanning API。

在控制台中查看 Artifact Registry 漏洞评估发现结果

1. 在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。

   前往“发现结果”

2. 选择您的 Google Cloud 项目或组织。
3. 在快速过滤条件部分的来源显示名称子部分中，选择漏洞评估。发现结果查询结果已更新，仅显示来自此来源的发现结果。
4. 如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板，并显示摘要标签页。
5. 在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的修复该发现结果的步骤（如果有）。
6. 可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

GKE 安全状况信息中心

Google Kubernetes Engine (GKE) 安全状况信息中心是Google Cloud 控制台中的一个页面，可为您提供有关 GKE 集群中潜在安全问题的切实可行的发现结果。其中包含以下信息：

发现结果会显示有关安全问题的信息，并提供在工作负载或集群中解决这些问题的建议。

在控制台中查看 GKE Security Posture 信息中心发现结果

1. 在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。

   前往“发现结果”

2. 选择您的 Google Cloud 项目或组织。
3. 在快速过滤条件部分的来源显示名称子部分中，选择 GKE Security Posture。发现结果查询结果已更新，仅显示来自此来源的发现结果。
4. 如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板，并显示摘要标签页。
5. 在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的修复该发现结果的步骤（如果有）。
6. 可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

IAM Recommender

当 IAM 角色包含主账号不需要的 IAM 权限时，IAM Recommender 会生成一些建议，您可以遵循这些建议，通过移除或替换主账号中的 IAM 角色来提高安全性。

当您激活 Security Command Center 时，系统会自动启用 IAM Recommender。

启用或停用 IAM Recommender 发现结果

如需在 Security Command Center 中启用或停用 IAM Recommender 发现结果，请按照以下步骤操作：

1. 在 Google Cloud 控制台中，前往 Security Command Center 设置页面的集成服务标签页：

   前往集成服务

2. 前往 IAM Recommender 条目。

3. 在相应条目的右侧，选择启用或停用。

IAM Recommender 的发现结果归类为漏洞。

如需修复 IAM Recommender 发现结果，请展开下一部分以查看 IAM Recommender 发现结果表。每个发现结果的修复步骤包含在表条目中。

在控制台中查看 IAM Recommender 发现结果

选择特定于您的服务层级的标签页。

1. 在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。

   前往“发现结果”

2. 选择您的 Google Cloud 项目或组织。
3. 在快速过滤条件部分的来源显示名称子部分中，选择 IAM Recommender。发现结果查询结果已更新，仅显示来自此来源的发现结果。
4. 如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板，并显示摘要标签页。
5. 在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的修复该发现结果的步骤（如果有）。
6. 可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

在优秀层级，您还可以通过选择 IAM Recommender 查询预设，在漏洞页面上查看 IAM Recommender 发现结果。

Mandiant Attack Surface Management

Mandiant 是一线威胁情报领域的全球领导者。 Mandiant Attack Surface Management 可识别外部攻击面中的漏洞和错误配置，帮助您及时防范最新的网络攻击。

激活 Security Command Center Enterprise 层级后，系统会自动启用 Mandiant Attack Surface Management，您可以在 Google Cloud 控制台中获取发现结果。

如需了解独立的 Mandiant Attack Surface Management 产品与 Security Command Center 中的 Mandiant Attack Surface Management 集成之间的区别，请参阅 Mandiant 文档门户上的 ASM 和 Security Command Center。此链接需要 Mandiant 身份验证。

在控制台中查看 Mandiant Attack Surface Management 发现结果

1. 在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。

   前往“发现结果”

2. 选择您的 Google Cloud 项目或组织。
3. 在快速过滤条件部分的来源显示名称子部分中，选择 Mandiant Attack Surface Management。发现结果查询结果已更新，仅显示来自此来源的发现结果。
4. 如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板，并显示摘要标签页。
5. 在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的修复该发现结果的步骤（如果有）。
6. 可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

Security Command Center 和 Mandiant Attack Surface Management 都不会将发现结果标记为已解决。解决问题后，您可以手动将问题标记为已解决。如果在下一次 Mandiant Attack Surface Management 扫描中未发现该问题，则该问题会保持已解决状态。

Model Armor

Model Armor 是一项全托管式 Google Cloud 服务，可通过过滤 LLM 提示和回答来增强 AI 应用的安全性和保障性。

Model Armor 服务中的漏洞发现结果

Notebook Security Scanner

Notebook Security Scanner 是 Security Command Center 的内置软件包漏洞检测服务。启用 Notebook Security Scanner 后，它会自动每 24 小时扫描一次 Colab Enterprise 笔记本（文件扩展名为 ipynb），以检测 Python 软件包中的漏洞，并将这些发现结果发布到 Security Command Center 的发现结果页面。

您可以使用 Notebook Security Scanner 扫描在以下区域中创建的 Colab Enterprise 笔记本：us-central1、us-east4、us-west1 和 europe-west4。

如需开始使用 Notebook Security Scanner，请参阅启用和使用 Notebook Security Scanner。

Policy Controller

Policy Controller 支持为 Kubernetes 集群应用并强制执行可编程政策。这些政策充当安全措施，有助于实现集群和舰队的最佳实践、安全性和合规性管理。

如果您安装 Policy Controller，并且启用任一 Policy Controller 包，Policy Controller 会自动将集群违规行为作为 Misconfiguration 类发现结果写入 Security Command Center。Security Command Center 发现结果中的发现结果说明和后续步骤与相应 Policy Controller 包的限制条件说明和补救步骤相同。

Policy Controller 发现结果来自以下 Policy Controller 包：

• CIS Kubernetes 基准 v1.5.1：一组用于配置 Kubernetes 以支持可靠的安全状况的建议。您还可以在 cis-k8s-v1.5.1 的 GitHub 代码库中查看有关此包的信息。
• PCI-DSS v3.2.1：根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 的某些方面评估集群资源合规性的一个包。您还可以在 pci-dss-v3 的 GitHub 代码库中查看有关此包的信息。

如需查找和修复 Policy Controller 发现结果，请参阅修复 Policy Controller 发现结果。

风险引擎

Security Command Center 风险引擎会评估您的云部署的风险敞口，为漏洞发现结果和高价值资源分配攻击风险得分，并以图表形式显示潜在攻击者可能采取的攻击路径以访问您的高价值资源。

在 Security Command Center 的 Enterprise 或高级层级中，风险引擎会检测一组安全问题，如果这些问题以特定模式同时出现，就会形成通往一个或多个高价值资源的路径，而有意攻击者可能会利用这些路径来访问和入侵这些资源。

当风险引擎检测到其中一种组合时，会生成 TOXIC_COMBINATION 类发现结果。在发现结果中，风险引擎会列为发现结果的来源。

风险引擎还会识别多个攻击路径汇聚的常见资源或资源组，然后生成 CHOKEPOINT 类发现结果。

如需了解详情，请参阅恶意组合和关卡概览。

Security Health Analytics

Security Health Analytics 是 Security Command Center 的一项内置检测服务，可为您的云资源提供托管式扫描，以检测常见的配置错误。

检测到配置错误时，Security Health Analytics 会生成发现结果。 大多数 Security Health Analytics 发现结果都会映射到安全标准控制，以便您评估合规性。

Security Health Analytics 会在 Google Cloud上扫描您的资源。如果您使用的是 Enterprise 层级，并与其他云平台建立连接，Security Health Analytics 还可以扫描您在这些云平台上的资源。

可用的检测器因您使用的 Security Command Center 服务层级而异：

• 重要提示：在标准层级中，Security Health Analytics 仅包含一组严重程度为“中”和“高”的漏洞检测器。
• 高级层级包含适用于 Google Cloud的所有漏洞检测器。
• Enterprise 层级包含针对其他云平台的额外检测器。

当您激活 Security Command Center 时，系统会自动启用 Security Health Analytics。

有关详情，请参阅：

• Security Health Analytics 概览
• 如何使用 Security Health Analytics
• 修复发现的 Security Health Analytics 问题
• Security Health Analytics 发现结果的参考

安全状况服务

安全状况服务是 Security Command Center 高级层级的内置服务，可让您在 Google Cloud中定义、评估和监控安全的总体状态。它提供有关您的环境如何与您在安全状况中定义的政策保持一致的信息。

安全状况服务与 GKE 安全状况信息中心无关，后者仅显示 GKE 集群中的发现结果。

Sensitive Data Protection

Sensitive Data Protection 是一项全托管式 Google Cloud 服务，可帮助您发现、分类和保护敏感数据。您可以使用 Sensitive Data Protection 来确定您是否存储了敏感数据或个人身份信息 (PII)，例如以下信息：

• 用户姓名
• 信用卡号
• 全国或州身份证件号码
• 健康保险 ID 编号
• Secret

在 Sensitive Data Protection 中，您搜索的每种敏感数据类型称为 infoTypeinfoType。

如果您配置 Sensitive Data Protection 操作以将结果发送到 Security Command Center，则除了“Sensitive Data Protection”部分之外，您还可以直接在 Google Cloud 控制台的 Security Command Center 部分中查看发现结果。

Sensitive Data Protection 发现服务中的漏洞发现结果

Sensitive Data Protection 发现服务可帮助您确定自己是否存储了未受保护的高度敏感数据。

Sensitive Data Protection 发现服务中的配置错误发现结果

Sensitive Data Protection 发现服务可帮助您确定是否存在可能泄露敏感数据的配置错误。

Sensitive Data Protection 中的观察发现结果

本部分介绍 Sensitive Data Protection 在 Security Command Center 中生成的观察发现结果。

发现服务中的观察发现结果

Sensitive Data Protection 发现服务可帮助您确定您的数据是否包含特定的 infoType 以及它们在组织、文件夹和项目中的位置。它会在 Security Command Center 中生成以下观察发现结果类别：

Data sensitivity

表示特定数据资产中数据的敏感度级别。如果数据包含个人身份信息或其他可能需要额外控制或管理的元素，则属于敏感数据。发现结果的严重程度是生成数据分析结果时 Sensitive Data Protection 计算的敏感度级别。

Data risk

与当前状态下的数据关联的风险。在计算数据风险时，Sensitive Data Protection 会考虑数据资产中数据的敏感度级别以及是否存在用于保护该数据的访问权限控制。发现结果的严重程度是生成数据分析结果时 Sensitive Data Protection 计算的数据风险级别。

启用敏感数据发现功能后，Sensitive Data Protection 发现结果可能会在几分钟内开始显示在 Security Command Center 中，具体取决于您组织的规模。对于规模较大的组织或具有影响发现结果生成的特定配置的组织，初始发现结果可能需要长达 12 小时才会显示在 Security Command Center 中。

随后，在发现服务扫描您的资源后几分钟内，Sensitive Data Protection 会在 Security Command Center 中生成发现结果。

如需了解如何将数据分析结果发送到 Security Command Center，请参阅以下内容：

• 对于 Security Command Center Enterprise：启用敏感数据发现。
• 对于 Security Command Center 高级或标准：将数据分析结果发布到 Security Command Center。

Sensitive Data Protection 检查服务中的观察发现结果

Sensitive Data Protection 检查作业可识别存储系统（如 Cloud Storage 存储桶或 BigQuery 表）中特定 infoType 的每个数据实例。例如，您可以运行检查作业，以搜索与 Cloud Storage 存储桶中的 CREDIT_CARD_NUMBER infoType 检测器匹配的所有字符串。

对于具有一个或多个匹配项的每个 infoType 检测器，Sensitive Data Protection 会生成相应的 Security Command Center 发现结果。发现结果类别是具有匹配项的 infoType 检测器的名称，例如 Credit card number。发现结果包括在资源的文本或图片中检测到的匹配字符串的数量。

出于安全原因，发现结果中不包含检测到的实际字符串。例如，Credit card number 发现结果会显示找到的信用卡号数量，但不会显示实际的信用卡号。

由于 Sensitive Data Protection 中有超过 150 个内置 infoType 检测器，因此此处未列出所有可能的 Security Command Center 发现结果类别。如需查看 infoType 检测器的完整列表，请参阅 InfoType 检测器参考文档。

如需了解如何将检查作业的结果发送到 Security Command Center，请参阅将 Sensitive Data Protection 检查作业结果发送到 Security Command Center。

在控制台中查看 Sensitive Data Protection 发现结果

1. 在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。

   前往“发现结果”

2. 选择您的 Google Cloud 项目或组织。
3. 在快速过滤条件部分的来源显示名称子部分中，选择 Sensitive Data Protection。发现结果查询结果已更新，仅显示来自此来源的发现结果。
4. 如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板，并显示摘要标签页。
5. 在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的修复该发现结果的步骤（如果有）。
6. 可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

虚拟机管理器

虚拟机管理器是一套工具，可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

如需将虚拟机管理器与 Security Command Center 高级的项目级激活搭配使用，请在父级组织中激活 Security Command Center 标准。

如果您通过 Security Command Center 高级层级启用虚拟机管理器，则虚拟机管理器会自动将其漏洞报告（预览版）的 high 和 critical 发现结果写入 Security Command Center。这些报告可识别虚拟机上安装的操作系统 (OS) 中的漏洞，包括常见漏洞和披露 (CVE)。

Security Command Center 标准方案不提供漏洞报告。

发现结果可以简化使用虚拟机管理器的补丁程序合规性功能（预览版）的过程。通过此功能，您可以在组织级层为所有项目执行补丁程序管理。虚拟机管理器支持单个项目级的补丁管理。

如需修复虚拟机管理器发现结果，请参阅修复虚拟机管理器发现结果。

如需阻止将漏洞报告写入 Security Command Center，请参阅忽略虚拟机管理器发现结果。

此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。

AWS 漏洞评估

Amazon Web Services (AWS) 漏洞评估服务可检测在 AWS 云平台上的 EC2 虚拟机 (VM) 上运行的工作负载中的软件漏洞。

对于每个检测到的漏洞，AWS 漏洞评估都会在 Security Command Center 的 Software vulnerability 发现结果类别中生成 Vulnerability 类发现结果。

AWS 漏洞评估服务会扫描正在运行的 EC2 机器实例的快照，因此生产工作负载不受影响。此扫描方法称为无代理磁盘扫描，因为扫描目标没有安装任何代理。

详情请参阅以下内容：

• AWS 漏洞评估概览
• 启用和使用 AWS 漏洞评估

Google Cloud漏洞评估

Google Cloud 漏洞评估服务可检测 Google Cloud 平台上以下资源中的软件漏洞：

• 运行 Compute Engine 虚拟机实例
• GKE Standard 集群中的节点
• 在 GKE Standard 和 GKE Autopilot 集群中运行的容器

对于每个检测到的漏洞， Google Cloud 漏洞评估都会在 Security Command Center 的 Software vulnerability 或 OS vulnerability 发现结果类别中生成 Vulnerability 类发现结果。

Google Cloud 漏洞评估服务会扫描您的 Compute Engine 虚拟机实例，方法是大约每 12 小时克隆一次磁盘，将其装载到安全的虚拟机实例中，然后使用 SCALIBR 扫描程序对其进行评估。

如需了解详情，请参阅 Google Cloud漏洞评估。

Web Security Scanner

Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。

代管式扫描

Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描，以检测和扫描公共 Web 端点。这些扫描不使用身份验证，而是发送仅限 GET 的请求，因此他们无需在实际网站上提交任何表单。

代管式扫描与自定义扫描分开运行。

如果在组织级激活 Security Command Center，您可以使用托管式扫描来集中管理组织中项目的基本 Web 应用漏洞检测，而不需要各个项目团队参与。发现结果后，您可以与这些团队合作，以设置更全面的自定义扫描。

启用 Web Security Scanner 作为服务后，Security Command Center 漏洞页面和相关报告会自动显示代管式扫描发现结果。如需了解如何启用 Web Security Scanner 托管式扫描，请参阅配置 Security Command Center 服务。

托管式扫描仅支持使用默认端口的应用，对于 HTTP 连接，默认端口为 80；对于 HTTPS 连接，默认端口为 443。如果您的应用使用非默认端口，请改为执行自定义扫描。

自定义扫描

Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息，例如过时的库、跨站脚本攻击或混合内容的使用。

您需要在项目级层定义自定义扫描。

完成设置 Web Security Scanner 自定义扫描的指南后，在 Security Command Center 中可获取自定义扫描发现结果。

检测器与合规性

Web Security Scanner 支持 OWASP 十大类别中的类别，该文档根据开 Web 应用安全项目 (OWASP) 对前 10 个最重要的 Web 应用安全风险进行排名并提供补救指南。如需查看如何缓解 OWASP 风险的指导信息，请参阅 Google Cloud 上的 OWASP 十大缓解选项。

合规性映射仅供参考，并非由 OWASP 基金会提供或审核。

此功能仅用于监控合规性控制的违规行为。您不应将提供的映射作为针对产品或服务的监管、行业基准或标准合规性的审计、认证或报告的基础或替代方案。

如需了解详情，请参阅 Web Security Scanner 概览。

威胁检测服务

威胁检测服务包括内置服务和集成服务，可检测可能表明潜在有害事件（例如资源遭到入侵或遭到网络攻击）的事件。

异常值检测

异常检测是一项内置服务，使用了来自系统外部的行为信号。它会显示针对您的项目和虚拟机 (VM) 实例检测到的安全异常的精细信息，例如可能泄露的凭证。激活 Security Command Center 标准或高级层级后，系统会自动启用异常值检测，您可以在 Google Cloud 控制台中获取发现结果。

异常值检测发现结果包括：

账号的凭证已泄露

GitHub 通知 Security Command Center 用于提交的凭证似乎是Google Cloud Identity and Access Management 服务账号的凭证。

通知中包含服务账号名称和私钥标识符。 Google Cloud 还会向您的安全和隐私指定联系人发送邮件通知。

要解决此问题，请采取以下一项或多项措施：

• 识别密钥的合法用户。
• 变换密钥。
• 移除密钥。
• 调查密钥在泄露后执行的任何操作，以确保所有操作都不是恶意操作。

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection 可以检测最常见的容器运行时攻击，并在 Security Command Center 和 Cloud Logging（可选）中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。

Container Threat Detection 检测插桩收集客机内核中的底层行为并对代码执行自然语言处理以检测以下事件：

• Added Binary Executed
• Added Library Loaded
• Command and Control: Steganography Tool Detected（预览版）
• Credential Access: Find Google Cloud Credentials
• Credential Access: GPG Key Reconnaissance
• Credential Access: Search Private Keys or Passwords
• Defense Evasion: Base64 ELF File Command Line
• Defense Evasion: Base64 Encoded Python Script Executed
• Defense Evasion: Base64 Encoded Shell Script Executed
• Defense Evasion: Launch Code Compiler Tool In Container（预览版）
• Execution: Added Malicious Binary Executed
• Execution: Added Malicious Library Loaded
• Execution: Built in Malicious Binary Executed
• Execution: Container Escape
• Execution: Fileless Execution in /memfd:
• Execution: Ingress Nightmare Vulnerability Execution（预览版）
• Execution: Kubernetes Attack Tool Execution
• Execution: Local Reconnaissance Tool Execution
• Execution: Malicious Python executed
• Execution: Modified Malicious Binary Executed
• Execution: Modified Malicious Library Loaded
• Execution: Netcat Remote Code Execution In Container
• Execution: Possible Remote Command Execution Detected（预览版）
• Execution: Program Run with Disallowed HTTP Proxy Env
• Execution: Suspicious OpenSSL Shared Object Loaded
• Exfiltration: Launch Remote File Copy Tools in Container
• Impact: Detect Malicious Cmdlines（预览版）
• Impact: Remove Bulk Data From Disk
• Impact: Suspicious crypto mining activity using the Stratum Protocol
• Malicious Script Executed
• Malicious URL Observed
• Privilege Escalation: Fileless Execution in /dev/shm
• Reverse Shell
• Unexpected Child Shell

详细了解 Container Threat Detection。

Event Threat Detection

Event Threat Detection 使用来自系统内部的日志数据。它会监控项目的 Cloud Logging 流，并在日志可用时使用这些日志。检测到威胁时，Event Threat Detection 会将发现结果写入 Security Command Center 和 Cloud Logging 项目中。激活 Security Command Center 高级层级后，系统会自动启用 Event Threat Detection，您可以在Google Cloud 控制台中获取发现结果。

下表列出了 Event Threat Detection 的发现结果示例。

详细了解 Event Threat Detection。

Google Cloud Armor

Google Cloud Armor 通过提供第 7 层过滤来帮助保护您的应用。Google Cloud Armor 会清除常见 Web 攻击或其他第 7 层属性的传入请求，来防止流量到达负载均衡后端服务或后端存储桶。

Google Cloud Armor 会将两个发现结果导出到 Security Command Center：

• 允许的流量高峰

• 拒绝率提高

Virtual Machine Threat Detection

Virtual Machine Threat Detection 是 Security Command Center 内置的一项服务，可在 Enterprise 层级和 Premium 层级中使用。此服务会扫描虚拟机以检测潜在恶意应用，例如加密货币挖矿软件、内核模式 rootkit 以及在遭入侵的云环境中运行的恶意软件。

VM Threat Detection 是 Security Command Center 威胁检测套件的一部分，旨在补充 Event Threat Detection 和 Container Threat Detection 的现有功能。

如需详细了解 VM Threat Detection，请参阅 VM Threat Detection 概览。

VM Threat Detection 威胁发现结果

VM Threat Detection 可以生成以下威胁发现结果。

加密货币挖矿威胁发现结果

VM Threat Detection 通过哈希匹配或 YARA 规则检测以下发现结果类别。

内核模式 rootkit 威胁发现结果

VM Threat Detection 会在运行时分析内核完整性，以检测恶意软件使用的常见规避技术。

KERNEL_MEMORY_TAMPERING 模块通过对虚拟机的内核代码和内核只读数据内存进行哈希比较来检测威胁。

KERNEL_INTEGRITY_TAMPERING 模块通过检查重要内核数据结构的完整性来检测威胁。

错误

错误检测器可帮助您检测配置中的错误，从而防止安全来源生成发现结果。错误发现结果由 Security Command Center 安全来源生成，且具有发现结果类 SCC errors。

意外操作

以下发现结果类别表示可能由意外操作导致的错误。

如需了解详情，请参阅 Security Command Center 错误。

后续步骤

• 参阅 Security Command Center 概览，了解 Security Command Center。
• 了解如何通过配置 Security Command Center 服务来添加新的安全来源。