面向漏洞和威胁的安全源

本页面包含 Security Command Center 中提供的 Google Cloud 安全来源列表。启用安全来源后,它会在 Security Command Center 信息中心内提供漏洞和威胁数据。

Security Command Center 允许您以多种不同的方式过滤和查看漏洞和威胁发现结果,如过滤特定的发现结果类型、资源类型或特定的资产。每个安全来源都可能提供更多过滤条件,以帮助您整理组织的结果。

Security Command Center 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产、安全来源和安全标记,取决于您被授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

漏洞

漏洞检测器可帮助您在 Google Cloud 资源中发现潜在漏洞。

Security Health Analytics 漏洞类型

Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,该功能可以自动检测以下各项的通用漏洞和配置错误:

  • Cloud Monitoring 和 Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine 容器和网络
  • Cloud Storage
  • Cloud SQL
  • 身份和访问权限管理 (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

如果您选择或 Security Command Center Standard 或付费级,系统将自动启用 Security Health Analytics。Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源,它使用以下三种扫描模式检测漏洞:

  • 批量扫描:所有检测器针对所有已注册组织每天运行两次或更多次。检测器按不同的时间表运行,以满足特定的服务等级目标 (SLO)。为了达到 12 和 24 小时的 SLO,检测器每 6 小时或 12 小时分别运行批量扫描。批量扫描之间发生的资源和政策更改不会立即被捕获,而会在下一次批量扫描中应用。注意:批量扫描时间表是性能目标,而不是服务保证。

  • 实时扫描:只要 CAI 报告资源配置更改,支持的检测器就会开始扫描。发现结果会立即写入 Security Command Center。

  • 混合模式:某些支持实时扫描的检测器可能无法实时检测所有受支持资源中的更改。在这些情况下,某些资源的配置更改会立即被捕获,其他更改会在批量扫描中捕获。

如需查看 Security Health Analytics 检测器和发现结果的完整列表,请参阅 Security Health Analytics 发现结果页面,或展开以下部分。

Web Security Scanner

Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。

代管式扫描

Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描,以检测和扫描公共 Web 端点。这些扫描不使用身份验证,而是发送仅限 GET 的请求,因此他们无需在实际网站上提交任何表单。

代管式扫描与在项目级定义的自定义扫描分开运行。您可以使用代管式扫描来集中管理组织中的项目的基本 Web 应用漏洞检测,而无需涉及各个项目团队。发现结果后,您可以与这些团队合作,以设置更全面的自定义扫描。

启用 Web Security Scanner 作为服务后,“Security Command Center 漏洞”标签页和相关报告会自动显示代管式扫描发现结果。如需了解如何启用 Web Security Scanner 代管式扫描,请参阅配置 Security Command Center

自定义扫描

Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息,例如过时的库、跨站脚本攻击或混合内容的使用。完成设置 Web Security Scanner 自定义扫描的指南后,在 Security Command Center 中可获取自定义扫描发现结果。

检测器与合规性

Web Security Scanner 支持 OWASP Top Ten 中的部分类别,该文档对由 Open Web Application Security Project(OWASP,开放式 Web 应用程序安全项目)确定的前 10 个严重 Web 应用安全风险进行排名并提供修复指南。 如需查看如何缓解 OWASP 风险的指导信息,请参阅 Google Cloud 上的 OWASP 十大缓解选项

合规性映射仅供参考,并非由 OWASP 基金会提供或审核。

此功能仅用于监控合规性控制的违规行为。您不应将提供的映射作为针对产品或服务的监管、行业基准或标准合规性的审计、认证或报告的基础或替代方案。

Web Security Scanner 自定义和代管式扫描可识别以下发现结果类型。在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

表 21。Web Security Scanner 发现结果
类别 发现结果说明 OWASP 2017 年排名前 10 OWASP 2021 年排名前 10
ACCESSIBLE_GIT_REPOSITORY Git 代码库被公开。如需解决此发现结果,请移除对 Git 代码库的意外公开访问权限。

价格层级标准

A5 A01
ACCESSIBLE_SVN_REPOSITORY SVN 代码库会公开。要解决此发现结果,请移除对 SVN 代码库的意外公开访问权限。

价格层级标准

A5 A01
CLEAR_TEXT_PASSWORD 密码以明文形式传输,可以被拦截。要解决此发现结果,请对通过网络传输的密码进行加密。

价格层级标准

A3 A02
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION 跨站 HTTP 或 HTTPS 端点仅验证 Origin 请求标头的后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。如需解决此发现结果,请先验证预期根域名是否是 Origin 标头值的一部分,然后再将其呈现在 Access-Control-Allow-Origin 响应标头内。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith(".google.com")

价格层级付费方案

A5 A01
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION 跨站 HTTP 或 HTTPS 端点仅验证 Origin 请求标头的后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。如需解决此发现结果,请先验证预期域名是否与 Origin 标头值完全匹配,然后再将其呈现在 Access-Control-Allow-Origin 响应标头内,例如 .equals(".google.com")

价格层级付费方案

A5 A01
INVALID_CONTENT_TYPE 加载的资源与响应的 Content-Type HTTP 标头不匹配。如需解决此发现结果,请使用正确的值设置 X-Content-Type-Options HTTP 标头。

价格层级标准

A6 A05
INVALID_HEADER 安全标头存在语法错误,因此被浏览器忽略。要解决此发现结果,请正确设置 HTTP 安全标头。

价格层级标准

A6 A05
MISMATCHING_SECURITY_HEADER_VALUES 安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此发现结果,请正确设置 HTTP 安全标头。

价格层级标准

A6 A05
MISSPELLED_SECURITY_HEADER_NAME 安全标头拼写错误并且被忽略。要解决此发现结果,请正确设置 HTTP 安全标头。

价格层级标准

A6 A05
MIXED_CONTENT 资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此发现结果,请确保所有资源通过 HTTPS 传送。

价格层级标准

A6 A05
OUTDATED_LIBRARY 检测到有已知漏洞的库。要解决此发现结果,请将库升级到新版本。

价格层级标准

A9 A06
SERVER_SIDE_REQUEST_FORGERY 检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果,请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。

价格层级标准

不适用 A10
SQL_INJECTION 检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询以防止用户输入影响 SQL 查询的结构。

价格层级付费方案

A1 A03
STRUTS_INSECURE_DESERIALIZATION 检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果,请将 Apache Struts 升级到最新版本。

价格层级付费方案

A8 A08
XSS 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。

价格层级标准

A7 A03
XSS_ANGULAR_CALLBACK 用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。要解决此发现结果,请验证和转义 Angular 框架处理的不受信任用户提供的数据。

价格层级标准

A7 A03
XSS_ERROR 此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。

价格层级标准

A7 A03
XXE_REFLECTED_FILE_LEAKAGE 检测到 XML 外部实体 (XXE) 漏洞。这可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置 XML 解析器以禁止外部实体。

价格层级付费方案

A4 A05

虚拟机管理器

虚拟机管理器是一套工具,可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

如果您启用 VM 管理器并订阅了 Security Command Center 专业版,则 VM 管理器会自动将其预览版漏洞报告写入 Security Command Center。这些报告可识别虚拟机上安装的操作系统 (OS) 中的漏洞,包括常见漏洞和披露 (CVE)

Security Command Center Standard 不提供漏洞报告。

发现结果可以简化使用虚拟机管理器的补丁程序合规性功能(预览版)的过程。通过此功能,您可以在组织级层为所有项目执行补丁程序管理。目前,VM 管理器支持单个项目级层的补丁程序管理。

如需修复 VM 管理器发现结果,请参阅修复 VM 管理器发现结果

如需阻止将漏洞报告写入 Security Command Center,请参阅停用 VM 管理器漏洞报告

此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。

表 20. 虚拟机管理器漏洞报告
检测器 摘要 资源扫描设置 合规性标准
OS_VULNERABILITY

发现说明:VM 管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正此发现结果

虚拟机管理器漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞,包括常见漏洞和披露 (CVE)

  • 从扫描中排除的资源:SUSE Linux Enterprise Server (SLES)、Windows 操作系统
  • 发现漏洞后,系统会立即在 Security Command Center 中显示发现结果。系统会按以下方式生成 VM 管理器中的漏洞报告:

    • 对于已安装的操作系统软件包中的大多数漏洞,OS Config API 会在更改后的几分钟内生成漏洞报告。
    • 对于 CVE,OS Config API 会在 CVE 发布到操作系统后的 3-4 小时内生成漏洞报告。

威胁

威胁检测器可帮助您发现潜在的有害事件。

异常值检测

异常值检测是一项内置服务,使用了来自系统外部的行为信号。它会显示针对您的项目和虚拟机 (VM) 实例检测到的安全异常的详细信息,例如可能泄露的凭据和虚拟货币挖矿。如果您订阅了 Security Command Center 标准版或付费级,系统会自动启用异常值检测功能,您可以在 Security Command Center 信息中心获取发现结果。

异常值检测发现结果示例包括:

表格 异常检测发现类别
破解的潜在风险 说明
account_has_leaked_credentials Google Cloud 服务帐号的凭据意外在网站泄露或被破解。
resource_compromised_alert 组织中资源的潜在破解。
滥用行为场景 说明
resource_involved_in_coin_mining 组织中虚拟机周围的行为信号表明资源可能已遭破解,并且可能被用于挖矿。
outgoing_intrusion_attempt 入侵尝试和端口扫描:您组织中的一项资源或 Google Cloud 服务正用于入侵活动,例如尝试破坏或破解目标系统。其中包括 SSH 暴力破解、端口扫描和 FTP 暴力破解攻击。
resource_used_for_phishing 组织中的某项资源或 Google Cloud 服务被用于网上诱骗。

Container Threat Detection

Container Threat Detection 可以检测最常见的容器运行时攻击,并在 Security Command Center 和 Cloud Logging(可选)中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。

Container Threat Detection 检测插桩收集客机内核中的低级行为并对脚本执行自然语言处理以检测以下事件:

  • 已执行添加的二进制文件
  • 已加载添加的库
  • 已执行恶意脚本
  • 反向 shell

详细了解 Container Threat Detection

Cloud Data Loss Prevention

借助 Cloud DLP 数据发现,您可以直接在 Security Command Center 的信息中心和发现结果目录中查看 Cloud 数据泄露防护(Cloud DLP) 扫描的结果。Cloud DLP 可帮助您更好地了解和管理敏感数据和个人身份信息 (PII),如下所示:

  • 信用卡号
  • 名称
  • 社会保障号
  • 美国和选定的国际识别号
  • 电话号码
  • Google Cloud 凭据

每个 Cloud DLP 数据发现结果都仅包括已识别的 PII 数据的类别类型以及在其中找到的资源。它不包含任何特定的底层数据。

完成将 DLP API 结果发送到 Security Command Center 中所述的设置步骤后,Cloud DLP 扫描结果即会显示在 Security Command Center 中。

如需了解详情,请参阅:

Event Threat Detection

Event Threat Detection 使用来自系统内部的日志数据。它会监控您组织中的一个或多个项目的 Cloud Logging 流,并在这些日志可用时使用日志。检测到威胁时,Event Threat Detection 会将发现结果写入 Security Command Center 和 Cloud Logging 项目中。在您订阅 Security Command Center 付费级后,系统会自动启用 Event Threat Detection,并在 Security Command Center 信息中心内提供发现结果。

Event Threat Detection 发现的结果包括以下内容:

表格 C.Event Threat Detection 发现结果类型
数据渗漏

Event Threat Detection 通过检查以下场景的审核日志来检测 BigQuery 和 Cloud SQL中的数据渗漏:

  • BigQuery 资源保存在您的组织外部,或者尝试执行被 VPC Service Controls 阻止的复制操作。
  • 尝试访问受 VPC Service Controls 保护的 BigQuery 资源。
  • Cloud SQL 资源完全或部分导出到组织外部的 Cloud Storage 存储桶,或导出到您的组织拥有且可公开访问的存储桶。
  • 您的组织拥有的 BigQuery 资源会导出到组织外部的 Cloud Storage 存储桶,或导出到组织中可公开访问的存储桶。预览版
  • Cloud SQL 备份会恢复到组织外部的 Cloud SQL 实例。预览
SSH 暴力破解 Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败,然后会执行成功,从而检测密码身份验证 SSH 的暴力破解。
挖矿 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与采矿池的已知不良网域或 IP 地址的连接,来检测虚拟货币挖矿恶意软件。
IAM 滥用行为

异常值 IAM 授权:Event Threat Detection 会检测可能被视为异常值情况的 IAM 授权,例如:

  • 将 gmail.com 用户添加到具有项目编辑者角色的政策。
  • 通过 Google Cloud Console 邀请 gmail.com 用户成为项目所有者。
  • 授予敏感权限的服务帐号。
  • 自定义角色授予敏感权限。
  • 从您的组织外部添加的服务帐号。
Log4j Event Threat Detection 会检测 Log4j 漏洞利用和活跃 Log4j 漏洞的可能尝试次数。
恶意软件 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs,从而检测恶意软件。
网上诱骗 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与已知网上诱骗网域和 IP 的连接来检测网上诱骗。
传出 DoS Event Threat Detection 会检查 VPC 流日志以检测传出拒绝服务流量。
异常访问 Event Threat Detection 通过检查源自匿名代理 IP 地址(例如 Tor IP 地址)的 Google Cloud 服务修改来检测异常访问。
异常 IAM 行为 Event Threat Detection 会通过检查来自异常 IP 地址的访问的 Cloud Audit Logs 和异常用户代理来检测异常 IAM 行为。
服务帐号自行调查 Event Threat Detection 检测何时使用服务帐号凭据来调查与同一服务帐号关联的角色和权限。
Compute Engine Admin 添加了 SSH 密钥
Event Threat Detection 会检测已建立的实例(早于 1 周)上对 Compute Engine 实例元数据 SSH 密钥的修改。
Compute Engine Admin 添加了启动脚本
Event Threat Detection 会在已建立的实例上(早于 1 周)检测到 Compute Engine 实例元数据启动脚本值的修改。
可疑的帐号活动 Event Threat Detection 通过检查异常帐号活动的审核日志来检测 Google Workspace 帐号的潜在入侵,包括泄露的密码和尝试的可疑登录。
受政府支持的攻击 Event Threat Detection 会检查 Google Workspace 审核日志,以检测政府支持的攻击者可能在何时尝试破解了用户帐号或计算机。
单点登录 (SSO) 更改 Event Threat Detection 会检查 Google Workspace 审核日志,以检测何时停用 SSO 或更改 Google Workspace 管理员帐号的设置。
两步验证 Event Threat Detection 会检查 Google Workspace 审核日志,以检测用户和管理员帐号何时停用两步验证。
异常 API 行为
预览版
Event Threat Detection 通过检查主帐号之前未见过的 Google Cloud 服务请求的 Cloud Audit Logs 来检测异常 API 行为。

详细了解 Event Threat Detection

Forseti Security

Forseti Security 为您提供了各种工具,帮助您了解 Google Cloud 中的所有资源。核心 Forseti 模块协同工作,可提供完整的信息,以便您可以保护资源并最大限度地降低安全风险。

要在 Security Command Center 中显示 Forseti 违规通知,请遵循 Forseti Security Command Center 通知指南

如需了解详情,请参阅:

Phishing Protection

Phishing Protection 通过对使用您的品牌的恶意内容进行分类,并向 Google 安全浏览报告不安全的网址,以防止用户访问网上诱骗网站。在网站被添加到安全浏览数据库后,超过 30 亿台设备的用户都将看到相关警告。

要开始使用网上诱骗防护,请按照启用网上诱骗防护指南进行操作。启用网上诱骗防护后,结果会出现在网上诱骗防护的 Security Command Center 卡片中的发现结果下。

后续步骤