此页面由 Cloud Translation API 翻译。

漏洞发现结果

Security Health Analytics 和 Web Security Scanner 检测器会生成漏洞发现结果， Security Command Center在 Security Command Center 中启用它们后，虚拟机管理器等集成服务结果。

您能否查看和修改发现结果取决于分配给您的 Identity and Access Management (IAM) 角色和权限。如需详细了解 Security Command Center 中的 IAM 角色，请参阅访问权限控制。

检测器与合规性

Security Command Center 可监控您是否符合多种检测器的合规性，这些检测器映射到各种控件的各种安全标准

对于每种受支持的安全标准 Security Command Center 检查一部分控件对于已选中的控件，Security Command Center 会显示有多少控件通过测试。对于 Security Command Center 会显示未通过的发现结果列表，来描述控制机制的失败情况

CIS 会审核和认证 Security Command Center 每个受支持的 CIS Google Cloud Foundations Benchmark 的版本。其他合规性映射仅供参考。

Security Command Center 定期增加对新的基准版本和标准的支持。较早版本仍然受支持，但最终会被弃用。我们建议您使用最新的受支持基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵商家的标准和控制措施。创建安全状况后，您可以监控任何可能影响企业合规性的环境变化。

如需详细了解如何管理合规性，请参阅评估和报告安全性合规性标准。

Google Cloud 支持的安全标准

Security Command Center 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

Center for Information Security (CIS) Controls 8.0
CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
CIS Kubernetes 基准 v1.5.1
云控件矩阵 (CCM) 4
健康保险《流通与责任法案》(HIPAA)
国际标准化组织 (ISO) 27001、2022 和 2013
全国标准与技术研究所 (NIST) 800-53 R5 和 R4
NIST CSF 1.0
开放式 Web 应用安全项目 (OWASP) 2021 年和 2017 年排名前十位的应用
支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
系统和组织控制 (SOC) 2 2017 年可信服务标准 (TSC)

AWS 支持的安全标准

Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准：

CIS Amazon Web Services 基础 2.0.0
CIS Controls 8.0

有关查看和导出合规性报告的说明，请参阅 合规性部分在 Google Cloud 控制台中使用 Security Command Center。

修复后停用发现结果

在您修复漏洞或配置错误的发现结果后，检测到发现结果的 Security Command Center 服务会自动设置下次检测服务扫描查找完毕后，将发现结果的状态设为 INACTIVE 找到该发现结果。Security Command Center 将修复后的发现结果设为 INACTIVE 取决于检测到发现结果的扫描的时间表。

Security Command Center 服务还会设置漏洞或 INACTIVE当扫描检测到该资源将被删除

如需详细了解扫描间隔时间，请参阅以下主题：

发现的 Security Health Analytics 问题

Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源，接收资源和 Identity and Access Management (IAM) 政策更改的通知。某些检测器直接调用 Google Cloud API 来检索数据，如本页面后面的表格中所示。

如需详细了解 Security Health Analytics、扫描时间表以及 Security Health Analytics 对内置和自定义模块检测器的支持，请参阅 Security Health Analytics 概览。

下面的表格介绍 Security Health Analytics 检测器、支持的资源和合规标准、用于扫描的设置以及生成的发现结果类型。您可以使用 Google Cloud 控制台中的 Security Command Center 漏洞页面按各种属性过滤发现结果。

有关解决问题和保护资源的说明，请参阅修复 Security Health Analytics 发现结果。

API 密钥漏洞发现结果

API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。

检测器摘要资源扫描设置

检测器	摘要	资源扫描设置
`API key APIs unrestricted` API 中的类别名称：`API_KEY_APIS_UNRESTRICTED`	发现结果说明：有过于广泛使用的 API 密钥。如需解决此问题，请限制 API 密钥的使用，仅允许使用应用需要的 API。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索项目中所有 API 密钥的 `restrictions` 属性，检查是否有任何密钥设置为 `cloudapis.googleapis.com`。实时扫描：否
`API key apps unrestricted` API 中的类别名称：`API_KEY_APPS_UNRESTRICTED`	发现结果说明：有些 API 密钥可以不受限制地使用，允许任何不受信任的应用使用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	检索项目中所有 API 密钥的 `restrictions` 属性，检查是否设置了 `browserKeyRestrictions`、`serverKeyRestrictions`、`androidKeyRestrictions` 或 `iosKeyRestrictions`。实时扫描：否
`API key exists` API 中的类别名称：`API_KEY_EXISTS`	发现结果说明：项目使用 API 密钥，而不是标准身份验证。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索项目拥有的所有 API 密钥。实时扫描：否
`API key not rotated` API 中的类别名称：`API_KEY_NOT_ROTATED`	发现结果说明：该 API 密钥超过 90 天未轮替。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索所有 API 密钥的 `createTime` 属性中所包含的时间戳，检查是否已过去 90 天。实时扫描：否

API key APIs unrestricted

API 中的类别名称：API_KEY_APIS_UNRESTRICTED

发现结果说明：有过于广泛使用的 API 密钥。如需解决此问题，请限制 API 密钥的使用，仅允许使用应用需要的 API。

价格层级：付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

检测器	摘要	资源扫描设置
`KMS key not rotated` API 中的类别名称：`KMS_KEY_NOT_ROTATED`	发现结果说明：Cloud KMS 加密密钥上没有配置轮替。应在 90 天的时段内轮替密钥。价格层级：付费方案支持的素材资源 cloudkms.googleapis.com/CryptoKey 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	检查资源元数据中是否存在 `rotationPeriod` 或 `nextRotationTime` 属性。从扫描中排除的资源：非对称密钥和含有已停用或已销毁主要版本的密钥实时扫描：是
`KMS project has owner` API 中的类别名称：`KMS_PROJECT_HAS_OWNER`	发现结果说明：用户对具有加密密钥的项目具有 Owner 权限。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	检查项目元数据中的 IAM 允许政策以找出分配有 `roles/Owner` 的主账号。其他输入：从存储中读取项目的加密密钥，仅提交包含加密密钥的项目的发现结果实时扫描：是，但仅扫描 IAM 允许政策更改，不扫描 KMS 密钥更改
`KMS public key` API 中的类别名称：`KMS_PUBLIC_KEY`	发现结果说明：Cloud KMS 加密密钥可公开访问。价格层级：付费方案支持的素材资源 cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing 修正此发现结果合规性标准： CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号 `allUsers` 或 `allAuthenticatedUsers`。实时扫描：是
`Too many KMS users` API 中的类别名称：`TOO_MANY_KMS_USERS`	发现结果说明：超过 3 个用户使用加密密钥。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudkms.googleapis.com/CryptoKey 修正此发现结果合规性标准： PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	检查密钥环、项目和组织的 IAM 允许政策，并检索其角色允许其使用 Cloud KMS 密钥对数据进行加密、解密或签名的主账号：`roles/owner`、`roles/cloudkms.cryptoKeyEncrypterDecrypter`、`roles/cloudkms.cryptoKeyEncrypter`、`roles/cloudkms.cryptoKeyDecrypter`、`roles/cloudkms.signer` 和 `roles/cloudkms.signerVerifier`。其他输入：从存储中读取加密密钥的加密密钥版本，仅提交具有有效版本的密钥的发现结果。检测器还会从存储空间中读取密钥环、项目和组织 IAM 允许政策实时扫描：是

检测器	摘要	资源扫描设置
`Audit config not monitored` API 中的类别名称：`AUDIT_CONFIG_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控审核配置更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描*：否
`Bucket IAM not monitored` API 中的类别名称：`BUCKET_IAM_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`Custom role not monitored` API 中的类别名称：`CUSTOM_ROLE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控自定义角色更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`Firewall not monitored` API 中的类别名称：`FIREWALL_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`Network not monitored` API 中的类别名称：`NETWORK_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 VPC 网络更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`Owner not monitored` API 中的类别名称：`OWNER_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控项目所有权分配或更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`Route not monitored` API 中的类别名称：`ROUTE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 VPC 网络路由更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的素材资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息： Google Cloud Observability，只能针对以下项目提交发现结果：具有有效账号的项目实时扫描：否

类别	发现结果说明	OWASP 2017 年排名前 10	OWASP 2021 年排名前 10
`Accessible Git repository` API 中的类别名称：`ACCESSIBLE_GIT_REPOSITORY`	Git 代码库被公开。如需解决此发现结果，请移除非有意为之对 GIT 代码库的公开访问权限价格层级：Standard 修正此发现结果	A5	A01
`Accessible SVN repository` API 中的类别名称：`ACCESSIBLE_SVN_REPOSITORY`	SVN 代码库会公开。如需解决此发现结果，请移除公开库意外访问 SVN 代码库。价格层级：Standard 修正此发现结果	A5	A01
`Cacheable password input` API 中的类别名称：`CACHEABLE_PASSWORD_INPUT`	在 Web 应用中输入的密码可改为缓存在常规浏览器缓存中安全的密码存储空间价格层级：Premium 修正此发现结果	A3	A04
`Clear text password` API 中的类别名称：`CLEAR_TEXT_PASSWORD`	密码以明文形式传输，可以被拦截。要解决此发现结果，请对通过网络传输的密码进行加密。价格层级：Standard 修正此发现结果	A3	A02
`Insecure allow origin ends with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	跨网站 HTTP 或 HTTPS 端点仅验证 `Origin` 的后缀请求标头，然后再将其体现在 `Access-Control-Allow-Origin` 中响应标头。如需解决此问题，请验证预期的根网域是否属于 `Origin` 标头值，然后再将其反映在 `Access-Control-Allow-Origin` 响应标头。对于子网域通配符，请在根域名前面附加英文句点，例如 `.endsWith(".google.com")`。价格层级：Premium 修正此发现结果	A5	A01
`Insecure allow origin starts with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	跨站点 HTTP 或 HTTPS 端点仅验证 `Origin` 请求标头的前缀，然后将其呈现在 `Access-Control-Allow-Origin` 响应标头内。如需解决此发现结果，请验证预期域名是否完全匹配 `Origin` 标头值，然后再将其反映在 `Access-Control-Allow-Origin` 响应标头，例如 `.equals(".google.com")`。价格层级：Premium 修正此发现结果	A5	A01
`Invalid content type` API 中的类别名称：`INVALID_CONTENT_TYPE`	加载的资源与响应的 Content-Type HTTP 标头不匹配。接收者以解决此发现结果，请将 `X-Content-Type-Options` HTTP 标头设置为正确的值。价格层级：Standard 修正此发现结果	A6	A05
`Invalid header` API 中的类别名称：`INVALID_HEADER`	安全标头存在语法错误，因此被浏览器忽略。为了解决这一发现结果，正确设置 HTTP 安全标头。价格层级：Standard 修正此发现结果	A6	A05
`Mismatching security header values` API 中的类别名称：`MISMATCHING_SECURITY_HEADER_VALUES`	安全标头具有重复、不匹配的值，这会导致未定义的行为。如要解决此问题，请正确设置 HTTP 安全标头。价格层级：Standard 修正此发现结果	A6	A05
`Misspelled security header name` API 中的类别名称：`MISSPELLED_SECURITY_HEADER_NAME`	安全标头拼写错误并且被忽略。如需解决此发现结果，请将 HTTP 安全标头。价格层级：Standard 修正此发现结果	A6	A05
`Mixed content` API 中的类别名称：`MIXED_CONTENT`	资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题，请确保确保所有资源都通过 HTTPS 提供价格层级：标准修正此发现结果	A6	A05
`Outdated library` API 中的类别名称：`OUTDATED_LIBRARY`	检测到有已知漏洞的库。如需解决此发现结果，请升级更新到较新版本。价格层级：Standard 修正此发现结果	A9	A06
`Server side request forgery` API 中的类别名称：`SERVER_SIDE_REQUEST_FORGERY`	检测到服务器端请求伪造 (SSRF) 漏洞。为了解决这一发现结果，使用许可名单来限制 Web 应用可进行的网域和 IP 地址请求。价格层级：Standard 修正此发现结果	不适用	A10
`Session ID leak` API 中的类别名称：`SESSION_ID_LEAK`	在发出跨网域请求时，Web 应用会包含用户的会话标识符。`Referer`这个漏洞会导致接收域对会话标识符的访问权限，该标识符可用于模拟或唯一标识用户。价格层级：Premium 修正此发现结果	A2	A07
`SQL injection` API 中的类别名称：`SQL_INJECTION`	检测到潜在的 SQL 注入漏洞。如需解决此发现结果，请使用参数化查询以防止用户输入影响 SQL 查询的结构。价格层级：付费方案修正此发现结果	A1	A03
`Struts insecure deserialization` API 中的类别名称：`STRUTS_INSECURE_DESERIALIZATION`	使用存在漏洞的 Apache Struts 版本。如需解决此发现结果，请将 Apache Struts 升级到最新版本。价格层级：Premium 修正此发现结果	A8	A08
`XSS` API 中的类别名称：`XSS`	此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果，请验证和转义不受信任的用户提供的数据。价格层级：Standard 修正此发现结果	A7	A03
`XSS angular callback` API 中的类别名称：`XSS_ANGULAR_CALLBACK`	用户提供的字符串没有转义，并且 AngularJS 可以对其进行插入。解决方法：查找、验证和转义由 Angular 处理的不可信的用户提供的数据框架。价格层级：Standard 修正此发现结果	A7	A03
`XSS error` API 中的类别名称：`XSS_ERROR`	此 Web 应用中的字段容易受到跨站脚本攻击。接收者解决此发现结果，验证并转义用户提供的不可信数据。价格层级：Standard 修正此发现结果	A7	A03
`XXE reflected file leakage` API 中的类别名称：`XXE_REFLECTED_FILE_LEAKAGE`	检测到 XML 外部实体 (XXE) 漏洞。这个漏洞可能会导致来泄露主机上的文件。如需解决此发现结果，请配置您的 XML 来禁止外部实体。价格层级：Premium 修正此发现结果	A4	A05
`Prototype pollution` API 中的类别名称：`PROTOTYPE_POLLUTION`	应用容易受到原型污染。这个漏洞出现在 `Object.prototype` 对象的属性可以分配给攻击者可控制的值在这些原型上植入的值普遍被假定为转换成跨站脚本攻击或类似的客户端漏洞，逻辑 bug。价格层级：Standard 修正此发现结果	A1	A03

漏洞发现结果

检测器与合规性

Google Cloud 支持的安全标准

AWS 支持的安全标准

修复后停用发现结果

发现的 Security Health Analytics 问题

API 密钥漏洞发现结果

Cloud Asset Inventory 漏洞发现结果

计算映像漏洞发现结果

计算实例漏洞发现结果

容器漏洞发现结果

Dataproc 漏洞发现结果

数据集漏洞发现结果

DNS 漏洞发现结果

防火墙漏洞发现结果

IAM 漏洞发现结果

KMS 漏洞发现结果

日志记录漏洞发现结果

监控漏洞发现结果

多重身份验证发现结果

网络漏洞发现结果

组织政策漏洞发现结果

Pub/Sub 漏洞发现结果

SQL 漏洞发现结果

存储漏洞发现结果

子网漏洞发现结果

AWS 发现结果

Web Security Scanner 发现结果

IAM Recommender 发现结果

CIEM 发现结果

安全状况服务发现结果

虚拟机管理器

虚拟机管理器发现结果

在控制台中查看发现结果

Google Cloud 控制台

Security Operations 控制台（预览版）

修复虚拟机管理器发现结果

忽略虚拟机管理器发现结果

敏感数据保护

Policy Controller

查找并修复 Policy Controller 发现结果

Google Cloud 控制台

Security Operations 控制台（预览版）

后续步骤