Pendeteksi Kerentanan Cepat, Analisis Kondisi Keamanan, dan Web Security Scanner menghasilkan temuan kerentanan yang tersedia di Security Command Center. Saat diaktifkan di Security Command Center, layanan terintegrasi, seperti VM Manager, juga akan menghasilkan temuan kerentanan.
Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran dan izin Identity and Access Management (IAM) yang Anda tetapkan. Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses.
Pendeteksi dan kepatuhan
Security Command Center memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.
Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung di Google Cloud
Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Matriks Kontrol Cloud (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022, dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- NIST CSF 1.0
- Sepuluh Teratas Open Web Application Security Project (OWASP) 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- Kontrol Sistem dan Organisasi (SOC) 2 Kriteria Layanan Tepercaya (TSC) 2017
Untuk petunjuk tentang cara melihat dan mengekspor laporan kepatuhan, lihat bagian Kepatuhan di Menggunakan Security Command Center di Konsol Google Cloud.
Menemukan penonaktifan setelah perbaikan
Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, layanan Security Command Center yang mendeteksi temuan tersebut akan otomatis menyetel status temuan ke INACTIVE
saat layanan deteksi memindai temuan itu lagi. Waktu yang diperlukan Security Command Center untuk menetapkan temuan yang diperbaiki ke INACTIVE
bergantung pada jadwal pemindaian yang mendeteksi temuan tersebut.
Layanan Security Command Center juga menetapkan status temuan kerentanan atau kesalahan konfigurasi ke INACTIVE
saat pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan tersebut telah dihapus.
Untuk informasi selengkapnya tentang interval pemindaian, lihat topik berikut:
- Jenis pemindaian Security Health Analytics
- Latensi dan interval pemindaian Deteksi Kerentanan Cepat
- Jenis pemindaian Web Security Scanner
Temuan Security Health Analytics
Pendeteksi Security Health Analytics memantau sebagian resource dari Cloud Asset Inventory (CAI), yang menerima notifikasi tentang perubahan kebijakan resource dan Identity and Access Management (IAM). Beberapa detektor mengambil data dengan langsung memanggil Google Cloud API, seperti yang ditunjukkan dalam tabel nanti di halaman ini.
Untuk informasi selengkapnya tentang Security Health Analytics, jadwal pemindaian, dan dukungan Security Health Analytics untuk detektor modul bawaan dan kustom, lihat Ringkasan Analisis Kondisi Keamanan.
Tabel berikut menjelaskan detektor Security Health Analytics, aset dan standar kepatuhan yang didukung, setelan yang digunakan untuk pemindaian, dan jenis temuan yang dihasilkan. Anda dapat memfilter temuan berdasarkan berbagai atribut menggunakan halaman Kerentanan Security Command Center di Konsol Google Cloud.
Untuk mendapatkan petunjuk tentang cara memperbaiki masalah dan melindungi resource Anda, lihat Memperbaiki temuan Analisis Kondisi Keamanan.
Temuan kerentanan kunci API
Detektor API_KEY_SCANNER
mengidentifikasi kerentanan yang terkait dengan kunci API yang digunakan dalam deployment cloud Anda.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
API key APIs unrestricted
Nama kategori di API: |
Menemukan deskripsi: Ada kunci API yang digunakan terlalu luas. Untuk mengatasi hal ini, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil properti
|
API key apps unrestricted
Nama kategori di API: |
Menemukan deskripsi: Ada kunci API yang digunakan secara tidak terbatas, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil properti
|
API key exists
Nama kategori di API: |
Menemukan deskripsi: Project menggunakan kunci API, bukan autentikasi standar. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil semua kunci API yang dimiliki oleh sebuah project.
|
API key not rotated
Nama kategori di API: |
Menemukan deskripsi: Kunci API belum dirotasi selama lebih dari 90 hari. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil stempel waktu yang terdapat di properti
|
Temuan kerentanan Inventaris Aset Cloud
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Inventaris Aset Cloud dan termasuk dalam jenis CLOUD_ASSET_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Cloud Asset API disabled
Nama kategori di API: |
Deskripsi penemuan: Pengambilan resource Google Cloud dan kebijakan IAM oleh Inventaris Aset Cloud memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Sebaiknya aktifkan layanan Inventaris Aset Cloud untuk semua project. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah layanan Inventaris Aset Cloud diaktifkan.
|
Menghitung temuan kerentanan gambar
Detektor COMPUTE_IMAGE_SCANNER
mengidentifikasi kerentanan yang terkait dengan konfigurasi image Google Cloud.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Public Compute image
Nama kategori di API: |
Menemukan deskripsi: Image Compute Engine dapat diakses secara publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Temuan kerentanan instance komputasi
Detektor COMPUTE_INSTANCE_SCANNER
mengidentifikasi kerentanan yang terkait dengan konfigurasi instance Compute Engine.
Pendeteksi COMPUTE_INSTANCE_SCANNER
tidak melaporkan temuan pada
instance Compute Engine yang dibuat oleh GKE. Instance tersebut memiliki nama yang diawali dengan "gke-", yang tidak dapat diedit pengguna. Untuk mengamankan instance ini, lihat bagian temuan kerentanan container.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Confidential Computing disabled
Nama kategori di API: |
Deskripsi penemuan: Confidential Computing dinonaktifkan pada instance Compute Engine. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Compute project wide SSH keys allowed
Nama kategori di API: |
Menemukan deskripsi: Kunci SSH di seluruh project digunakan, sehingga login ke semua instance dalam project dapat dilakukan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Compute Secure Boot disabled
Nama kategori di API: |
Deskripsi penemuan: Shielded VM ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman lanjutan, seperti rootkit dan bootkit. Tingkat harga: Premium Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
Compute serial ports enabled
Nama kategori di API: |
Deskripsi penemuan: Port serial diaktifkan untuk sebuah instance, sehingga memungkinkan koneksi ke konsol serial instance. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Default service account used
Nama kategori di API: |
Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Disk CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Disk CSEK disabled
Nama kategori di API: |
Deskripsi penemuan: Disk pada VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Pendeteksi kasus khusus. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Full API access
Nama kategori di API: |
Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil kolom
|
HTTP load balancer
Nama kategori di API: |
Deskripsi penemuan: Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Menentukan apakah properti
|
IP forwarding enabled
Nama kategori di API: |
Deskripsi penemuan: Penerusan IP diaktifkan pada instance. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
OS login disabled
Nama kategori di API: |
Menemukan deskripsi: Login OS dinonaktifkan pada instance ini. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Public IP address
Nama kategori di API: |
Deskripsi penemuan: Instance memiliki alamat IP publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Shielded VM disabled
Nama kategori di API: |
Menemukan deskripsi: Shielded VM dinonaktifkan pada instance ini. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Weak SSL policy
Nama kategori di API: |
Deskripsi penemuan: Instance memiliki kebijakan SSL yang lemah. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah
|
Temuan kerentanan container
Semua jenis temuan ini berhubungan dengan konfigurasi penampung GKE, dan termasuk dalam jenis detektor CONTAINER_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Alpha cluster enabled
Nama kategori di API: |
Deskripsi penemuan: Fitur cluster alfa diaktifkan untuk cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Auto repair disabled
Nama kategori di API: |
Deskripsi penemuan: Fitur perbaikan otomatis cluster GKE, yang menjaga node agar tetap dalam keadaan berjalan dan sehat, dinonaktifkan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Auto upgrade disabled
Nama kategori di API: |
Deskripsi penemuan: Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan node pool pada Kubernetes versi stabil terbaru, dinonaktifkan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Binary authorization disabled
Nama kategori di API: |
Menemukan deskripsi: Otorisasi Biner dinonaktifkan di cluster GKE atau kebijakan Otorisasi Biner dikonfigurasi untuk mengizinkan semua image di-deploy. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa hal berikut:
|
Cluster logging disabled
Nama kategori di API: |
Menemukan deskripsi: Logging tidak diaktifkan untuk cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster monitoring disabled
Nama kategori di API: |
Menemukan deskripsi: Pemantauan dinonaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster private Google access disabled
Nama kategori di API: |
Deskripsi penemuan: Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster secrets encryption disabled
Nama kategori di API: |
Deskripsi penemuan: Enkripsi rahasia lapisan aplikasi dinonaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Cluster shielded nodes disabled
Nama kategori di API: |
Deskripsi penemuan: Node GKE yang terlindungi tidak diaktifkan untuk cluster. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
COS not used
Nama kategori di API: |
Menemukan deskripsi: VM Compute Engine tidak menggunakan OS yang Dioptimalkan untuk Container yang dirancang untuk menjalankan container Docker di Google Cloud dengan aman. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Integrity monitoring disabled
Nama kategori di API: |
Menemukan deskripsi: Pemantauan integritas dinonaktifkan untuk cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Intranode visibility disabled
Nama kategori di API: |
Deskripsi penemuan: Visibilitas intranode dinonaktifkan untuk cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
IP alias disabled
Nama kategori di API: |
Deskripsi penemuan: Cluster GKE dibuat dengan rentang IP alias dinonaktifkan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Legacy authorization enabled
Nama kategori di API: |
Menemukan deskripsi: Otorisasi Lama diaktifkan di cluster GKE. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Legacy metadata enabled
Nama kategori di API: |
Deskripsi penemuan: Metadata lama diaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Master authorized networks disabled
Nama kategori di API: |
Deskripsi penemuan: Jaringan yang Diotorisasi Bidang Kontrol tidak diaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Network policy disabled
Nama kategori di API: |
Menemukan deskripsi: Kebijakan jaringan dinonaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Nodepool boot CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Boot disk dalam kumpulan node ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
Nodepool secure boot disabled
Nama kategori di API: |
Deskripsi penemuan: Booting Aman dinonaktifkan untuk cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Over privileged account
Nama kategori di API: |
Deskripsi penemuan: Akun layanan memiliki akses project yang terlalu luas dalam cluster. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi properti
|
Over privileged scopes
Nama kategori di API: |
Deskripsi penemuan: Akun layanan node memiliki cakupan akses yang luas. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah cakupan akses yang tercantum di properti config.oauthScopes kumpulan node adalah cakupan akses akun layanan terbatas: https://www.googleapis.com/auth/devstorage.read_only , https://www.googleapis.com/auth/logging.write , atau https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Nama kategori di API: |
Deskripsi pencarian: PodSecurityPolicy dinonaktifkan di cluster GKE. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Private cluster disabled
Nama kategori di API: |
Deskripsi penemuan: Cluster GKE menonaktifkan cluster Pribadi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Release channel disabled
Nama kategori di API: |
Deskripsi penemuan: Cluster GKE tidak berlangganan ke saluran rilis. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Web UI enabled
Nama kategori di API: |
Menemukan deskripsi: UI web GKE (dasbor) diaktifkan. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Workload Identity disabled
Nama kategori di API: |
Menemukan deskripsi: Workload Identity dinonaktifkan di cluster GKE. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan Dataproc
Semua kerentanan jenis detektor ini berkaitan dengan Dataproc dan termasuk dalam jenis detektor DATAPROC_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Dataproc CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Dataproc image outdated
Nama kategori di API: |
Deskripsi penemuan: Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046). Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah kolom
|
Temuan kerentanan set data
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Set Data BigQuery, dan termasuk dalam jenis detektor DATASET_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
BigQuery table CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Dataset CMEK disabled
Nama kategori di API: |
Menemukan deskripsi: Set data BigQuery tidak dikonfigurasi untuk menggunakan CMEK default. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Public dataset
Nama kategori di API: |
Finding description: Set data dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Temuan kerentanan DNS
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud DNS,
dan termasuk dalam jenis detektor DNS_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
DNSSEC disabled
Nama kategori di API: |
Menemukan deskripsi: DNSSEC dinonaktifkan untuk zona Cloud DNS. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
RSASHA1 for signing
Nama kategori di API: |
Deskripsi penemuan: RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah objek
|
Temuan kerentanan firewall
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi firewall, dan termasuk dalam jenis detektor FIREWALL_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Egress deny rule not set
Nama kategori di API: |
Deskripsi penemuan: Aturan penolakan traffic keluar tidak ditetapkan di firewall. Aturan penolakan traffic keluar harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Firewall rule logging disabled
Nama kategori di API: |
Deskripsi penemuan: Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Cassandra port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open ciscosecure websm port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open directory services port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang memungkinkan akses generik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open DNS port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open elasticsearch port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ElastICSEARCH terbuka yang memungkinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open firewall
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open FTP port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port FTP terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open HTTP port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port HTTP terbuka yang memungkinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open LDAP port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port LDAP terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Memcached port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang memungkinkan akses umum. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open MongoDB port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open MySQL port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open NetBIOS port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open OracleDB port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ORACLEDB terbuka yang mengizinkan akses umum. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open pop3 port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port POP3 terbuka yang memungkinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open PostgreSQL port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port PostgreSQL terbuka yang memungkinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open RDP port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port RDP terbuka yang mengizinkan akses generik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Redis port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port REDIS terbuka yang mengizinkan akses umum. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open SMTP port
Nama kategori di API: |
Deskripsi pencarian: Firewall dikonfigurasi agar memiliki port SMTP terbuka yang memungkinkan akses generik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open SSH port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port SSH terbuka yang memungkinkan akses generik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open Telnet port
Nama kategori di API: |
Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port TELNET terbuka yang memungkinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan IAM
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Identity and Access Management (IAM),
dan termasuk dalam jenis detektor IAM_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Access Transparency disabled
Nama kategori di API: |
Menemukan deskripsi: Transparansi Akses Google Cloud dinonaktifkan untuk organisasi Anda. Transparansi Akses mencatat log saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa yang mengakses informasi Anda dari Google Cloud, kapan, dan mengapa. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah organisasi Anda telah mengaktifkan Transparansi Akses.
|
Admin service account
Nama kategori di API: |
Menemukan deskripsi: Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata
resource untuk setiap akun layanan yang dibuat pengguna (ditunjukkan
dengan awalan iam.gserviceaccount.com),
yang ditetapkan
|
Essential Contacts Not Configured
Nama kategori di API: |
Deskripsi penemuan: Organisasi Anda belum menetapkan orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya tunjuk satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai Kontak Penting. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kontak telah ditetapkan untuk kategori kontak penting berikut:
|
KMS role separation
Nama kategori di API: |
Deskripsi penemuan: Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa IAM mengizinkan kebijakan dalam metadata resource dan mengambil akun utama yang diberi salah satu peran berikut secara bersamaan: roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , dan roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer , roles/cloudkms.signerVerifier , roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Nama kategori di API: |
Menemukan deskripsi: Ada pengguna yang tidak menggunakan kredensial organisasi. Per CIS GCP Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Membandingkan alamat email @gmail.com di kolom
|
Open group IAM member
Nama kategori di API: |
Deskripsi temuan: Akun Google Grup yang dapat digabungkan tanpa persetujuan akan digunakan sebagai akun utama kebijakan izin IAM. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa
kebijakan IAM dalam
metadata resource untuk semua binding
yang berisi anggota (utama) yang diawali dengan group . Jika
grup tersebut adalah grup terbuka, Security Health Analytics akan menghasilkan temuan ini.
|
Over privileged service account user
Nama kategori di API: |
Menemukan deskripsi: Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator di level project.
|
Primitive roles used
Nama kategori di API: |
Menemukan deskripsi: Pengguna memiliki salah satu peran dasar berikut:
Peran ini terlalu permisif dan tidak boleh digunakan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi peran
|
Redis role used on org
Nama kategori di API: |
Deskripsi penemuan: Peran Redis IAM ditetapkan pada tingkat organisasi atau folder. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium
Aset yang didukung
Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan
|
Service account role separation
Nama kategori di API: |
Menemukan deskripsi: Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk semua akun utama yang diberi roles/iam.serviceAccountUser dan roles/iam.serviceAccountAdmin .
|
Service account key not rotated
Nama kategori di API: |
Menemukan deskripsi: Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi stempel waktu pembuatan kunci yang diambil di
properti
|
User managed service account key
Nama kategori di API: |
Menemukan deskripsi: Pengguna mengelola kunci akun layanan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan KMS
Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi Cloud KMS, dan termasuk dalam jenis detektor KMS_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
KMS key not rotated
Nama kategori di API: |
Menemukan deskripsi: Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa metadata resource untuk mengetahui keberadaan properti
|
KMS project has owner
Nama kategori di API: |
Menemukan deskripsi: Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata project untuk akun utama yang ditetapkan
|
KMS public key
Nama kategori di API: |
Deskripsi penemuan: Kunci kriptografis Cloud KMS dapat diakses secara publik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Too many KMS users
Nama kategori di API: |
Deskripsi penemuan: Ada lebih dari tiga pengguna kunci kriptografis. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Pemeriksaan IAM mengizinkan kebijakan untuk key ring, project, dan organisasi, serta mengambil akun utama dengan peran yang memungkinkannya mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci Cloud KMS: roles/owner , roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer , dan roles/cloudkms.signerVerifier .
|
Mencatat temuan kerentanan dalam log
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi logging, dan termasuk dalam jenis detektor LOGGING_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Audit logging disabled
Nama kategori di API: |
Menemukan deskripsi: Logging audit telah dinonaktifkan untuk resource ini. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk mengetahui keberadaan objek
|
Bucket logging disabled
Nama kategori di API: |
Menemukan deskripsi: Ada bucket penyimpanan tanpa mengaktifkan logging. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Locked retention policy not set
Nama kategori di API: |
Menemukan deskripsi: Kebijakan retensi yang terkunci tidak ditetapkan untuk log. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Log not exported
Nama kategori di API: |
Menemukan deskripsi: Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung
Standar kepatuhan:
|
Mengambil objek
|
Object versioning disabled
Nama kategori di API: |
Finding description: Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Memantau temuan kerentanan
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi pemantauan,
dan termasuk dalam jenis MONITORING_SCANNER
. Semua properti temuan detektor Monitoring mencakup:
-
RecommendedLogFilter
yang akan digunakan dalam membuat metrik log. -
QualifiedLogMetricNames
yang mencakup kondisi yang tercantum dalam filter log yang direkomendasikan. -
AlertPolicyFailureReasons
yang menunjukkan apakah project tidak memiliki kebijakan pemberitahuan yang dibuat untuk metrik log yang memenuhi syarat atau kebijakan pemberitahuan yang ada tidak memiliki setelan yang direkomendasikan.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Audit config not monitored
Nama kategori di API: |
Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* , dan jika resource.type ditentukan, maka nilainya adalah global .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Bucket IAM not monitored
Nama kategori di API: |
Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Custom role not monitored
Nama kategori di API: |
Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Peran Kustom. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Firewall not monitored
Nama kategori di API: |
Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC). Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Network not monitored
Nama kategori di API: |
Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Owner not monitored
Nama kategori di API: |
Menemukan deskripsi: Notifikasi dan metrik log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") , dan jika resource.type ditentukan, maka nilainya adalah global .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Route not monitored
Nama kategori di API: |
Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
SQL instance not monitored
|
Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" , dan jika resource.type ditentukan, maka nilainya adalah global .
Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Temuan autentikasi multi-faktor
Detektor MFA_SCANNER
mengidentifikasi kerentanan yang terkait dengan autentikasi multi-faktor untuk pengguna.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
MFA not enforced
Nama kategori di API: |
Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Google Workspace memungkinkan Anda menentukan masa tenggang pendaftaran untuk pengguna baru. Selama periode tersebut, mereka harus mendaftar Verifikasi 2 Langkah. Pendeteksi ini membuat temuan untuk pengguna selama masa tenggang pendaftaran. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi kebijakan pengelolaan identitas di organisasi dan setelan pengguna untuk akun terkelola di Cloud Identity.
|
Temuan kerentanan jaringan
Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi jaringan
organisasi, dan termasuk dalam jenis NETWORK_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Default network
Nama kategori di API: |
Menemukan deskripsi: Jaringan default ada dalam project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
DNS logging disabled
Nama kategori di API: |
Menemukan deskripsi: Logging DNS di jaringan VPC tidak diaktifkan. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa semua
|
Legacy network
Nama kategori di API: |
Deskripsi penemuan: Jaringan lama ada di dalam project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa metadata jaringan untuk menemukan
properti
|
Load balancer logging disabled
Nama kategori di API: |
Menemukan deskripsi: Logging dinonaktifkan untuk load balancer. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan Kebijakan Organisasi
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi batasan
Kebijakan Organisasi, dan termasuk dalam jenis ORG_POLICY
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Org policy Confidential VM policy
Nama kategori di API: |
Menemukan deskripsi: Resource Compute Engine tidak mematuhi kebijakan organisasi constraints/compute.restrictNonConfidentialComputing . Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi di Confidential VM.
Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah properti
|
Org policy location restriction
Nama kategori di API: |
Menemukan deskripsi: Resource Compute Engine tidak mematuhi batasan constraints/gcp.resourceLocations . Untuk mengetahui informasi selengkapnya tentang batasan kebijakan
organisasi ini, lihat Menerapkan batasan
kebijakan organisasi.
Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
Aset yang didukung untuk ORG_POLICY_LOCATION_VIEWSION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Aliran data
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Karena aset Cloud KMS tidak dapat dihapus, aset tidak dianggap di luar region jika data aset telah dihancurkan. 2 Karena tugas impor Cloud KMS memiliki siklus proses yang terkontrol dan tidak dapat dihentikan lebih awal, ImportJob tidak dianggap di luar region jika tugas tersebut telah berakhir dan tidak dapat lagi digunakan untuk mengimpor kunci. 3 Karena siklus proses tugas Dataflow tidak dapat dikelola, Tugas tidak dianggap di luar region setelah mencapai status terminal (dihentikan atau dikuras), yang tidak dapat lagi digunakan untuk memproses data. |
Temuan kerentanan Pub/Sub
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Pub/Sub, dan termasuk dalam jenis PUBSUB_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Pubsub CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Temuan kerentanan SQL
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud SQL, dan termasuk dalam jenis SQL_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
AlloyDB auto backup disabled
Nama kategori di API: |
Deskripsi penemuan: Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
AlloyDB log min error statement severity
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom
|
AlloyDB log min messages
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom
|
AlloyDB log error verbosity
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai di log, berikan temuan jika kolom
|
Auto backup disabled
Nama kategori di API: |
Deskripsi penemuan: Database Cloud SQL tidak mengaktifkan pencadangan otomatis. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Public SQL instance
Nama kategori di API: |
Deskripsi penemuan: Instance database Cloud SQL menerima koneksi dari semua alamat IP. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SSL not enforced
Nama kategori di API: |
Deskripsi penemuan: Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
SQL contained database authentication
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL cross DB ownership chaining
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL external scripts enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL local infile
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log checkpoints disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log connections disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log disconnections disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log duration disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log error verbosity
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log lock waits disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log min duration statement enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log min error statement
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
SQL log min error statement severity
Nama kategori di API: |
Deskripsi penemuan:
Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
SQL log min messages
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom
|
SQL log executor stats enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log hostname enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log parser stats enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log planner stats enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log statement
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log statement stats enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log temp files
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL no root password
Nama kategori di API: |
Deskripsi penemuan: Database Cloud SQL yang memiliki alamat IP publik tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL public IP
Nama kategori di API: |
Deskripsi penemuan: Database Cloud SQL memiliki alamat IP publik. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah jenis alamat IP database Cloud SQL ditetapkan ke
|
SQL remote access enabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL skip show database disabled
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL trace flag 3625
Nama kategori di API: |
Menemukan deskripsi: Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL user connections configured
Nama kategori di API: |
Menemukan deskripsi:
Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL user options configured
Nama kategori di API: |
Menemukan deskripsi:
Flag database Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL weak root password
Nama kategori di API: |
Deskripsi pencarian: Database Cloud SQL yang memiliki alamat IP publik juga memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Membandingkan sandi untuk akun root database Cloud SQL Anda dengan daftar sandi umum.
|
Temuan kerentanan penyimpanan
Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Bucket Cloud Storage, dan termasuk dalam jenis STORAGE_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Bucket CMEK disabled
Nama kategori di API: |
Deskripsi penemuan: Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Mengaktifkan dan menonaktifkan detektor. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Bucket policy only disabled
Nama kategori di API: |
Deskripsi penemuan: Akses level bucket seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Public bucket ACL
Nama kategori di API: |
Deskripsi penemuan: Bucket Cloud Storage dapat diakses secara publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan IAM mengizinkan bucket untuk peran publik,
|
Public log bucket
Nama kategori di API: |
Deskripsi penemuan: Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan IAM mengizinkan bucket untuk akun utama
|
Temuan kerentanan subnetwork
Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi subnetwork
organisasi, dan termasuk jenis SUBNETWORK_SCANNER
.
Pendeteksi | Ringkasan | Setelan pemindaian aset |
---|---|---|
Flow logs disabled
Nama kategori di API: |
Menemukan deskripsi: Ada subnetwork VPC yang log alurnya dinonaktifkan. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Flow logs settings not recommended
Nama kategori di API: |
Menemukan deskripsi: Untuk subnetwork VPC, Log Aliran VPC nonaktif atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Private Google access disabled
Nama kategori di API: |
Menemukan deskripsi: Ada subnetwork pribadi tanpa akses ke API publik Google. Tingkat harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan Web Security Scanner
Pemindaian khusus dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Pada paket Standar, Web Security Scanner mendukung pemindaian kustom untuk aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.
Kategori | Menemukan deskripsi | 10 Teratas OWASP 2017 | 10 Top OWASP 2021 |
---|---|---|---|
Accessible Git repository
Nama kategori di API: |
Repositori Git ditampilkan secara publik. Untuk mengatasi temuan ini, hapus
akses publik yang tidak disengaja ke repositori GIT.
Tingkat harga: Standar |
A5 | A01 |
Accessible SVN repository
Nama kategori di API: |
Repositori SVN ditampilkan secara publik. Untuk mengatasi temuan ini, hapus
akses publik yang tidak disengaja ke repositori SVN.
Tingkat harga: Standar |
A5 | A01 |
Cacheable password input
Nama kategori di API: |
Sandi yang dimasukkan pada aplikasi web dapat disimpan dalam cache browser biasa, bukan
penyimpanan sandi yang aman.
Tingkat harga: Premium |
A3 | A04 |
Clear text password
Nama kategori di API: |
Sandi dikirimkan dalam teks yang jelas dan dapat disadap. Untuk
mengatasi temuan ini, enkripsi sandi yang ditransmisikan melalui
jaringan.
Tingkat harga: Standar |
A3 | A02 |
Insecure allow origin ends with validation
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Origin
sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin . Untuk mengatasi temuan
ini, validasi bahwa domain root yang diharapkan adalah bagian dari nilai header Origin sebelum
menampilkannya dalam header respons Access-Control-Allow-Origin . Untuk karakter pengganti subdomain, tambahkan titik ke domain root, misalnya .endsWith(".google.com") .
Tingkat harga: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Origin
sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin . Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan sepenuhnya cocok dengan nilai header Origin sebelum menunjukkannya di header respons Access-Control-Allow-Origin —misalnya, .equals(".google.com") .
Tingkat harga: Premium |
A5 | A01 |
Invalid content type
Nama kategori di API: |
Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP X-Content-Type-Options
dengan nilai yang benar.
Tingkat harga: Standar |
A6 | A05 |
Invalid header
Nama kategori di API: |
Header keamanan mengalami kesalahan sintaksis dan diabaikan oleh browser. Untuk mengatasi
temuan ini, setel header keamanan HTTP dengan benar.
Tingkat harga: Standar |
A6 | A05 |
Mismatching security header values
Nama kategori di API: |
Header keamanan memiliki nilai duplikat yang tidak cocok, yang mengakibatkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.
Tingkat harga: Standar |
A6 | A05 |
Misspelled security header name
Nama kategori di API: |
Header keamanan salah eja dan akan diabaikan. Untuk mengatasi temuan ini,
setel header keamanan HTTP dengan benar.
Tingkat harga: Standar |
A6 | A05 |
Mixed content
Nama kategori di API: |
Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk menyelesaikan temuan
ini, pastikan semua resource disalurkan melalui HTTPS.
Tingkat harga: Standar |
A6 | A05 |
Outdated library
Nama kategori di API: |
Library yang memiliki kerentanan umum terdeteksi. Untuk mengatasi temuan
ini, upgrade library ke versi yang lebih baru.
Tingkat harga: Standar |
A9 | A06 |
Server side request forgery
Nama kategori di API: |
Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan
daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat diminta aplikasi web.
Tingkat harga: Standar |
Tidak berlaku | A10 |
Session ID leak
Nama kategori di API: |
Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna
dalam header permintaan Referer -nya. Kerentanan ini memberikan akses domain penerima ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.
Tingkat harga: Premium |
A2 | A07 |
SQL injection
Nama kategori di API: |
Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter agar input pengguna tidak memengaruhi struktur kueri SQL.
Tingkat harga: Premium |
A1 | A03 |
Struts insecure deserialization
Nama kategori di API: |
Penggunaan versi Apache Struts yang rentan telah terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Strut ke versi terbaru.
Tingkat harga: Premium |
A8 | A08 |
XSS
Nama kategori di API: |
Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya
yang disediakan pengguna.
Tingkat harga: Standar |
A7 | A03 |
XSS angular callback
Nama kategori di API: |
String yang disediakan pengguna tidak di-escape dan AngularJS dapat menginterpolasinya. Untuk
mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna
yang ditangani oleh framework Angular.
Tingkat harga: Standar |
A7 | A03 |
XSS error
Nama kategori di API: |
Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya
yang disediakan pengguna.
Tingkat harga: Standar |
A7 | A03 |
XXE reflected file leakage
Nama kategori di API: |
Kerentanan XML External Entity (XXE) terdeteksi. Kerentanan ini dapat menyebabkan aplikasi web membocorkan file pada host. Untuk mengatasi temuan ini, konfigurasikan parser XML untuk melarang
entity eksternal.
Tingkat harga: Premium |
A4 | A05 |
Temuan dan perbaikan Deteksi Kerentanan Cepat
Deteksi Kerentanan Cepat mendeteksi kredensial yang lemah, penginstalan software yang tidak lengkap, dan kerentanan kritis lainnya yang memiliki kemungkinan besar untuk dieksploitasi. Layanan secara otomatis menemukan endpoint jaringan, protokol, port terbuka, layanan jaringan, dan paket software yang terinstal.
Temuan Deteksi Kerentanan Cepat adalah peringatan awal tentang kerentanan yang sebaiknya segera diperbaiki.
Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan di Security Command Center.
Pemindaian Deteksi Kerentanan Cepat mengidentifikasi jenis temuan berikut.
Jenis temuan | Menemukan deskripsi | 10 kode teratas versi OWASP |
---|---|---|
Temuan kredensial yang lemah | ||
WEAK_CREDENTIALS
|
Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack. Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Perbaikan: Menerapkan kebijakan sandi yang kuat. Buat kredensial unik untuk layanan Anda dan hindari penggunaan kata-kata kamus dalam sandi. |
2021 A07 2017 A2 |
Temuan antarmuka yang terekspos | ||
ELASTICSEARCH_API_EXPOSED
|
Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan
mengeksekusi skrip, serta menambahkan dokumen lain ke layanan.
Perbaikan: Hapus akses langsung ke Elasticsearch API dengan mengarahkan permintaan melalui aplikasi, atau membatasi akses hanya untuk pengguna yang diautentikasi. Untuk mengetahui informasi selengkapnya, lihat Setelan keamanan di Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
Pada Grafana 8.0.0 sampai 8.3.0, tanpa autentikasi, pengguna dapat mengakses endpoint yang memiliki kerentanan directory traversal sehingga dapat membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798. Perbaikan: Patch Grafana atau mengupgrade Grafana ke versi yang lebih baru. Untuk informasi selengkapnya, lihat Grafana path traversal. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277. Perbaikan: Upgrade ke rilis pemeliharaan 0.40.5 atau yang lebih baru atau 1.40.5 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Validasi URL GeoJSON dapat mengekspos file server dan variabel lingkungan kepada pengguna yang tidak diberi otorisasi. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi
Spring Boot terekspos. Beberapa endpoint default,
seperti /heapdump , mungkin mengekspos informasi sensitif. Endpoint
lain, seperti /env , dapat menyebabkan eksekusi kode jarak jauh.
Saat ini, hanya /heapdump yang dicentang.
Perbaikan: Nonaktifkan akses ke endpoint Aktuator sensitif. Untuk mengetahui informasi selengkapnya, lihat Mengamankan Endpoint HTTP. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Detektor ini memeriksa apakah
Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.
Perbaikan: Gunakan daftar kontrol akses dengan API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Pemanggilan Metode Jarak Jauh
yang tidak dilindungi memungkinkan pengguna jarak jauh membuat
javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari
URL arbitrer.
Perbaikan: Untuk mengonfigurasi pemantauan jarak jauh dengan benar, lihat Pemantauan dan Pengelolaan Menggunakan Teknologi JMX. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host.
Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh.
Perbaikan: Tambahkan autentikasi token ke server Jupyter Notebook Anda, atau gunakan versi Jupyter Notebook yang lebih baru yang menggunakan autentikasi token secara default. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Kubernetes API diekspos dan dapat diakses oleh pemanggil
yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.
Perbaikan: Mewajibkan autentikasi untuk semua permintaan API. Untuk mengetahui informasi selengkapnya, lihat panduan Mengautentikasi Kubernetes API. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan
WordPress yang belum selesai akan menampilkan
halaman /wp-admin/install.php , yang memungkinkan penyerang menyetel
sandi admin dan, mungkin, menyusupi sistem.
Perbaikan: Selesaikan penginstalan WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Pendeteksi ini memeriksa adanya
instance Jenkins yang tidak diautentikasi dengan
mengirimkan ping pemeriksaan ke endpoint /view/all/newJob sebagai
pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir createItem , yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh.
Perbaikan: Ikuti panduan Jenkins tentang mengelola keamanan untuk memblokir akses yang tidak diautentikasi. |
2021 A01, A05 2017 A5, A6 |
Temuan software yang rentan | ||
APACHE_HTTPD_RCE
|
Kecacatan ditemukan pada Server HTTP Apache 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang ditafsirkan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Perbaikan: Lindungi file di luar root dokumen dengan mengonfigurasi perintah "require all denied" di Server HTTP Apache. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Penyerang dapat membuat URI ke server web Apache yang menyebabkan
Perbaikan: Upgrade server HTTP Apache ke versi yang lebih baru. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan
Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST Perbaikan: Menetapkan pemeriksaan enable-script ke |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsionalitas ini dimaksudkan untuk digunakan di lingkungan dengan kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, apa pun konfigurasi servernya. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646. Perbaikan: Upgrade Apache Druid ke versi yang lebih baru. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Kategori ini mencakup dua kerentanan di Drupal. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Versi
Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6,
dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX
Form API.
Perbaikan: Upgrade ke versi Drupal alternatif. |
2021 A06 2017 A9 |
Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10
rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service
atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom.
Perbaikan: Upgrade ke versi Drupal alternatif. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Kerentanan pada
Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca
file apa pun di sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang
dapat diakses oleh proses JobManager.
Perbaikan: Jika instance Flink Anda terekspos, upgrade ke Flink 1.11.3 atau 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh. Perbaikan: Upgrade ke GitLab CE atau EE rilis 13.10.3, 13.9.6, dan 13.8.8 atau yang lebih baru. Untuk informasi selengkapnya, lihat Tindakan diperlukan oleh pelanggan yang dikelola sendiri sebagai respons terhadap CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi. Perbaikan: Upgrade ke versi 21.3.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Catatan rilis GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama
rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial yang berbahaya.
Perbaikan: Menginstal versi Jenkins alternatif. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Kategori ini mencakup dua kerentanan di Joomla. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap
eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP serial.
Perbaikan: Instal versi Joomla alternatif. |
2021 A06, A08 2017 A8, A9 |
Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode
jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat.
Perbaikan: Instal versi Joomla alternatif. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
Pada Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang serta endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228. Perbaikan: Untuk informasi perbaikan, lihat Kerentanan Keamanan Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT melalui
versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin
yang tidak diautentikasi dengan memberikan nilai confirm_hash kosong ke
verify.php .
Perbaikan: Update MantisBT ke versi yang lebih baru atau ikuti petunjuk Mantis untuk menerapkan perbaikan keamanan penting. |
2021 A06 2017 A9 |
OGNL_RCE
|
Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084. Perbaikan: Untuk informasi perbaikan, lihat Injeksi OGNL Server Webwork Server - CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Server OpenAM 14.6.2 dan versi yang lebih lama serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki
kerentanan deserialisasi Java pada parameter
Perbaikan: Upgrade ke versi yang lebih baru. Untuk informasi tentang perbaikan ForgeRock, lihat AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Versi produk Oracle WebLogic Server tertentu dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
Versi
PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan
satu permintaan POST yang tidak diautentikasi.
Perbaikan: Upgrade ke versi PHPUnit yang lebih baru. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika
dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan
tidak dapat menangani dengan benar string kueri yang tidak memiliki karakter =
(sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi command line
yang dijalankan di server.
Perbaikan: Instal versi PHP alternatif. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Deserialisasi data yang tidak tepercaya dalam versi
Liferay Portal sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh
mengeksekusi kode arbitrer melalui layanan web JSON.
Perbaikan: Upgrade ke versi Portal Liferay yang lebih baru. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer. Perbaikan: Mengonfigurasi Redis untuk mewajibkan autentikasi. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer. Perbaikan: Upgrade ke versi Apache Solr alternatif. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap
eksekusi kode jarak jauh melalui VelocityResponseWriter jika
params.resource.loader.enabled disetel ke
true . Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya.
Perbaikan: Upgrade ke versi Apache Solr alternatif. |
2021 A06 2017 A9 |
STRUTS_RCE
Kategori ini mencakup tiga kerentanan di Apache Struts. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Versi
Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1
rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Content-Type yang dibuat.
Perbaikan: Instal versi Apache Struts alternatif. |
2021 A06 2017 A9 |
Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat.
Perbaikan: Instal versi Apache Struts alternatif. |
2021 A06, A08 2017 A8, A9 |
|
Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan
terhadap eksekusi kode jarak jauh saat alwaysSelectFullNamespace
disetel ke true dan konfigurasi tindakan tertentu lainnya tersedia.
Perbaikan: Instal versi 2.3.35 atau 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum
7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi
melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk menjalankan eksekusi kode jarak jauh jika upload file diizinkan.
Perbaikan: Upgrade ke versi Apache Tomcat alternatif. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Server
vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan routestring .
Perbaikan: Upgrade ke versi Server vCenter VMware alternatif. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l
dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages
yang telah dibuat ke direktori yang dapat diakses web, lalu memicu eksekusi
file tersebut.
Perbaikan: Upgrade ke versi Server vCenter VMware alternatif. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
Temuan pemberi rekomendasi IAM
Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh pemberi rekomendasi IAM.
Setiap temuan pemberi rekomendasi IAM berisi rekomendasi khusus untuk menghapus atau mengganti peran yang mencakup izin berlebihan dari akun utama di lingkungan Google Cloud Anda.
Temuan yang dihasilkan oleh pemberi rekomendasi IAM sesuai dengan rekomendasi yang muncul di Google Cloud Console pada halaman IAM project, folder, atau organisasi yang terpengaruh.
Untuk mengetahui informasi selengkapnya tentang integrasi pemberi rekomendasi IAM dengan Security Command Center, lihat Sumber keamanan.
Pendeteksi | Ringkasan |
---|---|
IAM role has excessive permissions
Nama kategori di API: |
Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Tingkat harga: Premium Aset yang didukung:
Perbaiki temuan ini :Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke |
Service agent role replaced with basic role
Nama kategori di API: |
Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Tingkat harga: Premium Aset yang didukung:
Perbaiki temuan ini :Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke |
Service agent granted basic role
Nama kategori di API: |
Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Tingkat harga: Premium Aset yang didukung:
Perbaiki temuan ini :Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke |
Unused IAM role
Nama kategori di API: |
Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Tingkat harga: Premium Aset yang didukung:
Perbaiki temuan ini :Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke |
Temuan layanan postur keamanan
Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh layanan postur keamanan.
Setiap temuan layanan postur keamanan mengidentifikasi instance penyimpangan dari postur keamanan yang Anda tentukan.
Temuan | Ringkasan |
---|---|
SHA Canned Module Drifted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada detektor Security Health Analytics yang terjadi di luar pembaruan postur. Tingkat harga: Premium
Perbaiki temuan ini :Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan pendeteksi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui detektor Security Health Analytics atau memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui detektor Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Untuk menyetujui perubahan, selesaikan hal berikut:
|
SHA Custom Module Drifted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada modul kustom Security Health Analytics yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom. Untuk menyetujui perubahan, selesaikan hal berikut:
|
SHA Custom Module Deleted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom. Untuk menyetujui perubahan, selesaikan hal berikut:
|
Org Policy Canned Constraint Drifted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan hal berikut:
|
Org Policy Canned Constraint Deleted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan hal berikut:
|
Org Policy Custom Constraint Drifted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi kustom yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan hal berikut:
|
Org Policy Custom Constraint Deleted
Nama kategori di API: |
Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi kustom telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini :Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan hal berikut:
|
VM Manager
VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.
Jika Anda mengaktifkan VM Manager dengan Security Command Center Premium di tingkat organisasi, VM Manager akan menulis temuan dari laporan kerentanannya, yang sedang dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi yang diinstal pada VM, termasuk Kerentanan dan Eksposur Umum (CVE).
Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.
Laporan kerentanan tidak tersedia untuk Security Command Center Standar.
Temuan ini menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager yang sedang dalam pratinjau. Dengan fitur ini, Anda dapat melakukan pengelolaan patch di tingkat organisasi di semua project.
Tingkat keparahan temuan kerentanan yang diterima dari
VM Manager selalu CRITICAL
atau
HIGH
.
Temuan Pengelola VM
Semua kerentanan ini berhubungan dengan paket sistem operasi yang terinstal di VM Compute Engine yang didukung.
Pendeteksi | Ringkasan | Setelan pemindaian aset | Standar kepatuhan |
---|---|---|---|
OS vulnerability
Nama kategori di API: |
Deskripsi penemuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang terinstal untuk VM Compute Engine. Tingkat harga: Premium
Aset yang didukung |
Laporan kerentanan VM Manager menjelaskan kerentanan-kerentanan dalam paket sistem operasi yang terinstal untuk VM Compute Engine, termasuk Kerentanan dan Eksposur Umum (CVE). Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi.Temuan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:
|
Memperbaiki temuan Pengelola VM
Temuan OS_VULNERABILITY
menunjukkan bahwa VM Manager menemukan
kerentanan dalam paket sistem operasi yang diinstal di VM
Compute Engine.
Untuk memperbaiki temuan ini, lakukan hal berikut:
Buka halaman Temuan di Security Command Center.
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di subbagian Category pada Quick filters, pilih kerentanan OS. Hasil kueri temuan difilter agar hanya menampilkan temuan kerentanan OS.
Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk kerentanan OS akan terbuka.
Klik tab JSON. JSON untuk temuan ini ditampilkan.
Salin nilai kolom
externalUri
. Nilai ini adalah URI untuk halaman Info OS dari instance VM Compute Engine tempat sistem operasi yang rentan diinstal.Terapkan semua patch yang sesuai untuk OS yang ditampilkan di bagian Info dasar. Untuk mengetahui petunjuk tentang cara men-deploy patch, lihat Membuat tugas patch.
setelan aset dan pemindaian yang didukung jenis temuan ini.
PelajariMeninjau temuan di konsol Google Cloud
Gunakan prosedur berikut untuk meninjau temuan di Konsol Google Cloud:
Buka halaman Findings Security Command Center di Konsol Google Cloud.
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di bagian Quick filters, pada subbagian Source display name, pilih VM Manager.
Tabel diisi dengan temuan VM Manager.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian
Category
. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.
Untuk mengetahui informasi tentang cara memperbaiki temuan Pengelola VM, lihat Memperbaiki temuan Pengelola VM.
Menonaktifkan temuan Pengelola VM
Anda mungkin ingin menyembunyikan beberapa atau semua temuan VM Manager di Security Command Center jika tidak relevan dengan persyaratan keamanan Anda.
Anda dapat menyembunyikan temuan Pengelola VM dengan membuat aturan penonaktifan dan menambahkan atribut kueri khusus untuk temuan Pengelola VM yang ingin Anda sembunyikan.
Untuk membuat aturan penonaktifan VM Manager menggunakan Konsol Google Cloud, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Findings Security Command Center.
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Klik Opsi penonaktifan, lalu pilih Buat aturan penonaktifan.
Masukkan ID aturan bisukan. Nilai ini wajib diisi.
Masukkan Nonaktifkan deskripsi aturan yang memberikan konteks terkait alasan temuan dibisukan. Nilai ini bersifat opsional, tetapi direkomendasikan.
Konfirmasi cakupan aturan penonaktifan dengan memeriksa nilai Resource induk.
Di kolom Findings query, buat pernyataan kueri dengan mengklik Add filter. Atau, Anda dapat mengetik pernyataan kueri secara manual.
- Pada dialog Select filter, pilih Finding > Source display name > VM Manager.
- Klik Terapkan.
Ulangi hingga kueri yang dibisukan berisi semua atribut yang ingin Anda sembunyikan.
Misalnya, jika Anda ingin menyembunyikan ID CVE tertentu di temuan kerentanan VM Manager, pilih Vulnerability > CVE ID, lalu pilih ID CVE yang ingin Anda sembunyikan.
Kueri temuan terlihat mirip dengan berikut ini:
Klik Lihat pratinjau temuan yang cocok.
Tabel akan menampilkan temuan yang cocok dengan kueri Anda.
Klik Save.
Sensitive Data Protection
Bagian ini menjelaskan temuan kerentanan yang dihasilkan Perlindungan Data Sensitif, standar kepatuhan yang didukung, dan cara memulihkan temuan tersebut.
Perlindungan Data Sensitif juga mengirimkan temuan pengamatan ke Security Command Center. Untuk mengetahui informasi selengkapnya tentang temuan pengamatan dan Perlindungan Data Sensitif, lihat Perlindungan Data Sensitif.
Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan Perlindungan Data Sensitif di Konsol Google Cloud.
Layanan penemuan Perlindungan Data Sensitif membantu Anda menentukan apakah variabel lingkungan Cloud Functions Anda berisi secret, seperti sandi, token autentikasi, dan kredensial Google Cloud. Untuk mengetahui daftar lengkap jenis rahasia yang dideteksi oleh Perlindungan Data Sensitif dalam fitur ini, lihat Kredensial dan rahasia.
Jenis temuan | Menemukan deskripsi | Standar kepatuhan |
---|---|---|
Secrets in environment variables Nama kategori di API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Detektor ini memeriksa ada tidaknya secret di variabel lingkungan Cloud Functions.
Perbaikan: Hapus secret dari variabel lingkungan dan simpan di Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Untuk mengaktifkan pendeteksi ini, lihat Melaporkan rahasia di variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.
Pengontrol Kebijakan
Pengontrol Kebijakan memungkinkan penerapan dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda yang terdaftar sebagai keanggotaan fleet. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu praktik terbaik, keamanan, dan pengelolaan kepatuhan cluster dan fleet Anda.
Halaman ini tidak mencantumkan semua temuan Pengontrol Kebijakan individual, tetapi informasi tentang temuan class Misconfiguration
yang ditulis Pengontrol Kebijakan ke Security Command Center sama dengan pelanggaran cluster yang didokumentasikan untuk setiap paket Pengontrol Kebijakan. Dokumentasi untuk setiap jenis temuan Pengontrol Kebijakan ada dalam paket Pengontrol Kebijakan berikut:
- CIS Kubernetes Benchmark v1.5.1,
serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postingan keamanan
yang kuat. Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1, paket yang mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1.
Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk
pci-dss-v3
.
Kemampuan ini tidak kompatibel dengan perimeter layanan Kontrol Layanan VPC di sekitar Stackdriver API.
Menemukan dan memperbaiki temuan Pengontrol Kebijakan
Kategori Pengontrol Kebijakan sesuai dengan nama batasan yang tercantum dalam dokumentasi paket Pengontrol Kebijakan. Misalnya, temuan
require-namespace-network-policies
menunjukkan bahwa namespace melanggar kebijakan bahwa setiap namespace dalam
cluster memiliki NetworkPolicy
.
Untuk memperbaiki temuan, lakukan hal berikut:
Buka halaman Temuan di Security Command Center.
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di subbagian Kategori pada Filter cepat, pilih nama Pengontrol Kebijakan yang menurut Anda ingin diperbaiki. Hasil kueri temuan difilter agar hanya menampilkan temuan untuk kategori tersebut.
Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk temuan itu akan terbuka.
Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.
Dalam judul Langkah berikutnya, tinjau informasi tentang cara memperbaiki temuan, termasuk link ke dokumentasi Kubernetes tentang masalah tersebut.
Langkah selanjutnya
- Pelajari cara menggunakan Security Health Analytics.
- Pelajari cara menggunakan Web Security Scanner.
- Pelajari cara menggunakan Deteksi Kerentanan Cepat.
- Baca saran untuk memperbaiki temuan Security Health Analytics dan memperbaiki temuan Web Security Scanner.