Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades disponíveis no Security Command Center. Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do gerenciamento de identidade e acesso (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

Nesta seção, descrevemos o mapeamento entre detectores compatíveiss e o melhor esforço para os padrões de compliance relevantes.

CIS Benchmarks

O Security Command Center é compatível com duas versões dos CIS Benchmarks para o Google Cloud Platform Foundation:

Comparativo de mercado CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Os mapeamentos CIS 1.1 e 1.0 do Google Cloud Foundation foram revisados e certificados pelo Centro de Segurança da Internet para alinhamento com o CIS Google Cloud Computing Foundations Benchmark v1.1.0 e v1.0.0, respectivamente.

Embora o CIS 1.1 e o CIS 1.0 sejam compatíveis, recomendamos que você use ou faça a transição para o CIS 1.1, se possível. O CIS 1.1 expande a cobertura para serviços adicionais do Google Cloud e refina instruções e orientações para comparativos de mercado complexos.

Alguns detectores são mapeados para o Comparativo de mercado do CIS do Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). O suporte para esse comparativo de mercado é limitado e não deve ser usado como base para auditorias ou conformidade de relatórios.

Normas adicionais

Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte Cartão de pagamento padrão do setor de segurança de dados 3.2.1 (PCI-DSS v3.2.1), 10 principais do OWASP ,Instituto Nacional de Padrões e Tecnologia (800-53) (NIST 800-53) e Organização Internacional de Normalização 27001 (ISO 27001) sobre como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Conformidade em Como usar o painel do Security Command Center.

Security Health Analytics

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

As verificações do Security Health Analytics são executadas em três modos:

Verificação em lote: todos os detectores são programados para execução em todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender a objetivos específicos de nível de serviço (SLO). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações em lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre as verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.
Verificação em tempo real: os detectores compatíveis iniciam as verificações sempre que o CAI informa uma alteração na configuração de um recurso. As descobertas são gravadas no Security Command Center.
Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações de configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções estão nas tabelas desta página.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por nome de detector e por tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

**Tabela 1.** Leitor de chave de API
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`API_KEY_APIS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Recupera a propriedade `restrictions` de todas as chaves de API em um projeto, verificando se alguma está definida como `cloudapis.googleapis.com`. Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14
`API_KEY_APPS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Recupera a`restrictions` de todas as chaves de API em um projeto, verificando se `browserKeyRestrictions` ,`serverKeyRestrictions` ,`androidKeyRestrictions` ou`iosKeyRestrictions` está definido. Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13
`API_KEY_EXISTS`	Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Recupera todas as chaves de API de um projeto. Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12
`API_KEY_NOT_ROTATED`	Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Recupera o carimbo de data/hora contido na propriedade `createTime` de todas as chaves de API, verificando se 90 dias se passaram. Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

**Tabela 2.** Compute image scanner
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`PUBLIC_COMPUTE_IMAGE`	Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Image Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em lote: a cada seis horas Verificações em tempo real: sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

**Tabela 3.** Verificador de instâncias do Compute
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "block-project-ssh-keys", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3
`COMPUTE_SECURE_BOOT_DISABLED`	Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `shieldedInstanceConfig` nas instâncias do Compute Engine para determinar se `enableIntegrityMonitoring`, `enableSecureBoot`, `enableVtpm` estão definidos como `true`. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada. Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: não
`COMPUTE_SERIAL_PORTS_ENABLED`	Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "serial-port-enable", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5
`DEFAULT_SERVICE_ACCOUNT_USED`	Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `serviceAccounts` nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, indicando a conta de serviço padrão criada pelo Google. Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.1: 4.1
`DISK_CMEK_DISABLED`	Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir essa descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados do disco, para o nome do recurso do seu CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: não
`DISK_CSEK_DISABLED`	Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir essa descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey` do nome do recurso da sua CSEK. Recursos excluídos das verificações: discos do Compute Engine sem a marca de segurança enforce_customer_supplied_disk_encryption_keys definida como `true` Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7
`FULL_API_ACCESS`	Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Recupera o campo `scopes` na propriedade `serviceAccounts` para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo `cloud-platform`. Recursos excluídos das verificações: instâncias do GKE e jobs do Dataflow Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`HTTP_LOAD_BALANCER`	Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpProxy Corrigir essa descoberta	Determina se a propriedade `selfLink` do recurso `targetHttpProxy` corresponde ao atributo `target` na regra de encaminhamento e se a regra de encaminhamento contém um `loadBalancingScheme` campo definido como `External`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 2.3
`IP_FORWARDING_ENABLED`	Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `canIpForward` da instância está definida como `true`. Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6
`OS_LOGIN_DISABLED`	Encontrar descrição: o Login do SO está desativado nesta instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Project Corrigir essa descoberta	Verifica o objeto `commonInstanceMetadata.items[]` nos metadados do projeto para o par de chave-valor, `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine. O detector também examina instâncias do Compute Engine no projeto Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4
`PUBLIC_IP_ADDRESS`	Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `networkInterfaces` contém um campo `accessConfigs`, indicando que ele está configurado para usar um endereço IP público. Recursos excluídos das verificações: instâncias do GKE Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.1: 4.9 PCI-DSS v3.2.1: 1.2.1, 1.3.5 NIST 800-53: CA-3, SC-7
`SHIELDED_VM_DISABLED`	Encontrando descrição: a VM protegida está desativada nesta instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `shieldedInstanceConfig` nas instâncias do Compute Engine para determinar se os campos `enableIntegrityMonitoring`, `enableSecureBoot`, `enableVtpm` estão definidos como `true`. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada. Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 4.8
`WEAK_SSL_POLICY`	Como encontrar a descrição: uma instância tem uma política de SSL fraca. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Corrigir essa descoberta	Verifica se `sslPolicy` nos metadados do recurso está vazio e, para o recurso `sslPolicies` anexado, se `profile` está definido como `Restricted` ou `Modern`, `minTlsVersion` está definido como `TLS 1.2` e `customFeatures` está vazio ou não contém as seguintes criptografias: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.	PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

**Tabela 4.** Leitor de contêineres
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`ALPHA_CLUSTER_ENABLED`	Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `enableKubernetesAlpha` de um cluster está definida como `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.10.2
`AUTO_REPAIR_DISABLED`	Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoRepair"`, `"value":` `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2
`AUTO_UPGRADE_DISABLED`	Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoUpgrade"`, `"value":` `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2
`BINARY_AUTHORIZATION_DISABLED`	Como encontrar a descrição: a autorização binária está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `binaryAuthorization` contém o par de chave-valor, `"enabled": true`, e `defaultAdmissionRule` contém o par de chave-valor `evaluationMode: ALWAYS_ALLOW`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.10.5
`CLUSTER_LOGGING_DISABLED`	Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `loggingService` de um cluster contém o local que o Cloud Logging deve usar para gravar registros. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7
`CLUSTER_MONITORING_DISABLED`	Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `monitoringService` de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `privateIpGoogleAccess` de uma sub-rede está definida como `false`. Entradas adicionais: lê sub-redes do armazenamento, registrando descobertas apenas para clusters com sub-redes. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente se o cluster for atualizado, não para atualizações de sub-rede	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3
`CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `keyName` do objeto `databaseEncryption` para o par de chave-valor `"state": ENCRYPTED`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.3.1
`CLUSTER_SHIELDED_NODES_DISABLED`	Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `shieldedNodes` do par de chave-valor `"enabled": true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.5.5
`COS_NOT_USED`	Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"imageType":` `"COS"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2
`INTEGRITY_MONITORING_DISABLED`	Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `shieldedInstanceConfig` do objeto `nodeConfig` para o par de chave-valor `"enableIntegrityMonitoring": true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.5.6
`INTRANODE_VISIBILITY_DISABLED`	Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `networkConfig` do par de chave-valor `"enableIntraNodeVisibility": true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.6.1
`IP_ALIAS_DISABLED`	Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se o campo `useIPAliases` de `ipAllocationPolicy` em um cluster está definido como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7
`LEGACY_AUTHORIZATION_ENABLED`	Descrição da descoberta: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium ou Standard Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `legacyAbac` de um cluster para o par de chave-valor, `"enabled"`: `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1
`LEGACY_METADATA_ENABLED`	Como encontrar a descrição: metadados legados são ativados em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"disable-legacy-endpoints"`: `"false"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.4.1
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `masterAuthorizedNetworksConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2
`NETWORK_POLICY_DISABLED`	Como encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica o campo `networkPolicy` da propriedade `addonsConfig` do par de chave-valor `"disabled"`: `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.7 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`NODEPOOL_BOOT_CMEK_DISABLED`	Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `bootDiskKmsKey` dos pools de nós para o nome do recurso da sua CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: sim
`NODEPOOL_SECURE_BOOT_DISABLED`	Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `shieldedInstanceConfig` do objeto `nodeConfig` para o par de chave-valor `"enableSecureBoot": true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.5.7
`OVER_PRIVILEGED_ACCOUNT`	Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Avalia a propriedade `config` de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SCOPES`	Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se o escopo de acesso listado na propriedade `config.oauthScopes` de um pool de nós é limitado por uma conta de serviço: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, ou `https://www.googleapis.com/auth/monitoring`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1
`POD_SECURITY_POLICY_DISABLED`	Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `podSecurityPolicyConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Permissões adicionais do IAM: `roles/container.clusterViewer` Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta. Este recurso pode ser removido no futuro Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.10.3
`PRIVATE_CLUSTER_DISABLED`	Descrição da descoberta: um cluster privado do GKE está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se o campo `enablePrivateNodes` da propriedade `privateClusterConfig` está definido como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2
`RELEASE_CHANNEL_DISABLED`	Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica a propriedade `releaseChannel` do par de chave-valor `"channel": UNSPECIFIED`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.5.4
`WEB_UI_ENABLED`	Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium or Standard Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Checks the `kubernetesDashboard` field of the `addonsConfig` property for the key-value pair, `"disabled": false`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6
`WORKLOAD_IDENTITY_DISABLED`	Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir essa descoberta	Verifica se a propriedade `workloadIdentityConfig` de um cluster está definida. O detector também verifica se a propriedade `workloadMetadataConfig` de um pool de nós está definida como `GKE_METADATA`. Permissões adicionais do IAM: `roles/container.clusterViewer` Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GKE 1.0: 6.2.2

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

**Tabela 5.** Leitor de conjunto de dados
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`DATASET_CMEK_DISABLED`	Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma chave de criptografia gerenciada pelo cliente padrão (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis bigquery.googleapis.com/Dataset Corrigir essa descoberta	Verifica se o campo `kmsKeyName` na propriedade `defaultEncryptionConfiguration` está vazio. Verificações em lote: a cada seis horas Verificações em tempo real: não
`PUBLIC_DATASET`	Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público. Nível de preços: Premium Recursos compatíveis bigquery.googleapis.com/Dataset Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

**Tabela 6.** Leitor de DNS
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`DNSSEC_DISABLED`	Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir essa descoberta	Verifica se o campo `state` da propriedade `dnssecConfig` está definido como `off`. Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 ISO-27001: A.8.2.3
`RSASHA1_FOR_SIGNING`	Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir essa descoberta	Verifica se o objeto `defaultKeySpecs.algorithm` da propriedade `dnssecConfig` está definido como `rsasha1`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

**Tabela 7.** Leitor de firewall
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`EGRESS_DENY_RULE_NOT_SET`	Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica se a propriedade `destinationRanges` no firewall está definida como `0.0.0.0/0` e se a propriedade `denied` contém o par de chave-valor, `"IPProtocol"`: `"all"`. Entradas adicionais: lê firewalls de saída de um projeto do armazenamento. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall	PCI-DSS v3.2.1: 7.2
`FIREWALL_RULE_LOGGING_DISABLED`	Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `logConfig` nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor `"enable"`: `false`. Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`OPEN_CASSANDRA_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta CASSANDRA aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados de firewall para os seguintes protocolos e portas: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_CISCOSECURE_WEBSM_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:9090`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_DIRECTORY_SERVICES_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:445` e `UDP:445`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_DNS_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:53` e `UDP:53`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_ELASTICSEARCH_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:9200, 9300`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_FIREWALL`	Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica as propriedades `sourceRanges` e `allowed` para uma das duas configurações: A propriedade `sourceRanges` contém `0.0.0.0/0`, e a propriedade `allowed` contém uma combinação de regras que inclui qualquer `protocol` ou `protocol:port`, exceto: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 A propriedade `sourceRanges` contém uma combinação de intervalos de IP que inclui qualquer endereço IP não particular, e a propriedade `allowed` contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1
`OPEN_FTP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:21`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_HTTP_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:80`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_LDAP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:389, 636` e `UDP:389`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MEMCACHED_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:11211, 11214-11215` e `UDP:11211, 11214-11215`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MONGODB_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:27017-27019`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MYSQL_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:3306`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_NETBIOS_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:137-139` e `UDP:137-139`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_ORACLEDB_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:1521, 2483-2484` e `UDP:2483-2484`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_POP3_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e porta: `TCP:110`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_POSTGRESQL_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:5432` e `UDP:5432`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_RDP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:3389` e `UDP:3389`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_REDIS_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:6379`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_SMTP_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:25`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_SSH_PORT`	Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica se a propriedade `allowed` nos metadados de firewall contém os seguintes protocolos e portas: `TCP:22` e `SCTP:22`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_TELNET_PORT`	Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir essa descoberta	Verifica se a propriedade `allowed` nos metadados de firewall contém o seguinte protocolo e porta: `TCP:23`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

**Tabela 8.** Leitor do IAM
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`ADMIN_SERVICE_ACCOUNT`	Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo *iam.gserviceaccount.com), que recebem `roles/Owner` ou `roles/Editor`, ou um código de papel que contém `admin`. Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e conta de serviço do Security Command Center (security-center-api.iam.gserviceaccount.com) Verificações em lote: a cada seis horas Verificações em tempo real*: sim, a menos que a atualização do IAM seja feita em uma pasta	CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5
`KMS_ROLE_SEPARATION`	Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica as políticas do IAM nos metadados de recursos e recupera os membros atribuídos a qualquer um dos papéis a seguir ao mesmo tempo: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` e `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2
`NON_ORG_IAM_MEMBER`	Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Compara os endereços de e-mail @gmail.com no campo `user` nos metadados da política do IAM com uma lista de identidades aprovadas para sua organização. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para qualquer membro atribuído `roles/iam.serviceAccountUser` ou `roles/iam.serviceAccountTokenCreator` no nível do projeto. Recursos excluídos das verificações: contas de serviço do Cloud Build Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.5 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`PRIMITIVE_ROLES_USED`	Como encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não podem ser usados. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para qualquer membro atribuído `roles/Owner`, `roles/Writer` ou `roles/Reader`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`REDIS_ROLE_USED_ON_ORG`	Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para membros atribuídos a `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` na organização ou no nível da pasta. Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para qualquer membro com `roles/iam.serviceAccountUser` e `roles/iam.serviceAccountAdmin` atribuídos. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.7 NIST 800-53: AC-5 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir essa descoberta	Avalia o carimbo de data/hora de criação da chave capturado na propriedade `validAfterTime` nos metadados de chave das contas de serviço. Recursos excluídos das verificações: chaves de contas de serviço expiradas e chaves não gerenciadas pelos usuários Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.6
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir essa descoberta	Verifica se a propriedade `keyType` nos metadados da chave da conta de serviço está definida como `User_Managed`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.3

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

**Tabela 9.** Leitor do KMS
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`KMS_KEY_NOT_ROTATED`	Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta	Verifica os metadados do recurso para a existência de propriedades `rotationPeriod` ou `nextRotationTime`. Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 1.8 PCI-DSS v3.2.1: 3.5 NIST 800-53: SC-12 ISO-27001: A.10.1.2
`KMS_PROJECT_HAS_OWNER`	Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados do projeto para os membros atribuídos `roles/Owner`. Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente em alterações na política do IAM, não em alterações nas chaves do KMS	PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6 e SC-12 ISO-27001: A.9.2.3, A.10.1.2
`KMS_PUBLIC_KEY`	Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Corrigir essa descoberta	Verifica a política do IAM nos metadados de recursos para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 1.9
`TOO_MANY_KMS_USERS`	Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir essa descoberta	Verifica as políticas do IAM quanto a keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando as chaves do Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` e `roles/cloudkms.signerVerifier`. Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de IAM do conjunto de chaves, projetos e organizações do armazenamento Verificações em lote: a cada seis horas Verificações em tempo real: sim	PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

**Tabela 10.** Leitor de geração de registros
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`AUDIT_LOGGING_DISABLED`	Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica a política do IAM nos metadados do recurso para a existência de um objeto `auditLogConfigs`. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente em alterações na política de IAM do projeto, não em alterações de pasta ou organização	CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2 e AU-2 ISO-27001: A.12.4.1, A.16.1.7
`BUCKET_LOGGING_DISABLED`	Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica se o campo `logBucket`, na propriedade `logging` do bucket, está vazio. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 5.3
`LOCKED_RETENTION_POLICY_NOT_SET`	Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica se o campo `isLocked` na propriedade `retentionPolicy` do intervalo está definido como `true`. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3
`LOG_NOT_EXPORTED`	Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Recupera um objeto `logSink` em um projeto, verificando se o campo `includeChildren` está definido como `true`, o campo `destination` inclui o local para gravar registros, e o campo `filter` é preenchido. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização	CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 ISO-27001: A.18.1.3
`OBJECT_VERSIONING_DISABLED`	Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica se o campo `enabled`, na propriedade `versioning` do bucket, está definido como `true`. Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados	CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

O RecommendedLogFilter a ser usado na criação das métricas de registro.
O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
OAlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.

**Tabela 11.** Leitor de monitoramento
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`AUDIT_CONFIG_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` e, se `resource.type` for especificado, se o valor é `global` , O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real*: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5
`BUCKET_IAM_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10
`CUSTOM_ROLE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="iam_role" AND protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6
`FIREWALL_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na regra do firewall de rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7
`NETWORK_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9
`OWNER_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4
`ROUTE_NOT_MONITORED`	Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8
`SQL_INSTANCE_NOT_MONITORED`	Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir essa descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` e, se `resource.type` for especificado, se o valor é `global`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas	CIS GCP Foundation 1.0: 2.11 CIS GCP Foundation 1.1: 2.11

Descobertas da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

**Tabela 12.** Verificador de autenticação multifator
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`MFA_NOT_ENFORCED`	Há usuários que não estão usando a verificação em duas etapas. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir essa descoberta	Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity. Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política Entradas adicionais: lê dados do Google Workspace. Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

**Tabela 13.** Leitor de rede
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`DEFAULT_NETWORK`	Como encontrar a descrição: a rede padrão existe em um projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir essa descoberta	Verifica se a propriedade `name` nos metadados da rede está definida como `default` Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1
`LEGACY_NETWORK`	Como encontrar a descrição: há uma rede legada em um projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir essa descoberta	Verifica a existência de metadados de rede na propriedade `IPv4Range`. Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2

Descobertas da vulnerabilidade da política da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.

**Tabela 14.** Verificador de políticas da organização
Detector	Resumo	Configurações da verificação de recursos
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização `constraints/compute.restrictNonConfidentialComputing`. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de políticas da organização na documentação da VM confidencial. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `enableConfidentialCompute` de uma instância do Compute Engine está definida como `true`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização efetiva do serviço de política da organização Verificações em lote: a cada 12 horas Verificações em tempo real: não
`ORG_POLICY_LOCATION_RESTRICTION`	Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição `constraints/gcp.resourceLocations`. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização. Nível de preços: Premium Recursos compatíveis Veja abaixo. Corrigir essa descoberta	Verifica a propriedade `listPolicy` nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados. Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização efetiva do serviço de política da organização Verificações em lote: a cada 12 horas Verificações em tempo real: não
Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer compositor.googleapis.com/Environment Geração de registros logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Registro do artefato artifactregistry.googleapis.com/Repository ¹ Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos. ² Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves. ³ Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

**Tabela 15.** Verificador do Pub/Sub
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`PUBSUB_CMEK_DISABLED`	Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis pubsub.googleapis.com/Topic Corrigir essa descoberta	Verifica o campo `kmsKeyName` para o nome do recurso do CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: não

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

**Tabela 16.** Leitor SQL
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`AUTO_BACKUP_DISABLED`	Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `backupConfiguration.enabled` de um dado do Cloud SQL está definida como `true`. Recursos excluídos das verificações: réplicas do Cloud SQL Entradas adicionais: lê políticas do IAM para ancestrais do armazenamento de recursos do Security Health Analytics Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.7 NIST 800-53: CP-9 ISO-27001: A.12.3.1
`PUBLIC_SQL_INSTANCE`	Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `authorizedNetworks` das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3
`SSL_NOT_ENFORCED`	Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `requireSsl` da instância do Cloud SQL está definida como `true`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 6.1 CIS GCP Foundation 1.1: 6.4 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3
`SQL_CMEK_DISABLED`	Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados da instância, para o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: sim
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Como encontrar a descrição: a sinalização do banco de dados `contained database authentication` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor, `"name"`: `"contained database authentication"`, `"value"`: `"on"` ou se está ativado por padrão. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.3.2
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Descoberta de localização: a sinalização do banco de dados `cross_db_ownership_chaining` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.3.1
`SQL_LOCAL_INFILE`	Encontrando descrição: a sinalização do banco de dados `local_infile` para uma instância do Cloud SQL para MySQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"local_infile"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.1.2
`SQL_LOG_CHECKPOINTS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_checkpoints` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_checkpoints"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.1
`SQL_LOG_CONNECTIONS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_connections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_connections"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.2
`SQL_LOG_DISCONNECTIONS_DISABLED`	Descoberta de localização: a sinalização do banco de dados `log_disconnections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_disconnections"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.3
`SQL_LOG_LOCK_WAITS_DISABLED`	Como encontrar a descrição: a sinalização de banco de dados `log_lock_waits` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_lock_waits"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.4
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Como encontrar a descrição: a sinalização do banco de dados `log_min_duration_statement` para uma instância do Cloud SQL para PostgreSQL não está definida como "-1". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.7
`SQL_LOG_MIN_ERROR_STATEMENT`	Encontrando descrição a sinalização do banco de dados `log_min_error_statement` para uma instância do Cloud SQL para PostgreSQL não está definida corretamente. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se o campo `log_min_error_statement` da propriedade `databaseFlags` está definido como um dos seguintes valores: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` ou o valor padrão `error`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.5
`SQL_LOG_TEMP_FILES`	Descoberta de localização: a sinalização do banco de dados `log_temp_files` para uma instância do Cloud SQL para PostgreSQL não está definida como "0". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_temp_files"`, `"value": "0"`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.2.6
`SQL_NO_ROOT_PASSWORD`	Descrição da descoberta: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se a propriedade `rootPassword` da conta raiz está vazia. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2
`SQL_PUBLIC_IP`	Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como `Primary`, indicando que ele é público. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.1: 6.6
`SQL_WEAK_ROOT_PASSWORD`	Como encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir essa descoberta	Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em lote: a cada seis horas Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

**Tabela 17.** Leitor de armazenamento
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`BUCKET_CMEK_DISABLED`	Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica o campo `encryption` nos metadados do bucket para o nome do recurso de sua CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: sim
`BUCKET_POLICY_ONLY_DISABLED`	Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica se a propriedade `uniformBucketLevelAccess` em um bucket está definida como `"enabled":false` Verificações em lote: a cada seis horas Verificações em tempo real: sim
`PUBLIC_BUCKET_ACL`	Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica a política do IAM de um bucket para papéis públicos, `allUsers` ou `allAuthenticatedUsers`, com privilégios de administrador ou editor. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3
`PUBLIC_LOG_BUCKET`	Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir essa descoberta	Verifica a política do IAM de um bucket para os membros `allUsers` ou `allAuthenticatedUsers`, que concedem acesso público. Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente se a política do IAM em intervalos for alterada, não se o coletor de registros for alterado	PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

**Tabela 18.** Leitor de sub-rede
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`FLOW_LOGS_DISABLED`	Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Subnet Corrigir essa descoberta	Verifica se a propriedade `enableFlowLogs` das sub-redes do Compute Engine está ausente ou definida como `false`. Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Corrigir essa descoberta	Verifica se a propriedade `privateIpGoogleAccess` das sub-redes do Compute Engine está definida como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: sim	CIS GCP Foundation 1.0: 3.8

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager e tiver uma assinatura do Security Command Center Premium, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Descobertas do VM Manager

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

**Tabela 19.** Relatórios de vulnerabilidades do VM Manager
Detector	Resumo	Configurações da verificação de recursos	Padrões de compliance
`OS_VULNERABILITY`	Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). Recursos excluídos das verificações: SUSE Linux Enterprise Server (SLES, na sigla em inglês), sistemas operacionais Windows As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira: Para a maioria das vulnerabilidades no pacote do sistema operacional instalado, a API OS Config gera um relatório de vulnerabilidade em alguns minutos após a alteração. Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Como corrigir as descobertas do VM Manager

Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute Engine.

Para corrigir essa descoberta, faça o seguinte:

Acesse a página Descobertas no Security Command Center.

Acesse Descobertas
Ao lado de Visualizar por, selecione Tipo de origem.
Na lista Tipo de origem, selecione VM Manager.

Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.
Em categoria, clique no nome de uma descoberta.
No painel Detalhes da descoberta, selecione Propriedades de origem.
Para saber mais sobre a vulnerabilidade, observe os seguintes campos:
1. properties: contém uma descrição da vulnerabilidade e opções de mitigação.
2. severity: o nível de risco atribuído à descoberta.
3. vulnerability: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.
4. references: contém links de informações adicionais, incluindo fontes do setor.
5. id: o ID da CVE, por exemplo, CVE-2021-33200. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
Para criar um job de patch para o SO no Console do Cloud, clique no link em external_uri.

Para instruções sobre como implantar patches, consulte Gerenciamento de correções do SO.

Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Como desativar relatórios de vulnerabilidade do VM Manager

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, desative a API de serviço OS Config nos seus projetos.

Acesse a página API OS Config no Console do Cloud.

Acessar a API OS Config
Se necessário, selecione o projeto.
Clique em Desativar API e, na caixa de diálogo, clique em Desativar.

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

**Tabela 20.** Descobertas do Web Security Scanner
Categoria	Como encontrar a descrição	10 principais OWASP de 2017	10 principais OWASP de 2021
`ACCESSIBLE_GIT_REPOSITORY`	Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.	A5	A01
`ACCESSIBLE_SVN_REPOSITORY`	Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN.	A5	A01
`CLEAR_TEXT_PASSWORD`	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.	A3	A02
`INVALID_CONTENT_TYPE`	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto.	A6	A05
`INVALID_HEADER`	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.	A6	A05
`MISMATCHING_SECURITY_HEADER_VALUES`	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.	A6	A05
`MISSPELLED_SECURITY_HEADER_NAME`	Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.	A6	A05
`MIXED_CONTENT`	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.	A6	A05
`OUTDATED_LIBRARY`	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.	A9	A06
`SERVER_SIDE_REQUEST_FORGERY`	Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web pode fazer solicitações.	Não relevante	A10
`XSS`	Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.	A7	A03
`XSS_ANGULAR_CALLBACK`	Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular.	A7	A03
`XSS_ERROR`	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.	A7	A03

Comparativos de mercado CIS

O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, atualmente, os detectores de Web Security Scanner ou Security Health Analytics não oferecem:

**Tabela 21.** Comparativos do CIS
Categoria	Como encontrar a descrição	CIS GCP Foundation 1.0
`BASIC_AUTHENTICATION_ENABLED`	O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes.	7.10
`CLIENT_CERT_AUTHENTICATION_DISABLED`	Clusters do Kubernetes precisam ser criados com certificados do cliente ativados.	7.12
`LABELS_NOT_USED`	Rótulos podem ser usados para decompor informações de faturamento	7.5
`PUBLIC_STORAGE_OBJECT`	A ACL de objetos de armazenamento não pode conceder acesso a AllUsers	5.2
`SQL_BROAD_ROOT_LOGIN`	O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados	6.4

A seguir

Saiba como usar o Security Health Analytics e como usar o Web Security Scanner.
Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.