Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades disponíveis no Security Command Center. Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do gerenciamento de identidade e acesso (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.
Detectores e compliance
Nesta seção, descrevemos o mapeamento entre detectores compatíveiss e o melhor esforço para os padrões de compliance relevantes.
CIS Benchmarks
O Security Command Center é compatível com as seguintes versões do CIS Benchmarks for Google Cloud Platform Foundation:
- Comparativo de mercado CIS Google Cloud Computing Foundations v1.2.0 (CIS Google Cloud Foundation 1.2)
- Comparativo de mercado CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
- Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)
Os mapeamentos 1.2, 1.1 e 1.0 do CIS Google Cloud Foundation foram revisados e certificados pelo Center for Internet Security para alinhamento com o CIS Google Cloud Computing Foundations v1.2.0, v1.1.0 e v1.0.0. , respectivamente.
O CIS 1.0 e o CIS 1.1 ainda são compatíveis, mas o uso deles será suspenso. Recomendamos que você use ou faça a transição para o comparativo de mercado mais recente, CIS 1.2.
Alguns detectores são mapeados para o Comparativo de mercado do CIS do Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). O suporte para esse comparativo de mercado é limitado e não deve ser usado como base para auditorias ou conformidade de relatórios.
Normas adicionais
Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte Cartão de pagamento padrão do setor de segurança de dados 3.2.1 (PCI-DSS v3.2.1), 10 principais do OWASP ,Instituto Nacional de Padrões e Tecnologia (800-53) (NIST 800-53) e Organização Internacional de Normalização 27001 (ISO 27001) sobre como verificar essas violações manualmente.
Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.
Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Conformidade em Como usar o painel do Security Command Center.
Security Health Analytics
Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.
As verificações do Security Health Analytics são executadas em três modos:
Verificação em lote: todos os detectores são programados para execução em todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender a objetivos específicos de nível de serviço (SLO). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações em lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre as verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.
Verificação em tempo real: os detectores compatíveis iniciam as verificações sempre que o CAI informa uma alteração na configuração de um recurso. As descobertas são gravadas no Security Command Center.
Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações de configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções estão nas tabelas desta página.
As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por nome de detector e por tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.
Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.
Descobertas de vulnerabilidade da chave de API
O detector API_KEY_SCANNER
identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
API key APIs unrestricted
Nome da categoria na API: |
Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium
Recursos compatíveis |
Recupera a propriedade
|
CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 |
API key apps unrestricted
Nome da categoria na API: |
Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium
Recursos compatíveis |
Recupera a
|
CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 |
API key exists
Nome da categoria na API: |
Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium
Recursos compatíveis |
Recupera todas as chaves de API de um projeto.
|
CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 |
API key not rotated
Nome da categoria na API: |
Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium
Recursos compatíveis |
Recupera o carimbo de data/hora contido na
propriedade
|
CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 |
Calcular descobertas de vulnerabilidade de imagem
O detector COMPUTE_IMAGE_SCANNER
identifica vulnerabilidades relacionadas às
configurações de imagem do Google Cloud.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Public Compute image
Nome da categoria na API: |
Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER
identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.
Os detectores COMPUTE_INSTANCE_SCANNER
não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Confidential Computing disabled
Nome da categoria na API: |
Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 4.1.1 |
Compute project wide SSH keys allowed
Nome da categoria na API: |
Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium
Recursos compatíveis |
Verifica o objeto
|
CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3 |
Compute Secure Boot disabled
Nome da categoria na API: |
Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis |
Verifica a propriedade
|
|
Compute serial ports enabled
Nome da categoria na API: |
Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância. Nível de preços: Premium
Recursos compatíveis |
Verifica o objeto
|
CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5 |
Default service account used
Nome da categoria na API: |
Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1 |
Disk CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
|
Disk CSEK disabled
Nome da categoria na API: |
Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7 |
Full API access
Nome da categoria na API: |
Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium
Recursos compatíveis |
Recupera o campo
|
CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
HTTP load balancer
Nome da categoria na API: |
Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Nível de preços: Premium
Recursos compatíveis |
Determina se a propriedade
|
PCI-DSS v3.2.1: 2.3 |
IP forwarding enabled
Nome da categoria na API: |
Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6 |
OS login disabled
Nome da categoria na API: |
Encontrar descrição: o Login do SO está desativado nesta instância. Nível de preços: Premium
Recursos compatíveis |
Verifica o objeto
|
CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4 |
Public IP address
Nome da categoria na API: |
Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 PCI-DSS v3.2.1: 1.2.1, 1.3.5 NIST 800-53: CA-3, SC-7 |
Shielded VM disabled
Nome da categoria na API: |
Encontrando descrição: a VM protegida está desativada nesta instância. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8 |
Weak SSL policy
Nome da categoria na API: |
Como encontrar a descrição: uma instância tem uma política de SSL fraca. Nível de preços: Premium
Recursos compatíveis |
Verifica se
|
CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.14.1.3 |
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Alpha cluster enabled
Nome da categoria na API: |
Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GKE 1.0: 6.10.2 |
Auto repair disabled
Nome da categoria na API: |
Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2 |
Auto upgrade disabled
Nome da categoria na API: |
Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2 |
Binary authorization disabled
Nome da categoria na API: |
Como encontrar a descrição: a autorização binária está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GKE 1.0: 6.10.5 |
Cluster logging disabled
Nome da categoria na API: |
Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7 |
Cluster monitoring disabled
Nome da categoria na API: |
Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2 |
Cluster private Google access disabled
Nome da categoria na API: |
Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 |
Cluster secrets encryption disabled
Nome da categoria na API: |
Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.3.1 |
Cluster shielded nodes disabled
Nome da categoria na API: |
Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.5.5 |
COS not used
Nome da categoria na API: |
Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2 |
Integrity monitoring disabled
Nome da categoria na API: |
Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.5.6 |
Intranode visibility disabled
Nome da categoria na API: |
Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.6.1 |
IP alias disabled
Nome da categoria na API: |
Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7 |
Legacy authorization enabled
Nome da categoria na API: |
Descrição da descoberta: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1 |
Legacy metadata enabled
Nome da categoria na API: |
Como encontrar a descrição: metadados legados são ativados em clusters do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.4.1 |
Master authorized networks disabled
Nome da categoria na API: |
Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2 |
Network policy disabled
Nome da categoria na API: |
Como encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.7 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Nodepool boot CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
|
Nodepool secure boot disabled
Nome da categoria na API: |
Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.5.7 |
Over privileged account
Nome da categoria na API: |
Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Nível de preços: Premium
Recursos compatíveis |
Avalia a propriedade
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3 |
Over privileged scopes
Nome da categoria na API: |
Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo. Nível de preços: Premium
Recursos compatíveis |
Verifica se o escopo de acesso listado na
propriedade config.oauthScopes de um pool de nós
é limitado por uma conta de serviço:
https://www.googleapis.com/auth/devstorage.read_only ,
https://www.googleapis.com/auth/logging.write ,
ou https://www.googleapis.com/auth/monitoring .
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 |
Pod security policy disabled
Nome da categoria na API: |
Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.10.3 |
Private cluster disabled
Nome da categoria na API: |
Descrição da descoberta: um cluster privado do GKE está desativado. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2 |
Release channel disabled
Nome da categoria na API: |
Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GKE 1.0: 6.5.4 |
Web UI enabled
Nome da categoria na API: |
Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium or Standard
Recursos compatíveis |
Checks the
|
CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6 |
Workload Identity disabled
Nome da categoria na API: |
Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GKE 1.0: 6.2.2 |
Descobertas de vulnerabilidades do Dataproc
As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao
tipo de detector DATAPROC_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Dataproc image outdated
Nome da categoria na API: |
Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se o campo
|
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
BigQuery table CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.2: 7.2 |
Dataset CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
|
Public dataset
Nome da categoria na API: |
Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3 |
Descobertas de vulnerabilidade de DNS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS
e pertencem ao tipo de detector DNS_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
DNSSEC disabled
Nome da categoria na API: |
Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 ISO-27001: A.8.2.3 |
RSASHA1 for signing
Nome da categoria na API: |
Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis |
Verifica se o objeto
|
CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5 CIS GCP Foundation 1.2: 3.4, 3.5 |
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Egress deny rule not set
Nome da categoria na API: |
Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
PCI-DSS v3.2.1: 7.2 |
Firewall rule logging disabled
Nome da categoria na API: |
Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1 |
Open Cassandra port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open ciscosecure websm port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open directory services port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open DNS port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open elasticsearch port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open firewall
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica as propriedades
| PCI-DSS v3.2.1: 1.2.1 |
Open FTP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open HTTP port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open LDAP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Memcached port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open MongoDB port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open MySQL port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open NetBIOS port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open OracleDB port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open pop3 port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open PostgreSQL port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open RDP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Redis port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open SMTP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open SSH port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Telnet port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se a propriedade
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance | ||
---|---|---|---|---|---|
Admin service account
Nome da categoria na API: |
Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem
|
CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5 |
||
KMS role separation
Nome da categoria na API: |
Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Nível de preços: Premium
Recursos compatíveis |
Verifica as políticas de permissão de IAM nos metadados de recursos
e recupera os membros atribuídos a qualquer um dos papéis
a seguir ao mesmo tempo:
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer ,
roles/cloudkms.signerVerifier ,
roles/cloudkms.publicKeyViewer .
|
CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2 |
||
Non org IAM member
Nome da categoria na API: |
Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard
Recursos compatíveis |
Compara os endereços de e-mail @gmail.com no campo
|
CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3 |
||
Open group IAM member
Nome da categoria na API: |
Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a política
de IAM nos metadados de
recursos para verificar se há vinculações
contendo um membro (principal) que tenha o prefixo group . Se o
grupo for aberto, o Security Health Analytics gerará essa descoberta.
|
|||
Over privileged service account user
Nome da categoria na API: |
Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro atribuído
roles/iam.serviceAccountUser ou
roles/iam.serviceAccountTokenCreator no
nível do projeto.
|
CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
||
Primitive roles used
Nome da categoria na API: |
Como encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não podem ser usados. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão do IAM nos metadados
de recursos para qualquer membro atribuído
|
PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
||
Redis role used on org
Nome da categoria na API: |
Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta. Nível de preços: Premium
Recursos compatíveis
|
Verifica a política de permissão do IAM nos metadados de
recursos para membros atribuídos a
|
PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3 |
||
Service account role separation
Nome da categoria na API: |
Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro com
roles/iam.serviceAccountUser e
roles/iam.serviceAccountAdmin atribuídos.
|
CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 NIST 800-53: AC-5 ISO-27001: A.9.2.3 |
||
Service account key not rotated
Nome da categoria na API: |
Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias. Nível de preços: Premium
Recursos compatíveis |
Avalia o carimbo de data/hora de criação da chave capturado na propriedade
|
CIS GCP Foundation 1.0: 1.6 | CIS GCP Foundation 1.1: 1.7 | CIS GCP Foundation 1.2: 1.7 |
User managed service account key
Nome da categoria na API: |
Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 1.3 | CIS GCP Foundation 1.1: 1.4 | CIS GCP Foundation 1.2: 1.4 |
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
KMS key not rotated
Nome da categoria na API: |
Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium
Recursos compatíveis |
Verifica os metadados do recurso para a existência de propriedades
|
CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 PCI-DSS v3.2.1: 3.5 NIST 800-53: SC-12 ISO-27001: A.10.1.2 |
KMS project has owner
Nome da categoria na API: |
Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão do IAM nos metadados do
projeto para os membros atribuídos
|
CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6 e SC-12 ISO-27001: A.9.2.3, A.10.1.2 |
KMS public key
Nome da categoria na API: |
Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 |
Too many KMS users
Nome da categoria na API: |
Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Nível de preços: Premium
Recursos compatíveis |
Verifica as políticas de permissão do IAM quanto a keyrings,
projetos e organizações e recupera membros com
papéis que permitem criptografar, descriptografar ou assinar dados usando
as chaves do Cloud KMS: roles/owner ,
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter ,
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier .
|
PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3 |
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Audit logging disabled
Nome da categoria na API: |
Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso. Nível de preços: Premium
Recursos compatíveis |
Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto
|
CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2 e AU-2 ISO-27001: A.12.4.1, A.16.1.7 |
Bucket logging disabled
Nome da categoria na API: |
Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.0: 5.3 |
Locked retention policy not set
Nome da categoria na API: |
Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3 |
Log not exported
Nome da categoria na API: |
Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Nível de preços: Premium
Recursos compatíveis
|
Recupera um objeto
|
CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 ISO-27001: A.18.1.3 |
Object versioning disabled
Nome da categoria na API: |
Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3 |
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER
. Todas as propriedades de descoberta do detector do Monitoring incluem:
-
O
RecommendedLogFilter
a ser usado na criação das métricas de registro. -
O
QualifiedLogMetricNames
que abrange as condições listadas no filtro de registro recomendado. -
O
AlertPolicyFailureReasons
que indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Audit config not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global ,
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
|
CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 |
Bucket IAM not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 |
Custom role not monitored
Nome da categoria na API: |
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND
protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole" .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 |
Firewall not monitored
Nome da categoria na API: |
Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 |
Network not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 |
Owner not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 |
Route not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 |
SQL instance not monitored
|
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
CIS GCP Foundation 1.0: 2.11 CIS GCP Foundation 1.1: 2.11 CIS GCP Foundation 1.2: 2.11 |
Descobertas da autenticação multifator
O detector MFA_SCANNER
identifica vulnerabilidades relacionadas à autenticação multifator para usuários.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
MFA not enforced
Nome da categoria na API: |
Há usuários que não estão usando a verificação em duas etapas. Nível de preços: Premium ou Standard
Recursos compatíveis |
Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.
|
CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2 |
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Default network
Nome da categoria na API: |
Como encontrar a descrição: a rede padrão existe em um projeto. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1 |
DNS logging disabled
Nome da categoria na API: |
Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada. Nível de preços: Premium
Recursos compatíveis |
Verifica todos os
|
CIS GCP Foundation 1.2: 2.12 |
Legacy network
Nome da categoria na API: |
Como encontrar a descrição: há uma rede legada em um projeto. Nível de preços: Premium
Recursos compatíveis |
Verifica a existência de metadados de rede na propriedade
|
CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2 |
Descobertas da vulnerabilidade da política da organização
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Org policy Confidential VM policy
Nome da categoria na API: |
Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing . Para mais informações sobre essa restrição da política da organização, consulte
Como aplicar restrições de políticas da organização na documentação da VM confidencial.
Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
|
Org policy location restriction
Nome da categoria na API: |
Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations . Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.
Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
|
Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Geração de registros
Pub/Sub
Vertex AI
Registro do artefato 1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos. 2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves. 3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados. |
Descobertas de vulnerabilidades do Pub/Sub
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub
e pertencem ao tipo PUBSUB_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Pubsub CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
Descobertas de vulnerabilidade SQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do Cloud SQL e pertencem ao tipo SQL_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Auto backup disabled
Nome da categoria na API: |
Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 NIST 800-53: CP-9 ISO-27001: A.12.3.1 |
Public SQL instance
Nome da categoria na API: |
Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3 |
SSL not enforced
Nome da categoria na API: |
Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 6.1 CIS GCP Foundation 1.1: 6.4 CIS GCP Foundation 1.2: 6.4 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3 |
SQL CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
|
SQL contained database authentication
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7 |
SQL cross DB ownership chaining
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2 |
SQL external scripts enabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.3.1 |
SQL local infile
Nome da categoria na API: |
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3 |
SQL log checkpoints disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1 |
SQL log connections disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3 |
SQL log disconnections disabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4 |
SQL log duration disabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.2.5 |
SQL log error verbosity
Nome da categoria na API: |
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.2 |
SQL log lock waits disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6 |
SQL log min duration statement enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16 |
SQL log min error statement
Nome da categoria na API: |
Encontrando descrição
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.1: 6.2.5 |
SQL log min error statement severity
Nome da categoria na API: |
Descrição da descoberta:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.2: 6.2.14 |
SQL log min messages
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se o campo
|
CIS GCP Foundation 1.2: 6.2.13 |
SQL log executor stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.11 |
SQL log hostname enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.8 |
SQL log parser stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.9 |
SQL log planner stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.10 |
SQL log statement
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.7 |
SQL log statement stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.2: 6.2.12 |
SQL log temp files
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15 |
SQL no root password
Nome da categoria na API: |
Descrição da descoberta: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2 |
SQL public IP
Nome da categoria na API: |
Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium
Recursos compatíveis |
Verifica se o tipo de endereço IP de um
banco de dados do Cloud SQL está definido como
|
CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6 |
SQL remote access enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.3.5 |
SQL skip show database disabled
Nome da categoria na API: |
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.1.2 |
SQL trace flag 3625
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.3.6 |
SQL user connections configured
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.3.3 |
SQL user options configured
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis |
Verifica a propriedade
|
CIS GCP Foundation 1.2: 6.3.4 |
SQL weak root password
Nome da categoria na API: |
Como encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.
|
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Bucket CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis |
Verifica o campo
|
|
Bucket policy only disabled
Nome da categoria na API: |
Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium
Recursos compatíveis |
Verifica se a
propriedade
|
|
Public bucket ACL
Nome da categoria na API: |
Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a política de permissão do IAM de um bucket para
papéis públicos,
|
CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 CIS GCP Foundation 1.2: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3 |
Public log bucket
Nome da categoria na API: |
Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis |
Verifica a política de permissão do IAM de um bucket para
os membros
|
PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3 |
Descobertas de vulnerabilidades de sub-rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
Flow logs disabled
Nome da categoria na API: |
Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 CIS GCP Foundation 1.2: 3.8 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1 |
Private Google access disabled
Nome da categoria na API: |
Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google. Nível de preços: Premium
Recursos compatíveis |
Verifica se a propriedade
|
CIS GCP Foundation 1.0: 3.8 |
VM Manager
O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.
Se você ativar o VM Manager e tiver uma assinatura do Security Command Center Premium, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).
Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.
As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.
Descobertas do VM Manager
Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
OS vulnerability
Nome da categoria na API: |
Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium
Recursos compatíveis |
Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).
As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:
|
Como corrigir as descobertas do VM Manager
Uma descoberta OS_VULNERABILITY
indica que o VM Manager encontrou uma
vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute
Engine.
Para corrigir essa descoberta, faça o seguinte:
Como revisar descobertas
Para verificar as descobertas de ameaças, faça o seguinte:
Página de descobertas legadas
Acesse a página Descobertas no Security Command Center.
Ao lado de Visualizar por, selecione Tipo de origem.
Na lista Tipo de origem, selecione VM Manager.
Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.
Em categoria, clique no nome de uma descoberta.
No painel Detalhes da descoberta, selecione Propriedades de origem.
Para saber mais sobre a vulnerabilidade, observe os seguintes campos:
properties
: contém uma descrição da vulnerabilidade e opções de mitigação.severity
: o nível de risco atribuído à descoberta.vulnerability
: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.references
: contém links de informações adicionais, incluindo fontes do setor.id
: o ID da CVE, por exemplo,CVE-2021-33200
. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
Para criar um job de patch para o SO no Console do Cloud, clique no link em
external_uri
.
Página de descobertas (Visualização)
Se você optou por fazer upgrade para as Melhorias do fluxo de trabalho de descobertas, siga estas etapas:
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager.
A tabela é preenchida com descobertas do VM Manager.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em
Category
. O painel de detalhes da descoberta se expande para exibir os atributos da descoberta.Clique na guia JSON. Para saber mais sobre a vulnerabilidade, observe os seguintes campos:
properties
: contém uma descrição da vulnerabilidade e opções de mitigação.severity
: o nível de risco atribuído à descoberta.vulnerability
: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.references
: contém links de informações adicionais, incluindo fontes do setor.id
: o ID da CVE, por exemplo,CVE-2021-33200
. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
Para criar um job de patch para o SO no Console do Cloud, acesse o URL na propriedade
external_uri
.
Para instruções sobre como implantar patches, consulte Gerenciamento de correções do SO.
recursos compatíveis e configurações de verificação desse tipo de descoberta.
Saiba mais sobreComo desativar relatórios de vulnerabilidade do VM Manager
Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, desative a API de serviço OS Config nos seus projetos.
Acesse a página API OS Config no Console do Cloud.
Se necessário, selecione o projeto.
Clique em Desativar API e, na caixa de diálogo, clique em Desativar.
Descobertas do Web Security Scanner
As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.
Categoria | Como encontrar a descrição | 10 principais OWASP de 2017 | 10 principais OWASP de 2021 |
---|---|---|---|
Accessible Git repository
Nome da categoria na API: |
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova
o acesso público não intencional ao repositório do GIT.
Nível de preços:padrão |
A5 | A01 |
Accessible SVN repository
Nome da categoria na API: |
Um repositório SVN é exposto publicamente. Para resolver isso, remova
o acesso não intencional público ao repositório SVN.
Nível de preços:padrão |
A5 | A01 |
Cacheable password input
Nome da categoria na API: |
As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.
Nível de preços: Premium |
A3 | A04 |
Clear text password
Nome da categoria na API: |
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para
resolver isso, criptografe a senha transmitida pela
rede.
Nível de preços:padrão |
A3 | A02 |
Insecure allow origin ends with validation
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para resolver essa
descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para caracteres curinga de subdomínio,
inclua o ponto no domínio raiz, por exemplo, .endsWith(".google.com") .
Nível de preços: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para resolver essa
descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin , por exemplo,
.equals(".google.com") .
Nível de preços: Premium |
A5 | A01 |
Invalid content type
Nome da categoria na API: |
Um recurso foi carregado e ele não corresponde ao cabeçalho
HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options
com o valor correto.
Nível de preços:padrão |
A6 | A05 |
Invalid header
Nome da categoria na API: |
Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso,
defina os cabeçalhos de segurança HTTP corretamente.
Nível de preços:padrão |
A6 | A05 |
Mismatching security header values
Nome da categoria na API: |
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em
comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP
corretamente.
Nível de preços:padrão |
A6 | A05 |
Misspelled security header name
Nome da categoria na API: |
Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso,
defina os cabeçalhos de segurança HTTP corretamente.
Nível de preços:padrão |
A6 | A05 |
Mixed content
Nome da categoria na API: |
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta,
verifique se todos os recursos são exibidos por HTTPS.
Nível de preços:padrão |
A6 | A05 |
Outdated library
Nome da categoria na API: |
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa
descoberta, faça upgrade das bibliotecas para uma versão mais recente.
Nível de preços:padrão |
A9 | A06 |
Server side request forgery
Nome da categoria na API: |
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma
lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web pode fazer solicitações.
Nível de preços:padrão |
Não relevante | A10 |
Session ID leak
Nome da categoria na API: |
Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário
no cabeçalho da solicitação Referer . Essa vulnerabilidade dá ao domínio de recebimento acesso
ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.
Nível de preços: Premium |
A2 | A07 |
SQL injection
Nome da categoria na API: |
Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use
consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
Nível de preços: Premium |
A1 | A03 |
Struts insecure deserialization
Nome da categoria na API: |
Foi detectado o uso de uma versão vulnerável do Apache
Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
Nível de preços: Premium |
A8 | A08 |
XSS
|
Um campo nesse aplicativo da Web é vulnerável a um ataque
de scripting em vários locais (XSS). Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Nível de preços:padrão |
A7 | A03 |
XSS angular callback
|
Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para
resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário
e manipulados pelo framework Angular.
Nível de preços:padrão |
A7 | A03 |
XSS error
|
Um campo neste aplicativo da Web é vulnerável a um ataque
de scripting em vários locais. Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Nível de preços:padrão |
A7 | A03 |
XXE reflected file leakage
|
Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web
vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir
entidades externas.
Nível de preços: Premium |
A4 | A05 |
Comparativos de mercado CIS
O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, atualmente, os detectores de Web Security Scanner ou Security Health Analytics não oferecem:
Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | NIST 800-53 | ISO-27001 |
---|---|---|---|---|
Basic authentication enabled
|
O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. | 7.10 | ||
Client cert authentication disabled
|
Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. | 7.12 | ||
Labels not used
|
Rótulos podem ser usados para decompor informações de faturamento | 7,5 | ||
Public storage object
|
A ACL de objetos de armazenamento não pode conceder acesso a AllUsers | 5.2 | ||
SQL broad root login
|
O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados | 6.4 |
A seguir
- Saiba como usar o Security Health Analytics e como usar o Web Security Scanner.
- Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.