使用快速漏洞检测

本页面介绍如何查看和管理快速漏洞检测结果，这是一种 Security Command Center Premium 内置服务，可发现 App Engine 应用和 Compute Engine 虚拟机中的严重漏洞。

概览

快速漏洞检测会主动扫描公共端点。它可检测极有可能被利用的漏洞，包括安全系数低的凭据、不完整的软件安装以及其他已知的严重漏洞。发现结果会被写入 Security Command Center。如需了解详情，请参阅快速漏洞检测概览。

资源使用情况

通常，虚拟机中的端点数越多，虚拟机托管的服务越多，快速漏洞检测必须执行的扫描次数就越多，因为每个端点和应用都需要单独的扫描。

由于快速漏洞检测扫描期间的网络流量是作为出站流量计费的，因此这些扫描可能会产生额外费用。

假设某个项目或组织的扫描目标在北美区域内。如果单次扫描使用的出站流量预计为 200 KB，并且每月运行 100,000 次扫描，则总流量将为 20 GB。

如需详细了解扫描目标产生的与资源用量相关的潜在费用，请参阅 Security Command Center 价格。

准备工作

您需要具有足够的 Identity and Access Management (IAM) 角色才能查看或修改发现结果以及修改 Google Cloud 资源。如果您在 Security Command Center 中遇到访问权限错误，请向您的管理员寻求帮助，并参阅访问权限控制以了解角色。

启用快速漏洞检测

为组织、文件夹或项目启用快速漏洞检测后，快速漏洞检测会自动扫描组织或项目中所有受支持的资源。

如需启用快速漏洞检测，请按照以下步骤操作：

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'

首次启用快速漏洞检测后，扫描会在 24 小时左右内自动启动。首次扫描后，快速漏洞检测每周运行代管式扫描。

如需测试快速漏洞检测，您可以设置测试资源。如需将测试资源包含在首次快速漏洞检测扫描中，请先在项目中创建资源，然后再将项目添加到快速漏洞检测扫描列表中。

如需详细了解如何启用快速漏洞检测等内置服务，请参阅配置 Security Command Center 资源。

扫描延迟时间和时间间隔

为项目启用快速漏洞检测后，最长可能会延迟 24 小时，第一次扫描才会启动且发现结果出现在 Security Command Center 中。

快速漏洞检测从首次扫描之日起每周执行后续扫描。如果在两次扫描之间向项目添加了新资源，则快速漏洞检测在下一次每周扫描之前不会扫描资源。

测试快速漏洞检测

如需确认快速漏洞检测正常运行，您可以使用 GitHub 上提供的开源 Testbed for Tsunami Security 生成漏洞（例如，安全系数低的密码或路径遍历和泄露漏洞）的发现结果。如需了解详情，请参阅 google/tsunami-security-scanner-testbed。

审核发现结果

快速漏洞检测的托管式扫描功能会自动为每个范围内项目配置和安排扫描。

发现结果包含检测到的漏洞以及有关受影响项目的信息。漏洞报告的是项目，而不是项目中包含的特定扫描目标（端点和应用软件）或虚拟机。

您可以在 Google Cloud 控制台中或使用 Security Command Center API 查看发现结果。

在 Security Command Center 中审核发现结果

如需在 Security Command Center 中审核快速漏洞检测发现结果，请按照以下步骤操作：

1. 进入 Google Cloud 控制台中的发现结果页面。

   转至“发现结果”

2. 在快速过滤条件下，向下滚动到来源显示名称，然后点击快速漏洞检测。Finding query results（发现结果的查询结果）会更新为仅显示由快速漏洞检测生成的发现结果。

3. 如需查看特定发现结果的详细信息，请点击类别下的发现结果名称。系统随即会打开发现结果详情面板。

   • 如需查看发现结果详细信息摘要（默认视图），请点击发现结果名称下的摘要。
   • 如需查看发现结果的完整详细信息，请点击发现结果名称下的 JSON。

显示端口或 IP 地址的所有发现结果

扫描目标可能会在同一端口服务多个 Web 应用。快速漏洞检测可识别和扫描在某个端口上服务的所有已知应用，并且可能会为单个端口和 IP 地址生成多个发现结果。

如需在扫描中显示与给定 IP 地址关联的所有发现结果，请执行以下操作：

1. 进入 Google Cloud 控制台中的发现结果页面：

   转至“发现结果”

2. 点击修改查询。查询编辑器中会显示以下默认查询：

   state="ACTIVE"
   AND NOT mute="MUTED"
   

3. 点击添加过滤条件。 选择过滤条件面板随即会打开。

4. 在左侧列中，向下滚动并选择连接。右侧列会更新以显示连接属性。

5. 在右侧列中，选择要添加到过滤条件的属性类型。此时会打开一个新列，以显示可用发现结果中包含该类型的所有属性。

6. 在显示的属性中，选择一个或多个目的地或来源 IP 地址或端口以添加查询。

7. 点击应用。查询编辑器面板中的查询会更新以包含 IP 地址，如下面的示例中所示：

     state="ACTIVE"
     AND NOT mute="MUTED"
     AND parent_display_name="Rapid Vulnerability Detection"
     AND contains(connections, source_ip="203.0.113.1")
   

8. 点击应用。

   Findings query results（发现结果的查询结果）中会显示有关该 IP 地址的所有快速漏洞检测发现结果。

如需使用 Security Command Center API 审核发现结果，请参阅使用 Security Command Center API 列出安全发现结果。

如需查看快速漏洞检测发现结果和建议的补救措施的完整列表，请参阅快速漏洞检测发现结果和补救措施。

在 Google Cloud 控制台中过滤发现结果

大型组织在其部署过程中可能有很多漏洞发现结果，以进行审核、分类和跟踪。通过使用 Google Cloud 控制台的 Security Command Center 漏洞和发现结果页面上提供的过滤条件，您可以重点关注整个组织中严重程度最高的漏洞，并按资产类型、项目等查看漏洞。

如需详细了解如何过滤漏洞发现结果，请参阅在 Security Command Center 中过滤漏洞发现结果。

忽略发现的结果

如需控制 Security Command Center 中的发现结果量，您可以手动或以编程方式忽略各个发现结果，或者创建根据您定义的过滤条件自动忽略当前和未来发现结果的忽略规则。

已忽略的发现结果会被隐藏和抑制，但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情，请参阅在 Security Command Center 中忽略发现结果。

停用扫描

当您对组织或项目停用快速漏洞检测时，此服务会停止扫描该组织或项目中的所有受支持的资源。

如需停用快速漏洞检测，请按照以下步骤操作：

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'

后续步骤

• 如需了解如何测试快速漏洞检测，请参阅测试快速漏洞检测。

• 如需详细了解快速漏洞检测，请参阅快速漏洞检测概念概览。