En esta página, se explica cómo ver y administrar los hallazgos de la Detección rápida de vulnerabilidades, un servicio integrado de Security Command Center Premium que encuentra vulnerabilidades críticas en tus aplicaciones de App Engine y máquinas virtuales de Compute Engine.
Descripción general
La Detección rápida de vulnerabilidades realiza análisis activos de extremos públicos. Detecta las vulnerabilidades que tienen una alta probabilidad de ser explotadas, incluidas las credenciales débiles, las instalaciones incompletas de software y otras vulnerabilidades críticas conocidas. Los resultados se escriben en Security Command Center. Para obtener más información, consulta la descripción general de la Detección rápida de vulnerabilidades.
Uso de recursos
Por lo general, cuanto mayor sea la cantidad de extremos en una VM y cuantos más servicios aloje la VM, mayor será la cantidad de análisis que debe realizar la Detección rápida de vulnerabilidades, ya que cada extremo y cada aplicación requieren un análisis diferente.
Debido a que el tráfico de red durante los análisis de Detección rápida de vulnerabilidades se factura como tráfico de salida, estos análisis pueden generar costos adicionales.
Considera un proyecto o una organización cuyos destinos de análisis se encuentran en regiones de Norteamérica. Si un solo análisis usa unos 200 KB de tráfico de salida y se ejecutan 100,000 análisis por mes, el tráfico total sería de 20 GB.
Para obtener más información sobre los posibles costos asociados con el uso de recursos por parte de los destinos de análisis, consulta los precios de Security Command Center.
Antes de comenzar
Necesitas funciones adecuadas de Identity and Access Management (IAM) para ver o editar resultados y modificar los recursos de Google Cloud. Si encuentras errores de acceso en Security Command Center, pídele ayuda a tu administrador y consulta Control de acceso para obtener más información sobre las funciones.
Habilita la detección rápida de vulnerabilidades
Cuando habilitas la Detección rápida de vulnerabilidades en una organización, carpeta o proyecto, la Detección rápida de vulnerabilidades analiza de forma automática todos los recursos compatibles en la organización o proyecto.
Para habilitar la Detección rápida de vulnerabilidades, sigue estos pasos:
Console
En la consola de Google Cloud, habilita la Detección rápida de vulnerabilidades en la página Servicios. Puedes habilitar la Detección rápida de vulnerabilidades para proyectos específicos.
API
Si deseas habilitar la Detección rápida de vulnerabilidades para una organización, carpeta o proyecto, envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Reemplaza lo siguiente:
- X_GOOG_USER_PROJECT: Es el proyecto en el que se facturan los cargos de acceso asociados con los análisis de Rapid Vulnerability Detection.
- RESOURCE: Es el tipo de recurso que se analizará. Los valores válidos son
organizations,foldersoprojects. - RESOURCE_ID: Es el identificador del recurso que se analizará. Para organizaciones y carpetas, ingresa el número de organización o de carpeta. Para los proyectos, ingresa el ID del proyecto.
Los análisis comienzan de forma automática en un plazo aproximado de 24 horas después de habilitar la primera Detección rápida de vulnerabilidades. Después del primer análisis, la Detección rápida de vulnerabilidades ejecuta análisis administrados semanalmente.
Para probar la Detección rápida de vulnerabilidades, puedes configurar recursos de prueba. Para incluir recursos de prueba en el primer análisis de Detección rápida de vulnerabilidades, crea los recursos en el proyecto antes de que este se agregue a la lista de análisis de la Detección rápida de vulnerabilidades.
Si quieres obtener más información para habilitar servicios integrados, como la Detección rápida de vulnerabilidades, consulta Configura recursos de Security Command Center.
Intervalo y latencia de análisis
Después de habilitar la Detección rápida de vulnerabilidades para un proyecto, puede haber un retraso de hasta 24 horas antes de que comience el primer análisis y los hallazgos aparezcan en Security Command Center.
La Detección rápida de vulnerabilidades realiza análisis posteriores semanalmente a partir de la fecha del primer análisis. Si se agregan recursos nuevos a los proyectos entre un análisis y otro, la Detección rápida de vulnerabilidades no analizará los recursos hasta el próximo análisis semanal.
Probar la detección rápida de vulnerabilidades
Para confirmar que la Detección rápida de vulnerabilidades funciona, puedes usar el programa de código abierto Testbed for Tsunami Security que está disponible en GitHub para generar hallazgos de vulnerabilidades, como una contraseña débil o una vulnerabilidad de divulgación y recorrido de ruta. Para obtener más información, consulta google/tsunami-security-scanner-testbed.
Revisa los resultados
La función de análisis administrado de Detección rápida de vulnerabilidades configura y programa de forma automática los análisis para cada uno de tus proyectos dentro del alcance.
Los hallazgos contienen información sobre los proyectos afectados y vulnerabilidades detectadas. Las vulnerabilidades se informan para los proyectos, no para los objetivos de análisis específicos (extremos y software de aplicación) o las VMs contenidas en proyectos.
Puedes ver los resultados en la consola de Google Cloud o mediante la API de Security Command Center.
Revisa resultados en Security Command Center
Para revisar los hallazgos de la Detección rápida de vulnerabilidades en Security Command Center, sigue estos pasos:
Ve a la página Hallazgos en la consola de Google Cloud.
En Filtros rápidos, desplázate hacia abajo hasta Nombre visible de la fuente y haz clic en Detección rápida de vulnerabilidades. La actualización de Resultados de consultas para mostrar solo los resultados que produjo la Detección rápida de vulnerabilidades.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. Se abrirá el panel de detalles de los hallazgos.
- Para ver un resumen de los detalles del hallazgo, que es la vista predeterminada, haz clic en Resumen debajo del nombre del hallazgo.
- Para ver los detalles completos del hallazgo, haz clic en JSON debajo del nombre.
Se muestran todos los resultados de un puerto o una dirección IP
Un destino de análisis puede entregar varias aplicaciones web en el mismo puerto. La Detección rápida de vulnerabilidades identifica y analiza todas las aplicaciones conocidas que se entregan en un puerto y puede generar varios hallazgos para puertos individuales y direcciones IP.
Para mostrar todos los resultados asociados con una dirección IP determinada en un análisis, haz lo siguiente:
Ve a la página Hallazgos en la consola de Google Cloud:
Haz clic en Editar consulta. La siguiente consulta predeterminada se muestra en el editor de consultas:
state="ACTIVE" AND NOT mute="MUTED"Haga clic en Agregar filtro. Se abrirá el panel Seleccionar filtro.
En la columna de la izquierda, desplázate hacia abajo y selecciona Conexiones. La columna de la derecha se actualiza para mostrar las propiedades de conexión.
En la columna de la derecha, selecciona el tipo de propiedad que deseas agregar al filtro. Se abrirá una columna nueva para mostrar todas las propiedades de ese tipo que se encuentran en los resultados disponibles.
Desde las propiedades que se muestran, selecciona una o más direcciones IP o puertos de destino o origen para agregar tu consulta.
Haz clic en Aplicar. La consulta en el panel Editor de consultas se actualiza para incluir la dirección IP, como se muestra en el siguiente ejemplo:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Haz clic en APLICAR.
Todos los resultados de la Detección rápida de vulnerabilidades con esa dirección IP se muestran en los resultados de la consulta de resultados.
Para revisar los resultados con la API de Security Command Center, consulta Enumera los resultados de seguridad con la API de Security Command Center.
Para ver una lista completa de los hallazgos de la Detección rápida de vulnerabilidades y los pasos de solución sugeridos, consulta Resultados y correcciones de la Detección rápida de vulnerabilidades.
Filtra los resultados en la consola de Google Cloud
Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Mediante el uso de los filtros disponibles en las páginas Vulnerabilidades y Hallazgos de Security Command Center en la consola de Google Cloud, puedes enfocarte en las vulnerabilidades de gravedad más alta en toda tu organización y revisarlas por tipo de recurso, proyecto y mucho más.
Para obtener más información sobre cómo filtrar resultados de vulnerabilidades, consulta Filtra los hallazgos de vulnerabilidades en Security Command Center.
Silenciar resultados
Para controlar el volumen de resultados en Security Command Center, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas.
Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.
Inhabilita los análisis
Cuando inhabilitas la Detección rápida de vulnerabilidades en una organización o un proyecto, el servicio deja de analizar todos los recursos compatibles en esa organización o proyecto.
Para inhabilitar la Detección rápida de vulnerabilidades, sigue estos pasos:
Console
En la consola de Google Cloud, puedes inhabilitar la Detección rápida de vulnerabilidades en la página Servicios. Si Security Command Center está activado a nivel de la organización, puedes inhabilitar la Detección rápida de vulnerabilidades para toda la organización o para proyectos específicos.
Si deseas obtener más información para inhabilitar servicios integrados, como la Detección rápida de vulnerabilidades, consulta Configura recursos de Security Command Center.
API
Para inhabilitar la Detección rápida de vulnerabilidades en tu organización o proyecto, envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Reemplaza lo siguiente:
X_GOOG_USER_PROJECT: Es el proyecto al que se le facturan los cargos de acceso asociados con los análisis de Detección rápida de vulnerabilidades.RESOURCE: Es el recurso que deseas detener del análisis. Los valores válidos sonorganizations,foldersoprojects. activado (organizationsoprojects).RESOURCE_ID: Es el identificador del recurso que dejará de analizarse. Para organizaciones y carpetas, ingresa el número de organización o carpeta. Para los proyectos, ingresa el ID del proyecto.
¿Qué sigue?
Si deseas obtener instrucciones para probar la Detección rápida de vulnerabilidades, consulta Prueba la Detección rápida de vulnerabilidades.
Para obtener más información, consulta Descripción general conceptual de la Detección rápida de vulnerabilidades.