Auf dieser Seite wird erläutert, wie Sie Ergebnisse für die schnelle Sicherheitslückenerkennung aufrufen und verwalten. Dies ist ein integrierter Dienst für Security Command Center Premium, der kritische Sicherheitslücken in Ihren App Engine-Anwendungen und Compute Engine-VMs findet.
Überblick
Rapid Vulnerability Detection führt aktive Scans öffentlicher Endpunkte durch. Es erkennt Sicherheitslücken, die mit hoher Wahrscheinlichkeit ausgenutzt werden können, darunter schwache Anmeldedaten, unvollständige Softwareinstallationen und andere bekannte kritische Sicherheitslücken. Die Ergebnisse werden in Security Command Center geschrieben. Weitere Informationen finden Sie unter Rapid Vulnerability Detection – Übersicht.
Ressourcennutzung
Im Allgemeinen gilt: Je größer die Anzahl der Endpunkte in einer VM und je mehr Dienste von der VM gehostet werden, desto mehr Scans muss Rapid Vulnerability Detection ausführen, da jeder Endpunkt und jede Anwendung einen separaten Scan erfordert.
Da der Netzwerk-Traffic während Rapid Vulnerability Detection-Scans als ausgehender Traffic in Rechnung gestellt wird, können für diese Scans zusätzliche Kosten anfallen.
Angenommen, Sie haben ein Projekt oder eine Organisation, deren Scanziele sich alle in nordamerikanischen Regionen befinden. Wenn ein einzelner Scan geschätzte 200 KB ausgehenden Traffics verwendet und 100.000 Scans monatlich ausgeführt werden, beträgt der Gesamttraffic 20 GB.
Weitere Informationen zu potenziellen Kosten, die mit der Ressourcennutzung nach Scanzielen verbunden sind, finden Sie unter Preise für Security Command Center.
Hinweise
Sie benötigen geeignete IAM-Rollen (Identity and Access Management), um Ergebnisse anzusehen oder zu bearbeiten und Google Cloud-Ressourcen zu ändern. Wenn in Security Command Center Zugriffsfehler auftreten, bitten Sie Ihren Administrator um Unterstützung. Informationen zu Rollen finden Sie unter Zugriffssteuerung.
Schnelle Erkennung von Sicherheitslücken aktivieren
Wenn Sie Rapid Vulnerability Detection für eine Organisation, einen Ordner oder ein Projekt aktivieren, scannt Rapid Vulnerability Detection automatisch alle unterstützten Ressourcen in der Organisation oder dem Projekt.
So aktivieren Sie Rapid Vulnerability Detection:
Console
In der Google Cloud Console aktivieren Sie Rapid Vulnerability Detection auf der Seite Dienste. Sie können Rapid Vulnerability Detection für bestimmte Projekte aktivieren.
API
Senden Sie eine PATCH-Anfrage, um Rapid Vulnerability Detection für eine Organisation, einen Ordner oder ein Projekt zu aktivieren:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Ersetzen Sie Folgendes:
- X_GOOG_USER_PROJECT: Projekt, in dem die Zugriffsgebühren im Zusammenhang mit Rapid Vulnerability Detection-Scans abgerechnet werden.
- RESOURCE: der Ressourcentyp, der gescannt werden soll. Gültige Werte sind
organizations,foldersundprojects. - RESOURCE_ID: die ID der zu scannenden Ressource. Geben Sie für Organisationen und Ordner die Nummer der Organisation oder des Ordners ein. Geben Sie bei Projekten die Projekt-ID ein.
Die Scans werden innerhalb von etwa 24 Stunden automatisch nach der ersten Aktivierung von Rapid Vulnerability Detection gestartet. Nach dem ersten Scan führt Rapid Vulnerability Detection wöchentlich verwaltete Scans aus.
Zum Testen von Rapid Vulnerability Detection können Sie Testressourcen einrichten. Wenn Sie Testressourcen in den ersten Rapid Vulnerability Detection-Scan aufnehmen möchten, erstellen Sie die Ressourcen im Projekt, bevor das Projekt der Scanliste von Rapid Vulnerability Detection hinzugefügt wird.
Weitere Informationen zum Aktivieren integrierter Dienste wie Rapid Vulnerability Detection finden Sie unter Security Command Center-Ressourcen konfigurieren.
Scanlatenz und -intervall
Nachdem die schnelle Sicherheitslückenerkennung für ein Projekt aktiviert ist, kann es bis zu 24 Stunden dauern, bis der erste Scan starten und die Ergebnisse im Security Command Center angezeigt werden.
Rapid Vulnerability Detection führt ab dem Datum des ersten Scans wöchentlich weitere Scans durch. Wenn Projekten zwischen Scans neue Ressourcen hinzugefügt werden, scannt Rapid Vulnerability Detection die Ressourcen erst beim nächsten wöchentlichen Scan.
Rapid Vulnerability Detection testen
Wenn Sie prüfen möchten, ob Rapid Vulnerability Detection funktioniert, können Sie das Open-Source-Tool Testbed for Tsunami Security verwenden, das auf GitHub verfügbar ist, um Ergebnisse für Sicherheitslücken wie ein schwaches Passwort oder eine Sicherheitslücke beim Pfaddurchlauf und zur Offenlegung zu generieren. Weitere Informationen finden Sie unter google/tsunami-security-scanner-testbed.
Ergebnisse prüfen
Mit der Funktion Verwalteter Scan der schnellen Sicherheitslückenerkennung werden Scans automatisch für jedes Ihrer bereichsspezifischen Projekte konfiguriert und geplant.
Die Ergebnisse enthalten erkannte Sicherheitslücken und Informationen zu betroffenen Projekten. Sicherheitslücken werden für Projekte gemeldet, nicht für bestimmte Scanziele (Endpunkte und Anwendungssoftware) oder in Projekten enthaltene VMs.
Sie können die Ergebnisse in der Google Cloud Console oder mithilfe der Security Command Center API ansehen.
Ergebnisse in Security Command Center prüfen
So überprüfen Sie die Ergebnisse von Rapid Vulnerability Detection in Security Command Center:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf.
Scrollen Sie unter Schnellfilter nach unten zu Anzeigename der Quelle und klicken Sie auf Rapid Vulnerability Detection. Im Abschnitt Abfrageergebnisse finden werden jetzt nur Ergebnisse angezeigt, die von Rapid Vulnerability Detection generiert wurden.
Wenn Sie die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Bereich mit den Ergebnisdetails wird geöffnet.
- Klicken Sie unter dem Namen des Ergebnisses auf Zusammenfassung, um eine Zusammenfassung der Ergebnisdetails aufzurufen (Standardansicht).
- Klicken Sie unter dem Namen des Ergebnisses auf JSON, um alle Details des Ergebnisses anzusehen.
Alle Ergebnisse für einen Port oder eine IP-Adresse anzeigen
Ein Scanziel kann mehrere Webanwendungen über denselben Port bereitstellen. Rapid Vulnerability Detection identifiziert und scannt alle bekannten Anwendungen, die an einem Port bereitgestellt werden, und kann mehrere Ergebnisse für einzelne Ports und IP-Adressen generieren.
So rufen Sie alle Ergebnisse auf, die mit einer bestimmten IP-Adresse in einem Scan verknüpft sind:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Klicken Sie auf Abfrage bearbeiten. Die folgende Standardabfrage wird im Query Editor angezeigt:
state="ACTIVE" AND NOT mute="MUTED"Klicken Sie auf Filter hinzufügen. Der Bereich Filter auswählen wird geöffnet.
Scrollen Sie in der linken Spalte nach unten und wählen Sie Verbindungen aus. Die Spalte auf der rechten Seite wird aktualisiert und zeigt Verbindungsattribute an.
Wählen Sie in der rechten Spalte die Art der Eigenschaft aus, die Sie dem Filter hinzufügen möchten. Es wird eine neue Spalte geöffnet, in der alle Attribute dieses Typs angezeigt werden, die in den verfügbaren Ergebnissen enthalten sind.
Wählen Sie aus den angezeigten Attributen eine oder mehrere Ziel- oder Quell-IP-Adressen oder -Ports aus, um die Abfrage hinzuzufügen.
Klicken Sie auf Anwenden. Die Abfrage im Bereich Abfrageeditor wird aktualisiert und enthält nun die IP-Adresse, wie im folgenden Beispiel gezeigt:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Klicken Sie auf ANWENDEN.
Alle Ergebnisse von Rapid Vulnerability Detection mit dieser IP-Adresse werden in den Ergebnissen der Ergebnisabfrage angezeigt.
Informationen zum Prüfen der Ergebnisse mit der Security Command Center API finden Sie unter Sicherheitsergebnisse mit der Security Command Center API auflisten.
Eine vollständige Liste der Ergebnisse von Rapid Vulnerability Detection und vorgeschlagene Abhilfemaßnahmen finden Sie unter Ergebnisse und Abhilfemaßnahmen bei Rapid Vulnerability Detection.
Ergebnisse in der Google Cloud Console filtern
Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Wenn Sie Filter verwenden, die in der Google Cloud Console auf den Seiten Sicherheitslücken und Ergebnisse in Security Command Center verfügbar sind, können Sie sich auf die Sicherheitslücken mit dem höchsten Schweregrad in Ihrer Organisation konzentrieren und Sicherheitslücken nach Asset-Typ, Projekt usw. überprüfen.
Weitere Informationen zum Filtern von Ergebnissen zu Sicherheitslücken finden Sie unter Ergebnisse zu Sicherheitslücken in Security Command Center filtern.
Ergebnisse ausblenden
Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.
Stummgeschaltete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Scans werden deaktiviert
Wenn Sie Rapid Vulnerability Detection für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen in dieser Organisation oder diesem Projekt.
So deaktivieren Sie Rapid Vulnerability Detection:
Console
In der Google Cloud Console deaktivieren Sie Rapid Vulnerability Detection auf der Seite Dienste. Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie Rapid Vulnerability Detection für die gesamte Organisation oder für bestimmte Projekte deaktivieren.
Weitere Informationen zum Deaktivieren integrierter Dienste wie Rapid Vulnerability Detection finden Sie unter Security Command Center-Ressourcen konfigurieren.
API
Senden Sie eine PATCH-Anfrage, um Rapid Vulnerability Detection für Ihre Organisation oder Ihr Projekt zu deaktivieren:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Ersetzen Sie Folgendes:
X_GOOG_USER_PROJECT: Das Projekt, dem die Zugriffsgebühren für Scans von Rapid Vulnerability Detection in Rechnung gestellt werden.RESOURCE: Die Ressource, die Sie nicht mehr scannen möchten. Gültige Werte sindorganizations,foldersundprojects. aktiviert (organizationsoderprojects).RESOURCE_ID: die ID der Ressource, für die der Scanvorgang beendet werden soll. Geben Sie für Organisationen und Ordner die Nummer der Organisation oder des Ordners ein. Geben Sie bei Projekten die Projekt-ID ein.
Nächste Schritte
Eine Anleitung zum Testen von Rapid Vulnerability Detection finden Sie unter Rapid Vulnerability Detection testen.
Weitere Informationen zur schnellen Sicherheitslückenerkennung finden Sie unterr Schnelle Sicherheitslückenerkennung – Konzeptübersicht.