Questa pagina spiega come visualizzare e gestire i risultati per Rapid Vulnerability Detection, un servizio integrato per Security Command Center Premium che individua le vulnerabilità critiche nelle applicazioni App Engine e nelle macchine virtuali di Compute Engine.
Panoramica
Rapid Vulnerability Detection esegue scansioni attive degli endpoint pubblici. Rileva le vulnerabilità che hanno un'alta probabilità di essere sfruttate, tra cui credenziali deboli, installazioni di software incomplete e altre vulnerabilità critiche note. I risultati vengono scritti in Security Command Center. Per scoprire di più, consulta Panoramica di Rapid Vulnerability Detection.
Utilizzo delle risorse
In genere, maggiore è il numero di endpoint in una VM e maggiore è il numero di servizi ospitati dalla VM, maggiore è il numero di analisi che Rapida Vulnerability Detection deve eseguire, perché ogni endpoint e ogni applicazione richiedono un'analisi separata.
Poiché il traffico di rete durante le analisi di Rapid Vulnerability Detection viene fatturato come traffico in uscita, queste analisi potrebbero comportare costi aggiuntivi.
Prendi in considerazione un progetto o un'organizzazione le cui destinazioni di scansione si trovano tutte all'interno delle regioni del Nord America. Se una singola scansione utilizza una stima di 200 kB di traffico in uscita e vengono eseguite 100.000 analisi al mese, il traffico totale sarà di 20 GB.
Per ulteriori informazioni sui costi potenziali associati all'utilizzo delle risorse in base alle destinazioni della scansione, consulta i prezzi di Security Command Center.
Prima di iniziare
Devi disporre di ruoli Identity and Access Management (IAM) adeguati per visualizzare o modificare i risultati e per modificare le risorse Google Cloud. Se si verificano errori di accesso in Security Command Center, chiedi assistenza all'amministratore e consulta Controllo dell'accesso per scoprire di più sui ruoli.
Consentire il rilevamento rapido delle vulnerabilità
Quando abiliti Rapid Vulnerability Detection su un'organizzazione, una cartella o un progetto, Rapid Vulnerability Detection esegue automaticamente la scansione di tutte le risorse supportate nell'organizzazione o nel progetto.
Per abilitare Rapid Vulnerability Detection, segui questi passaggi:
Console
Nella console Google Cloud, puoi abilitare Rapid Vulnerability Detection nella pagina Servizi. Puoi abilitare Rapid Vulnerability Detection per progetti specifici.
API
Per abilitare Rapid Vulnerability Detection per un'organizzazione, una cartella o un progetto, invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: progetto per la fatturazione degli addebiti per l'accesso associati alle scansioni di Rapid Vulnerability Detection.
- RESOURCE: il tipo di risorsa da scansionare. I valori validi sono
organizations,foldersoprojects. - RESOURCE_ID: l'identificatore della risorsa da analizzare. Per le organizzazioni e le cartelle, inserisci il numero dell'organizzazione o della cartella. Per i progetti, inserisci l'ID progetto.
Le scansioni vengono avviate automaticamente entro circa 24 ore dopo la prima abilitazione di Rapida Vulnerability Detection. Dopo la prima analisi, Rapid Vulnerability Detection esegue scansioni gestite ogni settimana.
Per testare Rapid Vulnerability Detection, puoi configurare le risorse di test. Per includere le risorse di test nella prima analisi di Rapid Vulnerability Detection, creale nel progetto prima che il progetto venga aggiunto all'elenco di analisi di Rapid Vulnerability Detection.
Per ulteriori informazioni su come abilitare servizi integrati come Rapid Vulnerability Detection, consulta l'articolo sulla configurazione delle risorse di Security Command Center.
Latenza e intervallo della scansione
Dopo aver abilitato Rapid Vulnerability Detection per un progetto, potrebbe verificarsi un ritardo massimo di 24 ore prima che la prima scansione venga avviata e i risultati vengano visualizzati in Security Command Center.
Rapid Vulnerability Detection esegue scansioni successive ogni settimana dalla data della prima scansione. Se vengono aggiunte nuove risorse ai progetti tra una scansione e l'altra, Rapid Vulnerability Detection non eseguirà la scansione delle risorse fino alla successiva analisi settimanale.
Test del rilevamento rapido delle vulnerabilità
Per confermare che Rapid Vulnerability Detection funzioni, puoi utilizzare il Testbed for Tsunami Security open source disponibile su GitHub per generare risultati relativi a vulnerabilità come password debole o attraversamento dei percorsi e vulnerabilità divulgate. Per ulteriori informazioni, visita il sito google/tsunami-security-scanner-testbed.
Esame dei risultati
La funzionalità di scansione gestita di Rapid Vulnerability Detection configura e pianifica automaticamente le analisi per ciascuno dei progetti nell'ambito.
I risultati contengono vulnerabilità rilevate e informazioni sui progetti interessati. Le vulnerabilità vengono segnalate per i progetti, non per destinazioni di scansione specifiche (endpoint e software applicativo) o per le VM contenute all'interno dei progetti.
Puoi visualizzare i risultati nella console Google Cloud o utilizzando l'API Security Command Center.
Revisione dei risultati in Security Command Center
Per esaminare i risultati di Rapid Vulnerability Detection in Security Command Center, segui questi passaggi:
Vai alla pagina Risultati nella console Google Cloud.
In Filtri rapidi, scorri verso il basso fino a Nome visualizzato dell'origine e fai clic su Rapid Vulnerability Detection. L'aggiornamento di Ricerca dei risultati delle query mostra solo i risultati generati da Rapid Vulnerability Detection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Si apre il riquadro dei dettagli del risultato.
- Per visualizzare un riepilogo dei dettagli del risultato, ovvero la visualizzazione predefinita, fai clic su Riepilogo sotto il nome del risultato.
- Per visualizzare i dettagli completi del risultato, fai clic su JSON sotto il nome del risultato.
Visualizzazione di tutti i risultati per una porta o un indirizzo IP
Una destinazione di scansione potrebbe gestire più applicazioni web sulla stessa porta. Rapid Vulnerability Detection identifica ed analizza tutte le applicazioni note gestite su una porta e potrebbe generare più risultati per singole porte e indirizzi IP.
Per visualizzare tutti i risultati associati a un determinato indirizzo IP in una scansione:
Vai alla pagina Risultati nella console Google Cloud:
Fai clic su Modifica query. Nell'Editor query viene visualizzata la seguente query predefinita:
state="ACTIVE" AND NOT mute="MUTED"Fai clic su Aggiungi filtro. Viene visualizzato il riquadro Seleziona filtro.
Nella colonna a sinistra, scorri verso il basso e seleziona Connessioni. La colonna a destra viene aggiornata in modo da mostrare le proprietà di connessione.
Nella colonna di destra, seleziona il tipo di proprietà da aggiungere al filtro. Si apre una nuova colonna che mostra tutte le proprietà di quel tipo contenute nei risultati disponibili.
Dalle proprietà visualizzate, seleziona uno o più indirizzi o porte IP di destinazione o di origine per aggiungere la query.
Fai clic su Applica. La query nel riquadro Editor query viene aggiornata in modo da includere l'indirizzo IP, come mostrato nell'esempio seguente:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Fai clic su APPLICA.
Tutti i risultati di Rapid Vulnerability Detection con quell'indirizzo IP vengono visualizzati nei risultati della query Risultati.
Per esaminare i risultati utilizzando l'API Security Command Center, consulta Elenco dei risultati sulla sicurezza con l'API Security Command Center.
Per visualizzare un elenco completo dei risultati di Rapid Vulnerability Detection e i passaggi di correzione suggeriti, vedi Risultati e correzioni di Rapid Vulnerability Detection.
Applicazione di filtri ai risultati nella console Google Cloud
Una grande organizzazione potrebbe avere molti risultati di vulnerabilità nell'implementazione per la revisione, la classificazione e il tracciamento. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con la massima gravità nella tua organizzazione ed esaminare le vulnerabilità per tipo di asset, progetto e altro ancora.
Per ulteriori informazioni sul filtro dei risultati di vulnerabilità, consulta Filtrare i risultati di vulnerabilità in Security Command Center.
Disattiva risultati
Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o a livello di programmazione i singoli risultati o creare regole di disattivazione che disattivano automaticamente i risultati attuali e quelli futuri in base ai filtri che definisci.
I risultati con audio disattivato vengono nascosti e silenziati, ma continuano a essere registrati per scopi di controllo e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivare i risultati in Security Command Center.
Disabilitazione delle scansioni
Quando disabiliti Rapid Vulnerability Detection su un'organizzazione o un progetto, il servizio interrompe l'analisi di tutte le risorse supportate nell'organizzazione o nel progetto.
Per disattivare Rapid Vulnerability Detection, segui questi passaggi:
Console
Nella console Google Cloud, disabiliti Rapid Vulnerability Detection nella pagina Servizi. Se Security Command Center è attivato a livello di organizzazione, puoi disabilitare Rapid Vulnerability Detection per l'intera organizzazione o per progetti specifici.
Per maggiori informazioni su come disabilitare servizi integrati come Rapid Vulnerability Detection, consulta Configurazione delle risorse di Security Command Center.
API
Per disabilitare Rapid Vulnerability Detection nella tua organizzazione o nel tuo progetto, invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Sostituisci quanto segue:
X_GOOG_USER_PROJECT: il progetto a cui vengono addebitati i costi di accesso associati alle scansioni di Rapid Vulnerability Detection.RESOURCE: la risorsa di cui vuoi interrompere la scansione. I valori validi sonoorganizations,foldersoprojects. su (organizationsoprojects).RESOURCE_ID: l'identificatore della risorsa di cui interrompere la scansione. Per le organizzazioni e le cartelle, inserisci il numero dell'organizzazione o della cartella. Per i progetti, inserisci l'ID progetto.
Passaggi successivi
Per istruzioni su come testare Rapid Vulnerability Detection, consulta Testing Rapid Vulnerability Detection.
Per ulteriori informazioni su Rapid Vulnerability Detection, consulta la panoramica concettuale di Rapid Vulnerability Detection.