En esta página, se explica cómo ver y administrar los resultados de la Detección rápida de vulnerabilidades, un servicio integrado de Security Command Center Premium que encuentra vulnerabilidades críticas en tus aplicaciones de App Engine y máquinas virtuales de Compute Engine.
Descripción general
La Detección rápida de vulnerabilidades realiza análisis activos de los extremos públicos. Detecta vulnerabilidades que tienen una alta probabilidad de explotarse, como credenciales débiles, instalaciones de software incompletas y otras vulnerabilidades críticas conocidas. Los resultados se escriben en Security Command Center. Para obtener más información, consulta la descripción general de la Detección rápida de vulnerabilidades.
Uso de recursos
Por lo general, cuanto mayor sea la cantidad de extremos en una VM y más servicios que aloje la VM, mayor será la cantidad de análisis que debe realizar la Detección rápida de vulnerabilidades, ya que cada extremo y aplicación requieren un análisis independiente.
Debido a que el tráfico de red durante los análisis de Detección rápida de vulnerabilidades se factura como tráfico de salida, estos análisis pueden generar costos adicionales.
Considera un proyecto o una organización cuyos objetivos de análisis se encuentran en regiones de Norteamérica. Si un solo análisis usa unos 200 KB de tráfico de salida y se ejecutan 100,000 análisis al mes, el tráfico total sería de 20 GB.
Para obtener más información sobre los costos potenciales que se asocian con el uso de recursos por los objetivos del análisis, consulta los precios de Security Command Center.
Antes de comenzar
Necesitas funciones adecuadas de Identity and Access Management (IAM) para ver o editar resultados y modificar recursos de Google Cloud. Si encuentras errores de acceso en Security Command Center, solicita asistencia a tu administrador y consulta Control de acceso para obtener información sobre los roles.
Habilita la Detección rápida de vulnerabilidades
Cuando habilitas la Detección rápida de vulnerabilidades en una organización, carpeta o proyecto, la Detección rápida de vulnerabilidades analiza de forma automática todos los recursos compatibles en la organización o el proyecto.
Para habilitar la Detección rápida de vulnerabilidades, sigue estos pasos:
Console
En la consola de Google Cloud, puedes habilitar la Detección rápida de vulnerabilidades en la página Servicios. Puedes habilitar la Detección rápida de vulnerabilidades para proyectos específicos.
API
Para habilitar la Detección rápida de vulnerabilidades en una organización, carpeta o proyecto, envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Reemplaza lo siguiente:
- X_GOOG_USER_PROJECT: Es el proyecto en el que se facturarán los cargos de acceso asociados con los análisis de Detección rápida de vulnerabilidades.
- RESOURCE: Es el tipo de recurso que se analizará. Los valores válidos son
organizations,foldersoprojects. - RESOURCE_ID: Es el identificador del recurso que se analizará. En el caso de las organizaciones y carpetas, ingresa el número de la organización o carpeta. Para los proyectos, ingresa el ID del proyecto.
Los análisis se inician automáticamente en un plazo de 24 horas después de que habilitas la Detección rápida de vulnerabilidades. Después del primer análisis, la Detección rápida de vulnerabilidades ejecuta análisis administrados semanalmente.
Para probar la Detección rápida de vulnerabilidades, puedes configurar recursos de prueba. Para incluir recursos de prueba en el primer análisis de Detección rápida de vulnerabilidades, crea los recursos del proyecto antes de que se agregue a la lista de análisis de Detección rápida de vulnerabilidades.
Para obtener más información sobre cómo habilitar servicios integrados, como la Detección rápida de vulnerabilidades, consulta Configura los recursos de Security Command Center.
Intervalo y latencia de análisis
Después de habilitar la Detección rápida de vulnerabilidades en un proyecto, puede haber un retraso de hasta 24 horas antes de que comience el primer análisis y los resultados aparezcan en Security Command Center.
La Detección rápida de vulnerabilidades realiza análisis posteriores semanalmente desde la fecha del primer análisis. Si se agregan recursos nuevos a los proyectos entre los análisis, la Detección rápida de vulnerabilidades no analizará los recursos hasta el siguiente análisis semanal.
Probar la detección rápida de vulnerabilidades
Con el fin de confirmar que la Detección rápida de vulnerabilidades está funcionando, puedes usar Testbed de código abierto para Tsunami Security que está disponible en GitHub a fin de generar resultados de vulnerabilidades, como contraseñas débiles o una vulnerabilidad de recorrido y divulgación. Para obtener más información, consulta google/tsunami-security-scanner-testbed.
Revisa los resultados
La función de análisis administrado de la Detección rápida de vulnerabilidades configura y programa análisis de forma automática para cada uno de tus proyectos dentro del alcance.
Los resultados contienen vulnerabilidades detectadas e información sobre los proyectos afectados. Las vulnerabilidades se informan para los proyectos, no para los objetivos de análisis específicos (extremos y software de aplicación) o las VM contenidas en proyectos.
Puedes ver los resultados en la consola de Google Cloud o mediante la API de Security Command Center.
Revisa resultados en Security Command Center
Para revisar los resultados de la Detección rápida de vulnerabilidades en Security Command Center, sigue estos pasos:
Ve a la página Resultados en la consola de Google Cloud.
En Filtros rápidos, desplázate hacia abajo hasta Nombre visible de la fuente y haz clic en Detección rápida de vulnerabilidades. La actualización Resultados de la consulta de resultados para mostrar solo los resultados que se produjeron mediante la Detección rápida de vulnerabilidades.
Para ver los detalles de un resultado específico, haz clic en su nombre en Categoría. Se abrirá el panel de detalles del hallazgo.
- Para ver un resumen de los detalles del resultado, que es la vista predeterminada, debajo del nombre del resultado, haz clic en Resumen.
- Para ver los detalles completos del resultado, en su nombre, haz clic en JSON.
Muestra todos los resultados de un puerto o una dirección IP
Un destino de análisis puede entregar varias aplicaciones web en el mismo puerto. La Detección rápida de vulnerabilidades identifica y analiza todas las aplicaciones conocidas que se entregan en un puerto y puede generar varios resultados de puertos individuales y direcciones IP.
Para mostrar todos los resultados asociados con una dirección IP determinada en un análisis, haz lo siguiente:
Ve a la página Resultados en la consola de Google Cloud:
Haz clic en Editar consulta. La siguiente consulta predeterminada se muestra en el editor de consultas:
state="ACTIVE" AND NOT mute="MUTED"Haga clic en Agregar filtro. Se abrirá el panel Seleccionar filtro.
En la columna de la izquierda, desplázate hacia abajo y selecciona Conexiones. La columna de la derecha se actualiza para mostrar las propiedades de la conexión.
En la columna de la derecha, selecciona el tipo de propiedad que deseas agregar al filtro. Se abrirá una columna nueva para mostrar todas las propiedades de ese tipo que se encuentran en los resultados disponibles.
En las propiedades que se muestran, selecciona una o más direcciones IP o puertos de destino o origen para agregar la consulta.
Haz clic en Aplicar. La consulta en el panel Editor de consultas se actualiza para incluir la dirección IP, como se muestra en el siguiente ejemplo:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Haz clic en APLICAR.
Todos los resultados de la Detección rápida de vulnerabilidades con esa dirección IP se muestran en los Resultados de la consulta de resultados.
Para revisar los resultados con la API de Security Command Center, consulta Enumera los resultados de seguridad con la API de Security Command Center.
Para ver una lista completa de los resultados de la Detección rápida de vulnerabilidades y los pasos para solucionarlos, consulta Resultados y soluciones de la Detección rápida de vulnerabilidades.
Filtra los resultados en la consola de Google Cloud
Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Mediante los filtros que están disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud, puedes enfocarte en las vulnerabilidades de mayor gravedad en tu organización y revisarlas por tipo de recurso, proyecto y mucho más.
Para obtener más información sobre cómo filtrar los resultados de vulnerabilidades, consulta Filtra los resultados de vulnerabilidades en Security Command Center.
Silenciar resultados
Para controlar el volumen de resultados en Security Command Center, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas.
Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para obtener más información, consulta Silencia resultados en Security Command Center.
Inhabilita los análisis
Cuando inhabilitas la Detección rápida de vulnerabilidades en una organización o un proyecto, el servicio deja de analizar todos los recursos compatibles en esa organización o proyecto.
Para inhabilitar la Detección rápida de vulnerabilidades, sigue estos pasos:
Console
En la consola de Google Cloud, inhabilitas la Detección rápida de vulnerabilidades en la página Servicios. Si Security Command Center está activado a nivel de la organización, puedes inhabilitar la Detección rápida de vulnerabilidades en toda la organización o en proyectos específicos.
Para obtener más información sobre cómo inhabilitar los servicios integrados, como la Detección rápida de vulnerabilidades, consulta Configura los recursos de Security Command Center.
API
Para inhabilitar la Detección rápida de vulnerabilidades en tu organización o proyecto, envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Reemplaza lo siguiente:
X_GOOG_USER_PROJECT: Es el proyecto al que se le facturan los cargos de acceso asociados con los análisis de Detección rápida de vulnerabilidades.RESOURCE: Es el recurso que deseas dejar de analizar. Los valores válidos sonorganizations,foldersoprojects. activada (organizationsoprojects).RESOURCE_ID: Es el identificador del recurso que se detendrá. Para las organizaciones y carpetas, ingresa el número de organización o carpeta. Para los proyectos, ingresa el ID del proyecto.
¿Qué sigue?
Para obtener instrucciones sobre cómo probar la Detección rápida de vulnerabilidades, consulta Cómo probar la Detección rápida de vulnerabilidades.
Para obtener más información sobre la Detección rápida de vulnerabilidades, consulta la descripción general conceptual de la Detección rápida de vulnerabilidades.