Nesta página, explicamos como ver e gerenciar as descobertas do Rapid Vulnerability Detection, um serviço integrado do Security Command Center Premium que encontra vulnerabilidades críticas nos aplicativos do App Engine e nas máquinas virtuais do Compute Engine.
Visão geral
O Rapid Vulnerability Detection realiza verificações ativas de endpoints públicos. Ele detecta vulnerabilidades com alta probabilidade de serem exploradas, incluindo credenciais fracas, instalações de software incompletas e outras vulnerabilidades críticas conhecidas. As descobertas são gravadas na Central de comando de segurança. Para saber mais, consulte Visão geral do Rapid Vulnerability Detection.
Uso de recursos
Geralmente, quanto maior o número de endpoints em uma VM e mais serviços hospedados pela VM, maior o número de verificações que o Rapid Vulnerability Detection precisa executar, porque cada endpoint e aplicativo requer uma verificação separada.
Como o tráfego de rede durante as verificações do Rapid Vulnerability Detection é faturado como tráfego de saída, essas verificações podem gerar custos adicionais.
Considere um projeto ou uma organização com destinos de verificação que estão todos nas regiões da América do Norte. Se uma única verificação usar uma estimativa de 200 KB de tráfego de saída e 100 mil verificações forem executadas mensalmente, o tráfego total será de 20 GB.
Para mais informações sobre possíveis custos associados ao uso de recursos por destinos de verificação, consulte Preços do Security Command Center.
Antes de começar
Você precisa de papéis adequados do Identity and Access Management (IAM) para visualizar ou editar descobertas e modificar recursos do Google Cloud. Se você encontrar erros de acesso no Central de comando de segurança, peça ajuda ao administrador e consulte Controle de acesso para saber mais sobre papéis.
Como ativar a detecção rápida de vulnerabilidades
Quando você ativa o Rapid Vulnerability Detection em uma organização, pasta ou projeto, ele verifica automaticamente todos os recursos compatíveis na organização ou no projeto.
Para ativar o Rapid Vulnerability Detection, siga estas etapas:
Console
No console do Google Cloud, ative o Rapid Vulnerability Detection na página Serviços. É possível ativar o Rapid Vulnerability Detection em projetos específicos.
API
Para ativar o Rapid Vulnerability Detection em uma organização, pasta ou projeto, envie uma solicitação PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'
Substitua:
- X_GOOG_USER_PROJECT: o projeto a ser faturado com as cobranças de acesso associadas às verificações rápidas da Detecção de vulnerabilidades.
- RESOURCE: o tipo de recurso a ser verificado. Os valores válidos são
organizations,foldersouprojects. - RESOURCE_ID: o identificador do recurso a ser verificado. No caso de organizações e pastas, digite o número da organização ou da pasta. Para projetos, insira o ID do projeto.
As verificações começam automaticamente em até 24 horas após você ativar o Rapid Vulnerability Detection. Após a primeira verificação, o Rapid Vulnerability Detection executa semanalmente verificações gerenciadas.
Para testar a detecção rápida de vulnerabilidades, configure recursos de teste. Para incluir recursos de teste na primeira verificação do Rapid Vulnerability Detection, crie os recursos no projeto antes de adicioná-lo à lista de verificação do Rapid Vulnerability Detection.
Para mais informações sobre como ativar serviços integrados, como o Rapid Vulnerability Detection, consulte Como configurar recursos do Security Command Center.
Latência e intervalo da verificação
Depois que a detecção rápida de vulnerabilidades for ativada para um projeto, poderá haver um atraso de até 24 horas antes do início da primeira verificação e das descobertas no Security Command Center.
O Rapid Vulnerability Detection realiza verificações subsequentes semanais a partir da data da primeira verificação. Se novos recursos forem adicionados a projetos entre verificações, o Rapid Vulnerability Detection não verificará os recursos até a próxima verificação semanal.
Testar a detecção rápida de vulnerabilidades
Para confirmar se o Rapid Vulnerability Detection está funcionando, use o código aberto Testbed for Tsunami Security disponível no GitHub para gerar descobertas sobre vulnerabilidades, como uma senha fraca ou uma vulnerabilidade de divulgação e travessia de caminho. Para mais informações, consulte google/tsunami-security-scanner-testbed.
Como revisar descobertas
O recurso verificação gerenciada do Rapid Vulnerability Detection configura e programa automaticamente as verificações para cada um dos seus projetos no escopo.
As descobertas contêm vulnerabilidades detectadas e informações sobre os projetos afetados. As vulnerabilidades são relatadas para projetos, não para destinos de verificação específicos (endpoints e software de aplicativo) ou VMs contidas em projetos.
É possível ver as descobertas no console do Google Cloud ou usando a API Security Command Center.
Como analisar as descobertas no Security Command Center
Para revisar as descobertas da detecção rápida de vulnerabilidades no Security Command Center, siga estas etapas:
Acesse a página Descobertas no console do Google Cloud.
Em Filtros rápidos, role para baixo até Nome de exibição da origem e clique em Rapid Vulnerability Detection. Os Resultados de consulta da descoberta são atualizados para que mostrem apenas as descobertas que foram produzidas pelo Rapid Vulnerability Detection.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta será aberto.
- Para acessar um resumo dos detalhes da descoberta, que é a visualização padrão, abaixo do nome da descoberta, clique em Resumo.
- Para ver todos os detalhes da descoberta, clique em JSON abaixo do nome dela.
Como exibir todas as descobertas de uma porta ou endereço IP
Um destino de verificação pode exibir vários aplicativos da Web na mesma porta. A detecção rápida de vulnerabilidades identifica e verifica todos os aplicativos conhecidos atendidos em uma porta e pode gerar várias descobertas para portas e endereços IP individuais.
Para exibir todas as descobertas associadas a um determinado endereço IP em uma verificação, faça o seguinte:
Acesse a página Descobertas no console do Google Cloud:
Clique em Editar consulta. A consulta padrão a seguir é exibida no editor de consultas:
state="ACTIVE" AND NOT mute="MUTED"Clique em Adicionar filtro. O painel Selecionar filtro é aberto.
Na coluna da esquerda, role para baixo e selecione Conexões. A coluna à direita é atualizada para mostrar as propriedades da conexão.
Na coluna à direita, selecione o tipo de propriedade que você quer adicionar ao filtro. Uma nova coluna é aberta para mostrar todas as propriedades desse tipo contidas nas descobertas disponíveis.
Nas propriedades exibidas, selecione uma ou mais portas ou endereços IP de destino ou de origem para adicionar a consulta.
Clique em Aplicar. A consulta no painel do Editor de consultas é atualizada para incluir o endereço IP, conforme mostrado no exemplo a seguir:
state="ACTIVE" AND NOT mute="MUTED" AND parent_display_name="Rapid Vulnerability Detection" AND contains(connections, source_ip="203.0.113.1")
Clique em APLICAR.
Todas as descobertas do Rapid Vulnerability Detection com esse endereço IP são exibidas nos Resultados de consulta das descobertas.
Para analisar as descobertas usando a API Security Command Center, consulte Como listar descobertas de segurança usando a API Security Command Center.
Para ver uma lista completa de descobertas do Rapid Vulnerability Detection e etapas de correção sugeridas, consulte Descobertas e correções do Rapid Vulnerability Detection.
Como filtrar descobertas no console do Google Cloud
Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud, é possível se concentrar nas vulnerabilidades mais graves da sua organização e analisá-las por tipo de recurso, projeto e muito mais.
Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.
Silenciar descobertas
Para controlar o volume de descobertas no Security Command Center, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas atuais e futuras com base nos filtros definidos.
As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Ignorar descobertas no Security Command Center.
Como desativar verificações
Quando você desativa a Detecção rápida de vulnerabilidades em uma organização ou projeto, o serviço para de verificar todos os recursos compatíveis na organização ou no projeto.
Para desativar o Rapid Vulnerability Detection, siga estas etapas:
Console
No console do Google Cloud, desative o Rapid Vulnerability Detection na página Serviços. Se o Security Command Center estiver ativado no nível da organização, você poderá desativar a Detecção rápida de vulnerabilidades em toda a organização ou em projetos específicos.
Para mais informações sobre como desativar serviços integrados, como o Rapid Vulnerability Detection, consulte Como configurar recursos do Security Command Center.
API
Para desativar o Rapid Vulnerability Detection em sua organização ou projeto, envie uma solicitação PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'
Substitua:
X_GOOG_USER_PROJECT: o projeto que está sendo faturado com as cobranças de acesso associadas às verificações do Rapid Vulnerability Detection.RESOURCE: o recurso em que você quer interromper a verificação. Os valores válidos sãoorganizations,foldersouprojects. emorganizationsouprojects.RESOURCE_ID: o identificador do recurso para interromper a verificação. No caso de organizações e pastas, digite o número da organização ou da pasta. Para projetos, insira o ID do projeto.
A seguir
Para instruções sobre como testar a detecção rápida de vulnerabilidades, consulte Como testar a detecção rápida de vulnerabilidades.
Para mais informações sobre a detecção rápida de vulnerabilidades, consulte Visão geral conceitual da detecção de vulnerabilidades rápidas.