Nesta página, mostramos como usar os recursos de verificação gerenciada do Web Security Scanner e analisar as descobertas no Console do Google Cloud. Também são mostrados exemplos de descobertas do Web Security Scanner.
O Web Security Scanner é um serviço integrado para o nível Premium do Security Command Center que identifica vulnerabilidades de segurança comuns nos aplicativos da Web do App Engine, Google Kubernetes Engine (GKE) e do Compute Engine. Para ver as descobertas do Web Security Scanner, é necessário ativá-las nas configurações dos Serviços do Security Command Center.
Saiba mais sobre como o Web Security Scanner funciona.
Como revisar descobertas
O recurso de verificação gerenciada do Web Security Scanner configura e programa automaticamente as verificações para cada um dos seus projetos no escopo. As verificações do Web Security Scanner podem levar até 24 horas para serem iniciadas após a ativação do serviço e serem executadas semanalmente após a primeira verificação. As descobertas são visualizadas no Security Command Center.
Analisar descobertas no console
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Para analisar as descobertas do Web Security Scanner no Security Command Center, siga estas etapas:
Console do Google Cloud
- No console do Google Cloud, acesse a página Descobertas do Security Command Center.
- Selecione a organização ou o projeto do Google Cloud.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Web Security Scanner. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Console de operações de segurança
-
No console de operações de segurança, acesse a página Descobertas.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente. - Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione Web Security Scanner. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Conferir todas as descobertas associadas a um URL específico
Uma verificação pode produzir descobertas a partir de vários URLs base. Para exibir todas as descobertas associadas a um determinado URL em uma verificação, siga estas etapas:
- Abra a descoberta e confira a definição JSON dela.
- Copie o URL ao lado de
externalUri
. - Feche o painel de detalhes da descoberta
No Editor de consultas, insira a seguinte consulta:
externalUri:"AFFECTED_URI"
Substitua AFFECTED_URI pelo URL copiado anteriormente.
O Security Command Center exibe todas as descobertas associadas ao URL.
Exemplos de descobertas
Exemplos de descobertas de verificação gerenciadas do Web Security Scanner:
Vulnerabilidade | Descrição |
---|---|
Conteúdo misto | Uma página que foi veiculada por HTTPS também exibe recursos por HTTP. Um invasor "man-in-the-middle" pode adulterar o recurso HTTP e ter acesso total ao site que carrega o recurso ou monitora as ações dos usuários. |
Senha não criptografada |
Um aplicativo retorna conteúdo confidencial com um tipo de conteúdo inválido ou
sem um cabeçalho X-Content-Type-Options: nosniff .
|
Biblioteca desatualizada |
A versão de uma biblioteca incluída pode conter um problema de segurança. O scanner verifica a versão da biblioteca em uso e compara com uma lista conhecida de bibliotecas vulneráveis. Você poderá ter falsos positivos se a detecção da versão falhar ou caso a biblioteca tenha recebido um patch manual. O Web Security Scanner identifica algumas versões vulneráveis das seguintes bibliotecas conhecidas:
Essa lista é atualizada periodicamente com novas bibliotecas e vulnerabilidades atualizadas, conforme aplicável. |
Saiba mais sobre como usar o Security Command Center no console do Google Cloud.
Como filtrar descobertas no console do Google Cloud
Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center no console do Google Cloud, você pode se concentrar nas vulnerabilidades mais graves da organização e analisá-las por tipo de recurso, projeto e muito mais.
Para mais informações sobre como filtrar descobertas de vulnerabilidade, consulte Filtrar descobertas de vulnerabilidade no Security Command Center.
Silenciar descobertas
Para controlar o volume de descobertas no Security Command Center, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas atuais e futuras com base nos filtros definidos.
As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Desativar descobertas no Security Command Center.
Configurações de verificação
Se o Web Security Scanner receber credenciais de acesso, ele executará todas as ações usando esse nível de acesso. Para reduzir o risco aos recursos de produção e detectar vulnerabilidades antes que eles cheguem à produção, é recomendável executar verificações em ambientes de desenvolvimento, teste, preparo ou controle de qualidade.
A verificação de recursos de produção é útil porque até mesmo pequenas alterações nos recursos entre testes e produção podem gerar vulnerabilidades. No entanto, convém usar o acesso ao limite durante as verificações de produção. Consulte Práticas recomendadas para mais informações.
Para rever as configurações de verificação gerenciadas e iniciar verificações manualmente, use o console do Google Cloud.
Para ver a configuração da verificação gerenciada de um projeto:
- Acesse a página do Web Security Scanner no console do Google Cloud.
Acessar a página do Web Security Scanner - Selecione um projeto. Uma página é exibida com uma lista de verificações gerenciadas e personalizadas.
- Em Configurações de verificação, clique em
managed_scan
. A página exibida mostra os resultados da verificação gerenciada mais recente, incluindo o status da verificação, os URLs rastreados e as vulnerabilidades encontradas. Use a lista suspensa para ver os resultados das verificações anteriores.
O Web Security Scanner administra e mantém verificações gerenciadas, portanto, não é possível modificar as configurações da verificação. As verificações gerenciadas só podem ser editadas ou excluídas no Security Command Center, conforme discutido em Como desativar verificações gerenciadas.
Intervalos de endereços IP estáticos para verificações gerenciadas
Quando o Web Security Scanner é ativado no Security Command Center, as verificações gerenciadas começam automaticamente usando endereços IP estáticos nos intervalos 34.66.18.0/26
e 34.66.114.64/26
.
Verificações sob demanda
As verificações gerenciadas são executadas automaticamente em uma programação definido. No entanto, é possível usar a interface do Web Security Scanner para executar verificações gerenciadas sob demanda:
- Acesse a página do Web Security Scanner no console do Google Cloud.
Acessar a página do Web Security Scanner - Selecione um projeto. Uma página é exibida com uma lista de verificações gerenciadas e personalizadas.
- Em Configurações de verificação, clique em
managed_scan
. - Na página seguinte, clique em Executar no topo da página ou
- Clique em Executar verificação novamente na guia Resultados.
A verificação começa, e as descobertas serão atualizadas no Security Command Center quando concluídas. As verificações gerenciadas sob demanda são úteis quando você quer captar descobertas de projetos novos ou atualizados entre verificações programadas. As verificações sob demanda não afetam o cronograma das verificações semanais programadas.
Veja mais informações sobre a verificação na página de registros do projeto.
Como desativar verificações gerenciadas
É recomendável manter o Web Security Scanner ativado para todos os projetos em escopo. No entanto, é possível desativar o Web Security Scanner no Security Command Center ou, se ele estiver ativado no nível da organização, desativar as verificações gerenciadas do Web Security Scanner para projetos específicos. ou pastas.
Desativar as verificações do Web Security Scanner para um projeto ou uma pasta
Para desativar as verificações gerenciadas em uma pasta ou projeto, siga estas etapas:
Acesse a página Serviços no Security Command Center.
Selecione o projeto ou a organização.
No card Web Security Scanner, clique em Gerenciar configurações. A página Ativação do serviço é aberta para o Web Security Scanner.
No painel Ativação do serviço, desative o Web Security Scanner para o projeto ou a pasta usando um dos seguintes métodos:
- Navegue até o projeto ou a pasta:
- No painel Ativação do serviço, navegue até o projeto ou a pasta rolando e expandindo qualquer organização ou pasta pai conforme necessário.
- Na linha do projeto ou pasta, no menu da coluna Web Security Scanner, selecione Desativar.
- Pesquise apenas projetos e pastas pelo nome:
- Clique em Pesquisar uma pasta ou projeto.
- Na caixa de diálogo Pesquisar recursos, insira o nome do projeto, da pasta ou da organização. O projeto é exibido na caixa de diálogo.
- Na caixa de diálogo, no menu da coluna Web Security Scanner, selecione Desativar.
- Navegue até o projeto ou a pasta:
Os projetos desativados não serão mais incluídos nas verificações gerenciadas.
Desativar o Web Security Scanner no Security Command Center
Para desativar o serviço Web Security Scanner no Security Command Center:
Acesse a página Serviços no Security Command Center.
Selecione o projeto ou a organização.
No card Web Security Scanner, clique em Gerenciar configurações. A página Ativação do serviço é aberta para o Web Security Scanner.
Em Ativação do serviço, na linha do projeto ou da organização de nível superior, no menu da coluna Web Security Scanner, selecione Desativar.
O Web Security Scanner está desativado no Security Command Center e as verificações gerenciadas não serão mais executadas.
É possível continuar usando o Web Security Scanner como um produto independente pela interface do Web Security Scanner, no console do Google Cloud, com as seguintes alterações:
- Você precisa configurar e gerenciar verificações personalizadas para cada um dos projetos.
- As configurações da verificação gerenciada são arquivadas, e as descobertas da verificação gerenciada permanecem visíveis no Console do Google Cloud.
- As verificações gerenciadas só estão disponíveis no Security Command Center Premium. Portanto, as configurações de verificações gerenciadas e descobertas existentes são removidas da interface do Web Security Scanner.
Se o Web Security Scanner for reativado no Security Command Center, as configurações e as descobertas da verificação gerenciada reaparecerão na interface do Web Security Scanner. Geralmente, se as mesmas vulnerabilidades forem encontradas durante as novas verificações, as descobertas existentes serão atualizadas. Se o aplicativo ou site mudou substancialmente desde a última verificação, novas descobertas poderão ser criadas.
A seguir
- Saiba como corrigir as descobertas do Web Security Scanner.