本页介绍了如何使用 Web Security Scanner 代管式扫描功能和 在 Google Cloud 控制台中查看发现结果。还显示了 Web Security Scanner 发现结果的示例。
Web Security Scanner 是 Security Command Center 优质层级的内置服务,可识别 App Engine、Google Kubernetes Engine (GKE) 和 Compute Engine Web 应用中的常见安全漏洞。如需查看 Web Security Scanner 发现结果,您必须在 Security Command Center 服务设置中启用该功能。
详细了解 Web Security Scanner 的工作原理。
审核发现结果
Web Security Scanner 代管式扫描 功能会针对报告范围内的每项内容自动配置和安排扫描 项目。 在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。 您可以在在 Security Command Center 中查看发现结果。
在控制台中查看发现结果
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
如需在 Security Command Center 中查看 Web Security Scanner 发现结果,请按以下步骤操作:
Google Cloud 控制台
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择 Web Security Scanner。发现结果查询结果会更新,以仅显示 来自此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页中,查看发现结果的详细信息,包括 检测到的内容、受影响的资源以及您可以采取的步骤(如果有) 来补救发现结果。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
Security Operations 控制台
-
在 Security Operations 控制台中,前往发现结果页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
将
CUSTOMER_SUBDOMAIN
替换为您的客户专用标识符。 - 在 Aggregations 部分中,点击以展开 Source Display Name 小节。
- 选择 Web Security Scanner。发现结果的查询结果会更新为仅显示此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。通过 相应发现结果的详细信息面板随即会打开,并显示摘要标签页。
- 在摘要标签页中,查看发现结果的详细信息,包括 检测到的内容、受影响的资源以及您可以采取的步骤(如果有) 来补救发现结果。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
查看与特定网址相关的所有发现结果
扫描可以从多个基准网址生成发现结果。如需在扫描中显示与给定网址关联的所有发现结果,请按照以下步骤操作:
- 打开发现结果并查看其 JSON 定义。
- 复制
externalUri
旁边的网址。 - 关闭发现结果详细信息窗格。
在查询编辑器中,输入以下查询:
externalUri:"AFFECTED_URI"
将 AFFECTED_URI 替换为您之前复制的网址。
Security Command Center 会显示与该网址关联的所有发现结果。
示例发现结果
示例 Web Security Scanner 托管式扫描发现结果包括以下:
漏洞 | 说明 |
---|---|
混合内容 | 通过 HTTPS 提供的页面也可以通过 HTTP 提供资源。中间人攻击者可以篡改 HTTP 资源,并获得加载该资源的网站的完整访问权限,或获得监控用户操作的完整权限。 |
明文密码 | 应用返回包含无效内容类型或者没有 X-Content-Type-Options: nosniff 标头的敏感内容。 |
过时的库 |
已知所添加的库版本包含安全问题。扫描程序根据已知的易受攻击库列表,对正在使用的库的版本进行检查。如果版本检测失败或用户已经手动修补了库,则可能出现误报。 Web Security Scanner 可识别以下常用库的一些易受攻击的版本:
此列表会定期更新,包括适用的新库和更新漏洞。 |
详细了解如何在 Google Cloud 控制台中使用 Security Command Center。
在 Google Cloud 控制台中过滤发现结果
大型组织在其部署过程中可能有很多漏洞发现结果,以进行审核、分类和跟踪。通过使用 在 Security Command Center 漏洞和发现结果页面上 在 Google Cloud 控制台中,您可以重点关注最严重的 整个组织中的漏洞,并通过以下方式审核漏洞: 资产类型、项目等。
如需详细了解如何过滤漏洞发现结果,请参阅在 Security Command Center 中过滤漏洞发现结果。
忽略发现的结果
如需控制 Security Command Center 中的发现结果量,您可以手动或以编程方式忽略各个发现结果,或者创建根据您定义的过滤条件自动忽略当前和未来发现结果的忽略规则。
已忽略的发现结果会被隐藏和抑制,但会继续记录以用于审核和合规性目的。您可以随时查看已忽略的发现结果或将其取消忽略。如需了解详情,请参阅在 Security Command Center 中忽略发现结果。
扫描配置
如果 Web Security Scanner 拥有访问凭据,它将使用该级别的访问权限执行所有操作。为了降低生产资源的风险并在资源到达生产之前发现漏洞,建议在开发、测试、预演或质量保证环境中运行扫描。
扫描生产资源非常有用,因为即便是在测试和生产环境之间更改资源,也可能会导致漏洞。不过,您可能希望在生产扫描期间使用限制访问。如需了解详情,请参阅最佳实践。
如需查看代管式扫描配置和手动启动扫描,请使用 Google Cloud 控制台。
如需查看项目的代管式扫描配置,请执行以下操作:
- 转到 Google Cloud 控制台中的 Web Security Scanner 页面。
转到 Web Security Scanner 页面 - 选择一个项目。此时会显示一个页面,其中包含您的代管式和自定义扫描。
- 在扫描配置下,点击
managed_scan
。出现的页面会显示最新的代管式扫描的结果,包括扫描状态、已抓取的网址和发现的漏洞。使用下拉列表查看之前的扫描的结果。
Web Security Scanner 管理并维护代管式扫描,因此您无法修改扫描配置。如停用代管式扫描中所述,只能在 Security Command Center 中修改或删除代管式扫描。
代管式扫描的静态 IP 地址范围
在 Security Command Center 中启用 Web Security Scanner 后,代管式扫描开始自动使用 34.66.18.0/26
和 34.66.114.64/26
范围内的静态 IP 地址。
按需扫描
代管式扫描按设定的时间表自动运行。但是,您可以使用 Web Security Scanner 界面运行按需托管式扫描:
- 转到 Google Cloud 控制台中的 Web Security Scanner 页面。
转到 Web Security Scanner 页面 - 选择一个项目。此时会显示一个页面,其中包含您的代管式和自定义扫描。
- 在扫描配置下,点击
managed_scan
。 - 在下一页上,点击页面顶部的运行;或
- 点击结果标签页中的再次运行扫描 (Run scan again)。
此时扫描会开始。扫描完成后,系统会在 Security Command Center 中更新发现结果。如果您希望在定时执行的扫描之间捕获新项目或更新后项目的发现结果,则按需代管式扫描非常有用。按需扫描不会影响定时执行的每周扫描的时间。
您可以在日志页面中找到关于扫描的更多信息。
停用代管式扫描
建议您对适用范围内的所有项目启用 Web Security Scanner。但是,您可以在 Security Command Center 中停用 Web Security Scanner,或者如果在组织级层激活 Security Command Center,则可以停用特定项目或文件夹的 Web Security Scanner 代管式扫描。
对项目或文件夹停用 Web Security Scanner 扫描
如需停用文件夹或项目的代管式扫描,请执行以下操作:
转到 Security Command Center 中的服务页面。
选择您的项目或组织。
在 Web Security Scanner 卡片上,点击管理设置。随即将为 Web Security Scanner 打开服务启用页面。
在服务启用面板中,使用以下任一方法为项目或文件夹停用 Web Security Scanner:
- 导航到项目或文件夹:
- 在服务启用面板中,根据需要滚动并展开任何父级组织或文件夹,以导航到项目或文件夹。
- 在项目或文件夹所在行上,从 Web Security Scanner 列的菜单中,选择停用。
- 仅针对项目和文件夹,按名称搜索项目或文件夹:
- 点击搜索文件夹或项目
- 在搜索资源对话框中,输入项目、文件夹或组织的名称。项目会显示在对话框中。
- 在对话框中,从 Web Security Scanner 列的菜单中选择停用。
- 导航到项目或文件夹:
已停用的项目不再包含在代管式扫描中。
在 Security Command Center 中停用 Web Security Scanner
若要在 Security Command Center 中停用 Web Security Scanner 服务,请执行以下操作:
转到 Security Command Center 中的服务页面。
选择您的项目或组织。
在 Web Security Scanner 卡片上,点击管理设置。随即将为 Web Security Scanner 打开服务启用页面。
在服务启用下的顶级项目或组织行中,从 Web Security Scanner 列的菜单中选择停用。
Web Security Scanner 在 Security Command Center 中处于停用状态,并且代管式扫描不再运行。
您可以通过 Google Cloud 控制台中的 Web Security Scanner 界面将 Web Security Scanner 作为独立产品继续使用,但有以下变化:
- 您需要为每个项目配置和管理自定义扫描。
- 代管式扫描配置已归档,并且现有的代管式扫描发现结果 仍可在 Google Cloud 控制台中查看。
- 代管式扫描仅在 Security Command Center 专业版中提供,因此代管式扫描配置和现有的代管式扫描发现结果会从 Web Security Scanner 界面中移除。
在 Security Command Center 中重新启用 Web Security Scanner 后,代管式扫描配置和发现结果会重新显示在 Web Security Scanner 界面中。通常,如果在新扫描过程中发现相同的漏洞,系统会更新现有发现结果。如果上次扫描后您的应用或网站发生更改,系统可能会创建新的发现结果。