Auf dieser Seite erfahren Sie, wie Sie von Web Security Scanner verwaltete Scanfunktionen und überprüfen Sie die Ergebnisse in der Google Cloud Console. Beispiele für Web Security Scanner-Ergebnisse werden ebenfalls angezeigt.
Web Security Scanner ist ein integrierter Dienst für die Stufe „Security Command Center Premium“, der häufige Sicherheitslücken in Ihren App Engine-, Google Kubernetes Engine- und Compute Engine-Webanwendungen identifiziert. Bis Web Security Scanner-Ergebnisse ansehen, er muss in Security Command Center aktiviert sein Dienstleistungen Einstellungen.
Weitere Informationen zur Funktionsweise von Web Security Scanner
Ergebnisse prüfen
Web Security Scanner verwalteter Scan konfiguriert und plant automatisch Scans für alle im Projektumfang enthaltenen Projekten. Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt. Die Ergebnisse werden in Security Command Center angezeigt.
Ergebnisse in der Console ansehen
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ihre Fähigkeit, Ergebnisse, Assets, und Sicherheitsquellen hängen von der Zugriffsebene ab. Weitere Informationen über Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Führen Sie die folgenden Schritte aus, um die Ergebnisse von Web Security Scanner in Security Command Center zu prüfen:
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Web Security Scanner: Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
- Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
- Wählen Sie Web Security Scanner aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
- Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.
Alle Ergebnisse ansehen, die mit einer bestimmten URL verknüpft sind
Bei einem Scan können Ergebnisse von mehreren Basis-URLs zurückgegeben werden. Zum Anzeigen aller Ergebnisse die mit einer bestimmten URL in einem Scan verknüpft ist, führen Sie folgende Schritte aus:
- Öffnen Sie das Ergebnis und sehen Sie sich die JSON-Definition an.
- Kopieren Sie die URL neben
externalUri
. - Schließen Sie den Bereich mit den Ergebnisdetails.
Geben Sie im Abfrageeditor die folgende Abfrage ein:
externalUri:"AFFECTED_URI"
Ersetzen Sie AFFECTED_URI durch die zuvor kopierte URL.
In Security Command Center werden alle Ergebnisse angezeigt, die der URL zugeordnet sind.
Beispielergebnisse
Beispiele für Ergebnisse, die von Web Security Scanner verwaltet werden:
Sicherheitslücke | Beschreibung |
---|---|
Gemischte Inhalte | Eine Seite, die über HTTPS bereitgestellt wurde, stellt auch Ressourcen über HTTP bereit. Ein Man-in-the-Middle-Angreifer könnte die HTTP-Ressource manipulieren und so vollständigen Zugriff auf die Website erhalten, die die Ressource lädt oder die Aktionen der Nutzer im Blick behält. |
Klartextpasswort | Eine Anwendung gibt vertrauliche Inhalte mit einem ungültigen Inhaltstyp oder ohne den Header X-Content-Type-Options: nosniff zurück. |
Veraltete Bibliothek |
Die Version einer enthaltenen Bibliothek weist eine bekannte Sicherheitslücke auf. Der Scanner prüft die Version der verwendeten Bibliothek und gleicht diese mit einer bekannten Liste von anfälligen Bibliotheken ab. Wenn die Versionserkennung fehlschlägt oder die Bibliothek manuell repariert wurde, können falsch positive Meldungen auftreten. Web Security Scanner erkennt einige anfällige Versionen der folgenden beliebten Bibliotheken:
Diese Liste wird regelmäßig mit neuen Bibliotheken und aktualisierten Sicherheitslücken aktualisiert. |
Weitere Informationen über mit Security Command Center in der Google Cloud Console.
Ergebnisse in der Google Cloud Console filtern
Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Mit den verfügbaren Filtern auf den Security Command Center-Seiten Sicherheitslücken und Ergebnisse können Sie sich in der Google Cloud Console auf den und überprüfen Sie Sicherheitslücken, Asset-Typ, Projekt und mehr.
Weitere Informationen zum Filtern von Ergebnissen zu Sicherheitslücken finden Sie unter Ergebnisse zu Sicherheitslücken in Security Command Center filtern
Ergebnisse ausblenden
Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.
Stummgeschaltete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.
Scankonfigurationen
Wenn Web Security Scanner Zugriffsanmeldedaten erhält, führt es alle Aktionen mit dieser Zugriffsebene aus. Es empfiehlt sich, Scans in Entwicklungs-, Test-, Staging- oder Qualitätssicherungsumgebungen durchzuführen, um das Risiko von Produktionsressourcen zu verringern und Sicherheitslücken zu erkennen, bevor sie die Produktion erreichen.
Das Scannen von Produktionsressourcen ist nützlich, da auch kleine Änderungen an Ressourcen zwischen Tests und Produktion zu Sicherheitslücken führen können. Sie können den Zugriff während der Produktionsscans jedoch einschränken. Weitere Informationen finden Sie in den Best Practices.
Verwenden Sie die Google Cloud Console, um verwaltete Scankonfigurationen zu überprüfen und Scans manuell zu starten.
So rufen Sie die Konfiguration verwalteter Scans für ein Projekt auf:
- Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Zur Seite „Web Security Scanner“ - Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
- Klicken Sie unter Scankonfigurationen auf
managed_scan
. Auf der angezeigten Seite werden die Ergebnisse des letzten verwalteten Scans angezeigt, einschließlich Scanstatus, gecrawlte URLs und gefundene Sicherheitslücken. Verwenden Sie die Drop-down-Liste, um die Ergebnisse vorheriger Scans anzuzeigen.
Verwaltete Scans werden von Web Security Scanner verwaltet, sodass Scankonfigurationen nicht geändert werden können. Verwaltete Scans können nur hier bearbeitet oder gelöscht werden in Security Command Center, wie in den Verwaltete Scans deaktivieren
Statische IP-Adressbereiche für verwaltete Scans
Wenn Web Security Scanner in Security Command Center aktiviert ist, werden verwaltete Scans automatisch mit statischen IP-Adressen in den Bereichen 34.66.18.0/26
und 34.66.114.64/26
gestartet.
On-Demand-Scans
Verwaltete Scans werden automatisch nach einem festgelegten Zeitplan ausgeführt. Sie können jedoch die Web Security Scanner-Benutzeroberfläche verwenden, um verwaltete On-Demand-Scans auszuführen:
- Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Zur Seite „Web Security Scanner“ - Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
- Klicken Sie unter Scankonfigurationen auf
managed_scan
. - Klicken Sie oben auf der Seite auf Ausführen oder
- Klicken Sie auf dem Tab Ergebnisse auf Scan neu ausführen.
Der Scan beginnt und die Ergebnisse werden in Security Command Center aktualisiert, wenn der Vorgang abgeschlossen ist. On-Demand-verwaltete Scans sind nützlich, wenn Sie zwischen geplanten Scans Ergebnisse für neue oder aktualisierte Projekte erfassen möchten. On-Demand-Scans wirken sich nicht auf das Zeitplanen geplanter wöchentlicher Scans aus.
Weitere Informationen zum Scan finden Sie auf der Seite "Logs" des Projekts.
Verwaltete Scans deaktivieren
Es wird empfohlen, Web Security Scanner für alle bereichsspezifischen Projekte aktiviert zu lassen. Sie können Web Security Scanner jedoch in Security Command Center oder, falls Security Command Center auf Organisationsebene aktiviert werden, von Web Security Scanner verwaltete Scans für bestimmte Projekte oder Ordner deaktivieren.
Web Security Scanner-Scans für ein Projekt oder einen Ordner deaktivieren
So deaktivieren Sie verwaltete Scans für einen Ordner oder ein Projekt:
Rufen Sie in Security Command Center die Seite Dienste auf.
Wählen Sie Ihr Projekt oder Ihre Organisation aus.
Klicken Sie auf der Karte Web Security Scanner auf Einstellungen verwalten. Die Seite Dienstaktivierung wird für Web Security Scanner geöffnet.
Deaktivieren Sie im Bereich Dienstaktivierung Web Security Scanner. für das Projekt oder Ordner mit einer der folgenden Methoden:
- Rufen Sie das Projekt oder den Ordner auf:
- Rufen Sie im Bereich Dienstaktivierung das Projekt oder den Ordner auf, indem Sie nach Bedarf scrollen und übergeordnete Organisationen oder Ordner maximieren.
- Wählen Sie in der Zeile für das Projekt oder den Ordner aus dem Menü Wählen Sie in der Spalte Web Security Scanner die Option Deaktivieren aus.
- Nur für Projekte und Ordner: Suchen Sie nach dem Projekt oder Ordner anhand des Namens:
- Klicken Sie auf Nach Ordner oder Projekt suchen.
- Geben Sie im Dialogfeld Ressourcen suchen den Namen des Projekts, des Ordners oder der Organisation ein. Die Projekt wird im Dialogfeld angezeigt.
- Wählen Sie im Dialogfeld im Menü Web Security Scanner die Option Deaktivieren aus.
- Rufen Sie das Projekt oder den Ordner auf:
Deaktivierte Projekte sind nicht mehr in verwalteten Scans enthalten.
Web Security Scanner in Security Command Center deaktivieren
So deaktivieren Sie den Web Security Scanner-Dienst in Security Command Center:
Rufen Sie in Security Command Center die Seite Dienste auf.
Wählen Sie Ihr Projekt oder Ihre Organisation aus.
Klicken Sie auf der Karte Web Security Scanner auf Einstellungen verwalten. Die Seite Dienstaktivierung für Web Security Scanner wird geöffnet.
Unter Dienstaktivierung in der Zeile für das Projekt der obersten Ebene aus dem Menü Web Security Scanner die Option Deaktivieren aus.
Web Security Scanner ist in Security Command Center deaktiviert und verwaltete Scans werden nicht mehr ausgeführt.
Sie können Web Security Scanner über die Web Security Scanner-Benutzeroberfläche in der Google Cloud Console weiterhin als eigenständiges Produkt verwenden, mit den folgenden Änderungen:
- Sie müssen benutzerdefinierte Scans für jedes Ihrer Projekte konfigurieren und verwalten.
- Verwaltete Scankonfigurationen werden archiviert und vorhandene verwaltete Scanergebnisse werden bleiben in der Google Cloud Console sichtbar.
- Verwaltete Scans sind nur in der Premium-Stufe von Security Command Center verfügbar. Daher werden die Konfigurationen verwalteter Scans und vorhandene Ergebnisse verwalteter Scans von der Web Security Scanner-Benutzeroberfläche entfernt.
Wenn Web Security Scanner wieder im Security Command Center aktiviert wird, werden die Konfigurationen und Ergebnisse des verwalteten Scans wieder auf der Oberfläche von Web Security Scanner angezeigt. Im Allgemeinen werden vorhandene Ergebnisse aktualisiert, wenn bei neuen Scans dieselben Sicherheitslücken gefunden werden. Wenn sich Ihre Anwendung oder Website seit dem letzten Scan erheblich geändert hat, können neue Ergebnisse erstellt werden.