Auf dieser Seite finden Sie eine Liste der Erkennungsdienste, die auch als Sicherheitsquellen bezeichnet werden, mit denen Security Command Center Sicherheitsprobleme in Ihren Cloud-Umgebungen erkennt.
Wenn diese Dienste ein Problem erkennen, generieren sie einen Ergebnisdatensatz. Dieser Datensatz enthält Informationen zum Sicherheitsproblem und hilft Ihnen, das Problem zu priorisieren und zu beheben.
Sie können Ergebnisse in der Google Cloud Console aufrufen und auf viele verschiedene Arten filtern, z. B. nach Ergebnistyp, Ressourcentyp oder einem bestimmten Asset. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse organisieren können.
IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Dienste zur Erkennung von Sicherheitslücken
Zu den Diensten zur Erkennung von Sicherheitslücken gehören integrierte und eingebundene Dienste, die Softwarelücken, Fehlkonfigurationen und Verstöße gegen die Sicherheitsanforderungen in Ihren Cloud-Umgebungen erkennen. Diese Arten von Sicherheitsproblemen werden zusammen als Sicherheitslücken bezeichnet.
GKE-Sicherheitsstatus-Dashboard
Das GKE-Sicherheitsstatus-Dashboard ist eine Seite in der Google Cloud Console, auf der Sie fundierte, umsetzbare Informationen zu potenziellen Sicherheitsproblemen in Ihren GKE-Clustern erhalten.
Wenn Sie eine der folgenden Funktionen des GKE-Dashboards für den Sicherheitsstatus aktivieren, werden die Ergebnisse in der Standard- oder Premium-Stufe von Security Command Center angezeigt:
GKE-Sicherheitsstatus-Dashboard-Funktion | Security Command Center-Ergebnisklasse |
---|---|
Prüfung der Arbeitslastkonfiguration | MISCONFIGURATION |
VULNERABILITY |
Die Ergebnisse enthalten Informationen zum Sicherheitsproblem und Empfehlungen zur Behebung der Probleme in Ihren Arbeitslasten oder Clustern.
Ergebnisse des GKE-Sicherheitsstatus-Dashboards in der Console aufrufen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
IAM Recommender
Der IAM Recommender gibt Empfehlungen heraus, mit denen Sie die Sicherheit verbessern können, indem Sie IAM-Rollen von Hauptkonten entfernen oder ersetzen, wenn die Rollen IAM-Berechtigungen enthalten, die das Hauptkonto nicht benötigt.
IAM Recommender wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.
Ergebnisse des IAM-Recommenders aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie die Ergebnisse des IAM-Empfehlungstools in Security Command Center:
Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Integrierte Dienste auf:
Scrollen Sie bei Bedarf zum Eintrag IAM-Recommender.
Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.
Die Ergebnisse des IAM-Recommenders werden als Sicherheitslücken klassifiziert.
Wenn Sie ein Ergebnis des IAM-Recommenders beheben möchten, maximieren Sie den folgenden Abschnitt, um eine Tabelle mit den Ergebnissen des IAM-Recommenders aufzurufen. Die Schritte zur Behebung der einzelnen Probleme sind im Tabelleneintrag enthalten.
Ergebnisse des IAM Recommenders in der Console aufrufen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option IAM Recommender aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie IAM Recommender aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
In der Google Cloud Console können Sie sich die Empfehlungen des IAM-Recommenders auch auf der Seite Sicherheitslücken ansehen. Wählen Sie dazu die Abfragevorlage IAM-Recommender aus.
Mandiant Attack Surface Management
Mandiant ist weltweit führend in Sachen Frontline-Threat Intelligence. Mandiant Attack Surface Management identifiziert Sicherheitslücken und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie auf dem neuesten Stand bleiben und sich vor den neuesten Cyberangriffen schützen können.
Die Mandiant Attack Surface Management-Funktion wird automatisch aktiviert, wenn Sie die Enterprise-Stufe von Security Command Center aktivieren. Die Ergebnisse sind in der Google Cloud Console verfügbar.
Informationen dazu, wie sich das eigenständige Mandiant Attack Surface Management-Produkt von der Integration von Mandiant Attack Surface Management in Security Command Center unterscheidet, finden Sie im Mandiant-Dokumentationsportal unter ASM und Security Command Center. Für diesen Link ist eine Mandiant-Authentifizierung erforderlich.
Ergebnisse von Mandiant Attack Surface Management in der Konsole ansehen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Mandiant Attack Surface Management aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie Mandiant Attack Surface Management aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Policy Controller
Mit Policy Controller können Sie programmierbare Richtlinien für Ihre Kubernetes-Cluster anwenden und erzwingen. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.
Wenn Sie Policy Controller installieren und entweder das Policy Controller-Bundle „CIS Kubernetes Benchmark v1.5.1“ oder das „PCI-DSS v3.2.1“ oder beide aktivieren, schreibt Policy Controller Clusterverstöße automatisch als Misconfiguration
-Klassenergebnisse in Security Command Center. Die Beschreibung der Abweichung und die nächsten Schritte in den Ergebnissen von Security Command Center stimmen mit der Einschränkungsbeschreibung und den Schritten zur Behebung des entsprechenden Policy Controller-Bundles überein.
Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:
- CIS-Kubernetes-Benchmark v1.5.1: Reihe von Empfehlungen zur Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1: Ein Bundle, mit dem die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet wird.
Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
pci-dss-v3
.
Informationen zum Finden und Beheben von Policy Controller-Ergebnissen finden Sie unter Policy Controller-Ergebnisse beheben.
Risiko-Engine
Die Risiko-Engine von Security Command Center bewertet das Risiko Ihrer Cloud-Implementierungen, weist Sicherheitslücken und Ihren wertvollen Ressourcen Angriffsrisikobewertungen zu und visualisiert Pfade, die ein potenzieller Angreifer nutzen könnte, um auf Ihre wertvollen Ressourcen zuzugreifen.
In der Enterprise-Stufe von Security Command Center erkennt die Risiko-Engine Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster zusammen auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.
Wenn die Risiko-Engine eine dieser Kombinationen erkennt, wird eine TOXIC_COMBINATION
-Ergebniskategorie ausgegeben.
In der Meldung wird „Risk Engine“ als Quelle des Ergebnisses aufgeführt.
Weitere Informationen finden Sie unter Übersicht über schädliche Kombinationen.
Security Health Analytics
Security Health Analytics ist ein integrierter Erkennungsservice von Security Command Center, der verwaltete Scans Ihrer Cloud-Ressourcen durchführt, um häufige Fehlkonfigurationen zu erkennen.
Wenn eine Fehlkonfiguration erkannt wird, gibt Security Health Analytics ein Ergebnis aus. Die meisten Ergebnisse von Security Health Analytics werden Sicherheitsstandardkontrollen zugeordnet, damit Sie die Compliance prüfen können.
Security Health Analytics scannt Ihre Ressourcen in Google Cloud. Wenn Sie die Enterprise-Stufe verwenden und Verbindungen zu anderen Cloud-Plattformen herstellen, können Ihre Ressourcen auf diesen Cloud-Plattformen auch mit Security Health Analytics geprüft werden.
Je nach verwendeter Security Command Center-Dienststufe sind unterschiedliche Detektoren verfügbar:
- In der Standardstufe umfasst Security Health Analytics nur eine einfache Gruppe von Sicherheitslücken mit mittlerem und hohem Schweregrad.
- Die Premium-Stufe umfasst alle Sicherheitslücken-Detektoren für Google Cloud.
- Die Enterprise-Stufe umfasst zusätzliche Erkennungsmechanismen für andere Cloud-Plattformen.
Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.
Weitere Informationen finden Sie unter:
- Security Health Analytics – Übersicht
- Security Health Analytics verwenden
- Behebung von Security Health Analytics-Ergebnissen
- Referenz zu Security Health Analytics-Ergebnissen
Dienst zum Ermitteln des Sicherheitsstatus
Der Dienst zum Bestimmen des Sicherheitsstatus ist ein integrierter Dienst für die Premium-Stufe des Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Sie enthält Informationen dazu, inwiefern Ihre Umgebung den Richtlinien entspricht, die Sie in Ihrem Sicherheitsstatus definieren.
Der Dienst zum Ermitteln des Sicherheitsstatus hat nichts mit dem GKE-Sicherheitsstatus-Dashboard zu tun, in dem nur Ergebnisse in GKE-Clustern angezeigt werden.
Schutz sensibler Daten
Der Schutz sensibler Daten ist ein vollständig verwalteter Google Cloud-Dienst, mit dem Sie sensible Daten besser ermitteln, klassifizieren und schützen können. Mit Sensitive Data Protection können Sie feststellen, ob Sie sensible Daten oder personenidentifizierbare Informationen (PII) speichern, z. B.:
- Personennamen
- Kreditkartennummern
- Nationale oder staatliche Ausweisnummern
- Krankenversicherungsnummern
- Secrets
Im Rahmen des Schutzes sensibler Daten wird jeder Typ sensibler Daten, nach dem Sie suchen, als infoType bezeichnet.
Wenn Sie die Funktion zum Schutz sensibler Daten so konfigurieren, dass Ergebnisse an das Security Command Center gesendet werden, können Sie die Ergebnisse zusätzlich zum Bereich „Schutz sensibler Daten“ auch direkt im Bereich „Security Command Center“ in der Google Cloud Console aufrufen.
Sicherheitslücken aus dem Erkennungsdienst für den Schutz sensibler Daten
Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.
Kategorie | Fazit |
---|---|
Kategoriename in der API:
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann. Unterstützte Assets:
Behebung: Entfernen Sie für Google Cloud-Daten Für Amazon S3-Daten: Konfigurieren Sie die Einstellungen für den Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Compliance-Standards: Nicht zugeordnet |
Kategoriename in der API:
|
Ergebnisbeschreibung: In Umgebungsvariablen befinden sich Geheimnisse wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden. Unterstützte Assets: Behebung: Entfernen Sie das Secret aus der Umgebungsvariablen für Cloud Run-Funktionen und speichern Sie es stattdessen in Secret Manager. Verschieben Sie bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen den gesamten Traffic von der Überarbeitung und löschen Sie sie dann. Compliance-Standards:
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten. Unterstützte Assets:
Behebung:
Compliance-Standards: Nicht zugeordnet |
Beobachtungsergebnisse aus Sensitive Data Protection
In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die der Schutz sensibler Daten in Security Command Center generiert.
Beobachtungsergebnisse vom Discovery-Dienst
Mit dem Dienst zur Erkennung sensibler Daten können Sie feststellen, ob Ihre Daten bestimmte Infotypen enthalten und wo sie sich in Ihrer Organisation, in Ihren Ordnern und in Ihren Projekten befinden. Es werden die folgenden Kategorien von Beobachtungsergebnissen in Security Command Center generiert:
Data sensitivity
- Eine Angabe zur Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Die Schwere des Ergebnisses ist die Vertraulichkeitsstufe, die vom Sensitive Data Protection-Dienst beim Generieren des Datenprofils berechnet wurde.
Data risk
- Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die vom Sensitive Data Protection-System beim Erstellen des Datenprofils berechnet wurde.
Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.
Informationen zum Senden von Datenprofilergebnissen an das Security Command Center finden Sie unter den folgenden Links:
- Security Command Center Enterprise: Aktivieren Sie die Erkennung sensibler Daten.
- Security Command Center Premium oder Standard: Datenprofile in Security Command Center veröffentlichen
Beobachtungsergebnisse aus dem Sensitive Data Protection-Prüfdienst
Bei einem Inspektionsjob für den Schutz sensibler Daten werden alle Dateninstanzen eines bestimmten Datentyps in einem Speichersystem wie einem Cloud Storage-Bucket oder einer BigQuery-Tabelle identifiziert. Sie können beispielsweise einen Inspektionsjob ausführen, bei dem in einem Cloud Storage-Bucket nach allen Strings gesucht wird, die mit dem CREDIT_CARD_NUMBER
-InfoType-Detektor übereinstimmen.
Für jeden InfoType-Detektor mit einer oder mehreren Übereinstimmungen generiert der Sensitive Data Protection-Dienst ein entsprechendes Security Command Center-Ergebnis. Die Kategorie der Ergebnisse ist der Name des infoType-Detektors, für den eine Übereinstimmung gefunden wurde, z. B. Credit
card number
. Die Angabe enthält die Anzahl der übereinstimmenden Strings, die im Text oder in den Bildern der Ressource gefunden wurden.
Aus Sicherheitsgründen sind die tatsächlich erkannten Strings nicht im Ergebnis enthalten. Ein Credit card number
-Ergebnis zeigt beispielsweise an, wie viele Kreditkartennummern gefunden wurden, aber nicht die tatsächlichen Kreditkartennummern.
Da es in der Funktion „Schutz sensibler Daten“ mehr als 150 vordefinierte InfoType-Detektoren gibt, sind hier nicht alle möglichen Kategorien von Security Command Center-Ergebnissen aufgeführt. Eine vollständige Liste der infoType-Detektoren finden Sie in der InfoType-Detektorreferenz.
Informationen zum Senden der Ergebnisse eines Inspektionsjobs an das Security Command Center finden Sie unter Ergebnisse von Inspektionsjobs zum Schutz sensibler Daten an das Security Command Center senden.
Ergebnisse von Sensitive Data Protection in der Console prüfen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Schutz sensibler Daten aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAIN
durch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie Schutz sensibler Daten aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.
Wenn Sie VM Manager mit der Security Command Center Premium-Stufe aktivieren, schreibt VM Manager automatisch high
- und critical
-Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. VM Manager unterstützt die Patchverwaltung auf der einzelnen Projektebene.
Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben.
Wie Sie das Schreiben von Sicherheitslücken in Security Command Center beenden, erfahren Sie unter VM Manager-Ergebnisse ausblenden.
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets |
Die Sicherheitslückenberichte von VM Manager enthalten Informationen zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich häufiger Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen. Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Sicherheitslückenbewertung für AWS
Mit der Sicherheitslückenbewertung für Amazon Web Services (AWS) werden Softwarelücken in Ihren Arbeitslasten erkannt, die auf EC2-VMs (virtuelle Maschinen) auf der AWS-Cloud-Plattform ausgeführt werden.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Vulnerability
-Ergebnis der Klasse Software vulnerability
in Security Command Center.
Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Maschineninstanzen. Produktionsarbeitslasten sind daher nicht betroffen. Diese Scanmethode wird als agentloser Laufwerkscan bezeichnet, da keine Agenten auf den Scanzielen installiert sind.
Hier finden Sie weitere Informationen:
Web Security Scanner
Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.
Verwaltete Scans
Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.
Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.
Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie mit verwalteten Scans die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.
Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf der Seite Sicherheitslücken des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center-Dienste konfigurieren.
Verwaltete Scans unterstützen nur Anwendungen, die den Standardport verwenden. Das ist 80 für HTTP-Verbindungen und 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung keinen Standardport verwendet, führen Sie stattdessen einen benutzerdefinierten Scan durch.
Benutzerdefinierte Scans
Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.
Sie definieren benutzerdefinierte Scans auf Projektebene.
Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.
Detektoren und Compliance
Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.
Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.
Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
---|---|---|---|
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Premium oder Standard |
A5 | A01 |
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Premium oder Standard |
A5 | A01 |
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium |
A3 | A04 |
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Premium oder Standard |
A3 | A02 |
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Preisstufe: Premium |
A5 | A01 |
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des Preisstufe: Premium |
A5 | A01 |
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header Preisstufe: Premium oder Standard |
A6 | A05 |
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Premium oder Standard |
A6 | A05 |
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium oder Standard |
A9 | A06 |
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Premium oder Standard |
Nicht zutreffend | A10 |
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Preisstufe: Premium |
A2 | A07 |
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen. Preisstufe: Premium |
A1 | A03 |
Kategoriename in der API: |
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium |
A8 | A08 |
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Premium oder Standard |
A7 | A03 |
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. Preisstufe: Premium oder Standard |
A7 | A03 |
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Premium oder Standard |
A7 | A03 |
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium |
A4 | A05 |
Kategoriename in der API: |
Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf, wenn den Eigenschaften des Preisstufe: Premium oder Standard |
A1 | A03 |
Dienste zur Bedrohungserkennung
Zu den Diensten zur Bedrohungserkennung gehören integrierte und eingebundene Dienste, die Ereignisse erkennen, die auf potenziell schädliche Ereignisse hinweisen könnten, z. B. manipulierte Ressourcen oder Cyberangriffe.
Anomalieerkennung
Die Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center aktivieren. Die Ergebnisse sind in der Google Cloud Console verfügbar.
Die Ergebnisse der Anomalieerkennung umfassen Folgendes:
Anomaliename | Ergebniskategorie | Beschreibung |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Anmeldedaten für ein Google Cloud-Dienstkonto wurden versehentlich online offengelegt oder manipuliert. Schweregrad:Kritisch |
Anmeldedaten des Kontos wurden gestohlen
GitHub hat Security Command Center darüber informiert, dass die Anmeldedaten, die für einen Commit verwendet wurden, offenbar die Anmeldedaten für ein Google Cloud Identity and Access Management-Dienstkonto sind.
Die Benachrichtigung enthält den Namen des Dienstkontos und die Kennung des privaten Schlüssels. Google Cloud sendet außerdem eine Benachrichtigung per E-Mail an Ihren benannten Kontakt für Sicherheit und Datenschutz.
Führen Sie einen oder mehrere der folgenden Schritte aus, um dieses Problem zu beheben:
- Identifizieren Sie den rechtmäßigen Nutzer des Schlüssels.
- Drehen Sie den Schlüssel.
- Entfernen Sie den Schlüssel.
- Prüfen Sie alle Aktionen, die mit dem Schlüssel ausgeführt wurden, nachdem er gehackt wurde, um sicherzustellen, dass keine der Aktionen böswillig war.
JSON: Veröffentlichung von Kontoanmeldedaten
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Code aus, um die folgenden Ereignisse zu erkennen:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Container Escape
Execution: Kubernetes Attack Tool Execution
Execution: Local Reconnaissance Tool Execution
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Weitere Informationen zu Container Threat Detection.
Event Threat Detection
Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream für Projekte und verbraucht Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe für Security Command Center aktivieren. Die Ergebnisse sind in der Google Cloud Console verfügbar.
Die folgende Tabelle enthält Beispiele für Ergebnisse der Event Threat Detection.
Vernichtung von Daten |
Event Threat Detection erkennt die Datenvernichtung, indem Audit-Logs vom Server für die Verwaltung von Sicherungs- und Notfallwiederherstellungsdiensten für die folgenden Szenarien analysiert werden:
|
Daten-Exfiltration |
Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden:
|
Verdächtige Aktivitäten in Cloud SQL |
Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Manipulation eines gültigen Nutzerkontos in Cloud SQL-Instanzen hinweisen könnten:
|
Verdächtige Aktivitäten in AlloyDB for PostgreSQL |
Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Manipulation eines gültigen Nutzerkontos in AlloyDB for PostgreSQL-Instanzen hinweisen könnten:
|
Brute-Force-SSH | Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg. |
Kryptomining | Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden. |
IAM-Missbrauch |
Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:
|
Beeinträchtigung der Systemwiederherstellung |
Event Threat Detection erkennt anormale Änderungen an Sicherung und Notfallwiederherstellung, die sich auf die Sicherungsbereitschaft auswirken können, einschließlich wichtiger Richtlinienänderungen und das Entfernen kritischer Sicherungs- und Notfallwiederherstellungskomponenten. |
Log4j | Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken. |
Malware | Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht. |
Ausgehender DoS | Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen. |
Anomaler Zugriff | Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud-Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen. |
Anomales IAM-Verhalten |
Event Threat Detection erkennt anomales IAM-Verhalten, indem Cloud-Audit-Logs auf die folgenden Szenarien untersucht werden:
|
Selbstuntersuchung des Dienstkontos | Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen. |
Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt | Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche). |
Compute Engine-Administrator hat Startskript hinzugefügt | Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche). |
Verdächtige Kontoaktivitäten | Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen. |
Von einer Regierung unterstützter Angriff | Event Threat Detection untersucht Audit-Logs von Google Workspace, um festzustellen, ob von staatlichen Stellen unterstützte Angreifer möglicherweise versucht haben, das Konto oder den Computer eines Nutzers zu kompromittieren. |
Änderungen bei der Einmalanmeldung (SSO) | Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden. |
Bestätigung in zwei Schritten | Event Threat Detection untersucht Google Workspace-Audit-Logs, um zu erkennen, ob die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist. |
Anomales API-Verhalten | Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud-Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat. |
Defense Evasion |
Event Threat Detection erkennt Abwehrausweichung, indem Cloud-Audit-Logs für die folgenden Szenarien analysiert werden:
|
Discovery |
Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden:
|
Erster Zugriff | Event Threat Detection erkennt Vorgänge für den ersten Zugriff, indem Audit-Logs für die folgenden Szenarien analysiert werden:
|
Rechteausweitung |
Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert:
|
Cloud IDS-Erkennungen | Cloud IDS erkennt Layer 7-Angriffe durch Analyse gespiegelter Pakete und löst bei einem verdächtigen Ereignis ein Ergebnis von Event Threat Detection aus. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging. Vorschau |
Seitliche Bewegung | Die Ereignis-Bedrohungserkennung erkennt potenzielle Angriffe auf das Boot-Laufwerk, indem Cloud-Audit-Logs auf häufige Trennungen und erneute Verknüpfungen von Boot-Laufwerken in Compute Engine-Instanzen geprüft werden. |
Weitere Informationen zu Event Threat Detection.
Google Cloud Armor
Google Cloud Armor bietet eine Layer-7-Filterung, um Ihre Anwendung zu schützen. Google Cloud Armor prüft eingehende Anfragen auf häufige Webangriffe oder andere Layer 7-Attribute, um Traffic zu blockieren, bevor er Ihre Back-End-Dienste mit Load Balancing oder Ihre Back-End-Buckets erreicht.
Google Cloud Armor exportiert zwei Ergebnisse in das Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center, der in den Enterprise- und Premium-Stufen verfügbar ist. Dieser Dienst scannt Compute Engine-Instanzen, um potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Rootkits im Kernelmodus und Malware zu erkennen, die in manipulierten Cloud-Umgebungen ausgeführt werden.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.
Bedrohungsergebnisse von VM Threat Detection
VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.
Ergebnisse zu Bedrohungen durch Kryptowährungs-Mining
VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.
Kategorie | Modul | Beschreibung |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Eine Bedrohung, die sowohl vom CRYPTOMINING_HASH - als auch vom CRYPTOMINING_YARA -Modul erkannt wurde.
Weitere Informationen finden Sie unter
Kombinierte Erkennungen.
|
Ergebnisse zur Bedrohung durch Rootkits im Kernelmodus
VM Threat Detection analysiert die Kernelintegrität zur Laufzeit, um gängige Ausweichtechniken zu erkennen, die von Malware verwendet werden.
Das KERNEL_MEMORY_TAMPERING
-Modul erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.
Das KERNEL_INTEGRITY_TAMPERING
-Modul erkennt Bedrohungen, indem die Integrität wichtiger Kernel-Datenstrukturen geprüft wird.
Kategorie | Modul | Beschreibung |
---|---|---|
Rootkit | ||
Defense Evasion: Rootkit
|
|
Es ist eine Kombination von Signalen vorhanden, die einem bekannten Kernel-Modus-Rootkit entsprechen. Damit Sie Ergebnisse dieser Kategorie erhalten, müssen beide Module aktiviert sein. |
Manipulation des Kernel-Arbeitsspeichers | ||
Defense Evasion: Unexpected kernel code modification Vorschau
|
KERNEL_MEMORY_TAMPERING
|
Es gibt unerwartete Änderungen am Kernel-Codespeicher. |
Defense Evasion: Unexpected kernel read-only data modification Vorschau
|
KERNEL_MEMORY_TAMPERING
|
Es gibt unerwartete Änderungen am schreibgeschützten Datenspeicher des Kernels. |
Manipulation der Kernel-Integrität | ||
Defense Evasion: Unexpected ftrace handler Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind ftrace Punkte mit Rückrufen vorhanden, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
|
Defense Evasion: Unexpected interrupt handler Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Interrupt-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. |
Defense Evasion: Unexpected kernel modules Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden. |
Defense Evasion: Unexpected kprobe handler Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind kprobe Punkte mit Rückrufen vorhanden, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
|
Defense Evasion: Unexpected processes in runqueue Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind unerwartete Prozesse in der Ausführungswarteschlange des Schedulers vorhanden. Diese Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Liste der Prozessaufgaben. |
Defense Evasion: Unexpected system call handler Vorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. |
Fehler
Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center
-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors
.
Unbeabsichtigte Aktionen
Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.
Kategoriename | API-Name | Fazit | Schweregrad |
---|---|---|---|
API disabled |
API_DISABLED |
Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden. Preisstufe: Premium oder Standard
Unterstützte Assets Batch-Scans: Alle 6 Stunden |
Kritisch |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Ergebnisbeschreibung: Konfigurationen für den Wert von Ressourcen sind für Angriffspfadsimulationen definiert, stimmen jedoch mit keiner Ressourceninstanz in Ihrer Umgebung überein. Stattdessen wird in den Simulationen der Standardsatz hochwertiger Ressourcen verwendet. Dieser Fehler kann folgende Ursachen haben:
Preisstufe: Premium
Unterstützte Assets Batch-Scans: Vor jeder Simulation des Angriffspfads. |
Kritisch |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Beschreibung des Ergebnisses:Bei der letzten Angriffspfadsimulation wurde das Limit von 1.000 Ressourceninstanzen in einem Satz hochwertiger Ressourcen überschritten. Die Anzahl der Ressourceninstanzen mit hohem Wert, die in den Ressourcenwertkonfigurationen angegeben wurden, hat dieses Limit erreicht. Daher hat Security Command Center die überzähligen Instanzen aus dem Satz hochwertiger Ressourcen ausgeschlossen. Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der aus dem Satz ausgeschlossenen Instanzen sind in der Google Cloud Console in der Die Angriffsrisikobewertungen für Ergebnisse, die sich auf ausgeschlossene Ressourceninstanzen auswirken, spiegeln nicht die Klassifizierung der Ressourceninstanzen als „hochwertig“ wider. Preisstufe: Premium
Unterstützte Assets Batch-Scans: Vor jeder Simulation des Angriffspfads. |
Hoch |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Ergebnis-Beschreibung:
Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von Beim Versuch, das DaemonSet für Container Threat Detection bereitzustellen, ist der folgende Fehler aufgetreten:
Preisstufe: Premium
Unterstützte Assets Batch Scans: Alle 30 Minuten |
Kritisch |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Ergebnisbeschreibung: Container Threat Detection kann in einem Kubernetes-Cluster nicht aktiviert werden. Ein Zulassungs-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das für Container Threat Detection erforderlich ist. In der Google Cloud Console enthalten die Details zur Feststellung die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als versucht wurde, ein DaemonSet-Objekt für die Containerbedrohungserkennung bereitzustellen. Preisstufe: Premium
Unterstützte Assets Batch Scans: Alle 30 Minuten |
Hoch |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann. Preisstufe: Premium
Unterstützte Assets Batch Scans: Alle 30 Minuten |
Kritisch |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird. Preisstufe: Premium
Unterstützte Assets Batchscans: Jede Woche |
Hoch |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden. Preisstufe: Premium
Unterstützte Assets Batch Scans: Alle 30 Minuten |
Hoch |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter. Preisstufe: Premium oder Standard
Unterstützte Assets Batch-Scans: Alle 6 Stunden |
Hoch |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt. Preisstufe: Premium oder Standard
Unterstützte Assets Batch Scans: Alle 30 Minuten |
Kritisch |
Weitere Informationen finden Sie unter Security Command Center-Fehler.
Nächste Schritte
- Weitere Informationen zu Security Command Center und Beispielanwendungsfälle finden Sie unter Security Command Center – Übersicht.
- Weitere Informationen zum Hinzufügen neuer Sicherheitsquellen