En esta página, se muestra una lista de los servicios de detección, a los que a veces también se hace referencia como fuentes de seguridad, que Security Command Center usa para detectar problemas de seguridad en tus entornos de nube.
Cuando estos servicios detectan un problema, generan un hallazgo, que es un registro que identifica el problema de seguridad y te proporciona la información que necesitas para priorizarlo y resolverlo.
Puedes ver los resultados en la consola de Google Cloud y filtrarlos de muchas maneras diferentes, como por tipo de resultado, tipo de recurso o un recurso específico. Cada fuente de seguridad podría proporcionar más filtros para ayudarte a organizar tus hallazgos.
Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Servicios de detección de vulnerabilidades
Los servicios de detección de vulnerabilidades incluyen servicios integrados y precompilados que detectan vulnerabilidades de software, parámetros de configuración incorrectos y incumplimientos de postura en tus entornos de nube. En conjunto, estos tipos de problemas de seguridad se denominan vulnerabilidades.
Panel de postura de seguridad de GKE
El panel de postura de seguridad de GKE es una página en la console de Google Cloud que te proporciona conclusiones prácticas y revisadas sobre posibles problemas de seguridad en tus clústeres de GKE.
Si habilitas cualquiera de las siguientes funciones del panel de postura de seguridad de GKE, verás los resultados en el nivel Estándar o Premium de Security Command Center:
Función del panel de postura de seguridad de GKE | Clase de hallazgo de Security Command Center |
---|---|
Auditoría de la configuración de las cargas de trabajo | MISCONFIGURATION |
VULNERABILITY |
Los resultados muestran información sobre el problema de seguridad y proporcionan recomendaciones para resolver los problemas en tus cargas de trabajo o clústeres.
Consulta los resultados del panel de postura de seguridad de GKE en la consola
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Postura de seguridad de GKE. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Consola de operaciones de seguridad
-
En la consola de Security Operations, ve a la página Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Postura de seguridad de GKE. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Recomendador de IAM
El recomendador de IAM emite recomendaciones que puedes seguir para mejorar la seguridad quitando o reemplazando roles de IAM de las principales cuando los roles contienen permisos de IAM que la principal no necesita.
El recomendador de IAM se habilita automáticamente cuando activas Security Command Center.
Habilita o inhabilita los resultados del recomendador de IAM
Para habilitar o inhabilitar los resultados del recomendador de IAM en Security Command Center, sigue estos pasos:
Ve a la pestaña Servicios integrados de la página Configuración de Security Command Center en la consola de Google Cloud:
Si es necesario, desplázate hacia abajo hasta la entrada Recomendador de IAM.
A la derecha de la entrada, selecciona Habilitar o Inhabilitar.
Los resultados del recomendador de IAM se clasifican como vulnerabilidades.
Para solucionar un problema del recomendador de IAM, expande la siguiente sección para ver una tabla de los problemas del recomendador de IAM. Los pasos para solucionar cada problema se incluyen en la entrada de la tabla.
Consulta los resultados del recomendador de IAM en la consola
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona IAM Recommender. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Consola de operaciones de seguridad
-
En la consola de Security Operations, ve a la página Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Recomendador de IAM. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
En la consola de Google Cloud, también puedes ver los resultados del recomendador de IAM en la página Vulnerabilidades seleccionando el valor predeterminado de la consulta Recomendador de IAM.
Mandiant Attack Surface Management
Mandiant es líder mundial en inteligencia de amenazas de primera línea. La administración de la superficie de ataque de Mandiant identifica vulnerabilidades y parámetros de configuración incorrectos en tus superficies de ataque externas para ayudarte a mantenerte al día contra los ciberataques más recientes.
Mandiant Attack Surface Management se habilita automáticamente cuando activas el nivel Security Command Center Enterprise, y los resultados están disponibles en la consola de Google Cloud.
Para obtener información sobre las diferencias entre el producto independiente de administración de la superficie de ataque de Mandiant y la integración de la administración de la superficie de ataque de Mandiant en Security Command Center, consulta ASM y Security Command Center en el portal de documentación de Mandiant. Este vínculo requiere autenticación de Mandiant.
Revisa los resultados de la administración de la superficie de ataque de Mandiant en la consola
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona Mandiant Attack Surface Management. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Consola de operaciones de seguridad
-
En la consola de Security Operations, ve a la página Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Administración de la superficie de ataque de Mandiant. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Policy Controller
Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como barreras y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota.
Si instalas Policy Controller y habilitas los paquetes de Policy Controller de CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1, o ambos, Policy Controller escribe automáticamente los incumplimientos del clúster en Security Command Center como resultados de la clase Misconfiguration
. La descripción del hallazgo y los próximos pasos en los resultados de Security Command Center son los mismos que la descripción de la restricción y los pasos de solución del paquete de Policy Controller correspondiente.
Los hallazgos de Policy Controller provienen de los siguientes paquetes de Policy Controller:
- CIS Kubernetes Benchmark v.1.5.1, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida También puedes ver información sobre este paquete en el
repositorio de GitHub de
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1, un paquete que evalúa el cumplimiento de los recursos de tu clúster con respecto a algunos aspectos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1.
También puedes ver información sobre este paquete en el
repositorio de GitHub de
pci-dss-v3
.
Para encontrar y solucionar los problemas de Policy Controller, consulta Soluciona los problemas de Policy Controller.
Motor de riesgo
El motor de riesgos de Security Command Center evalúa la exposición al riesgo de tus implementaciones en la nube, asigna puntuaciones de exposición a ataques a los hallazgos de vulnerabilidad y a tus recursos de alto valor, y diagrama las rutas que un posible atacante podría tomar para llegar a tus recursos de alto valor.
En el nivel empresarial de Security Command Center, el motor de riesgos detecta grupos de problemas de seguridad que, cuando ocurren juntos en un patrón particular, crean una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos.
Cuando Risk Engine detecta una de estas combinaciones, emite un hallazgo de clase TOXIC_COMBINATION
.
En el hallazgo, el motor de riesgos aparece como la fuente del hallazgo.
Para obtener más información, consulta Descripción general de las combinaciones tóxicas.
Security Health Analytics
Security Health Analytics es un servicio de detección integrado en Security Command Center que proporciona análisis administrados de tus recursos en la nube para detectar parámetros de configuración incorrectos comunes.
Cuando se detecta un parámetro de configuración incorrecto, Security Health Analytics emite un resultado. La mayoría de los resultados de las estadísticas del estado de seguridad se asignan a controles de seguridad estándar para que puedas evaluar el cumplimiento.
Security Health Analytics analiza tus recursos en Google Cloud. Si usas el nivel empresarial y estableces conexiones con otras plataformas de nube, las estadísticas del estado de seguridad también pueden analizar tus recursos en esas plataformas.
Según el nivel de servicio de Security Command Center que uses, los detectores disponibles varían:
- En el nivel Estándar, las Estadísticas del estado de la seguridad solo incluyen un grupo básico de detectores de vulnerabilidades de gravedad media y alta.
- El nivel Premium incluye todos los detectores de vulnerabilidades de Google Cloud.
- El nivel Enterprise incluye detectores adicionales para otras plataformas de nube.
Security Health Analytics se habilita automáticamente cuando activas Security Command Center.
Para obtener más información, consulte:
- Descripción general de Security Health Analytics
- Cómo usar las estadísticas del estado de la seguridad
- Soluciona los problemas de las estadísticas de estado de seguridad
- Referencia de los resultados de Security Health Analytics
Servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado en el nivel Premium de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. Proporciona información sobre cómo tu entorno se alinea con las políticas que defines en tu postura de seguridad.
El servicio de postura de seguridad no está relacionado con el panel de postura de seguridad de GKE, que solo muestra los resultados en los clústeres de GKE.
Protección de datos sensibles
La protección de datos sensibles es un servicio de Google Cloud completamente administrado que te ayuda a descubrir, clasificar y proteger tus datos sensibles. Puedes usar Sensitive Data Protection para determinar si almacenas información sensible o de identificación personal (PII), como la siguiente:
- Nombres de personas
- Números de tarjetas de crédito
- Números de ID nacionales o estatales
- Números de ID de seguro médico
- Secrets
En Sensitive Data Protection, cada tipo de datos sensibles que buscas se denomina infoType.
Si configuras tu operación de Protección de datos sensibles para que envíe resultados a Security Command Center, puedes ver los hallazgos directamente en la sección Security Command Center de la consola de Google Cloud, además de la sección Protección de datos sensibles.
Resultados de las vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si estás almacenando datos altamente sensibles que no están protegidos.
Categoría | Resumen |
---|---|
Nombre de categoría en la API:
|
Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que cualquier persona puede acceder desde Internet. Recursos admitidos:
Remedio: Para los datos de Google Cloud, quita Para los datos de Amazon S3, configura la opción de bloquear el acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público. Estándares de cumplimiento: No asignados |
Nombre de categoría en la API:
|
Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud, en las variables de entorno. Para habilitar este detector, consulta Informa secretos en variables de entorno a Security Command Center en la documentación de Sensitive Data Protection. Recursos admitidos: Remedio: En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y almacenalo en Secret Manager. Para las variables de entorno de la revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala. Estándares de cumplimiento:
|
Nombre de categoría en la API:
|
Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de la nube, en el recurso especificado. Recursos admitidos:
Remedio:
Estándares de cumplimiento: No asignados |
Resultados de la observación de Sensitive Data Protection
En esta sección, se describen los hallazgos de observación que genera la Protección de datos sensibles en Security Command Center.
Resultados de la observación del servicio de descubrimiento
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tus datos contienen infoTypes específicos y dónde residen en tu organización, carpetas y proyectos. Genera las siguientes categorías de resultados de observación en Security Command Center:
Data sensitivity
- Es una indicación del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que calculó la Protección de datos sensibles cuando generó el perfil de datos.
Data risk
- El riesgo asociado con los datos en su estado actual. Cuando se calcula el riesgo de los datos, la Protección de datos sensibles considera el nivel de sensibilidad de los datos en el recurso de datos y la presencia de controles de acceso para protegerlos. La gravedad del hallazgo es el nivel de riesgo de datos que calculó Sensitive Data Protection cuando se generó el perfil de datos.
Desde el momento en que Sensitive Data Protection genera los perfiles de datos, pueden transcurrir hasta seis horas para que los resultados asociados aparezcan en Security Command Center.
Para obtener información sobre cómo enviar resultados de perfiles de datos a Security Command Center, consulta lo siguiente:
- Para Security Command Center Enterprise: Habilita el descubrimiento de datos sensibles.
- Para Security Command Center Premium o Standard: Publica perfiles de datos en Security Command Center.
Resultados de la observación del servicio de inspección de Sensitive Data Protection
Un trabajo de inspección de Protección de datos sensibles identifica cada instancia de datos de un Infotipo específico en un sistema de almacenamiento, como un bucket de Cloud Storage o una tabla de BigQuery. Por ejemplo, puedes ejecutar un trabajo de inspección que
busque todas las cadenas que coincidan con el detector de Infotipo CREDIT_CARD_NUMBER
en un bucket de Cloud Storage.
Para cada detector de Infotipo que tenga una o más coincidencias, Sensitive Data Protection genera un resultado correspondiente de Security Command Center. La categoría de hallazgo es el nombre del detector de Infotipo que tuvo una coincidencia, por ejemplo, Credit
card number
. El hallazgo incluye la cantidad de cadenas coincidentes que se detectaron en el texto o las imágenes del recurso.
Por motivos de seguridad, las cadenas reales que se detectaron no se incluyen en el resultado. Por ejemplo, un resultado Credit card number
muestra cuántos números de tarjeta de crédito se encontraron, pero no muestra los números reales.
Debido a que hay más de 150 detectores de Infotipo integrados en la Protección de datos sensibles, no se enumeran todas las categorías de resultados posibles de Security Command Center. Para obtener una lista completa de los detectores de Infotipo, consulta la Referencia del detector de Infotipo.
Para obtener información sobre cómo enviar los resultados de un trabajo de inspección a Security Command Center, consulta Cómo enviar los resultados de un trabajo de inspección de la Protección de datos sensibles a Security Command Center.
Revisa los resultados de Sensitive Data Protection en la consola
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Protección de datos sensibles. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
Consola de operaciones de seguridad
-
En la consola de Security Operations, ve a la página Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Protección de datos sensibles. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
- Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
VM Manager
VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.
Para usar VM Manager con activaciones a nivel del proyecto de Security Command Center Premium, activa Security Command Center Estándar en la organización superior.
Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe automáticamente los resultados de high
y critical
de sus informes de vulnerabilidades, que se encuentran en versión preliminar, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos (SO) que se instalan en las VMs, incluidas las vulnerabilidades y exposiciones comunes (CVE).
Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.
Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. VM Manager admite la administración de parches a nivel de proyecto único.
Para solucionar los resultados de VM Manager, consulta Soluciona los problemas de VM Manager.
Para evitar que se escriban informes de vulnerabilidades en Security Command Center, consulta Cómo silenciar los resultados de VM Manager.
Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.
Detector | Resumen | Configuración de análisis de elementos |
---|---|---|
Nombre de categoría en la API: |
Descripción del hallazgo: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine. Nivel de precios: Premium Recursos admitidos |
Los informes de vulnerabilidad de VM Manager detallan las vulnerabilidades en los paquetes del sistema operativo instalados para las VMs de Compute Engine, incluidas las vulnerabilidades y exposiciones comunes (CVE). Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos. Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:
|
Evaluación de vulnerabilidades para AWS
El servicio de Evaluación de vulnerabilidades de Amazon Web Services (AWS) detecta vulnerabilidades de software en tus cargas de trabajo que se ejecutan en máquinas virtuales (VMs) de EC2 en la plataforma de nube de AWS.
Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un resultado de clase Vulnerability
en la categoría de resultados Software vulnerability
en Security Command Center.
El servicio de evaluación de vulnerabilidades para AWS analiza instantáneas de las instancias de máquinas EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de disco sin agentes, ya que no se instalan agentes en los objetivos de análisis.
Para obtener más información, consulta lo siguiente:
- Descripción general de la evaluación de vulnerabilidades para AWS
- Habilita y usa la Evaluación de vulnerabilidades para AWS
Web Security Scanner
Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.
Análisis administrados
Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.
Los análisis administrados se ejecutan de forma independiente de los análisis personalizados.
Si Security Command Center está activado a nivel de la organización, puedes usar los análisis administrados para gestionar de forma centralizada la detección de vulnerabilidades de las aplicaciones web básicas en los proyectos de tu organización, sin necesidad de incluir equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.
Cuando habilitas Web Security Scanner como un servicio, los resultados de análisis administrados quedan disponibles automáticamente en la página Vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta Cómo configurar los servicios de Security Command Center.
Los análisis administrados solo admiten aplicaciones que usan el puerto predeterminado, que es 80 para las conexiones HTTP y 443 para las conexiones HTTPS. Si tu aplicación usa un puerto que no es predeterminado, realiza un análisis personalizado.
Análisis personalizados
Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto.
Los análisis personalizados se definen a nivel del proyecto.
Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.
Detectores y cumplimiento
Web Security Scanner admite categorías en las OWASP Top Ten, un documento que clasifica y proporciona orientación de solución para los 10 riesgos de seguridad de aplicaciones web más importantes, según lo determinado por Abre el proyecto de seguridad para aplicaciones web (OWASP). Para obtener orientación sobre cómo mitigar los riesgos de OWASP, consulta las 10 opciones de mitigación de OWASP en Google Cloud.
La asignación de cumplimiento se incluye como referencia y no se proporciona ni se revisa mediante OWASP Foundation.
Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.
Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel estándar, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs e IP públicas que no están detrás de un firewall.
Categoría | Descripción del resultado | Los 10 mejores de OWASP de 2017 | Los 10 mejores de OWASP de 2021 |
---|---|---|---|
Nombre de categoría en la API: |
Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. Nivel de precios: Premium o Estándar |
A5 | A01 |
Nombre de categoría en la API: |
Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. Nivel de precios: Premium o Estándar |
A5 | A01 |
Nombre de categoría en la API: |
Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro. Nivel de precios: Premium |
A3 | A04 |
Nombre de categoría en la API: |
Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. Nivel de precios: Premium o Estándar |
A3 | A02 |
Nombre de categoría en la API: |
Un extremo HTTP o HTTPS entre sitios solo valida un sufijo del encabezado de solicitud Nivel de precios: Premium |
A5 | A01 |
Nombre de categoría en la API: |
Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud Nivel de precios: Premium |
A5 | A01 |
Nombre de categoría en la API: |
Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este problema, configura el encabezado HTTP Nivel de precios: Premium o Estándar |
A6 | A05 |
Nombre de categoría en la API: |
Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
A6 | A05 |
Nombre de categoría en la API: |
Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
A6 | A05 |
Nombre de categoría en la API: |
Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
A6 | A05 |
Nombre de categoría en la API: |
Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS. Nivel de precios: Premium o Estándar |
A6 | A05 |
Nombre de categoría en la API: |
Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. Nivel de precios: Premium o Estándar |
A9 | A06 |
Nombre de categoría en la API: |
Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes. Nivel de precios: Premium o Estándar |
No aplicable | A10 |
Nombre de categoría en la API: |
Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud Nivel de precios: Premium |
A2 | A07 |
Nombre de categoría en la API: |
Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este resultado, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta de SQL. Nivel de precios: Premium |
A1 | A03 |
Nombre de categoría en la API: |
Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente. Nivel de precios: Premium |
A8 | A08 |
Nombre de categoría en la API: |
Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. Nivel de precios: Premium o Estándar |
A7 | A03 |
Nombre de categoría en la API: |
La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. Nivel de precios: Premium o Estándar |
A7 | A03 |
Nombre de categoría en la API: |
Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. Nivel de precios: Premium o Estándar |
A7 | A03 |
Nombre de categoría en la API: |
Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas. Nivel de precios: Premium |
A4 | A05 |
Nombre de categoría en la API: |
La aplicación es vulnerable a la contaminación del prototipo. Esta vulnerabilidad surge cuando
se pueden asignar valores controlables por el atacante a las
propiedades del objeto Nivel de precios: Premium o Estándar |
A1 | A03 |
Servicios de detección de amenazas
Los servicios de detección de amenazas incluyen servicios integrados y preinstalados que detectan eventos que podrían indicar eventos potencialmente dañinos, como recursos comprometidos o ciberataques.
Detección de anomalías
La detección de anomalías es un servicio integrado que usa señales de comportamiento desde fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas para tus instancias de máquina virtual (VM) y tus proyectos, como posibles filtraciones de credenciales. La detección de anomalías se habilita de forma automática cuando activas el nivel Premium o Estándar de Security Command Center, y los resultados están disponibles en la consola de Google Cloud.
Estos son algunos de los resultados de la detección de anomalías:
Nombre de la anomalía | Categoría | Descripción |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Las credenciales de una cuenta de servicio de Google Cloud se filtran accidentalmente en línea o se ven comprometidas. Gravedad: Crítica |
Se filtraron credenciales de la cuenta
GitHub notificó a Security Command Center que las credenciales que se usaron para una confirmación parecen ser las credenciales de una cuenta de servicio de Identity and Access Management de Google Cloud.
La notificación incluye el nombre de la cuenta de servicio y el identificador de clave privada. Google Cloud también le envía una notificación por correo electrónico a tu contacto designado para la seguridad y la privacidad.
Para resolver este problema, realiza una o más de las siguientes acciones:
- Identifica al usuario legítimo de la clave.
- Rota la llave.
- Quita la llave.
- Investiga las acciones que realizó la clave después de que se filtró para asegurarte de que ninguna de ellas sea maliciosa.
JSON: Búsqueda de credenciales de cuenta filtradas
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.
La instrumentación de detección de Container Threat Detection recopila un nivel bajo en el kernel invitado y realiza procesamiento de lenguaje natural en el código para detectar los siguientes eventos:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Container Escape
Execution: Kubernetes Attack Tool Execution
Execution: Local Reconnaissance Tool Execution
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Obtén más información sobre Detección de amenazas a contenedores.
Event Threat Detection
Event Threat Detection usa datos de registro dentro de tus sistemas. Detecta la transmisión de Cloud Logging para proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Detección de eventos de amenazas escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita automáticamente cuando activas el nivel Premium de Security Command Center, y los resultados están disponibles en la consola de Google Cloud.
En la siguiente tabla, se muestran ejemplos de resultados de Event Threat Detection.
Destrucción de datos |
Event Threat Detection detecta la destrucción de datos mediante el análisis de los registros de auditoría del servidor de administración de servicios de copia de seguridad y DR en las siguientes situaciones:
|
Robo de datos |
Event Threat Detection detecta el robo de datos de BigQuery y Cloud SQL mediante el análisis de los registros de auditoría para las siguientes situaciones:
|
Actividad sospechosa de Cloud SQL |
Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que podrían indicar un compromiso de una cuenta de usuario válida en instancias de Cloud SQL:
|
Actividad sospechosa de AlloyDB para PostgreSQL |
Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que podrían indicar un compromiso de una cuenta de usuario válida en instancias de AlloyDB para PostgreSQL:
|
Ataques de fuerza bruta a SSH | Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito. |
Criptominería | Event Threat Detection detecta software malicioso de minería de criptomonedas a través de un análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos o direcciones IP conocidas de grupos de minería. |
Abuso de IAM |
Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:
|
Inhibición de la recuperación del sistema |
Event Threat Detection detecta cambios anómalos en Backup and DR que pueden afectar la postura de la copia de seguridad, incluidos los cambios importantes en las políticas y la eliminación de componentes críticos de Backup and DR. |
Log4j | Event Threat Detection detecta posibles intentos de explotación de Log4j y vulnerabilidades de Log4j activas. |
Software malicioso | Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos. |
DoS saliente | La Detección de eventos de amenazas examina los registros de flujo de VPC para detectar denegación saliente del tráfico de servicio. |
Acceso anómalo | Event Threat Detection detecta el acceso anómalo mediante el análisis de los registros de auditoría de Cloud para las modificaciones del servicio de Google Cloud que se originaron en las direcciones IP de proxy anónimas, como las direcciones IP de Tor. |
Comportamiento de IAM anómalo |
Event Threat Detection detecta comportamientos de IAM anómalos mediante el análisis de los registros de auditoría de Cloud para las siguientes situaciones:
|
Autoinvestigación de la cuenta de servicio | Container Threat Detection detecta cuándo se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio. |
El administrador de Compute Engine agregó la clave SSH | Event Threat Detection detecta una modificación en el valor de la llave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana). |
Administrador de Compute Engine agregó una secuencia de comandos de inicio | Event Threat Detection detecta una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (antes de 1 semana). |
Hay actividad sospechosa en la cuenta | Container Threat Detection detecta un posible compromiso de las cuentas de Google Workspace mediante el análisis de los registros de auditoría para actividades anómalas de la cuenta, incluidas las filtraciones de contraseñas y los intentos de acceso sospechosos. |
Ataque respaldado por el Gobierno | La Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo los atacantes respaldados por el Gobierno podrían haber intentado comprometer la cuenta o computadora de un miembro. |
Cambios en el inicio de sesión único (SSO) | Container Threat Detection examina los registros de auditoría de Google Workspace a fin de detectar cuándo el SSO está inhabilitado o se cambia la configuración de las cuentas de administrador de Google Workspace. |
Verificación en dos pasos | Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo la verificación en 2 pasos está inhabilitada en las cuentas de usuario y administrador. |
Comportamiento anómalo de la API | Event Threat Detection detecta comportamiento de API anómalo mediante el análisis de los registros de auditoría de Cloud para solicitudes a los servicios de Google Cloud que un principal no vio antes. |
Evasión de defensa |
Event Threat Detection detecta la elusión de defensa mediante el análisis de los registros de auditoría de Cloud para las siguientes situaciones:
|
Discovery |
Event Threat Detection detecta operaciones de descubrimiento mediante el análisis de los registros de auditoría para las siguientes situaciones:
|
Acceso inicial | Event Threat Detection detecta las operaciones de acceso iniciales mediante el análisis de los registros de auditoría para las siguientes situaciones:
|
Elevación de privilegios |
Event Threat Detection detecta la elevación de privilegios en GKE mediante el análisis de los registros de auditoría para las siguientes situaciones:
|
Detecciones de IDS de Cloud | El IDS de Cloud detecta ataques de la capa 7 a través del análisis de paquetes reflejados y, cuando detecta un evento sospechoso, activa un hallazgo de Event Threat Detection. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud. Vista previa |
Movimiento lateral | Event Threat Detection detecta posibles ataques de disco de inicio modificados a través del examen de los registros de auditoría de Cloud en busca de desconexiones y conexiones frecuentes del disco de inicio en las instancias de Compute Engine. |
Obtén más información sobre Event Threat Detection.
Google Cloud Armor
Google Cloud Armor ayuda a proteger tu aplicación, ya que proporciona un filtrado de capa 7. Google Cloud Armor limpia las solicitudes entrantes de ataques web comunes o de otros atributos de capa 7 para bloquear el tráfico antes de que llegue a los servicios de backend con balanceo de cargas o los buckets de backend.
Google Cloud Armor exporta dos hallazgos a Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection es un servicio integrado de Security Command Center que está disponible en los niveles Enterprise y Premium. Este servicio analiza las instancias de Compute Engine para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube vulnerados.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.
Para obtener más información sobre la detección de amenazas a VM, consulta Descripción general de VM Threat Detection.
Resultados de amenazas de VM Threat Detection
VM Threat Detection puede generar los siguientes resultados de amenazas.
Resultados de las amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de resultados a través de la coincidencia de hash o las reglas de YARA.
Categoría | Módulo | Descripción |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA .
Para obtener más información, consulta
Detecciones combinadas.
|
Hallazgos de amenazas de rootkits en modo de kernel
La detección de amenazas a las VM analiza la integridad del kernel durante el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.
El módulo KERNEL_MEMORY_TAMPERING
detecta amenazas realizando una comparación de hash en el código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING
detecta amenazas verificando la integridad de las estructuras de datos importantes del kernel.
Categoría | Módulo | Descripción |
---|---|---|
Rootkit | ||
Defense Evasion: Rootkit
|
|
Hay una combinación de indicadores que coinciden con un rootkit conocido en modo kernel. Para recibir los resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. |
Manipulación de la memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Versión preliminar
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria del código del kernel. |
Defense Evasion: Unexpected kernel read-only data modification Versión preliminar
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel. |
Manipulación de la integridad del kernel | ||
Defense Evasion: Unexpected ftrace handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Los puntos ftrace están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango de código esperado del kernel o del módulo.
|
Defense Evasion: Unexpected interrupt handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de interrupción que no están en las regiones de código del kernel o del módulo esperadas. |
Defense Evasion: Unexpected kernel modules Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay páginas de código de kernel que no están en las regiones de código de kernel o módulo esperadas. |
Defense Evasion: Unexpected kprobe handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay puntos kprobe con devoluciones de llamada que apuntan a regiones que no están en el rango de código esperado del kernel o del módulo.
|
Defense Evasion: Unexpected processes in runqueue Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Estos procesos se encuentran en la fila de ejecución, pero no en la lista de tareas del proceso. |
Defense Evasion: Unexpected system call handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de llamadas del sistema que no están en las regiones de código del kernel o del módulo esperadas. |
Errores
Los detectores de errores pueden ayudarte a detectar errores en la configuración que evitan que las fuentes de seguridad generen resultados. La fuente de seguridad Security Command Center
genera los resultados de error y estos tienen la clase de resultado SCC errors
.
Acciones involuntarias
Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.
Nombre de categoría | Nombre de la API | Resumen | Gravedad |
---|---|---|---|
API disabled |
API_DISABLED |
Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center. Nivel de precios: Premium o Estándar Elementos admitidos Análisis por lotes: Cada 60 horas |
Crítico |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descripción del problema: Los parámetros de configuración de valor de recursos se definen para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos de tu entorno. En su lugar, las simulaciones usan el conjunto de recursos de alto valor predeterminado. Este error puede deberse a cualquiera de las siguientes causas:
Nivel de precios: Premium
Recursos admitidos Análisis por lotes: Antes de cada simulación de ruta de ataque |
Crítico |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descripción del hallazgo: En la última simulación de ruta de ataque, la cantidad de instancias de recursos de alto valor, según lo identificó la configuración de valores de recursos, superó el límite de 1,000 instancias de recursos en un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó la cantidad excesiva de instancias del conjunto de recursos de alto valor. La cantidad total de instancias que coinciden y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo Las puntuaciones de exposición a ataques en los resultados que afectan a las instancias de recursos excluidos no reflejan la designación de alto valor de las instancias de recursos. Nivel de precios: Premium
Recursos admitidos Análisis por lotes: Antes de cada simulación de ruta de ataque |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descripción del problema: La detección de amenazas a contenedores no se puede habilitar en el clúster porque no se puede extraer (descargar) una imagen de contenedor requerida de El intento de implementar el DaemonSet de Container Threat Detection generó el siguiente error:
Nivel de precios: Premium
Elementos compatibles Análisis por lotes: cada 30 minutos |
Crítico |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descripción del resultado: La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere la detección de amenazas a contenedores. Cuando se visualizan en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que mostró Google Kubernetes Engine cuando la Detección de amenazas en contenedores intentó implementar un objeto DaemonSet de Detección de amenazas en contenedores. Nivel de precios: Premium
Elementos compatibles Análisis por lotes: cada 30 minutos |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección. Nivel de precios: Premium Elementos admitidos Análisis por lotes: cada 30 minutos |
Crítica |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster. Nivel de precios: Premium
Elementos compatibles Análisis por lotes: todas las semanas |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging. Nivel de precios: Premium
Elementos admitidos Análisis por lotes: cada 30 minutos |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro. Nivel de precios: Premium o Estándar Elementos admitidos Análisis por lotes: Cada 6 horas |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados. Nivel de precios: Premium o Estándar
Recursos admitidos Análisis por lotes: cada 30 minutos |
Crítica |
Para obtener más información, consulta Errores de Security Command Center.
¿Qué sigue?
- Obtén información sobre Security Command Center y los casos de uso de ejemplo en la descripción general de Security Command Center.
- Obtén información sobre cómo agregar nuevas fuentes de seguridad mediante la configuración de los servicios de Security Command Center.