Erkennungsdienste

Diese Seite enthält eine Liste der Erkennungsdienste, die manchmal auch als Sicherheitsquellen bezeichnet werden und die Security Command Center verwendet, um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen.

Wenn diese Dienste ein Problem erkennen, generieren sie ein Ergebnis. Dies ist ein Eintrag, der das Sicherheitsproblem identifiziert und Ihnen die Informationen liefert, die Sie benötigen, um das Problem zu priorisieren und zu beheben.

Sie können Ergebnisse in der Google Cloud Console ansehen und sie auf viele verschiedene Arten filtern, z. B. nach Ergebnistyp, Ressourcentyp oder nach einem bestimmten Asset. Jede Sicherheitsquelle bietet möglicherweise weitere Filter, mit denen Sie Ihre Ergebnisse besser organisieren können.

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ihre Fähigkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf der Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Dienste zur Erkennung von Sicherheitslücken

Dienste zur Erkennung von Sicherheitslücken umfassen integrierte und integrierte Dienste, die Sicherheitslücken in der Software, Fehlkonfigurationen und Sicherheitsverstöße in Ihren Cloud-Umgebungen erkennen. Zusammen werden diese Arten von Sicherheitsproblemen als Sicherheitslücken bezeichnet.

Dashboard für den GKE-Sicherheitsstatus

Das Dashboard für den GKE-Sicherheitsstatus ist eine Seite in der Google Cloud Console, auf der Sie spezifische, umsetzbare Ergebnisse zu potenziellen Sicherheitsproblemen in Ihren GKE-Clustern finden.

Wenn Sie eine der folgenden Dashboard-Features für den GKE-Sicherheitsstatus aktivieren, werden die Ergebnisse in der Standard- oder Premium-Stufe von Security Command Center angezeigt:

Dashboard-Feature für GKE-Sicherheitsstatus Security Command Center-Ergebnistyp
Prüfung der Arbeitslastkonfiguration MISCONFIGURATION
VULNERABILITY

Die Ergebnisse enthalten Informationen zum Sicherheitsproblem und Empfehlungen zum Beheben der Probleme in Ihren Arbeitslasten oder Clustern.

Ergebnisse im Dashboard für den GKE-Sicherheitsstatus in der Google Cloud Console ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf:

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

  3. Wählen Sie im Bereich Schnellfilter im Bereich Anzeigename der Quelle die Option GKE-Sicherheitsstatus aus. Wenn der Filter GKE-Sicherheitsstatus nicht angezeigt wird, gibt es keine aktiven Ergebnisse.

IAM Recommender

Der IAM Recommender gibt Empfehlungen zur Verbesserung der Sicherheit, indem Sie IAM-Rollen aus Hauptkonten entfernen oder ersetzen, wenn die Rollen IAM-Berechtigungen enthalten, die das Hauptkonto nicht benötigt.

IAM-Recommender-Ergebnisse aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie IAM-Recommender-Ergebnisse in Security Command Center:

  1. Rufen Sie in der Google Cloud Console auf der Seite Einstellungen von Security Command Center den Tab Integrierte Dienste auf:

    Einstellungen aufrufen

  2. Scrollen Sie gegebenenfalls nach unten zum Eintrag IAM Recommender.

  3. Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.

Ergebnisse aus dem IAM-Recommender werden als Sicherheitslücken klassifiziert.

Maximieren Sie den folgenden Abschnitt, um eine Tabelle mit den Ergebnissen des IAM-Recommenders anzuzeigen. Die Abhilfemaßnahmen für jedes Ergebnis sind im Tabelleneintrag enthalten.

Ergebnisse des IAM-Recommenders in der Console ansehen

In der Google Cloud Console können Sie die vom IAM-Recommender ausgegebenen Ergebnisse entweder auf der Seite Sicherheitslücken ansehen. Wählen Sie dazu die Abfragevoreinstellung IAM-Recommender aus oder wählen Sie im Bereich Schnellfilter im Bereich Anzeigename der Quelle auf der Seite Ergebnisse die Option IAM Recommender aus.

Mandiant Attack Surface Management

Mandiant ist ein weltweit führender Anbieter von Frontline-Threat-Intelligence. Mandiant Attack Surface Management identifiziert Sicherheitslücken und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie in Bezug auf die neuesten Cyberangriffe auf dem Laufenden bleiben.

Mandiant Attack Surface Management wird automatisch aktiviert, wenn Sie die Security Command Center Enterprise-Stufe aktivieren und die Ergebnisse in der Google Cloud Console verfügbar sind.

Informationen darüber, wie sich das eigenständige Produkt Mandiant Attack Surface Management von der in Security Command Center eingebundenen Mandiant Attack Surface Management-Lösung unterscheidet, finden Sie im Mandiant-Dokumentationsportal unter ASM und Security Command Center. Dieser Link erfordert eine Authentifizierung von Mandiant.

Die Ergebnisse von Mandiant Attack Surface Management in der Google Cloud Console ansehen

So überprüfen Sie die Ergebnisse in der Google Cloud Console:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

  3. Wählen Sie unter Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Mandiant Attack Surface Management aus.

    Die Tabelle enthält die Ergebnisse von Mandiant Attack Surface Management.

  4. Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.

  5. Überprüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, die betroffene Ressource und mehr.

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. Diese Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.

Wenn Sie Policy Controller installieren und entweder CIS Kubernetes Benchmark v1.5.1 oder die Policy Controller-Bundles für PCI-DSS v3.2.1 oder beides aktivieren, schreibt Policy Controller automatisch Clusterverstöße als Misconfiguration-Klassenergebnisse in Security Command Center. Die Ergebnisbeschreibung und die nächsten Schritte in den Security Command Center-Ergebnissen sind mit der Einschränkungsbeschreibung und den Abhilfeschritten des entsprechenden Policy Controller-Bundles identisch.

Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:

Informationen zum Ermitteln und Beheben von Policy Controller-Ergebnissen finden Sie unter Policy Controller-Ergebnisse beheben.

Risk-Engine

Die Risk Engine von Security Command Center bewertet die Risikoexposition Ihrer Cloud-Bereitstellungen, weist den Sicherheitslückenergebnissen und Ihren hochwertigen Ressourcen Angriffsrisikobewertungen zu und stellt Pfade dar, die ein potenzieller Angreifer nehmen könnte, um Ihre hochwertigen Ressourcen zu erreichen.

Auf der Enterprise-Stufe von Security Command Center erkennt Risk Engine Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen erstellen, über die ein ermittelter Angreifer diese Ressourcen erreichen und kompromittieren könnte.

Wenn Risk Engine eine dieser Kombinationen erkennt, wird ein Ergebnis der Klasse TOXIC_COMBINATION ausgegeben. Im Ergebnis wird Risk Engine als Quelle des Ergebnisses aufgeführt.

Weitere Informationen finden Sie unter Übersicht über unangemessene Kombinationen.

Security Health Analytics

Security Health Analytics ist ein integrierter Erkennungsdienst von Security Command Center, der verwaltete Scans Ihrer Cloud-Ressourcen bietet, um häufige Fehlkonfigurationen zu erkennen.

Wenn eine Fehlkonfiguration erkannt wird, gibt Security Health Analytics ein Ergebnis aus. Die meisten Ergebnisse von Security Health Analytics werden Kontrollen von Sicherheitsstandards zugeordnet, damit Sie die Compliance bewerten können.

Security Health Analytics scannt Ihre Ressourcen in Google Cloud. Wenn Sie die Enterprise-Stufe verwenden und Verbindungen zu anderen Cloud-Plattformen herstellen, kann Security Health Analytics Ihre Ressourcen auch auf diesen Cloud-Plattformen scannen.

Je nach verwendeter Security Command Center-Dienststufe unterscheiden sich die verfügbaren Detektoren:

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Weitere Informationen finden Sie unter:

Dienst für den Sicherheitsstatus

Der Dienst für den Sicherheitsstatus ist ein integrierter Dienst der Premium-Stufe von Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Sie erhalten Informationen darüber, wie Ihre Umgebung den Richtlinien entspricht, die Sie in Ihrem Sicherheitsstatus definieren.

Der Dienst für den Sicherheitsstatus hängt nicht mit dem Dashboard für den GKE-Sicherheitsstatus zusammen, in dem nur Ergebnisse in GKE-Clustern angezeigt werden.

Sensitive Data Protection

Sensitive Data Protection ist ein vollständig verwalteter Google Cloud-Dienst, mit dem Sie sensible Daten ermitteln, klassifizieren und schützen können. Mit dem Schutz sensibler Daten können Sie feststellen, ob Sie vertrauliche oder personenidentifizierbare Informationen wie die folgenden speichern:

  • Personennamen
  • Kreditkartennummern
  • Nationale oder staatliche Ausweisnummern
  • Krankenversicherungs-ID-Nummern
  • Secrets

Im Rahmen von Sensitive Data Protection wird jeder Typ sensibler Daten, nach dem Sie suchen, als infoType bezeichnet.

Wenn Sie Ihren Vorgang zum Schutz sensibler Daten so konfigurieren, dass Ergebnisse an Security Command Center gesendet werden, können Sie die Ergebnisse direkt im Abschnitt „Security Command Center“ der Google Cloud Console zusätzlich zum Abschnitt „Schutz sensibler Daten“ sehen.

Ergebnisse zu Sicherheitslücken vom Erkennungsdienst für Sensitive Data Protection

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie ermitteln, ob Ihre Cloud Functions-Umgebungsvariablen Secrets wie Passwörter, Authentifizierungstoken und Google Cloud-Anmeldedaten enthalten. Eine vollständige Liste der Secret-Typen, die Sensitive Data Protection in diesem Feature erkennt, finden Sie unter Anmeldedaten und Secrets.

Ergebnistyp Ergebnisbeschreibung Compliancestandards
Secrets in environment variables

Kategoriename in der API:
SECRETS_IN_ENVIRONMENT_VARIABLES
Dieser Detektor sucht in Cloud Functions-Umgebungsvariablen nach Secrets.

Abhilfe : Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Nachdem Sie die Secret-Erkennung in Sensitive Data Protection aktiviert haben, kann es bis zu 12 Stunden dauern, bis der erste Scan von Umgebungsvariablen abgeschlossen ist und alle Ergebnisse für „Secrets in Umgebungsvariablen“ in Security Command Center angezeigt werden. Anschließend scannt Sensitive Data Protection alle 24 Stunden die Umgebungsvariablen. In der Praxis können Scans häufiger ausgeführt werden.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Secrets in Umgebungsvariablen an Security Command Center melden.

Beobachtungsergebnisse von Sensitive Data Protection

In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die Sensitive Data Protection in Security Command Center generiert.

Beobachtungsergebnisse des Discovery-Dienstes

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie feststellen, ob Ihre BigQuery-Daten bestimmte infoTypes enthalten und wo sie sich in Ihrer Organisation, Ihren Ordnern und Ihren Projekten befinden.

Bei einem Erkennungsvorgang werden Profile der zugrunde liegenden BigQuery-Daten auf Projekt-, Tabellen- und Spaltenebene generiert. Jedes Tabellendatenprofil generiert die folgenden Ergebniskategorien in Security Command Center:

Data sensitivity
Ein Hinweis auf die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind sensibel, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die möglicherweise eine zusätzliche Kontrolle oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist die Empfindlichkeitsstufe, die der Schutz sensibler Daten beim Generieren des Datenprofils berechnet hat.
Data risk
Das mit den Daten in ihrem aktuellen Zustand verbundene Risiko. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die Sensitive Data Protection beim Generieren des Datenprofils berechnet hat.

Ab der Erstellung der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Data sensitivity- und Data risk-Ergebnisse in Security Command Center angezeigt werden.

Informationen zum Senden von Datenprofilergebnissen an Security Command Center finden Sie unter Erkennung sensibler Daten aktivieren.

Beobachtungsergebnisse des Inspektionsdienstes für den Schutz sensibler Daten

Ein Inspektionsjob für sensible Daten identifiziert jede Dateninstanz eines bestimmten infoType in einem Speichersystem wie einem Cloud Storage-Bucket oder einer BigQuery-Tabelle. Sie können beispielsweise einen Inspektionsjob ausführen, der nach allen Strings sucht, die dem infoType-Detektor CREDIT_CARD_NUMBER in einem Cloud Storage-Bucket entsprechen.

Für jeden infoType-Detektor mit einer oder mehreren Übereinstimmungen generiert Sensitive Data Protection ein entsprechendes Security Command Center-Ergebnis. Die Ergebniskategorie ist der Name des infoType-Detektors, für den eine Übereinstimmung vorliegt, z. B. Credit card number. Das Ergebnis enthält die Anzahl der übereinstimmenden Strings, die in Text oder Bildern in der Ressource erkannt wurden.

Aus Sicherheitsgründen werden die tatsächlich erkannten Strings nicht in das Ergebnis aufgenommen. Ein Credit card number-Ergebnis zeigt beispielsweise, wie viele Kreditkartennummern gefunden wurden, aber nicht die tatsächlichen Kreditkartennummern.

Da in Sensitive Data Protection mehr als 150 integrierte infoType-Detektoren enthalten sind, werden hier nicht alle möglichen Ergebniskategorien von Security Command Center aufgeführt. Eine vollständige Liste der infoType-Detektoren finden Sie in der infoType-Detektorreferenz.

Informationen zum Senden der Ergebnisse eines Inspektionsjobs an Security Command Center finden Sie unter Ergebnisse von Inspektionsjobs für den Schutz sensibler Daten an Security Command Center senden.

Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen

So überprüfen Sie die Ergebnisse in der Google Cloud Console:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.

  3. Wählen Sie unter Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Schutz sensibler Daten aus.

    Die Tabelle wird mit den Ergebnissen zum Schutz sensibler Daten gefüllt.

  4. Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.

  5. Überprüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, die betroffene Ressource und mehr.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Wenn Sie VM Manager mit Aktivierungen von Security Command Center Premium auf Projektebene verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.

Wenn Sie VM Manager mit der Premium-Stufe von Security Command Center aktivieren, schreibt VM Manager automatisch Ergebnisse für high und critical aus den Sicherheitslückenberichten, die sich in der Vorschau befinden, in Security Command Center. Die Berichte identifizieren Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Common Vulnerabilities and Exposures (CVEs).

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. Derzeit unterstützt VM Manager die Patchverwaltung auf der einzelnen Projektebene.

Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben.

Wie Sie verhindern, dass Berichte zu Sicherheitslücken in Security Command Center geschrieben werden, erfahren Sie unter VM Manager-Ergebnisse ausblenden.

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

Tabelle 24 VM Manager-Berichte zu Sicherheitslücken
Detektor Zusammenfassung Asset-Scaneinstellungen Compliance-Standards
OS vulnerability

Kategoriename in der API: OS_VULNERABILITY

Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen.

Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:

  • Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, werden innerhalb von zwei Stunden nach der Änderung im Security Command Center Informationen zu Common Vulnerabilities and Exposures (CVEs) für die VM angezeigt.
  • Wenn neue Sicherheitshinweise für ein Betriebssystem veröffentlicht werden, sind aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach Veröffentlichung des Hinweises durch den Betriebssystemanbieter verfügbar.

Sicherheitslückenbewertung für AWS

Der AWS-Dienst (Vulnerability Assessment for Amazon Web Services) erkennt Sicherheitslücken in Software in Ihren Arbeitslasten, die auf virtuellen EC2-Maschinen (VMs) auf der AWS-Cloudplattform ausgeführt werden.

Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Ergebnis der Klasse Vulnerability in der Ergebniskategorie Software vulnerability in Security Command Center.

Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots der ausgeführten EC2-Maschineninstanzen, sodass Produktionsarbeitslasten nicht betroffen sind. Diese Scanmethode wird als Laufwerksscan ohne Agent bezeichnet, da keine Agents als Scanziele installiert sind.

Hier finden Sie weitere Informationen:

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie mithilfe von verwalteten Scans grundlegende Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einbeziehen zu müssen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse aus verwalteten Scans automatisch auf der Seite Sicherheitslücken von Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren von Web Security Scanner-verwalteten Scans finden Sie unter Security Command Center-Dienste konfigurieren.

Verwaltete Scans unterstützen nur Anwendungen, die den Standardport verwenden, also 80 für HTTP-Verbindungen und 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung einen nicht standardmäßigen Port verwendet, führen Sie stattdessen einen benutzerdefinierten Scan durch.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.

Benutzerdefinierte Scans werden auf Projektebene definiert.

Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie Ergebnisbeschreibung OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

Kategoriename in der API: ACCESSIBLE_GIT_REPOSITORY

Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01
Accessible SVN repository

Kategoriename in der API: ACCESSIBLE_SVN_REPOSITORY

Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01
Cacheable password input

Kategoriename in der API: CACHEABLE_PASSWORD_INPUT

In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A3 A04
Clear text password

Kategoriename in der API: CLEAR_TEXT_PASSWORD

Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A3 A02
Insecure allow origin ends with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01
Insecure allow origin starts with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01
Invalid content type

Kategoriename in der API: INVALID_CONTENT_TYPE

Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Invalid header

Kategoriename in der API: INVALID_HEADER

Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Mismatching security header values

Kategoriename in der API: MISMATCHING_SECURITY_HEADER_VALUES

Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Misspelled security header name

Kategoriename in der API: MISSPELLED_SECURITY_HEADER_NAME

Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Mixed content

Kategoriename in der API: MIXED_CONTENT

Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Outdated library

Kategoriename in der API: OUTDATED_LIBRARY

Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A9 A06
Server side request forgery

Kategoriename in der API: SERVER_SIDE_REQUEST_FORGERY

Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

Nicht zutreffend A10
Session ID leak

Kategoriename in der API: SESSION_ID_LEAK

Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Referer. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A2 A07
SQL injection

Kategoriename in der API: SQL_INJECTION

Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A1 A03
Struts insecure deserialization

Kategoriename in der API: STRUTS_INSECURE_DESERIALIZATION

Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A8 A08
XSS

Kategoriename in der API: XSS

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03
XSS angular callback

Kategoriename in der API: XSS_ANGULAR_CALLBACK

Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03
XSS error

Kategoriename in der API: XSS_ERROR

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03
XXE reflected file leakage

Kategoriename in der API: XXE_REFLECTED_FILE_LEAKAGE

Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A4 A05
Prototype pollution

Kategoriename in der API: PROTOTYPE_POLLUTION

Die Anwendung ist anfällig für Verschmutzung durch Prototypen. Diese Sicherheitslücke tritt auf, wenn Attributen des Object.prototype-Objekts von Angreifern steuerbare Werte zugewiesen werden können. Es wird allgemein angenommen, dass die in diese Prototypen eingefügten Werte zu Cross-Site-Scripting oder ähnlichen clientseitigen Sicherheitslücken sowie zu logischen Fehlern führen.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A1 A03

Dienste zur Bedrohungserkennung

Bedrohungserkennungsdienste umfassen integrierte und integrierte Dienste, die Ereignisse erkennen, die auf potenziell schädliche Ereignisse wie manipulierte Ressourcen oder Cyberangriffe hindeuten können.

Anomalieerkennung

Die Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenziell gehackte Anmeldedaten. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie Security Command Center Standard oder Premium aktivieren, und die Ergebnisse sind in der Google Cloud Console verfügbar.

Zu den Ergebnissen der Anomalieerkennung gehören:

Name der Anomalie Ergebniskategorie Beschreibung
Account has leaked credentials account_has_leaked_credentials

Anmeldedaten für ein Google Cloud-Dienstkonto werden versehentlich online gehackt oder kompromittiert.

Schweregrad:Kritisch

Konto hat Anmeldedaten gestohlen

GitHub hat Security Command Center darüber informiert, dass die für ein Commit verwendeten Anmeldedaten die Anmeldedaten für ein Google Cloud Identity and Access Management-Dienstkonto zu sein scheinen.

Die Benachrichtigung enthält den Namen des Dienstkontos und die Kennung des privaten Schlüssels. Google Cloud sendet außerdem eine Benachrichtigung per E-Mail an Ihren für Sicherheit und Datenschutz festgelegten Ansprechpartner.

Führen Sie einen oder mehrere der folgenden Schritte aus, um das Problem zu beheben:

  • Ermitteln Sie den legitimen Nutzer des Schlüssels.
  • Rotieren Sie den Schlüssel.
  • Entfernen Sie den Schlüssel.
  • Prüfen Sie alle Aktionen, die vom Schlüssel ausgeführt wurden, nachdem der Schlüssel gestohlen wurde, um sicherzustellen, dass keine der Aktionen schädlich waren.

JSON: Ergebnis gehackter Kontoanmeldedaten

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Skripts aus, um die folgenden Ereignisse zu erkennen:

  • Ausgeführte Binärdatei hinzugeführt
  • Hinzugefügte Mediathek geladen
  • Ausführung: Schadprogramm ausgeführt und hinzugefügt
  • Ausführung: Schädliche Bibliothek wurde hinzugefügt
  • Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
  • Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
  • Ausführung: Geänderte schädliche Bibliothek geladen
  • Schädliches Script ausgeführt
  • Reverse Shell
  • Unerwartete untergeordnete Shell

Weitere Informationen zu Container Threat Detection.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Er überwacht den Cloud Logging-Stream für Projekte und verarbeitet Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe von Security Command Center aktivieren und die Ergebnisse in der Google Cloud Console verfügbar sind.

Die folgende Tabelle enthält Beispiele für Ergebnisse von Event Threat Detection.

Tabelle C. Ergebnistypen für Event Threat Detection
Vernichtung von Daten

Event Threat Detection erkennt die Datenvernichtung, indem die Audit-Logs des Sicherungs- und Notfallwiederherstellungsservers auf die folgenden Szenarien geprüft werden:

  • Löschen eines Back-up-Images
  • Alle mit einer Anwendung verknüpften Backup-Images löschen
  • Sicherungs-/Wiederherstellungs-Appliance löschen
Daten-Exfiltration

Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Eine BigQuery-Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
  • Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
  • Eine Cloud SQL-Ressource wird vollständig oder teilweise in einen Cloud Storage-Bucket außerhalb Ihrer Organisation bzw. in einen Bucket exportiert, der Ihrer Organisation gehört und öffentlich zugänglich ist.
  • Eine Cloud SQL-Sicherung wird auf einer Cloud SQL-Instanz außerhalb Ihrer Organisation wiederhergestellt.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Cloud Storage-Bucket außerhalb Ihrer Organisation oder in einen Bucket in Ihrer Organisation, der öffentlich zugänglich ist, exportiert.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Google Drive-Ordner exportiert.
Verdächtige Cloud SQL-Aktivität

Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Manipulation eines gültigen Nutzerkontos auf Cloud SQL-Instanzen hinweisen können:

  • Einem Datenbanknutzer werden alle Berechtigungen für eine Cloud SQL for PostgreSQL-Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt.
  • Ein Cloud SQL-Standard-Datenbank-Superuser ("postgres" auf PostgreSQL-Instanzen oder "root" auf MySQL-Instanzen) wird zum Schreiben in Nicht-Systemtabellen verwendet.
Verdächtige Aktivität in AlloyDB for PostgreSQL

Event Threat Detection prüft Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Manipulation eines gültigen Nutzerkontos in AlloyDB for PostgreSQL-Instanzen hindeuten könnten:

  • Einem Datenbanknutzer werden alle Berechtigungen für eine AlloyDB for PostgreSQL-Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt.
  • Ein AlloyDB for PostgreSQL-Standard-Datenbank-Superuser („postgres“) wird zum Schreiben in Nicht-Systemtabellen verwendet.
Brute-Force-SSH Event Threat Detection erkennt Brute-Force-Angriffe bei der SSH-Passwortauthentifizierung, indem Syslog-Logs auf wiederholte Fehler mit anschließender Erfolgsmeldung untersucht werden.
Kryptomining Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden.
IAM-Missbrauch

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Einen gmail.com-Nutzer zu einer Richtlinie mit der Projektbearbeiter-Rolle hinzufügen.
  • gmail.com-Nutzer aus der Google Cloud Console als Projektinhaber einladen.
  • Dienstkonto, das vertrauliche Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Systemwiederherstellung verhindern

Event Threat Detection erkennt anomale Änderungen an Sicherung und Notfallwiederherstellung, die sich auf den Sicherungsstatus auswirken können, darunter größere Richtlinienänderungen und das Entfernen kritischer Komponenten für Sicherung und Notfallwiederherstellung.

Log4j Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken.
Malware Event Threat Detection untersucht Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Command-and-Control-Domains und -IP-Adressen untersucht werden.
Ausgehender DoS Event Threat Detection untersucht VPC-Flusslogs, um ausgehenden Traffic Denial of Service zu erkennen.
Anomaler Zugriff Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud-Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Anomales IAM-Verhalten Event Threat Detection erkennt ungewöhnliches IAM-Verhalten und prüft die Cloud-Audit-Logs auf folgende Szenarien:
  • IAM-Nutzer- und -Dienstkonten, die über ungewöhnliche IP-Adressen auf Google Cloud zugreifen
  • IAM-Dienstkonten, die über ungewöhnliche User-Agents auf Google Cloud zugreifen
  • Hauptkonten und Ressourcen, die IAM-Dienstkonten imitieren, um auf Google Cloud zuzugreifen.
Selbstuntersuchung des Dienstkontos Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Vom Compute Engine-Administrator hinzugefügter SSH-Schlüssel Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Vom Compute Engine-Administrator hinzugefügtes Startskript Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche).
Verdächtige Kontoaktivitäten Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen.
Von einer Regierung unterstützter Angriff Event Threat Detection untersucht Google Workspace-Audit-Logs, um festzustellen, ob von staatlichen Stellen unterstützte Angreifer versucht haben könnten, das Konto oder den Computer eines Nutzers zu manipulieren.
Änderungen bei der Einmalanmeldung (SSO) Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden.
Bestätigung in zwei Schritten Event Threat Detection untersucht Google Workspace-Audit-Logs, um festzustellen, ob die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist.
Ungewöhnliches API-Verhalten Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud-Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat.
Defense Evasion

Event Threat Detection erkennt Abwehrmaßnahmen, indem Cloud-Audit-Logs auf die folgenden Szenarien untersucht werden:

  • Änderungen an vorhandenen VPC Service Controls-Perimetern, die zu einer Reduzierung des angebotenen Schutzes führen würden.
  • Bereitstellungen oder Aktualisierungen für Arbeitslasten, die das Break-Glass-Flag verwenden, um Steuerelemente der Binärautorisierung zu überschreiben.Vorabversion
Discovery

Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl versucht herauszufinden, welche sensiblen Objekte in GKE abfragen können.
  • Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.
Anfänglicher Zugriff Event Threat Detection erkennt erste Zugriffsvorgänge anhand der Audit-Logs auf die folgenden Szenarien:
  • Ein inaktives vom Nutzer verwaltetes Dienstkonto hat eine Aktion ausgelöst.Vorschau
  • Ein Hauptkonto hat versucht, verschiedene Google Cloud-Methoden aufzurufen. Dies ist jedoch aufgrund des Fehlers Berechtigung verweigert wiederholt fehlgeschlagen.Vorschau
Rechteausweitung

Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert:

  • Zur Rechteausweitung hat ein potenziell böswilliger Akteur mit einer PUT- oder PATCH-Anfrage versucht, ein RBAC-Objekt (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ClusterRole, RoleBinding oder ClusterRoleBinding der vertraulichen cluster-admin-Rolle zu ändern.
  • Ein potenziell böswilliger Akteur hat eine Zertifikatsignierungsanfrage (Certificate Signing Request, CSR) für den Kubernetes-Master erstellt, die ihm cluster-admin-Zugriff gewährt.
  • Zur Rechteausweitung hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
  • Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl und manipulierten Bootstrap-Anmeldedaten eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) gesendet.
  • Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.
Cloud IDS-Erkennungen Cloud IDS erkennt Layer-7-Angriffe durch die Analyse gespiegelter Pakete. Wenn ein verdächtiges Ereignis erkannt wird, wird ein Event Threat Detection-Ergebnis ausgelöst. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging-Informationen. Vorschau
Seitliche Bewegung Event Threat Detection erkennt potenzielle Angriffe mit modifiziertem Bootlaufwerk. Dazu untersucht es in Cloud-Audit-Logs, ob Bootlaufwerke in Compute Engine-Instanzen häufig getrennt und wieder angehängt werden.

Weitere Informationen zu Event Threat Detection.

Forseti Security

Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.

Folgen Sie der Anleitung im Benachrichtigungsleitfaden für Security Command Center von Forseti, um Verstoß-Benachrichtigungen von Forseti im Security Command Center anzuzeigen.

Weitere Informationen:

Google Cloud Armor

Google Cloud Armor stellt eine Layer-7-Filterung bereit und trägt so zum Schutz Ihrer Anwendung bei. Google Cloud Armor bereinigt eingehende Anfragen nach gängigen Webangriffen oder anderen Layer-7-Attributen, um den Traffic möglicherweise zu blockieren, bevor er Ihre Back-End-Dienste oder Back-End-Buckets mit Load-Balancing erreicht.

Google Cloud Armor exportiert zwei Ergebnisse in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, bietet Bedrohungserkennung durch Instrumentierung auf Hypervisorebene und die Analyse nichtflüchtiger Speicher. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Mining-Software von Kryptowährungen, Rootkits im Kernel-Modus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt wird.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

VM Threat Detection-Bedrohungsergebnisse

VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.

Bedrohungsdaten für das Mining von Kryptowährungen

VM Threat Detection erkennt die folgenden Ergebniskategorien über Hash-Abgleich oder YARA-Regeln.

VM Threat Detection – Bedrohungsergebnisse für Mining von Kryptowährungen
Kategorie Modul Beschreibung
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Erkennt eine Bedrohung, die von den Modulen CRYPTOMINING_HASH und CRYPTOMINING_YARA erkannt wurde. Weitere Informationen finden Sie unter Kombinierte Erkennungen.

Rootkit-Bedrohungsergebnisse im Kernelmodus

VM Threat Detection analysiert die Kernel-Integrität während der Laufzeit, um gängige Täuschverfahren zu erkennen, die von Malware verwendet werden.

Das Modul KERNEL_MEMORY_TAMPERING erkennt Bedrohungen durch einen Hash-Vergleich im Kernel-Code und im schreibgeschützten Kernel-Datenspeicher einer virtuellen Maschine.

Das Modul KERNEL_INTEGRITY_TAMPERING erkennt Bedrohungen und prüft dazu die Integrität wichtiger Kernel-Datenstrukturen.

VM Threat Detection-Rootkit-Bedrohungsergebnisse im Kernelmodus
Kategorie Modul Beschreibung
Manipulation des Kernel-Arbeitsspeichers
Defense Evasion: Unexpected kernel code modificationVorschau KERNEL_MEMORY_TAMPERING Unerwartete Änderungen des Kernel-Codespeichers.
Defense Evasion: Unexpected kernel read-only data modificationVorschau KERNEL_MEMORY_TAMPERING Unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher.
Manipulation der Kernel-Integrität
Defense Evasion: Unexpected ftrace handlerVorschau KERNEL_INTEGRITY_TAMPERING ftrace-Punkte sind mit Callbacks vorhanden, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
Defense Evasion: Unexpected interrupt handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Unterbrechungs-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Defense Evasion: Unexpected kernel modulesVorschau KERNEL_INTEGRITY_TAMPERING Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Defense Evasion: Unexpected kprobe handlerVorschau KERNEL_INTEGRITY_TAMPERING kprobe-Punkte sind mit Callbacks vorhanden, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
Defense Evasion: Unexpected processes in runqueueVorschau KERNEL_INTEGRITY_TAMPERING In der Ausführungswarteschlange des Planers sind unerwartete Prozesse vorhanden. Solche Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Prozessaufgabenliste.
Defense Evasion: Unexpected system call handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Rootkit
Defense Evasion: RootkitVorschau
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Es ist eine Kombination von Signalen vorhanden, die mit einem bekannten Kernelmodus-Rootkit übereinstimmen. Damit Sie Ergebnisse für diese Kategorie erhalten, müssen beide Module aktiviert sein.

VM Threat Detection-Beobachtungsergebnis

VM Threat Detection kann das folgende Beobachtungsergebnis generieren.

Beobachtungsergebnisse von VM Threat Detection
Kategoriename API-Name Fazit Schweregrad
VMTD disabled VMTD_DISABLED

VM Threat Detection ist deaktiviert. Bevor dieser Dienst enable wird, kann er Ihre Compute Engine-Projekte und VM-Instanzen nicht auf unerwünschte Anwendungen scannen.

Dieses Ergebnis wird nach 30 Tagen auf INACTIVE gesetzt. Danach wird dieses Ergebnis nicht noch einmal generiert.

Hoch

Fehler

Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors.

Unbeabsichtigte Aktionen

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename API-Name Fazit Schweregrad
API disabled API_DISABLED

Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Kritisch
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Ergebnisbeschreibung:Ressourcenwertkonfigurationen sind für Angriffspfadsimulationen definiert, stimmen aber mit keinen Ressourceninstanzen in Ihrer Umgebung überein. In den Simulationen wird stattdessen der standardmäßige Satz hochwertiger Ressourcen verwendet.

Dieser Fehler kann folgende Ursachen haben:

  • Keine der Ressourcenwertkonfigurationen stimmt mit Ressourceninstanzen überein.
  • Eine oder mehrere Ressourcenwertkonfigurationen, die NONE angeben, überschreiben alle anderen gültigen Konfigurationen.
  • Alle definierten Konfigurationen für Ressourcenwerte geben den Wert NONE an.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Kritisch
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Ergebnisbeschreibung:In der letzten Angriffspfadsimulation wurde die Anzahl der hochwertigen Ressourceninstanzen, die durch die Ressourcenwertkonfigurationen ermittelt wurden, das Limit von 1.000 Ressourceninstanzen in einem Satz hochwertiger Ressourcen überschritten. Daher hat Security Command Center die überschüssige Anzahl von Instanzen aus dem Satz hochwertiger Ressourcen ausgeschlossen.

Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der aus der Gruppe ausgeschlossenen Instanzen werden im Ergebnis SCC Error in der Google Cloud Console angegeben.

Die Angriffsrisikobewertungen für Ergebnisse, die sich auf ausgeschlossene Ressourceninstanzen auswirken, spiegeln nicht die wertvolle Kennzeichnung der Ressourceninstanzen wider.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Hoch
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Ergebnis-Beschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Image-Host in Container Registry abgerufen (heruntergeladen) werden kann. Das Image wird benötigt, um das Container Threat Detection-DaemonSet bereitzustellen, das Container Threat Detection benötigt.

Der Versuch, das Container Threat Detection-DaemonSet bereitzustellen, führte zu folgendem Fehler:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Ergebnisbeschreibung: Container Threat Detection kann in einem Kubernetes-Cluster nicht aktiviert werden. Ein Admission-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes DaemonSet-Objekts, das Container Threat Detection benötigt.

In der Google Cloud Console enthalten die Ergebnisdetails die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versucht, ein Container Threat Detection DaemonSet-Objekt bereitzustellen.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batchscans: Jede Woche

Dieses Ergebnis korrigieren

Hoch
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
VPC Service Controls Restriction VPC_SC_RESTRICTION

Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Hoch
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

Preisstufe: Premium oder Standard

Unterstützte Assets

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch

Weitere Informationen finden Sie unter Security Command Center-Fehler.

Nächste Schritte