Diese Seite wurde von der Cloud Translation API übersetzt.

Erkennungsdienste

Diese Seite enthält eine Liste der Erkennungsdienste, die manchmal auch sogenannte Sicherheitsquellen. Sie werden von Security Command Center verwendet, Sicherheitsprobleme in Ihren Cloud-Umgebungen.

Wenn diese Dienste ein Problem erkennen, generieren sie eine Befindung, die einen Eintrag, der das Sicherheitsproblem identifiziert und Informationen, die Sie benötigen, um das Problem zu priorisieren und zu beheben.

Sie können Ergebnisse in der Google Cloud Console ansehen und filtern z. B. nach dem Ergebnistyp, dem Ressourcentyp oder für ein bestimmtes Asset. Jede Sicherheitsquelle bietet möglicherweise weitere Filter, helfen Ihnen, Ihre Ergebnisse zu strukturieren.

Die IAM-Rollen für Security Command Center können in der Organisation, Ordner- oder Projektebene. Ihre Fähigkeit, Ergebnisse, Assets, und Sicherheitsquellen hängen von der Zugriffsebene ab. Weitere Informationen Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Dienste zur Erkennung von Sicherheitslücken

Dienste zur Erkennung von Sicherheitslücken umfassen integrierte und integrierte Dienste die Sicherheitslücken in der Software, Fehlkonfigurationen und Sicherheitsstatus in Ihren Cloud-Umgebungen. Zusammengenommen werden diese Typen der Sicherheitsprobleme werden als Sicherheitslücken bezeichnet.

Dashboard für den GKE-Sicherheitsstatus

Das Dashboard für den GKE-Sicherheitsstatus ist eine Seite im Google Cloud Console, die Ihnen fundierte, umsetzbare Ergebnisse liefert über potenzielle Sicherheitsprobleme in Ihren GKE-Clustern.

Wenn Sie eines der folgenden Dashboards für den GKE-Sicherheitsstatus aktivieren sehen Sie die Ergebnisse in der Standard-Stufe von Security Command Center oder Premium-Stufe:

Dashboard-Feature für GKE-Sicherheitsstatus	Security Command Center-Ergebnistyp
Prüfung der Arbeitslastkonfiguration	`MISCONFIGURATION`
Scannen auf Sicherheitslücken in Containerbetriebssystem Scannen von Sprachpaketen auf Sicherheitslücken Umsetzbare Sicherheitsbulletins (Vorschau)	`VULNERABILITY`

Die Ergebnisse enthalten Informationen zum Sicherheitsproblem Empfehlungen zur Behebung der Probleme in Ihren Arbeitslasten oder Clustern.

Ergebnisse im Dashboard für den GKE-Sicherheitsstatus in der Google Cloud Console ansehen

Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf:

Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Gehen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle so vor: Wählen Sie GKE-Sicherheitsstatus aus. Wenn Sie das Symbol GKE-Sicherheitsstatus angezeigt, sind keine aktiven Ergebnisse vorhanden.

IAM Recommender

IAM Recommender Empfehlungen zur Verbesserung der Sicherheit, die Sie befolgen können, indem Sie oder IAM-Rollen durch Hauptkonten ersetzen, wenn die Rollen IAM-Berechtigungen, die das Hauptkonto nicht benötigt.

IAM-Recommender-Ergebnisse aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie IAM-Recommender-Ergebnisse in Security Command Center: führen Sie folgende Schritte aus:

Gehen Sie in Security Command Center zum Tab Integrierte Dienste. Seite Einstellungen in der Google Cloud Console:

Einstellungen aufrufen
Scrollen Sie gegebenenfalls nach unten zum Eintrag IAM Recommender.
Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.

Ergebnisse aus dem IAM-Recommender werden als Sicherheitslücken klassifiziert.

Maximieren Sie den folgenden Abschnitt, um Probleme mit einem IAM-Recommender-Ergebnis zu beheben: Tabelle mit den Ergebnissen des IAM-Recommenders. Die Abhilfemaßnahmen für jedes Ergebnis im Tabelleneintrag enthalten sein.

IAM-Recommender-Detektoren

Ergebnisse des IAM-Recommenders
Detektor	Fazit
`IAM role has excessive permissions` Kategoriename in der API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Ergebnisbeschreibung: Der IAM-Recommender hat ein Dienstkonto mit mindestens einem Dienstkonto erkannt IAM-Rollen, die dem Nutzerkonto übermäßig viele Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets: <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Project <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Folder <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Organization Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte: Führen Sie in den Ergebnisdetails in der Google Cloud Console im Abschnitt Nächste Schritte die folgenden Schritte aus: Kopieren Sie die URL der IAM-Seite und fügen Sie sie in einen Browser ein. Adressleiste und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Sehen Sie sich Empfehlungen in der Tabelle an.` Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Empfehlung, die sich auf nicht erforderliche Berechtigungen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Lesen Sie die Empfehlung zu den Maßnahmen, die Sie ergreifen können, um das Problem zu beheben. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden an `INACTIVE`.
`Service agent role replaced with basic role` Kategoriename in der API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Ergebnisbeschreibung: Der IAM-Recommender hat erkannt, dass die ursprüngliche Standard-IAM- Die einem Dienst-Agent gewährte Rolle wurde durch eine einfache IAM-Rolle ersetzt Rollen: Inhaber, Bearbeiter oder Betrachter Zu viele einfache Rollen weniger Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets: <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Project <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Folder <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Organization Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte: Führen Sie in den Ergebnisdetails in der Google Cloud Console im Abschnitt Nächste Schritte die folgenden Schritte aus: Kopieren Sie die URL der IAM-Seite und fügen Sie sie in einen Browser ein. Adressleiste und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Sehen Sie sich Empfehlungen in der Tabelle an.` Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden an `INACTIVE`.
`Service agent granted basic role` Kategoriename in der API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Ergebnisbeschreibung: IAM-Recommender hat erkannt, dass ein Dienst-Agent in IAM gewährt wurde eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter: Einfache Rollen sind zu moderate Legacy-Rollen und sollten nicht Servicemitarbeitern gewährt wird. Preisstufe: Premium Unterstützte Assets: <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Project <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Folder <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Organization Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte: Führen Sie in den Ergebnisdetails in der Google Cloud Console im Abschnitt Nächste Schritte die folgenden Schritte aus: Kopieren Sie die URL der IAM-Seite und fügen Sie sie in einen Browser ein. Adressleiste und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Sehen Sie sich Empfehlungen in der Tabelle an.` Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden an `INACTIVE`.
`Unused IAM role` Kategoriename in der API: `UNUSED_IAM_ROLE`	Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto erkannt, das eine IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets: <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Project <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Folder <ph type="x-smartling-placeholder"></ph> google.cloud.resourcemanager.Organization Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte: Führen Sie in den Ergebnisdetails in der Google Cloud Console im Abschnitt Nächste Schritte die folgenden Schritte aus: Kopieren Sie die URL der IAM-Seite und fügen Sie sie in einen Browser ein. Adressleiste und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Sehen Sie sich Empfehlungen in der Tabelle an.` Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden an `INACTIVE`.

Ergebnisse des IAM-Recommenders in der Console ansehen

In der Google Cloud Console können Sie vom IAM-Recommender ausgegeben, entweder auf der Sicherheitslücken indem Sie die Abfragevoreinstellung IAM Recommender oder auf der Seite Ergebnisse Wählen Sie dazu im Abschnitt Anzeigename der Quelle IAM Recommender aus. Schnellfilter aus.

Mandiant Attack Surface Management

Mandiant ist ein weltweit führender Anbieter von Frontline-Threat-Intelligence. Mandiant Attack Surface Management identifiziert Sicherheitslücken und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie in Bezug auf neuesten Cyberangriffen.

Mandiant Attack Surface Management wird automatisch aktiviert, wenn Sie die Die Stufe und Ergebnisse von Security Command Center Enterprise sind in der Google Cloud Console verfügbar.

Informationen zu den Unterschieden des eigenständigen Produkts Mandiant Attack Surface Management aus der Integration von Mandiant Attack Surface Management in Security Command Center, siehe ASM und Security Command Center im Dokumentationsportal von Mandiant. Für diesen Link ist Mandiant erforderlich Authentifizierung.

Die Ergebnisse von Mandiant Attack Surface Management in der Google Cloud Console ansehen

So überprüfen Sie die Ergebnisse in der Google Cloud Console:

Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Im Abschnitt Schnellfilter im Feld Anzeigename der Quelle wählen Sie Mandiant Attack Surface Management aus.

Die Tabelle enthält die Ergebnisse von Mandiant Attack Surface Management.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für Das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen zum Ergebnis an. einschließlich Informationen darüber, was erkannt wurde, und mehr.

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. Diese Richtlinien dienen als Schutzmaßnahmen und können mit Best Practices, Sicherheits- und Compliance-Management Ihrer Cluster und Flotte.

Wenn Sie Policy Controller installieren, und entweder CIS Kubernetes Benchmark v1.5.1 oder PCI-DSS v3.2.1 aktivieren. Policy Controller-Bundles oder beides werden von Policy Controller automatisch geschrieben Clusterverstöße an Security Command Center als Misconfiguration-Klasse Ergebnisse. Ergebnisbeschreibung und nächste Schritte in Security Command Center Die Ergebnisse sind mit der Beschreibung der Einschränkung und den Schritten zur Behebung identisch des entsprechenden Policy Controller-Bundles.

Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:

CIS Kubernetes Benchmark v1.5.1, eine Reihe von Empfehlungen zum Konfigurieren von Kubernetes, um ein hohes Sicherheitsniveau zu erreichen Körperhaltung. Informationen zu diesem Set finden Sie auch in der GitHub-Repository für cis-k8s-v1.5.1.
PCI-DSS v3.2.1 ein Bundle, das die Compliance Ihrer Clusterressourcen anhand einige Aspekte des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1. Informationen zu diesem Set finden Sie auch in der GitHub-Repository für pci-dss-v3.

Informationen zum Ermitteln und Beheben von Policy Controller-Ergebnissen finden Sie unter Probleme mit Policy Controller-Ergebnissen beheben

Risk-Engine

Die Security Command Center Risk Engine bewertet die Risikoexposition Ihres Cloud-Bereitstellungen, weist den Ergebnissen von Sicherheitslücken Angriffsrisikobewertungen zu und Ihre hochwertigen Ressourcen und zeigt Pfade, die ein potenzielles die Angreifer greifen könnten, um Ihre hochwertigen Ressourcen zu erreichen.

In der Enterprise-Stufe von Security Command Center die Risk Engine erkennt Gruppen von Sicherheitsproblemen, die, wenn sie zusammen in einem Musters einen Pfad zu einem oder mehreren Ihrer hochwertigen Ressourcen, die ein entschlossener Angreifer um diese Ressourcen zu erreichen und zu kompromittieren.

Wenn Risk Engine erkennt einer dieser Kombinationen wird ein Ergebnis der Klasse TOXIC_COMBINATION ausgegeben. In dem Ergebnis wird Risk Engine als Quelle der für das Ergebnis.

Weitere Informationen finden Sie unter Übersicht über unangemessene Kombinationen.

Security Health Analytics

Security Health Analytics ist ein integrierter Erkennungsdienst von Security Command Center mit verwalteten Scans Ihrer Cloud-Ressourcen, häufige Fehlkonfigurationen.

Wenn eine Fehlkonfiguration erkannt wird, gibt Security Health Analytics ein Ergebnis aus. Die meisten Ergebnisse von Security Health Analytics werden Sicherheitsstandardkontrollen zugeordnet damit Sie die Compliance bewerten können.

Security Health Analytics scannt Ihre Ressourcen in Google Cloud. Wenn Sie und Verbindungen zu anderen Cloud-Plattformen herstellen, Security Health Analytics kann Ihre Ressourcen auch auf diesen Cloud-Plattformen scannen.

Abhängig von Ihrer Security Command Center-Dienststufe unterscheiden sich die verfügbaren Detektoren:

In der Standard-Stufe umfasst Security Health Analytics nur eine einfache Gruppe von Detektoren für Sicherheitslücken mit mittlerem und hohem Schweregrad.
Premium-Stufe enthält alle Detektoren für Sicherheitslücken in Google Cloud.
Enterprise-Stufe enthält zusätzliche Detektoren für andere Cloud-Plattformen.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center.

Weitere Informationen finden Sie unter:

Dienst für den Sicherheitsstatus

Der Sicherheitsstatus Dienst ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, mit der Sie die Gesamtheit Sicherheitsstatus in Google Cloud. Sie enthält Informationen dazu, Ihre Umgebung mit den Richtlinien übereinstimmt, die Sie in Ihrer Sicherheitsinfrastruktur definieren Körperhaltung.

Der Dienst für den Sicherheitsstatus hängt nicht mit der GKE-Plattform Dashboard für den Sicherheitsstatus: Enthält nur Ergebnisse in GKE Cluster.

Ergebnisse des Sicherheitsstatusdiensts

Ergebnisse zum Sicherheitsstatus
Ergebnis	Fazit
`SHA Canned Module Drifted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem Detektor für Security Health Analytics erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Detektoreinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`SHA Custom Module Drifted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem benutzerdefinierten Modul von Security Health Analytics erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`SHA Custom Module Deleted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DELETE`	Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass ein Security Health Analytics benutzerdefiniertes Modul wurde gelöscht. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`Org Policy Canned Constraint Drifted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`Org Policy Canned Constraint Deleted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DELETE`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`Org Policy Custom Constraint Drifted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.
`Org Policy Custom Constraint Deleted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DELETE`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Statusbereitstellung aktualisieren.

Schutz sensibler Daten

Sensitive Data Protection ist ein vollständig verwalteter Google Cloud-Dienst, mit dem Sie Ihre sensiblen Daten zu ermitteln, zu klassifizieren und zu schützen. Sie können Sensitive Data Protection, um festzustellen, ob Sie vertrauliche oder persönliche Daten speichern personenidentifizierbare Informationen wie die folgenden:

Personennamen
Kreditkartennummern
Nationale oder staatliche Ausweisnummern
Krankenversicherungs-ID-Nummern
Secrets

Bei Sensitive Data Protection wird jeder Typ von sensiblen Daten, nach dem Sie suchen, als Einen infoType.

Wenn Sie Ihren Sensitive Data Protection-Vorgang zum Senden an Security Command Center senden, können Sie die Ergebnisse direkt in der im Bereich Security Command Center der Google Cloud Console. Sensitive Data Protection.

Ergebnisse zu Sicherheitslücken vom Erkennungsdienst für Sensitive Data Protection

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie feststellen, ob Ihre Cloud Functions-Umgebungsvariablen Secrets enthalten, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Eine vollständige Liste die Sensitive Data Protection in dieser Funktion erkennt, Siehe Anmeldedaten und Secrets.

Erkenntnistyp Ergebnisbeschreibung Compliancestandards

Erkenntnistyp	Ergebnisbeschreibung	Compliancestandards
`Secrets in environment variables` Kategoriename in der API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Dieser Detektor sucht in Cloud Functions-Umgebungsvariablen nach Secrets. Problembehebung : Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Secrets in environment variables

Kategoriename in der API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Dieser Detektor sucht in Cloud Functions-Umgebungsvariablen nach Secrets.

Problembehebung : Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Wenn Sie die Secret-Erkennung in Sensitive Data Protection aktivieren, Es kann bis zu 12 Stunden dauern, bis die Umgebungsvariablen und alle Ergebnisse für „Secrets in Umgebungsvariablen“ in Security Command Center. Anschließend scannt der Schutz sensibler Daten die Umgebung alle 24 Stunden ändern. In der Praxis können Scans häufiger ausgeführt werden.

Informationen zum Aktivieren dieses Detektors finden Sie unter Secrets in der Umgebung melden“ in Security Command Center in der Dokumentation zum Schutz sensibler Daten.

Beobachtungsergebnisse von Sensitive Data Protection

In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die Sensitive Data Protection in Security Command Center generiert.

Beobachtungsergebnisse des Discovery-Dienstes

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie feststellen, BigQuery-Daten enthalten bestimmte infoTypes und ihre Position in der Organisation, Ordnern und Projekten.

Ein Erkennungsvorgang generiert Profile der zugrunde liegenden BigQuery-Datei auf Projekt-, Tabellen- und Spaltenebene. Jedes Tabellendatenprofil generiert die folgenden Ergebniskategorien in Security Command Center:

Data sensitivity: Ein Hinweis auf die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind sensibel, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die möglicherweise erforderlich sind zusätzliche Kontrolle oder Verwaltung. Der Schweregrad des Ergebnisses sensibilisieren Sie den Schutz sensibler Daten. berechnet, wenn Generieren des Datenprofils.
Data risk: Das mit den Daten in ihrem aktuellen Zustand verbundene Risiko. Beim Berechnen von Daten berücksichtigt, berücksichtigt der Schutz sensibler Daten die Empfindlichkeitsstufe die Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen, um diese zu schützen Daten. Der Schweregrad des Ergebnisses ist das Datenrisikoniveau, Schutz sensibler Daten berechnet werden, des Datenprofils.

Ab der Erstellung der Datenprofile durch den Schutz sensibler Daten kann Es kann bis zu sechs Stunden dauern, bis die verknüpften Data sensitivity und Data risk Ergebnisse, die in Security Command Center angezeigt werden sollen.

Informationen zum Senden von Datenprofilergebnissen an Security Command Center finden Sie unter Erkennung sensibler Daten aktivieren

Beobachtungsergebnisse des Inspektionsdienstes für den Schutz sensibler Daten

Ein Inspektionsjob für Sensitive Data Protection identifiziert jede Dateninstanz in einem Speichersystem wie einem Cloud Storage-Bucket oder einem BigQuery-Tabelle. Sie können beispielsweise einen Inspektionsjob ausführen, Sucht nach allen Strings, die dem infoType-Detektor CREDIT_CARD_NUMBER entsprechen in einem Cloud Storage-Bucket.

Für jeden infoType-Detektor mit einer oder mehreren Übereinstimmungen wird der Schutz sensibler Daten ein entsprechendes Security Command Center-Ergebnis generiert. Die Ergebniskategorie ist Der Name des infoType-Detektors, der eine Übereinstimmung aufweist, z. B. Credit card number. Das Ergebnis enthält die Anzahl übereinstimmender Zeichenfolgen, die in Text oder Bildern in der Ressource erkannt wurden.

Aus Sicherheitsgründen sind die tatsächlich erkannten Strings in für das Ergebnis. Ein Credit card number-Ergebnis zeigt beispielsweise, wie viele Kreditkartennummern wurden gefunden, die tatsächlichen Kreditkartennummern werden jedoch nicht angezeigt.

Da mehr als 150 integrierte infoType-Detektoren Sensitive Data Protection, sind alle möglichen Ergebniskategorien von Security Command Center nicht verfügbar die hier aufgeführt sind. Eine vollständige Liste der infoType-Detektoren finden Sie unter infoType-Detektoren Referenz.

Informationen zum Senden der Ergebnisse eines Inspektionsjobs an Security Command Center, siehe Ergebnisse des Inspektionsjobs für den Schutz sensibler Daten senden an Security Command Center.

Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen

So überprüfen Sie die Ergebnisse in der Google Cloud Console:

Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Im Abschnitt Schnellfilter im Feld Anzeigename der Quelle die Option Schutz sensibler Daten aus.

Die Tabelle wird mit den Ergebnissen zum Schutz sensibler Daten gefüllt.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für Das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen zum Ergebnis an. einschließlich Informationen darüber, was erkannt wurde, und mehr.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

So verwenden Sie VM Manager mit Aktivierungen auf Projektebene: Security Command Center Premium aktivieren, Security Command Center Standard aktivieren in der übergeordneten Organisation.

Wenn Sie VM Manager aktivieren mit die Premium-Stufe von Security Command Center, VM Manager schreibt automatisch Ergebnisse zu high und critical aus seinen Sicherheitslückenberichten, die befinden sich in der Vorabversion in Security Command Center. Die Berichte identifizieren Schwachstellen in Betriebssysteme, die auf VMs installiert sind, einschließlich häufig auftretender Sicherheitslücken und Schwachstellen (CVEs).

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. VM Manager unterstützt die Patchverwaltung auf der auf der Ebene einzelner Projekte.

Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben.

Informationen dazu, wie Sie verhindern, dass Berichte zu Sicherheitslücken in Security Command Center geschrieben werden, finden Sie unter VM Manager-Ergebnisse ausblenden

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

**Tabelle 24** VM Manager-Berichte zu Sicherheitslücken
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`OS vulnerability` Kategoriename in der API: `OS_VULNERABILITY`	Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zum Betriebssystem Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt: Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, können Sie erwarten Common Vulnerabilities and Exposures (CVEs) Informationen für die VM in Security Command Center innerhalb von zwei Stunden nach der Änderung. Wenn neue Sicherheitshinweise für ein Betriebssystem veröffentlicht werden, werden sie aktualisiert. CVEs sind in der Regel innerhalb von 24 Stunden nach dem Betriebssystemanbieter verfügbar veröffentlicht den Hinweis.

Sicherheitslückenbewertung für AWS

Mit dem Dienst „Vulnerability Assessment for Amazon Web Services“ (AWS) werden Sicherheitslücken in Software erkannt. in Ihren Arbeitslasten, die auf virtuellen EC2-Maschinen (VMs) auf der AWS-Cloud-Plattform

Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS einen Ergebnis der Klasse „Vulnerability“ im Ergebnis „Software vulnerability“ in Security Command Center.

Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots des ausgeführten EC2-Computers damit Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode ist als Laufwerksscan ohne Agent bezeichnet, da keine Agents installiert sind. Scanziele.

Hier finden Sie weitere Informationen:

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie mit verwalteten Scans grundlegende Webanwendungen zentral verwalten Schwachstellenerkennung für Projekte in Ihrem Unternehmen, einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, werden die Ergebnisse des verwalteten Scans sind automatisch auf der Seite Vulnerabilities (Sicherheitslücken) in Security Command Center verfügbar und zugehöriger Berichte. Informationen zum Aktivieren von Web Security Scanner Verwaltete Scans finden Sie unter Security Command Center-Dienste konfigurieren.

Verwaltete Scans unterstützen nur Anwendungen, die den Standardport 80 verwenden für HTTP-Verbindungen und 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung nicht-Standardport, führen Sie stattdessen einen benutzerdefinierten Scan durch.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.

Benutzerdefinierte Scans werden auf Projektebene definiert.

Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie	Ergebnisbeschreibung	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` Kategoriename in der API: `ACCESSIBLE_GIT_REPOSITORY`	Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Accessible SVN repository` Kategoriename in der API: `ACCESSIBLE_SVN_REPOSITORY`	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Cacheable password input` Kategoriename in der API: `CACHEABLE_PASSWORD_INPUT`	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium Dieses Ergebnis korrigieren	A3	A04
`Clear text password` Kategoriename in der API: `CLEAR_TEXT_PASSWORD`	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Standard Dieses Ergebnis korrigieren	A3	A02
`Insecure allow origin ends with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts `Origin` ist, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. `.endsWith(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Insecure allow origin starts with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert `Origin` übereinstimmt, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben, z. B. `.equals(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Invalid content type` Kategoriename in der API: `INVALID_CONTENT_TYPE`	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header `X-Content-Type-Options` den richtigen Wert fest. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Invalid header` Kategoriename in der API: `INVALID_HEADER`	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mismatching security header values` Kategoriename in der API: `MISMATCHING_SECURITY_HEADER_VALUES`	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Misspelled security header name` Kategoriename in der API: `MISSPELLED_SECURITY_HEADER_NAME`	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mixed content` Kategoriename in der API: `MIXED_CONTENT`	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Outdated library` Kategoriename in der API: `OUTDATED_LIBRARY`	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A9	A06
`Server side request forgery` Kategoriename in der API: `SERVER_SIDE_REQUEST_FORGERY`	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	Nicht zutreffend	A10
`Session ID leak` Kategoriename in der API: `SESSION_ID_LEAK`	Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader `Referer`. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann. Preisstufe: Premium Dieses Ergebnis korrigieren	A2	A07
`SQL injection` Kategoriename in der API: `SQL_INJECTION`	Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen. Preisstufe: Premium Dieses Ergebnis korrigieren	A1	A03
`Struts insecure deserialization` Kategoriename in der API: `STRUTS_INSECURE_DESERIALIZATION`	Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium Dieses Ergebnis korrigieren	A8	A08
`XSS` Kategoriename in der API: `XSS`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XSS angular callback` Kategoriename in der API: `XSS_ANGULAR_CALLBACK`	Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XSS error` Kategoriename in der API: `XSS_ERROR`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XXE reflected file leakage` Kategoriename in der API: `XXE_REFLECTED_FILE_LEAKAGE`	Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium Dieses Ergebnis korrigieren	A4	A05
`Prototype pollution` Kategoriename in der API: `PROTOTYPE_POLLUTION`	Die Anwendung ist anfällig für Verschmutzung durch Prototypen. Diese Sicherheitslücke tritt auf, des `Object.prototype`-Objekts können von Angreifern steuerbare Werte zugewiesen werden. Werte, die diesen Prototypen zugewiesen wurden allgemein davon ausgegangen, dass sie zu Cross-Site-Scripting oder ähnlichen clientseitigen Schwachstellen sowie logischen Fehlern führen. Preisstufe: Standard <ph type="x-smartling-placeholder"></ph> Ergebnis korrigieren	A1	A03

Dienste zur Bedrohungserkennung

Dienste zur Bedrohungserkennung umfassen integrierte und integrierte Dienste die Ereignisse erkennen, die auf potenziell bedrohliche Ereignisse hinweisen können, wie z. B. gehackte Ressourcen oder Cyberangriffe.

Anomalieerkennung

Die Anomalieerkennung ist ein integrierter Dienst, der außerhalb Ihres Systems. Es werden detaillierte Informationen zur Sicherheit angezeigt. Anomalien, die in Ihren Projekten und VM-Instanzen erkannt wurden, z. B. als potenziell gehackte Anmeldedaten. Anomalieerkennung ist automatisch aktiviert, wenn Sie Security Command Center Standard oder Premium-Stufe und Ergebnisse sind in der Google Cloud Console verfügbar.

Zu den Ergebnissen der Anomalieerkennung gehören:

Name der Anomalie Ergebniskategorie Beschreibung

Name der Anomalie	Ergebniskategorie	Beschreibung
`Account has leaked credentials`	`account_has_leaked_credentials`	Anmeldedaten für ein Google Cloud-Dienstkonto sind versehentlich oder kompromittiert wurden. Schweregrad:Kritisch

Account has leaked credentials

account_has_leaked_credentials

Anmeldedaten für ein Google Cloud-Dienstkonto sind versehentlich oder kompromittiert wurden.

Schweregrad:Kritisch

Konto hat Anmeldedaten gestohlen

GitHub hat Security Command Center darüber informiert, dass die Anmeldedaten die für ein Commit verwendet wurden, scheinen die Anmeldedaten Google Cloud Identity and Access Management-Dienstkonto.

Die Benachrichtigung enthält den Namen des Dienstkontos und den privaten Schlüssel Kennung. Google Cloud sendet auch Ihre festgelegter Kontakt für Sicherheit und Datenschutz sendet eine Benachrichtigung per E-Mail.

Führen Sie einen oder mehrere der folgenden Schritte aus, um das Problem zu beheben:

Ermitteln Sie den legitimen Nutzer des Schlüssels.
Rotieren Sie den Schlüssel.
Entfernen Sie den Schlüssel.
Untersuchen Sie alle Aktionen, die vom Schlüssel nach dem Schlüssel wurden geleakt, um sicherzustellen, dass keine der Aktionen schädlich waren.

JSON: Ergebnis gehackter Kontoanmeldedaten

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeitangriffe erkennen und Sie benachrichtigen in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Skripts aus, um die folgenden Ereignisse zu erkennen:

Ausgeführte Binärdatei hinzugeführt
Hinzugefügte Mediathek geladen
Ausführung: Schadprogramm ausgeführt und hinzugefügt
Ausführung: Schädliche Bibliothek wurde hinzugefügt
Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
Ausführung: Geänderte schädliche Bibliothek geladen
Schädliches Script ausgeführt
Reverse Shell
Unerwartete untergeordnete Shell

Weitere Informationen zu Container Threat Detection.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es sieht an Cloud Logging-Stream für Projekte und Nutzungen Protokolle, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe und Ergebnisse von Security Command Center sind verfügbar in der Google Cloud Console

Die folgende Tabelle enthält Beispiele für Ergebnisse von Event Threat Detection.

**Tabelle C.** Ergebnistypen von Event Threat Detection
Vernichtung von Daten	Event Threat Detection erkennt die Datenvernichtung, indem die Audit-Logs des Sicherungs- und Notfallwiederherstellungsservers auf die folgenden Szenarien geprüft werden: Löschen eines Back-up-Images Alle mit einer Anwendung verknüpften Backup-Images löschen Sicherungs-/Wiederherstellungs-Appliance löschen
Daten-Exfiltration	Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden: Eine BigQuery-Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird. Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind. Eine Cloud SQL-Ressource wird vollständig oder teilweise in einen Cloud Storage-Bucket außerhalb Ihrer Organisation bzw. in einen Bucket exportiert, der Ihrer Organisation gehört und öffentlich zugänglich ist. Eine Cloud SQL-Sicherung wird auf einer Cloud SQL-Instanz außerhalb Ihrer Organisation wiederhergestellt. Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Cloud Storage-Bucket außerhalb Ihrer Organisation oder in einen Bucket in Ihrer Organisation, der öffentlich zugänglich ist, exportiert. Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Google Drive-Ordner exportiert.
Verdächtige Cloud SQL-Aktivität	Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen die auf die Manipulation eines gültigen Nutzerkontos Cloud SQL-Instanzen: Einem Datenbanknutzer werden alle Berechtigungen Cloud SQL for PostgreSQL-Datenbank oder alle Tabellen, Prozeduren oder Funktionen in einem Schema. Ein Cloud SQL-Standard-Datenbank-Superuser („postgres“) auf PostgreSQL-Instanzen oder „root“ auf MySQL-Instanzen) wird verwendet, um auf nicht systemeigene Tabellen.
Verdächtige Aktivität in AlloyDB for PostgreSQL	Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen die auf die Manipulation eines gültigen Nutzerkontos AlloyDB for PostgreSQL-Instanzen: Einem Datenbanknutzer werden alle Berechtigungen AlloyDB for PostgreSQL-Datenbank oder alle Tabellen, Prozeduren oder Funktionen in einem Schema. Ein AlloyDB for PostgreSQL-Standard-Datenbank-Superuser ('postgres') wird zum Schreiben in Nicht-Systemtabellen verwendet.
Brute-Force-SSH	Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining	Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden.
IAM-Missbrauch	Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel: Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters. Die Einladung eines gmail.com-Nutzers als Projektinhaber aus der Google Cloud Console Dienstkonto, das vertrauliche Berechtigungen gewährt. Benutzerdefinierte Rollen sensible Berechtigungen gewährt. Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Systemwiederherstellung verhindern	Event Threat Detection erkennt ungewöhnliche Änderungen an Back-up und Notfallwiederherstellung, die sich auf den Sicherungsstatus auswirken können, darunter größere Richtlinienänderungen und das Entfernen kritischer Komponenten für Sicherung und Notfallwiederherstellung.
Log4j	Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken.
Malware	Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Ausgehender DoS	Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen.
Anomaler Zugriff	Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud-Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Anomales IAM-Verhalten	Event Threat Detection erkennt ungewöhnliches IAM-Verhalten durch Prüfung Cloud-Audit-Logs für die folgenden Szenarien: <ph type="x-smartling-placeholder"> </ph> IAM-Nutzer- und -Dienstkonten, die über ungewöhnliche IP-Adressen auf Google Cloud zugreifen IAM-Dienstkonten, die über ungewöhnliche User-Agents auf Google Cloud zugreifen Hauptkonten und Ressourcen, die IAM-Dienstkonten imitieren, um auf Google Cloud zuzugreifen.
Selbstuntersuchung des Dienstkontos	Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Vom Compute Engine-Administrator hinzugefügter SSH-Schlüssel	Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Vom Compute Engine-Administrator hinzugefügtes Startskript	Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche).
Verdächtige Kontoaktivitäten	Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen.
Von einer Regierung unterstützter Angriff	Event Threat Detection untersucht Audit-Logs von Google Workspace, um festzustellen, ob von staatlichen Stellen unterstützte Angreifer möglicherweise versucht haben, das Konto oder den Computer eines Nutzers zu kompromittieren.
Änderungen bei der Einmalanmeldung (SSO)	Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden.
Bestätigung in zwei Schritten	Event Threat Detection untersucht Google Workspace-Audit-Logs, um zu erkennen, ob die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist.
Ungewöhnliches API-Verhalten	Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud-Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat.
Defense Evasion	Event Threat Detection erkennt Umgehung von Abwehrmaßnahmen durch Prüfung von Cloud-Audit-Logs für folgende Szenarien: Änderungen an vorhandenen VPC Service Controls-Perimetern, die führen dazu, dass weniger Schutz geboten wird. Bereitstellungen oder Updates für Arbeitslasten, die die Break-Glass-Flag, um Steuerelemente der Binärautorisierung zu überschreiben.^Vorschau
Discovery	Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden: Ein potenziell böswilliger Akteur hat versucht herauszufinden, sensible Objekte in GKE zu schützen, für die Abfrage festlegen, `kubectl` . Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.
Anfänglicher Zugriff	Event Threat Detection erkennt erste Zugriffsvorgänge Audit-Logs für die folgenden Szenarien untersuchen: <ph type="x-smartling-placeholder"> </ph> Ein inaktiver von Nutzern verwalteter Dienst Konto hat eine Aktion ausgelöst.^Vorschau Ein Hauptkonto hat versucht, verschiedene Google Cloud-Methoden, die wiederholt aufgrund der Berechtigung abgelehnt-Fehler.^Vorschau
Rechteausweitung	Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert: Zur Rechteausweitung hat ein potenziell böswilliger Akteur versucht, `ClusterRole`, `RoleBinding` oder `ClusterRoleBinding` ändern RBAC-Objekt (Role-Based Access Control) des vertraulichen `cluster-admin`-Objekts Rolle mithilfe einer `PUT`- oder `PATCH`-Anfrage. Ein potenziell böswilliger Akteur hat ein Zertifikat der Kubernetes-Steuerungsebene erstellt Signaturanfrage (CSR), die ihnen `cluster-admin` teilt. access. Zur Rechteausweitung hat ein potenziell böswilliger Akteur versucht, eine neue `RoleBinding` oder `ClusterRoleBinding` Objekt für die Rolle `cluster-admin`. Ein potenziell böswilliger Akteur hat nach einem Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) mit dem `kubectl` unter Verwendung von manipulierten Bootstrap-Anmeldedaten. Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Gruppen enthält Container oder Container mit Funktionen zur Rechteausweitung
Cloud IDS-Erkennungen	Cloud IDS erkennt Layer-7-Angriffe durch Analyse gespiegelter Pakete Wenn ein verdächtiges Ereignis erkannt wird, wird eine Event Threat Detection ausgelöst. zu finden. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging-Informationen. ^Vorschau
Seitliche Bewegung	Event Threat Detection erkennt potenzielle Angriffe mit modifiziertem Bootlaufwerk. Dazu untersucht es in Cloud-Audit-Logs, ob Bootlaufwerke in Compute Engine-Instanzen häufig getrennt und wieder angehängt werden.

Weitere Informationen zu Event Threat Detection.

Forseti Security

Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.

Folgen Sie der Anleitung im Benachrichtigungsleitfaden für Security Command Center von Forseti, um Verstoß-Benachrichtigungen von Forseti im Security Command Center anzuzeigen.

Weitere Informationen:

Weitere Informationen zu Forseti.
Hier erhalten Sie Hilfe zu Forseti.

Google Cloud Armor

Google Cloud Armor trägt zum Schutz Ihres durch Layer-7-Filterung. Google Cloud Armor bereinigt eingehenden Traffic nach gängigen Webangriffen oder anderen Layer-7-Attributen, bevor er die Back-End-Dienste mit Load-Balancing erreicht Buckets.

Google Cloud Armor exportiert zwei Ergebnisse in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, Bedrohungserkennung durch Instrumentierung auf Hypervisorebene und nichtflüchtigen Speicher Analyse. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Kryptomining-Software, Rootkits im Kernelmodus und Malware, kompromittierten Cloud-Umgebungen.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

VM Threat Detection-Bedrohungsergebnisse

VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.

Bedrohungsdaten für das Mining von Kryptowährungen

VM Threat Detection erkennt die folgenden Ergebniskategorien über Hash-Abgleich oder YARA-Regeln.

Bedrohungsergebnisse zum Mining von Kryptowährungen durch VM Threat Detection
Kategorie	Modul	Beschreibung
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifiziert eine Bedrohung, die sowohl vom Die Module `CRYPTOMINING_HASH` und `CRYPTOMINING_YARA`. Weitere Informationen finden Sie unter Kombinierte Erkennungen:

Rootkit-Bedrohungsergebnisse im Kernelmodus

VM Threat Detection analysiert die Kernel-Integrität während der Laufzeit, um gängige Täuschverfahren zu erkennen die von Malware verwendet werden.

Das KERNEL_MEMORY_TAMPERING das Modul Bedrohungen, indem es einen Hash-Vergleich auf der Kernel-Code und schreibgeschützter Kernel-Datenspeicher einer virtuellen Maschine.

Das Modul KERNEL_INTEGRITY_TAMPERING erkennt Bedrohungen durch Prüfen die Integrität wichtiger Kernel-Datenstrukturen.

Rootkit-Bedrohungsergebnisse im Kernelmodus von VM Threat Detection
Kategorie	Modul	Beschreibung
Manipulation des Kernel-Arbeitsspeichers
`Defense Evasion: Unexpected kernel code modification`^Vorschau	`KERNEL_MEMORY_TAMPERING`	Unerwartete Änderungen des Kernel-Codespeichers.
`Defense Evasion: Unexpected kernel read-only data modification`^Vorschau	`KERNEL_MEMORY_TAMPERING`	Unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher.
Manipulation der Kernel-Integrität
`Defense Evasion: Unexpected ftrace handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	`ftrace` Punkte mit Callbacks, die auf Regionen verweisen, die sich nicht in dieser Region befinden den erwarteten Kernel- oder Modulcodebereich.
`Defense Evasion: Unexpected interrupt handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Es sind Unterbrechungs-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
`Defense Evasion: Unexpected kernel modules`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
`Defense Evasion: Unexpected kprobe handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	`kprobe` Punkte mit Callbacks, die auf Regionen verweisen, die sich nicht in dieser Region befinden den erwarteten Kernel- oder Modulcodebereich.
`Defense Evasion: Unexpected processes in runqueue`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	In der Ausführungswarteschlange des Planers sind unerwartete Prozesse vorhanden. Solche Prozesse befinden sich in der Warteschlange, aber nicht in der Prozessaufgabenliste.
`Defense Evasion: Unexpected system call handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Rootkit
`Defense Evasion: Rootkit`^Vorschau	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Es ist eine Kombination von Signalen vorhanden, die mit einem bekannten Kernelmodus-Rootkit übereinstimmen. Empfangen Ergebnisse dieser Kategorie erhalten, achten Sie darauf, dass beide Module aktiviert sind.

VM Threat Detection-Beobachtungsergebnis

VM Threat Detection kann das folgende Beobachtungsergebnis generieren.

Beobachtungsergebnisse von VM Threat Detection
Kategoriename	API-Name	Fazit	Schweregrad
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection ist deaktiviert. Bevor dieser Dienst aktiviert wird, kann er Ihre Compute Engine-Projekte und VM-Instanzen nicht auf unerwünschte Anwendungen scannen. Dieses Ergebnis wird nach 30 Tagen auf `INACTIVE` gesetzt. Danach wird dieses Ergebnis nicht noch einmal generiert.	Hoch

Fehler

Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors.

Unbeabsichtigte Aktionen

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename	API-Name	Fazit	Schweregrad
`API disabled`	`API_DISABLED`	Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch-Scans: Alle 6 Stunden Dieses Ergebnis korrigieren	Kritisch
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Ergebnisbeschreibung: Ressourcenwertkonfigurationen sind zwar für Angriffspfadsimulationen definiert, stimmt mit keinen Ressourceninstanzen in Ihrer Umgebung überein. Bei den Simulationen werden die sind stattdessen standardmäßig hochwertige Ressourcen festgelegt. Dieser Fehler kann folgende Ursachen haben: Keine der Ressourcenwertkonfigurationen stimmt mit Ressourceninstanzen überein. Eine oder mehrere Ressourcenwertkonfigurationen, die `NONE` angeben, überschreiben alle eine andere gültige Konfiguration. Alle definierten Konfigurationen für Ressourcenwerte geben den Wert `NONE` an. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organizations Batch-Scans: Vor jeder Angriffspfadsimulation. Dieses Ergebnis korrigieren	Kritisch
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Ergebnisbeschreibung: In den letzten Angriffspfadsimulation die Anzahl der Instanzen hochwertiger Ressourcen, wie vom Konfigurationen der Ressourcenwerte, das Limit von 1.000 Ressourceninstanzen in einem hochwertigen Ressourcensatz. Daher hat Security Command Center die übermäßige Anzahl Instanzen aus dem Satz hochwertiger Ressourcen. Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der ausgeschlossenen Instanzen. aus dem Satz werden im `SCC Error`-Ergebnis im Google Cloud Console Die Angriffsrisikobewertungen für alle Ergebnisse, die sich auf die ausgeschlossene Ressource auswirken -Instanzen nicht der Wertangabe der Ressourceninstanzen entsprechen. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organizations Batch-Scans: Vor jeder Angriffspfadsimulation. Dieses Ergebnis korrigieren	Hoch
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Ergebnis-Beschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von `gcr.io`, dem Image-Host in Container Registry abgerufen (heruntergeladen) werden kann. Das Bild ist die zum Bereitstellen des Container Threat Detection-DaemonSets erforderlich sind, das von Container Threat Detection benötigt wird. Der Versuch, das Container Threat Detection-DaemonSet bereitzustellen, führte zu folgendem Fehler: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Ergebnisbeschreibung: Container Threat Detection kann nicht in einem Kubernetes-Cluster aktiviert werden. Eintritt für Drittanbieter der die Bereitstellung eines Kubernetes DaemonSet-Objekts verhindert, Für Container Threat Detection erforderlich. In der Google Cloud Console enthalten die Ergebnisdetails folgende Informationen: Fehlermeldung von Google Kubernetes Engine zurückgegeben, als Container Threat Detection versucht, Ein DaemonSet-Objekt von Container Threat Detection bereitstellen. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Hoch
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batchscans: Jede Woche Dieses Ergebnis korrigieren	Hoch
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Hoch
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch-Scans: Alle 6 Stunden Dieses Ergebnis korrigieren	Hoch
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt. Preisstufe: Premium oder Standard Unterstützte Assets <ph type="x-smartling-placeholder"></ph> cloudresourcemanager.googleapis.com/Organization <ph type="x-smartling-placeholder"></ph> cloudresourcemanager.googleapis.com/Project Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch

Weitere Informationen finden Sie unter Security Command Center-Fehler.

Nächste Schritte

Weitere Informationen zu Security Command Center und Beispielanwendungsfälle finden Sie unter Security Command Center – Übersicht.
Weitere Informationen zum Hinzufügen neuer Sicherheitsquellen über Security Command Center-Dienste konfigurieren