Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche indicati come origini di sicurezza, che Security Command Center utilizza per rilevare i problemi di sicurezza nei tuoi ambienti cloud.
Quando questi servizi rilevano un problema, generano un risultato, un record che identifichi il problema di sicurezza e ti fornisce le le informazioni necessarie a cui dare la priorità e risolvere il problema.
Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o per una risorsa specifica. Ogni origine di sicurezza potrebbe fornire più filtri ti aiutano a organizzare i risultati.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. La tua possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per scoprire di più su Per i ruoli di Security Command Center, vedi Controllo dell'accesso.
Servizi di rilevamento delle vulnerabilità
I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, configurazioni errate le violazioni della postura nei tuoi ambienti cloud. Nel loro insieme, questi tipi di problemi di sicurezza sono definiti vulnerabilità.
Dashboard della strategia di sicurezza di GKE
La dashboard della strategia di sicurezza di GKE è una Console Google Cloud che fornisce risultati guidati e strategici sui potenziali problemi di sicurezza nei tuoi cluster GKE.
Se abiliti una delle seguenti dashboard della strategia di sicurezza di GKE vedrai i risultati nel livello Standard di Security Command Center il livello Premium:
Funzionalità della dashboard della postura di sicurezza di GKE | Classe di risultati di Security Command Center |
---|---|
Controllo della configurazione del carico di lavoro | MISCONFIGURATION |
VULNERABILITY |
I risultati mostrano informazioni sul problema di sicurezza e forniscono per risolvere i problemi dei carichi di lavoro o dei cluster.
Visualizza i risultati della dashboard della strategia di sicurezza di GKE nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Security Operations Console (anteprima)
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Motore per suggerimenti IAM
Motore per suggerimenti IAM consigli sui problemi che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM delle entità quando i ruoli contengono Autorizzazioni IAM non necessarie all'entità.
Abilita o disabilita i risultati del motore per suggerimenti IAM
Per abilitare o disabilitare i risultati del motore per suggerimenti IAM in Security Command Center, segui questi passaggi:
Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
Seleziona Attiva o Disattiva a destra della voce.
I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.
Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente in una tabella dei risultati del motore per suggerimenti IAM. I passaggi di correzione per ciascun risultato è incluso nella voce della tabella.
Visualizza i risultati del motore per suggerimenti IAM nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Console Security Operations (anteprima)
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Nella console Google Cloud, puoi anche visualizzare il motore per suggerimenti IAM i risultati nella Pagina Vulnerabilità selezionando la query preimpostata del motore per suggerimenti IAM.
Mandiant Attack Surface Management
Mandiant è leader mondiale nell’intelligence di prima linea sulle minacce. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a rimanere al passo più recenti attacchi informatici.
Mandiant Attack Surface Management viene abilitato automaticamente quando attivi il Il livello e i risultati di Security Command Center Enterprise sono disponibili nella console Google Cloud.
Per informazioni sulle differenze con il prodotto autonomo Mandiant Attack Surface Management dall'integrazione di Mandiant Attack Surface Management in Security Command Center, vedi ASM e Security Command Center sul portale della documentazione Mandiant. Questo link richiede Mandiant autenticazione.
Rivedi i risultati di Mandiant Attack Surface Management nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Security Operations Console (anteprima)
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Queste norme fungono da barriere e possono aiutarti con best practice, sicurezza e gestione della conformità dei tuoi cluster parco risorse.
Se installi Policy Controller,
e abilitare CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1
I bundle di Policy Controller, o entrambi, Policy Controller scrivono automaticamente
violazioni dei cluster a Security Command Center come classe Misconfiguration
i risultati. La descrizione dei risultati e i passaggi successivi in Security Command Center
i risultati sono gli stessi della descrizione del vincolo e dei passaggi di correzione
del bundle Policy Controller corrispondente.
I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:
- Benchmark CIS Kubernetes v.1.5.1,
un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida sicurezza
postura. Puoi visualizzare informazioni su questo cofanetto anche nella
Repository GitHub per
cis-k8s-v1.5.1
. - PCI DSS v3.2.1,
un bundle che valuta la conformità delle risorse del cluster
alcuni aspetti dello standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v3.2.1.
Puoi visualizzare informazioni su questo cofanetto anche nella
Repository GitHub per
pci-dss-v3
.
Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.
Motore di rischio
Il motore di rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati relativi alle vulnerabilità e alle tue risorse di alto valore e mostra i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.
Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, quando si verificano insieme in un pattern particolare, crea un percorso verso uno o più dei tuoi le risorse che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.
Quando Risk Engine rileva
una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION
.
Nel risultato, Risk Engine è elencato come origine del
il risultato.
Per ulteriori informazioni, vedi Panoramica delle combinazioni tossiche.
Security Health Analytics
Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare gli errori di configurazione più comuni.
Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli degli standard di sicurezza in modo da poter valutare la conformità.
Security Health Analytics scansiona le tue risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni con altre piattaforme cloud, Security Health Analytics può eseguire la scansione delle tue risorse anche su queste piattaforme cloud.
A seconda del livello di servizio di Security Command Center i rilevatori disponibili sono diversi:
- Nel livello Standard, Security Health Analytics include solo un parametro gruppo di base di rilevatori di vulnerabilità di media e alta gravità.
- La Livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
- Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.
Security Health Analytics viene abilitato automaticamente quando lo attivi Security Command Center.
Per ulteriori informazioni, vedi:
- Panoramica di Security Health Analytics
- Come utilizzare Security Health Analytics
- Correzione dei risultati di Security Health Analytics
- Riferimento dei risultati di Security Health Analytics
Servizio Security posture
La servizio security posture è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è allineato ai criteri che che definisci nella tua security posture.
Il servizio Security posture non è correlato a GKE dashboard della postura di sicurezza, che mostra solo i risultati in GKE cluster.
Protezione dei dati sensibili
Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare la modalità Sensitive Data Protection per determinare se stai archiviando dati sensibili o personali che consentono l'identificazione personale (PII), come segue:
- Nomi di persone
- Numeri di carte di credito
- Numeri di documenti di identità statali o nazionali
- Numeri di documenti di identità dell'assicurazione sanitaria
- Secret
In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi viene chiamato un infoType.
Se configuri l'operazione di Sensitive Data Protection in modo da inviare a Security Command Center, puoi visualizzarli direttamente sezione Security Command Center della console Google Cloud, oltre alle nella sezione Sensitive Data Protection.
Vulnerabilità rilevate dal servizio di rilevamento di Sensitive Data Protection
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se stai per archiviare dati altamente sensibili non protetti.
Categoria | Riepilogo |
---|---|
Nome categoria nell'API:
|
Descrizione dei risultati: la risorsa specificata ha dati ad alta sensibilità accessibili a chiunque su internet. Asset supportati:
Soluzione: Per i dati di Google Cloud, rimuovi Per i dati Amazon S3, configurare le impostazioni di blocco dell'accesso pubblico o aggiornare l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Standard di conformità: non mappati |
Nome categoria nell'API:
|
Ricerca di descrizioni: Secret, ad esempio come password, token di autenticazione e credenziali Google Cloud, Variabili di ambiente delle funzioni di Cloud Run. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati:
Soluzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager . Standard di conformità:
|
Nome categoria nell'API:
|
Ricerca di descrizioni: Secret, ad esempio come password, token di autenticazione e credenziali cloud, nel risorsa. Asset supportati:
Soluzione:
Standard di conformità: non mappati |
Risultati dell'osservazione di Sensitive Data Protection
Questa sezione descrive i risultati di osservazione generati da Sensitive Data Protection in Security Command Center.
Risultati dell'osservazione dal servizio di rilevamento
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se i dati contengono infoType specifici e dove si trovano dell'organizzazione, delle cartelle e dei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:
Data sensitivity
- Un'indicazione del livello di sensibilità dei dati in un determinato asset di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere per un controllo o una gestione aggiuntivi. La gravità del risultato è la livello di sensibilità di Sensitive Data Protection calcolato quando generando il profilo dati.
Data risk
- Il rischio associato ai dati nel loro stato attuale. Durante il calcolo dei dati il rischio, Sensitive Data Protection considera il livello di sensibilità i dati nell'asset di dati e la presenza di controlli di accesso per proteggerli. e i dati di Google Cloud. La gravità del risultato è il livello di rischio dei dati che Protezione dei dati sensibili calcolate durante la generazione il profilo dati.
Dal momento in cui Sensitive Data Protection genera i profili dati, può possono trascorrere fino a sei ore prima che i risultati associati Security Command Center.
Per informazioni su come inviare i risultati dei profili dati a Security Command Center, consulta le seguenti risorse:
- Per Security Command Center Enterprise: Abilita i dati sensibili per il rilevamento.
- Per Security Command Center Premium o Standard: pubblica i profili di dati in Security Command Center.
Risultati dell'osservazione dal servizio di ispezione di Sensitive Data Protection
Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati
di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o
Tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione
cerca tutte le stringhe che corrispondono al rilevatore di infoType CREDIT_CARD_NUMBER
in un bucket Cloud Storage.
Per ogni rilevatore di infoType con una o più corrispondenze, Sensitive Data Protection
genera un risultato di Security Command Center corrispondente. La categoria dei risultati è
Il nome del rilevatore di infoType che ha avuto una corrispondenza, ad esempio Credit
card number
. Il risultato include il numero di stringhe corrispondenti che sono state
rilevato nel testo o nelle immagini della risorsa.
Per motivi di sicurezza, le stringhe effettive rilevate non vengono incluse
il risultato. Ad esempio, un risultato Credit card number
mostra quanti
Sono stati trovati i numeri di carta di credito, ma non sono indicati i numeri effettivi della carta di credito.
Perché ci sono più di 150 rilevatori di infoType integrati in Sensitive Data Protection, tutte le possibili categorie di risultati di Security Command Center non sono elencati qui. Per un elenco completo dei rilevatori di infoType, vedi Rilevatore di InfoType riferimento.
Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.
Esamina i risultati di Sensitive Data Protection nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
Security Operations Console (anteprima)
-
In Security Operations Console, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
- Seleziona Sensitive Data Protection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati da questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.
VM Manager
VM Manager è una suite di strumenti può essere utilizzato per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.
Se abiliti VM Manager con
il livello Premium di Security Command Center, VM Manager
scrive automaticamente i risultati high
e critical
dai propri report sulle vulnerabilità,
sono in anteprima in Security Command Center. I report identificano le vulnerabilità
sistemi operativi installati sulle VM, tra cui
Vulnerabilità ed esposizioni comuni (CVE).
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano il processo di utilizzo delle patch di VM Manager Funzionalità di conformità, che è in anteprima. La funzionalità ti permette di applicare una applicazione a livello di organizzazione per tutti i tuoi progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.
Per correggere i risultati di VM Manager, consulta Correzione dei risultati di VM Manager.
Per impedire la scrittura di report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.
Le vulnerabilità di questo tipo riguardano tutti i pacchetti di sistemi operativi installati in di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Nome categoria nell'API: |
Ricerca descrizione: VM Manager ha rilevato una vulnerabilità nella pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati |
di VM Manager report sulle vulnerabilità Descrivere in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per Compute Engine VM, tra cui Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, vedi Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:
|
Vulnerability Assessment per AWS
Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei carichi di lavoro in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.
Per ogni vulnerabilità rilevata, Vulnerability Assessment per AWS genera un
Vulnerability
risultato del corso nel risultato Software vulnerability
in Security Command Center.
Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot della macchina EC2 in esecuzione di istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agente, perché non è installato alcun agente target della scansione.
Per ulteriori informazioni, consulta le seguenti risorse:
- Panoramica della valutazione delle vulnerabilità per AWS
- Abilita e utilizza la valutazione delle vulnerabilità per AWS
Web Security Scanner
Web Security Scanner fornisce un'analisi delle vulnerabilità web gestita e personalizzata per i App Engine, GKE e Compute Engine servizio web diverse applicazioni.
Scansioni gestite
Le scansioni gestite di Web Security Scanner sono configurate e gestite tramite Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare per analizzare gli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano Richieste solo GET in modo che non inviino moduli su siti web attivi.
Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.
Se Security Command Center è attivato a livello di organizzazione, è possibile utilizzare le scansioni gestite per gestire centralmente le applicazioni web di base il rilevamento delle vulnerabilità per i progetti dell'organizzazione, coinvolgano singoli team di progetto. Una volta scoperti i risultati, puoi lavorare con questi team per configurare scansioni personalizzate più complete.
Quando si abilita Web Security Scanner as a Service, i risultati della scansione gestita vengono automaticamente disponibili nella pagina Vulnerabilità di Security Command Center. report correlati. Per informazioni su come attivare le analisi gestite di Web Security Scanner, consulta Configurare i servizi di Security Command Center.
Le scansioni gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una ricerca personalizzata.
Scansioni personalizzate
Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari su risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, scripting o utilizzo di contenuti misti.
Le scansioni personalizzate vengono definite a livello di progetto.
I risultati della scansione personalizzata sono disponibili in Security Command Center dopo aver completato la guida configurare le scansioni personalizzate di Web Security Scanner.
Rilevatori e conformità
Web Security Scanner supporta le categorie del OWASP Top Ten un documento che classifichi e fornisca indicazioni per rimediare ai primi 10 rischi critici per la sicurezza delle applicazioni web, in base a quanto determinato dall’Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta OWASP Top 10 mitigation options on Google Cloud.
La mappatura della conformità è inclusa come riferimento e non viene fornita o esaminata dalla OWASP Foundation.
Questa funzionalità è destinata solo a monitorare i controlli di conformità violazioni delle norme. Le mappature non sono fornite per essere utilizzate come base o come sostituire l'audit, la certificazione o il report sulla conformità del prodotti o servizi con benchmark o standard normativi o di settore.
Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nella Livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP che non sono protetti da un firewall.
Categoria | Descrizione del risultato | OWASP 2017 - Top 10 | Top 10 della classifica OWASP 2021 |
---|---|---|---|
Nome categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico al repository GIT. Livello di prezzo: Standard |
A5 | A01 |
Nome categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi pubblico l'accesso involontario al repository SVN. Livello di prezzo: Standard |
A5 | A01 |
Nome categoria nell'API: |
Le password inserite nell'applicazione web possono essere invece memorizzate nella cache di una normale cache del browser. di archiviazione sicura delle password. Livello di prezzo: Premium |
A3 | A04 |
Nome categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere il problema ricerca, crittografare la password trasmessa sulla rete. Livello di prezzo: Standard |
A3 | A02 |
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso di Livello di prezzo: Premium |
A5 | A01 |
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso di Livello di prezzo: Premium |
A5 | A01 |
Nome categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. A
risolvere questo risultato, impostare l'intestazione HTTP Livello di prezzo: Standard |
A6 | A05 |
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, impostare correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard |
A6 | A05 |
Nome categoria nell'API: |
Un'intestazione di sicurezza presenta valori duplicati e non corrispondenti, che generano un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard |
A6 | A05 |
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta HTTP le intestazioni di sicurezza. Livello di prezzo: Standard |
A6 | A05 |
Nome categoria nell'API: |
Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse siano pubblicate tramite HTTPS. Livello di prezzo: Standard |
A6 | A05 |
Nome categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere questo risultato, esegui l'upgrade a una versione più recente. Livello di prezzo: Standard |
A9 | A06 |
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP che l'applicazione web può rendere a cui inviare richieste. Livello di prezzo: Standard |
Non applicabile | A10 |
Nome categoria nell'API: |
Quando effettui una richiesta interdominio, l'applicazione web include la sessione dell'utente
identificatore nell'intestazione della richiesta Livello di prezzo: Premium |
A2 | A07 |
Nome categoria nell'API: |
È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza query con parametri per impedire agli input dell'utente di influenzare la struttura dell'SQL query. Livello di prezzo: Premium |
A1 | A03 |
Nome categoria nell'API: |
L'utilizzo di una versione vulnerabile di Apache Struts è stato rilevato. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente. Livello di prezzo: Premium |
A8 | A08 |
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting (XSS). A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
Una stringa fornita dall'utente non presenta caratteri di escape e AngularJS può interporla. Per risolvere il problema trovare, convalidare ed eseguire l'escape dei dati non attendibili forniti dall'utente e gestiti da Angular il modello di machine learning. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting. A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente. Livello di prezzo: Standard |
A7 | A03 |
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare un'applicazione web per far trapelare un file sull'host. Per risolvere questo risultato, configura il file XML per non consentire le entità esterne. Livello di prezzo: Premium |
A4 | A05 |
Nome della categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento da prototipi. Questa vulnerabilità si verifica quando
alle proprietà dell'oggetto Livello di prezzo: Standard |
A1 | A03 |
Servizi di rilevamento delle minacce
I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.
Rilevamento di anomalie
Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento all'esterno del sistema. Visualizza informazioni granulari sulla sicurezza di anomalie rilevate per i progetti e le istanze di macchine virtuali (VM), ad esempio come potenziali credenziali divulgate. Il rilevamento delle anomalie viene attivato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.
I risultati del rilevamento di anomalie includono quanto segue:
Nome anomalia | Categoria risultati | Descrizione |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Le credenziali di un account di servizio Google Cloud vengono accidentalmente sono trapelati online o sono compromessi. Gravità: critica |
Le credenziali dell'account sono state divulgate
GitHub ha informato Security Command Center che le credenziali utilizzate per un commit, sembrano essere le credenziali Account di servizio Google Cloud Identity and Access Management.
La notifica include il nome dell'account di servizio e la chiave privata identificativo dell'utente. Google Cloud invia inoltre al tuo contatto designato per la sicurezza e la privacy una notifica via email.
Per risolvere il problema, esegui una o più delle seguenti azioni:
- Identifica l'utente legittimo della chiave.
- Ruota la chiave.
- Rimuovi la chiave.
- Esamina le azioni intraprese con la chiave dopo la sua compromissione per assicurarti che nessuna di queste sia stata dannosa.
JSON: rilevamento di credenziali dell'account divulgate
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection può rilevare gli attacchi più comuni al runtime dei container e avvisarti in Security Command Center e facoltativamente in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ guest kernel ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare i seguenti eventi:
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Scopri di più su Container Threat Detection.
Event Threat Detection
Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Guarda il flusso di Cloud Logging per i progetti e utilizza e i log non appena diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il Il livello Premium e i risultati di Security Command Center sono disponibili in nella console Google Cloud.
La tabella seguente elenca esempi di risultati di Event Threat Detection.
Distruzione dei dati |
Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di backup e DR per i seguenti scenari:
|
Esfiltrazione di dati |
Event Threat Detection rileva l'esfiltrazione di dati da BigQuery Cloud SQL esaminando gli audit log per i seguenti scenari:
|
Attività sospette di Cloud SQL |
Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze Cloud SQL:
|
Attività sospette di AlloyDB per PostgreSQL |
Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze AlloyDB per PostgreSQL:
|
Forza bruta SSH | Event Threat Detection rileva la forza bruta dell'autenticazione password tramite SSH tramite esaminando i log di syslog per rilevare errori ripetuti seguiti da errori. |
Cryptomining | Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP non validi noti dei pool di mining. |
Illeciti IAM |
Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di Concessioni IAM che potrebbero essere considerate anomale, ad esempio:
|
Blocco recupero sistema |
Event Threat Detection rileva modifiche anomale a Backup & RE che potrebbero influire sulla postura del backup, incluse importanti modifiche ai criteri e la rimozione di componenti critici di Backup & RE. |
Log4j | Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive. |
Malware | Event Threat Detection rileva il malware esaminando i log di flusso VPC e Log di Cloud DNS per le connessioni a comandi e controlli noti domini e IP. |
DoS in uscita | Event Threat Detection esamina i log di flusso VPC per rilevare il rifiuto in uscita di e il traffico dei servizi. |
Accesso anomalo | Event Threat Detection rileva un accesso anomalo esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor. |
Comportamento IAM anomalo |
Event Threat Detection rileva comportamenti IAM anomali esaminando
Cloud Audit Logs per gli scenari seguenti:
|
Auto-indagine sull'account di servizio | Event Threat Detection rileva quando viene utilizzata la credenziale di un account di servizio per analizza i ruoli e le autorizzazioni associati allo stesso servizio . |
Chiave SSH aggiunta dall'amministratore di Compute Engine | Event Threat Detection rileva una modifica dei metadati dell'istanza Compute Engine Valore della chiave ssh su un'istanza stabilita (precedente a 1 settimana). |
Script di avvio aggiunto dall'amministratore di Compute Engine | Event Threat Detection rileva una modifica all'istanza Compute Engine valore dello script di avvio dei metadati su un'istanza stabilita (precedente a 1 settimana). |
Attività sospetta dell'account | Event Threat Detection individua una potenziale compromissione di Google Workspace di account esaminando gli audit log per rilevare attività anomale dell'account, incluse password compromesse e tentativi di accessi sospetti. |
Attacco sostenuto da un governo | Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando aggressori sostenuti da un governo potrebbero aver tentato di compromettere un dall'account o dal computer dell'utente. |
Modifiche Single Sign-On (SSO) | Event Threat Detection esamina gli audit log di Google Workspace per rileva se l'accesso SSO è disattivato o se vengono modificate le impostazioni Account amministratore di Google Workspace. |
Verifica in due passaggi | Event Threat Detection esamina gli audit log di Google Workspace per rileva quando la verifica in due passaggi è disattivata per gli account utente e amministratore. |
Comportamento anomalo dell'API | Event Threat Detection rileva un comportamento anomalo dell'API esaminando Cloud Audit Logs alla ricerca di richieste ai servizi Google Cloud che un'entità mai visti prima d'ora. |
Evasione della difesa |
Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari:
|
Discovery |
Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:
|
Accesso iniziale | Event Threat Detection rileva le operazioni di accesso iniziali tramite
esaminando gli audit log per gli scenari seguenti:
|
Escalation dei privilegi |
Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per gli scenari seguenti:
|
Rilevamenti Cloud IDS | Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un Event Threat Detection ricerca. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS. Anteprima |
Movimento laterale | Event Threat Detection rileva potenziali attacchi con disco di avvio modificato esaminando Cloud Audit Logs per rilevare frequenti scollegamenti e ricollegamenti del disco di avvio tra le istanze di Compute Engine. |
Scopri di più su Event Threat Detection.
Google Cloud Armor
Google Cloud Armor ti aiuta a proteggere applicando un filtro di livello 7. Esegui lo scrubbing di Google Cloud Armor in entrata richieste di attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o il backend con bilanciamento del carico bucket.
Google Cloud Armor esporta due risultati in Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.
VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni su VM Threat Detection, consulta VM Threat Detection Panoramica.
Risultati della minaccia di VM Threat Detection
VM Threat Detection può generare i seguenti risultati relativi alle minacce.
Risultati delle minacce di mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
Categoria | Modulo | Descrizione |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde ai pattern di memoria, come le costanti della prova del lavoro, che è noto per essere utilizzate da software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata sia dal
CRYPTOMINING_HASH e CRYPTOMINING_YARA moduli.
Per ulteriori informazioni, vedi
Rilevamenti combinati
|
Risultati delle minacce rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni utilizzate dai malware.
KERNEL_MEMORY_TAMPERING
rileva le minacce facendo un confronto di hash sul
e la memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING
rileva le minacce controllando
e l'integrità di importanti strutture di dati del kernel.
Categoria | Modulo | Descrizione |
---|---|---|
Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice kernel. |
Defense Evasion: Unexpected kernel read-only data modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel. |
Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti ftrace punti con callback che puntano a regioni che non si trovano
l'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected interrupt handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo. |
Defense Evasion: Unexpected kernel modules Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti kprobe punti con callback che puntano a regioni che non si trovano
l'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected processes in runqueue Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono in esecuzione ma non nell'elenco delle attività del processo. |
Defense Evasion: Unexpected system call handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di chiamate di sistema che non si trovano nelle regioni previste del kernel o del codice del modulo. |
rootkit | ||
Defense Evasion: Rootkit Anteprima
|
|
È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Rilevamento dell'osservazione di VM Threat Detection
VM Threat Detection può generare il seguente risultato di osservazione.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection è disabilitato. Fino a quando attiva questo servizio non può eseguire la scansione dei tuoi progetti e istanze VM per le applicazioni indesiderate.
Questo risultato viene impostato su |
Alta |
Errori
Possono essere utili per rilevare gli errori nella configurazione che impediscono
alla generazione di risultati. I risultati degli errori vengono generati
l'origine di sicurezza di Security Command Center
e
la classe dei risultati SCC errors
.
Azioni involontarie
Le seguenti categorie di risultati rappresentano errori che potrebbero essere causati da azioni involontarie.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
API disabled |
API_DISABLED |
Descrizione dei risultati: Un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 60 ore |
Critico |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrizione dei risultati: Configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, non corrisponde a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano di risorse di alto valore predefinito. Questo errore può avere una delle seguenti cause:
Livello di prezzo: Premium
Asset supportati Scansioni batch: prima di ogni simulazione del percorso di attacco. |
Critico |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrizione dei risultati: Negli ultimi simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un ambiente un set di risorse. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse
del set vengono identificati nel risultato I punteggi dell'esposizione agli attacchi per tutti i risultati che interessano la risorsa esclusa le istanze di risorse non riflettono la designazione di alto valore delle istanze di risorse. Livello di prezzo: Premium
Asset supportati Scansioni batch: prima di ogni simulazione del percorso di attacco. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descrizione dei risultati:
Impossibile abilitare Container Threat Detection sul cluster perché è richiesto un container
l'immagine non può essere estratta (scaricata) da Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:
Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrizione dei risultati: Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un ingresso di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet che richiesto da Container Threat Detection. Se visualizzati nella console Google Cloud, i dettagli dei risultati includono messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire eseguire il deployment di un oggetto DaemonSet Container Threat Detection. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione dei risultati: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Rilevamento delle minacce a container potrebbe smettere di funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, aggiornata o disabilitata. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione dei risultati: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché L'account di servizio predefinito di GKE sul cluster non dispone delle autorizzazioni. Questo impedisce che Container Threat Detection venga abilitato correttamente sul cluster. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni settimana |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrizione dei risultati: Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare i risultati a Logging. Livello di prezzo: Premium
Asset supportati Scansioni collettive: ogni 30 minuti |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrizione dei risultati: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio L'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 6 ore |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione dei risultati: L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono generati risultati. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
Per maggiori informazioni, vedi Errori di Security Command Center.
Passaggi successivi
- Scopri di più su Security Command Center e sui casi d'uso di esempio nella Panoramica di Security Command Center.
- Scopri come aggiungere nuove origini di sicurezza tramite configurazione dei servizi Security Command Center.