Servizi di rilevamento

Questa pagina contiene un elenco dei servizi di rilevamento, a volte anche chiamate origini di sicurezza, utilizzate da Security Command Center per rilevare sui problemi di sicurezza nei tuoi ambienti cloud.

Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e fornisce le informazioni necessarie per stabilire le priorità e risolverlo.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio in base al tipo di risultato, al tipo di risorsa o per una risorsa specifica. Ogni origine di sicurezza potrebbe fornire più filtri ti aiutano a organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. Puoi visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per scoprire di più su Per i ruoli di Security Command Center, vedi Controllo dell'accesso.

Servizi di rilevamento delle vulnerabilità

I servizi di rilevamento delle vulnerabilità includono servizi integrati e integrati che rilevano vulnerabilità del software, errori di configurazione e violazioni della postura nei tuoi ambienti cloud. Nel loro insieme, questi tipi di problemi di sicurezza sono definiti vulnerabilità.

Dashboard della strategia di sicurezza di GKE

La dashboard della postura di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati strategici e strategici su potenziali problemi di sicurezza nei cluster GKE.

Se attivi una delle seguenti funzionalità della dashboard della postura di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:

Funzionalità della dashboard della postura di sicurezza di GKE Classe dei risultati di Security Command Center
Controllo della configurazione del carico di lavoro MISCONFIGURATION
VULNERABILITY

I risultati mostrano informazioni sul problema di sicurezza e forniscono per risolvere i problemi dei carichi di lavoro o dei cluster.

Visualizzare i risultati della dashboard della postura di sicurezza di GKE nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console operativa di sicurezza

  1. In Security Operations Console, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Motore per suggerimenti IAM

Motore per suggerimenti IAM consigli sui problemi che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM delle entità quando i ruoli contengono Autorizzazioni IAM non necessarie all'entità.

Abilita o disabilita i risultati del motore per suggerimenti IAM

Per attivare o disattivare i risultati del Recommender IAM in Security Command Center, segui questi passaggi:

  1. Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:

    Vai alle impostazioni

  2. Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.

  3. Seleziona Attiva o Disattiva a destra della voce.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente in una tabella dei risultati del motore per suggerimenti IAM. I passaggi per la correzione di ciascun rilevamento sono inclusi nella voce della tabella.

Visualizza i risultati del motore per suggerimenti IAM nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Consigliere IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console Security Operations

  1. In Security Operations Console, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
  3. Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Nella console Google Cloud, puoi anche visualizzare i risultati del Recommender IAM nella pagina Vulnerabilità selezionando la preimpostazione di query Recommender IAM.

Mandiant Attack Surface Management

Mandiant è leader mondiale nell’intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle tue superfici di attacco esterne per aiutarti a stare al passo con gli ultimi attacchi informatici.

La gestione della superficie di attacco di Mandiant viene attivata automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.

Per informazioni sulle differenze tra il prodotto Mandiant Attack Surface Management autonomo e l'integrazione di Mandiant Attack Surface Management in Security Command Center, consulta ASM e Security Command Center nel portale della documentazione di Mandiant. Questo link richiede l'autenticazione di Mandiant.

Esamina i risultati di Mandiant Attack Surface Management nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console operativa di sicurezza

  1. Nella console Security Operations, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Queste norme fungono da barriere e possono aiutarti con best practice, sicurezza e gestione della conformità dei tuoi cluster parco risorse.

Se installi Policy Controller, e abilitare CIS Kubernetes Benchmark v1.5.1 o PCI-DSS v3.2.1 I bundle di Policy Controller, o entrambi, Policy Controller scrivono automaticamente violazioni dei cluster a Security Command Center come classe Misconfiguration i risultati. La descrizione dei risultati e i passaggi successivi in Security Command Center i risultati sono gli stessi della descrizione del vincolo e dei passaggi di correzione del bundle Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.

Motore di rischio

Il motore del rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati relativi alle vulnerabilità e alle tue risorse di alto valore e mostra i percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.

Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, quando si verificano insieme in un pattern particolare, crea un percorso verso uno o più dei tuoi le risorse che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.

Quando Risk Engine rileva una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION. Nel risultato, Risk Engine è elencato come origine del il risultato.

Per ulteriori informazioni, consulta la sezione Panoramica delle combinazioni dannose.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare e gli errori di configurazione più comuni.

Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli standard di sicurezza in modo da poter valutare la conformità.

Security Health Analytics esegue la scansione delle risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni con altre piattaforme cloud, Security Health Analytics può eseguire la scansione delle tue risorse anche su queste piattaforme cloud.

A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili sono diversi:

Security Health Analytics viene attivato automaticamente quando attivi Security Command Center.

Per ulteriori informazioni, vedi:

Servizio di security posture

La servizio security posture è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato complessivo della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è allineato ai criteri che che definisci nella tua security posture.

Il servizio di postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.

Protezione dei dati sensibili

Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare la modalità Sensitive Data Protection per determinare se stai archiviando dati sensibili o personali che consentono l'identificazione personale (PII), come segue:

  • Nomi di persone
  • Numeri di carte di credito
  • Documenti di identità nazionali o statali
  • Numeri di documenti di identità dell'assicurazione sanitaria
  • Secret

In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.

Se configuri l'operazione Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.

Vulnerabilità rilevate dal servizio di rilevamento di Sensitive Data Protection

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se stai per archiviare dati altamente sensibili non protetti.

Categoria Riepilogo

Public sensitive data

Nome categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correzione:

Per i dati di Google Cloud, rimuovi allUsers e allAuthenticatedUsers dal criterio IAM della risorsa dati.

Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico.

Standard di conformità: non mappati

Secrets in environment variables

Nome categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ricerca di descrizione: sono presenti Secret, ad esempio come password, token di autenticazione e credenziali Google Cloud, Variabili di ambiente delle funzioni di Cloud Run.

Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati: cloudfunctions.googleapis.com/CloudFunction

Correzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Ricerca di descrizione: sono presenti Secret, ad esempio come password, token di autenticazione e credenziali cloud, nel risorsa.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Soluzione:

  1. Per i dati di Google Cloud, utilizza Sensitive Data Protection per eseguire una scansione approfondita della risorsa specificata al fine di identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o Avro in un bucket Cloud Storage ed esegui una scansione approfondita del bucket.

    Per i dati Amazon S3, controlla manualmente il bucket specificato.

  2. Rimuovi i secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati di Google Cloud, ti consigliamo di archiviare gli secret rilevati in Secret Manager.

Standard di conformità: non mappato

Risultati dell'osservazione di Sensitive Data Protection

Questa sezione descrive i risultati dell'osservazione generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione del servizio di discovery

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se i tuoi dati contengono infoType specifici e dove si trovano nell'organizzazione, nelle cartelle e nei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:

Data sensitivity
Un'indicazione del livello di sensibilità dei dati in un determinato asset di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è la livello di sensibilità di Sensitive Data Protection calcolato quando generando il profilo dati.
Data risk
Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, Sensitive Data Protection prende in considerazione il livello di sensibilità degli asset di dati e la presenza di controlli di accesso per proteggerli. La gravità del risultato è il livello di rischio dei dati che Protezione dei dati sensibili calcolate durante la generazione il profilo dati.

Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.

Per informazioni su come inviare i risultati dei profili dati a Security Command Center, consulta le seguenti risorse:

Risultati dell'osservazione dal servizio di ispezione di Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o Tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione cerca tutte le stringhe che corrispondono al rilevatore di infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore di tipo di informazioni con una o più corrispondenze, Sensitive Data Protection genera un risultato corrispondente di Security Command Center. La categoria del risultato è il nome del rilevatore di infoType che ha trovato una corrispondenza, ad esempio Credit card number. Il risultato include il numero di stringhe corrispondenti che sono state rilevato nel testo o nelle immagini della risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel ritrovato. Ad esempio, un risultato Credit card number mostra il numero di numeri di carte di credito trovati, ma non mostra i numeri effettivi delle carte di credito.

Perché ci sono più di 150 rilevatori di infoType integrati in Sensitive Data Protection, tutte le possibili categorie di risultati di Security Command Center non sono elencati qui. Per un elenco completo dei rilevatori di infoType, consulta la guida di riferimento per i rilevatori di infoType.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, consulta Inviare i risultati dei job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Protezione dei dati sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console operativa di sicurezza

  1. Nella console Security Operations, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Sensitive Data Protection. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

VM Manager

VM Manager è una suite di strumenti che puoi utilizzare per gestire i sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.

Se abiliti VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente i risultati high e critical dai propri report sulle vulnerabilità, sono in anteprima in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi (SO) installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo delle patch di VM Manager Funzionalità di conformità, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.

Per correggere i risultati di VM Manager, consulta Correggere i risultati di VM Manager.

Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.

Le vulnerabilità di questo tipo riguardano tutti i pacchetti di sistemi operativi installati in di Compute Engine supportate.

Rilevatore Riepilogo Impostazioni di analisi degli asset

OS vulnerability

Nome categoria nell'API: OS_VULNERABILITY

Ricerca descrizione: VM Manager ha rilevato una vulnerabilità nella pacchetto del sistema operativo installato per una VM di Compute Engine.

Livello di prezzo: Premium

Asset supportati

compute.googleapis.com/Instance

Correggi questo risultato

di VM Manager report sulle vulnerabilità Descrivere in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per Compute Engine VM, tra cui Vulnerabilità ed esposizioni comuni (CVE).

Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.

I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:

  • Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, dovresti visualizzare le informazioni sulle vulnerabilità e sulle esposizioni comuni (CVE) relative alla VM in Security Command Center entro due ore dalla modifica.
  • Quando vengono pubblicati nuovi avvisi sulla sicurezza per un sistema operativo, le CVE aggiornate sono solitamente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Vulnerability Assessment per AWS

Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità del software nei carichi di lavoro in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.

Per ogni vulnerabilità rilevata, la valutazione delle vulnerabilità per AWS genera Vulnerability risultato del corso nel risultato Software vulnerability in Security Command Center.

Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot della macchina EC2 in esecuzione per le istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agenti, perché non è installato alcun agente target della scansione.

Per ulteriori informazioni, consulta le seguenti risorse:

Web Security Scanner

Web Security Scanner fornisce la scansione delle vulnerabilità web gestite e personalizzate per le applicazioni web pubbliche di App Engine, GKE e Compute Engine.

Scansioni gestite

Le scansioni gestite di Web Security Scanner sono configurate e gestite tramite Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare e analizzare gli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano Richieste solo GET in modo che non inviino moduli su siti web attivi.

Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.

Se Security Command Center è attivato a livello di organizzazione, è possibile utilizzare le scansioni gestite per gestire centralmente le applicazioni web di base il rilevamento delle vulnerabilità per i progetti dell'organizzazione, coinvolgano singoli team di progetto. Una volta scoperti i risultati, puoi lavorare con questi team per configurare scansioni personalizzate più complete.

Quando attivi Web Security Scanner come servizio, i risultati delle scansioni gestite sono disponibili automaticamente nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come abilitare Web Security Scanner delle scansioni gestite, consulta Configura i servizi di Security Command Center.

Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una scansione personalizzata.

Scansioni personalizzate

Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, cross-site scripting o utilizzo di contenuti misti.

Le analisi personalizzate vengono definite a livello di progetto.

I risultati della scansione personalizzata sono disponibili in Security Command Center dopo aver completato la guida configurare le scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie del OWASP Top Ten un documento che classifichi e fornisca indicazioni per rimediare ai primi 10 rischi critici per la sicurezza delle applicazioni web, in base a quanto determinato dall’Open Web Application Security Project (OWASP). Per indicazioni su come mitigare i rischi OWASP, consulta Opzioni di mitigazione dei 10 principali rischi OWASP su Google Cloud.

La mappatura della conformità è inclusa come riferimento e non viene fornita o esaminata dalla OWASP Foundation.

Questa funzionalità è pensata solo per monitorare le violazioni dei controlli di conformità. Le mappature non sono fornite per essere utilizzate come base o come sostituzione per la verifica, la certificazione o la segnalazione della conformità dei tuoi prodotti o servizi a eventuali benchmark o standard normativi o di settore.

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

Categoria Descrizione del risultato Top 10 OWASP 2017 OWASP Top 10 2021

Accessible Git repository

Nome della categoria nell'API: ACCESSIBLE_GIT_REPOSITORY

Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico al repository GIT.

Livello di prezzo: Standard

Correggi questo risultato

A5 A01

Accessible SVN repository

Nome categoria nell'API: ACCESSIBLE_SVN_REPOSITORY

Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi pubblico l'accesso involontario al repository SVN.

Livello di prezzo: Standard

Correggi questo risultato

A5 A01

Cacheable password input

Nome categoria nell'API: CACHEABLE_PASSWORD_INPUT

Le password inserite nell'applicazione web possono essere invece memorizzate nella cache di una normale cache del browser. di archiviazione sicura delle password.

Livello di prezzo: Premium

Correggi questo risultato

A3 A04

Clear text password

Nome categoria nell'API: CLEAR_TEXT_PASSWORD

Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo rilevamento, cripta la password trasmessa sulla rete.

Livello di prezzo: Standard

Correggi questo risultato

A3 A02

Insecure allow origin ends with validation

Nome della categoria nell'API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

A5 A01

Insecure allow origin starts with validation

Nome categoria nell'API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso di Origin dell'intestazione della richiesta prima di rifletterla all'interno di Access-Control-Allow-Origin l'intestazione della risposta. Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente il valore dell'intestazione Origin prima di rifletterlo nel Intestazione di risposta Access-Control-Allow-Origin, ad esempio .equals(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

A5 A01

Invalid content type

Nome della categoria nell'API: INVALID_CONTENT_TYPE

È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. A risolvere questo risultato, impostare l'intestazione HTTP X-Content-Type-Options con il testo corretto valore.

Livello di prezzo: Standard

Correggi questo risultato

A6 A05

Invalid header

Nome della categoria nell'API: INVALID_HEADER

Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, impostare correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Standard

Correggi questo risultato

A6 A05

Mismatching security header values

Nome della categoria nell'API: MISMATCHING_SECURITY_HEADER_VALUES

Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Standard

Correggi questo risultato

A6 A05

Misspelled security header name

Nome categoria nell'API: MISSPELLED_SECURITY_HEADER_NAME

Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta HTTP le intestazioni di sicurezza.

Livello di prezzo: Standard

Correggi questo risultato

A6 A05

Mixed content

Nome della categoria nell'API: MIXED_CONTENT

Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse siano pubblicate tramite HTTPS.

Livello di prezzo: Standard

Correggi questo risultato

A6 A05

Outdated library

Nome della categoria nell'API: OUTDATED_LIBRARY

È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente.

Livello di prezzo: Standard

Correggi questo risultato

A9 A06

Server side request forgery

Nome categoria nell'API: SERVER_SIDE_REQUEST_FORGERY

È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste.

Livello di prezzo: Standard

Correggi questo risultato

Non applicabile A10

Session ID leak

Nome della categoria nell'API: SESSION_ID_LEAK

Quando effettui una richiesta interdominio, l'applicazione web include la sessione dell'utente identificatore nell'intestazione della richiesta Referer. Questa vulnerabilità fornisce riceve l'accesso del dominio all'identificatore di sessione, che può essere utilizzato per impersonare identificare in modo univoco l'utente.

Livello di prezzo: Premium

Correggi questo risultato

A2 A07

SQL injection

Nome della categoria nell'API: SQL_INJECTION

È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL.

Livello di prezzo: Premium

Correggi questo risultato

A1 A03

Struts insecure deserialization

Nome categoria nell'API: STRUTS_INSECURE_DESERIALIZATION

L'utilizzo di una versione vulnerabile di Apache Struts è stato rilevato. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione.

Livello di prezzo: Premium

Correggi questo risultato

A8 A08

XSS

Nome categoria nell'API: XSS

Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting (XSS). A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente.

Livello di prezzo: Standard

Correggi questo risultato

A7 A03

XSS angular callback

Nome categoria nell'API: XSS_ANGULAR_CALLBACK

Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo rilevamento, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular.

Livello di prezzo: Standard

Correggi questo risultato

A7 A03

XSS error

Nome categoria nell'API: XSS_ERROR

Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. A risolvere questo risultato, convalidare e uscire dai dati non attendibili forniti dall'utente.

Livello di prezzo: Standard

Correggi questo risultato

A7 A03

XXE reflected file leakage

Nome categoria nell'API: XXE_REFLECTED_FILE_LEAKAGE

È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare un'applicazione web per far trapelare un file sull'host. Per risolvere questo risultato, configura il file XML per non consentire le entità esterne.

Livello di prezzo: Premium

Correggi questo risultato

A4 A05

Prototype pollution

Nome categoria nell'API: PROTOTYPE_POLLUTION

L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto Object.prototype possono essere assegnati valori controllabili dall'utente malintenzionato. Si presume che i valori inseriti in questi prototipi si traducano universalmente in cross-site scripting o vulnerabilità simili sul lato client, oltre a bug logici.

Livello di prezzo: Standard

Correggi questo risultato

A1 A03

Servizi di rilevamento delle minacce

I servizi di rilevamento delle minacce includono servizi integrati e integrati che rilevano eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.

Rilevamento di anomalie

Rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento dall'esterno del tuo sistema. Visualizza informazioni granulari sulla sicurezza di anomalie rilevate per i progetti e le istanze di macchine virtuali (VM), ad esempio come potenziali credenziali divulgate. Il rilevamento di anomalie è automaticamente abilitati quando attivi Security Command Center Standard o Il livello Premium e i risultati sono disponibili nella console Google Cloud.

I risultati del rilevamento di anomalie includono quanto segue:

Nome anomalia Categoria risultati Descrizione
Account has leaked credentials account_has_leaked_credentials

Le credenziali di un account di servizio Google Cloud vengono accidentalmente sono trapelati online o sono compromessi.

Gravità: critica

L'account presenta credenziali divulgate

GitHub ha informato Security Command Center che le credenziali utilizzate per un commit, sembrano essere le credenziali Account di servizio Google Cloud Identity and Access Management.

La notifica include il nome dell'account di servizio e la chiave privata identificativo dell'utente. Google Cloud invia inoltre contatto designato per la sicurezza e la privacy invia una notifica via email.

Per risolvere il problema, esegui una o più delle seguenti azioni:

  • Identifica l'utente legittimo della chiave.
  • Ruota la chiave.
  • Rimuovi la chiave.
  • Esamina le azioni intraprese con la chiave dopo la sua divulgazione per assicurarti che nessuna sia stata dannosa.

JSON: risultato relativo alle credenziali dell'account compromesse

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection può rilevare gli attacchi più comuni al runtime dei container e avvisarti in Security Command Center e facoltativamente in Cloud Logging. Rilevamento delle minacce a container include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ guest kernel ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare i seguenti eventi:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Monitora lo stream di Cloud Logging per i progetti e consuma i log man mano che diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un esito in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il pulsante Il livello Premium e i risultati di Security Command Center sono disponibili in nella console Google Cloud.

Nella tabella seguente sono riportati alcuni esempi di risultati di Event Threat Detection.

Tabella C. Tipi di risultati di Event Threat Detection
Distruzione dei dati

Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di backup e DR per i seguenti scenari:

  • Eliminazione di un'immagine di backup
  • Eliminazione di tutte le immagini di backup associate a un'applicazione
  • Eliminazione di un'appliance di backup/ripristino
Esfiltrazione di dati

Rilevamento minacce da eventi rileva l'esfiltrazione dei dati da BigQuery e Cloud SQL esaminando i log di controllo per i seguenti scenari:

  • Una risorsa BigQuery viene salvata al di fuori della tua organizzazione o viene tentata un'operazione di copia bloccata da Controlli di servizio VPC.
  • Viene effettuato un tentativo di accedere alle risorse BigQuery sono protette dai Controlli di servizio VPC.
  • Una risorsa Cloud SQL viene esportata completamente o parzialmente in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket di proprietà della tua organizzazione e accessibile pubblicamente.
  • Un backup di Cloud SQL viene ripristinato su all'esterno dell'organizzazione.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket della tua organizzazione accessibile pubblicamente.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in una cartella di Google Drive.
Attività sospette di Cloud SQL

Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze Cloud SQL:

  • A un utente del database vengono concessi tutti i privilegi per il database Cloud SQL per PostgreSQL o per tutte le tabelle, le procedure funzioni in uno schema.
  • Un superutente dell'account database predefinito di Cloud SQL ("postgres" su istanze PostgreSQL o "root" su istanze MySQL) viene utilizzato per scrivere nelle tabelle non di sistema.
Attività sospette in AlloyDB per PostgreSQL

Event Threat Detection esamina gli audit log per rilevare gli eventi seguenti che potrebbero indicare la compromissione di un account utente valido su Istanze AlloyDB per PostgreSQL:

  • A un utente del database vengono concessi tutti i privilegi per un database AlloyDB per PostgreSQL o per tutte le tabelle, procedure o funzioni in uno schema.
  • Un super user dell'account di database predefinito AlloyDB per PostgreSQL ("postgres") è utilizzato per scrivere in tabelle non di sistema.
Forza bruta SSH Event Threat Detection rileva l'attacco di forza bruta dell'autenticazione SSH tramite password esaminando i log syslog per verificare la presenza di errori ripetuti seguiti da un successo.
Cryptomining Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP non validi noti dei pool di mining.
Illeciti IAM

Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:

  • Aggiunta di un utente gmail.com a un criterio con il ruolo Editor del progetto.
  • Invitare un utente gmail.com come proprietario di un progetto dal nella console Google Cloud.
  • Account di servizio che concede autorizzazioni sensibili.
  • Ruolo personalizzato con autorizzazioni sensibili.
  • Account di servizio aggiunto dall'esterno dell'organizzazione.
Blocco recupero sistema

Event Threat Detection rileva modifiche anomale a Backup e DR che potrebbero influire sulla posizione di backup, incluse modifiche importanti ai criteri e rimozione di componenti critici di Backup e DR.
Log4j Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive.
Malware Event Threat Detection rileva il malware esaminando i log di flusso VPC e Log di Cloud DNS per le connessioni a comandi e controlli noti domini e IP.
DoS in uscita Event Threat Detection esamina i log di flusso VPC per rilevare il rifiuto in uscita di e il traffico dei servizi.
Accesso anomalo Event Threat Detection rileva un accesso anomalo esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Comportamento IAM anomalo Event Threat Detection rileva comportamenti anomali di IAM esaminando gli audit log di Cloud per i seguenti scenari:
  • Account utente e di servizio IAM che accedono a Google Cloud da indirizzi IP anomali.
  • Account di servizio IAM che accedono a Google Cloud da user agent anomali.
  • Entità e risorse che si spacciano per account di servizio IAM per accedere a Google Cloud.
Auto-indagine sull'account di servizio Rilevamento minacce da eventi rileva quando viene utilizzata una credenziale dell'account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Chiave SSH aggiunta dall'amministratore di Compute Engine Event Threat Detection rileva una modifica al valore della chiave ssh dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana).
Script di avvio aggiunto dall'amministratore Compute Engine Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana).
Attività sospetta dell'account Event Threat Detection individua una potenziale compromissione di Google Workspace di account esaminando gli audit log per rilevare attività anomale dell'account, incluse password compromesse e tentativi di accessi sospetti.
Attacco sostenuto da un governo Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando gli aggressori sostenuti dai governi potrebbero aver tentato di compromettere un account o un computer dell'utente.
Modifiche al Single Sign-On (SSO) Rilevamento minacce da eventi esamina i log di controllo di Google Workspace per rilevare quando l'accessoSSO è disattivato o le impostazioni vengono modificate per gli account amministratore di Google Workspace.
Verifica in due passaggi Event Threat Detection esamina gli audit log di Google Workspace per rileva quando la verifica in due passaggi è disattivata per gli account utente e amministratore.
Comportamento anomalo dell'API Event Threat Detection rileva il comportamento anomalo dell'API esaminando gli audit log di Cloud per individuare richieste ai servizi Google Cloud che un principale non ha mai visto prima.
Evasione della difesa

Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari:

  • Modifiche ai perimetri esistenti dei Controlli di servizio VPC che comporta una riduzione della protezione offerta.
  • I deployment o gli aggiornamenti dei carichi di lavoro che utilizzano flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.Anteprima
Discovery

Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:

  • Un aggressore potenzialmente malintenzionato ha tentato di determinare cosa sensibili in GKE, possono della query, utilizzando kubectl .
  • Le credenziali di un account di servizio vengono utilizzate per esaminare i ruoli e autorizzazioni associate allo stesso account di servizio.
Accesso iniziale Event Threat Detection rileva le operazioni di accesso iniziali tramite esaminando gli audit log per gli scenari seguenti:
  • Un account di servizio gestito dall'utente inattivo ha attivato un'azione.Anteprima
  • Un entità ha tentato di richiamare vari metodi Google Cloud, ma non è riuscita ripetutamente a causa di errori di autorizzazione negata.Anteprima
Escalation dei privilegi

Event Threat Detection rileva l'escalation dei privilegi in GKE tramite esaminando gli audit log per gli scenari seguenti:

  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo degli accessi basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
  • Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) del control plane di Kubernetes, che gli consente di accedere con il ruolo cluster-admin.
  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
  • Un utente potenzialmente malintenzionato ha eseguito una query richiesta di firma del certificato (CSR) con kubectl usando credenziali di bootstrap compromesse.
  • Un utente potenzialmente malintenzionato ha creato un pod contenente o container con funzionalità di escalation dei privilegi.
Rilevamento di Cloud IDS Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un Event Threat Detection ricerca. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS. Anteprima
Movimento laterale Event Threat Detection rileva potenziali attacchi al disco di avvio modificato esaminando gli audit log di Cloud per rilevare scollegamento e ricollegamento frequenti del disco di avvio nelle istanze Compute Engine.

Scopri di più su Event Threat Detection.

Google Cloud Armor

Google Cloud Armor ti aiuta a proteggere applicando un filtro di livello 7. Google Cloud Armor esegue la scansione delle richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.

VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su VM Threat Detection, consulta VM Threat Detection Panoramica.

Risultati delle minacce di VM Threat Detection

VM Threat Detection può generare i seguenti risultati relativi alle minacce.

Risultati relativi alle minacce legate al mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati relativi alle minacce di mining di criptovalute di VM Threat Detection
Categoria Modulo Descrizione
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Corrisponde a pattern di memoria, come le costanti proof-of-work, noti per essere utilizzati dal software di mining di criptovalute.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifica una minaccia rilevata sia dai moduli CRYPTOMINING_HASH sia da CRYPTOMINING_YARA. Per ulteriori informazioni, vedi Rilevamenti combinati

Risultati relativi alle minacce di rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni utilizzate dai malware.

KERNEL_MEMORY_TAMPERING rileva le minacce facendo un confronto di hash sul e la memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando e l'integrità di importanti strutture di dati del kernel.

Risultati delle minacce rootkit in modalità kernel di VM Threat Detection
Categoria Modulo Descrizione
Manomissione della memoria del kernel
Defense Evasion: Unexpected kernel code modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria del codice del kernel.
Defense Evasion: Unexpected kernel read-only data modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
Defense Evasion: Unexpected ftrace handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti punti ftrace con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected interrupt handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo.
Defense Evasion: Unexpected kernel modulesAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
Defense Evasion: Unexpected kprobe handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti kprobe punti con callback che puntano a regioni che non si trovano l'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected processes in runqueueAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono nella coda di esecuzione, ma non nell'elenco delle attività di elaborazione.
Defense Evasion: Unexpected system call handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori chiamate di sistema che non si trovano nelle regioni del codice del kernel o del modulo previste.
Rootkit
Defense Evasion: RootkitAnteprima
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.

Rilevamento dell'osservazione di VM Threat Detection

VM Threat Detection può generare il seguente risultato dell'osservazione.

Risultato di osservazione di VM Threat Detection
Nome categoria Nome API Riepilogo Gravità
VMTD disabled VMTD_DISABLED

VM Threat Detection è disabilitato. Fino a quando attiva questo servizio non può eseguire la scansione dei tuoi progetti e istanze VM per applicazioni indesiderate.

Questo risultato viene impostato su INACTIVE dopo 30 giorni. Dopodiché, questo risultato non viene generato di nuovo.

Alta

Errori

I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati degli errori vengono generati l'origine di sicurezza di Security Command Center e la classe dei risultati SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.

Azioni involontarie
Nome categoria Nome API Riepilogo Gravità
API disabled API_DISABLED

Descrizione dei risultati: Un'API obbligatoria è disabilitata per il progetto. Il servizio disattivato non può inviare i risultati a Security Command Center.

Livello di prezzo: Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Ricerca batch: ogni 60 ore

Correggi questo risultato

Critico
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrizione del problema: le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece l'insieme di risorse di valore elevato predefinito.

Questo errore può avere una delle seguenti cause:

  • Nessuna delle configurazioni dei valori delle risorse corrisponde a un'istanza di risorsa.
  • Una o più configurazioni di valori delle risorse che specificano NONE sostituiscono ogni altra configurazione valida.
  • Tutte le configurazioni definite per i valori delle risorse specificano un valore NONE.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni batch: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Critico
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrizione dei risultati: Negli ultimi simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un ambiente un set di risorse. Di conseguenza, Security Command Center ha escluso il numero in eccesso di e istanze VM del set di risorse di alto valore.

Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dall'insieme sono identificati nel rilevamento SCC Error nella console Google Cloud.

I punteggi dell'esposizione agli attacchi per tutti i risultati che interessano la risorsa esclusa le istanze di risorse non riflettono la designazione di alto valore delle istanze di risorse.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni collettive: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descrizione del problema: non è possibile attivare il rilevamento delle minacce ai container nel cluster perché non è possibile estrarre (scaricare) un'immagine container obbligatoria da gcr.io, l'host delle immagini di Container Registry. L'immagine è necessari per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection.

Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrizione dei risultati: Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un ingresso di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet che richiesto da Container Threat Detection.

Quando visualizzati nella console Google Cloud, i dettagli dei risultati includono un messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire eseguire il deployment di un oggetto DaemonSet Container Threat Detection.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del problema: Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Rilevamento delle minacce a container potrebbe smettere di funzionare correttamente perché la strumentazione di rilevamento non può essere attivata, aggiornata o disabilitata.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione dei risultati: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché L'account di servizio predefinito di GKE sul cluster non dispone delle autorizzazioni. In questo modo viene impedita l'attivazione di Container Threat Detection sul cluster.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni collettive: ogni settimana

Correggi questo risultato

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrizione del problema: il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center impossibile inviare i risultati a Logging.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descrizione dei risultati: Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio L'account di servizio Security Command Center non ha accesso al perimetro.

Livello di prezzo: Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Ricerca collettiva: ogni 6 ore

Correggi questo risultato

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione dei risultati: L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono prodotti risultati.

Livello di prezzo: Premium o Standard

Asset supportati

Scansioni collettive: ogni 30 minuti

Correggi questo risultato

Critico

Per ulteriori informazioni, vedi Errori di Security Command Center.

Passaggi successivi