Sicherheitsquellen

Diese Seite enthält eine Liste der Sicherheitsquellen von Google Cloud, die in Security Command Center verfügbar sind. Wenn Sie eine Sicherheitsquelle aktivieren, werden Sicherheitslücken und gefundene Bedrohungen in Security Command Center angezeigt.

Sie können die Ergebnisse in der Google Cloud Console ansehen und auf viele verschiedene Arten filtern, z. B. nach Ergebnistyp, Ressourcentyp oder nach einem bestimmten Asset. Jede Sicherheitsquelle kann weitere Filter bereitstellen, mit denen Sie Ihre Ergebnisse organisieren können.

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitslücken

Die Sicherheitslücken-Detektoren können Ihnen dabei helfen, mögliche Schwachstellen in Ihren Google Cloud-Ressourcen zu finden.

Dashboard für den GKE-Sicherheitsstatus

Das Dashboard für den GKE-Sicherheitsstatus ist eine Seite in der Google Cloud Console, die Ihnen fundierte, umsetzbare Ergebnisse zu potenziellen Sicherheitsproblemen in Ihren GKE-Clustern liefert.

Wenn Sie eines der folgenden Features des Dashboards für den GKE-Sicherheitsstatus aktivieren, werden die Ergebnisse in der Standard- oder Premium-Stufe von Security Command Center angezeigt:

Dashboard-Feature für den GKE-Sicherheitsstatus	Security Command Center-Ergebnistyp
Prüfung der Arbeitslastkonfiguration	`MISCONFIGURATION`
Scannen von Containerbetriebssystemen auf Sicherheitslücken Scannen von Sprachpaketen auf Sicherheitslücken Umsetzbare Sicherheitsbulletins (Vorabversion)	`VULNERABILITY`

Die Ergebnisse enthalten Informationen zum Sicherheitsproblem und Empfehlungen zur Behebung der Probleme in Ihren Arbeitslasten oder Clustern.

Ergebnisse des Dashboards für den GKE-Sicherheitsstatus in der Google Cloud Console ansehen

Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf:

Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option GKE-Sicherheitsstatus aus. Wenn der Filter GKE-Sicherheitsstatus nicht angezeigt wird, gibt es keine aktiven Ergebnisse.

IAM Recommender

Der IAM Recommender gibt Empfehlungen aus, mit denen Sie die Sicherheit verbessern können. Dazu werden IAM-Rollen aus Hauptkonten entfernt oder ersetzt, wenn die Rollen IAM-Berechtigungen enthalten, die das Hauptkonto nicht benötigt.

IAM-Recommender-Ergebnisse aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie IAM-Recommender-Ergebnisse in Security Command Center:

Rufen Sie in der Google Cloud Console auf der Seite Einstellungen von Security Command Center den Tab Integrierte Dienste auf:

Einstellungen aufrufen
Scrollen Sie gegebenenfalls nach unten zum Eintrag IAM Recommender.
Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.

Ergebnisse aus dem IAM-Recommender werden als Sicherheitslücken klassifiziert.

Maximieren Sie den folgenden Abschnitt, um eine Tabelle mit den Ergebnissen des IAM-Recommenders zu sehen. Die Abhilfeschritte für jedes Ergebnis sind im Tabelleneintrag enthalten.

IAM-Recommender-Detektoren

Ergebnisse des IAM-Recommenders
Detektor	Zusammenfassung
`IAM role has excessive permissions` Kategoriename in der API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Ergebnisbeschreibung: Der IAM-Recommender hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto übermäßige Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: Kopieren Sie in der Google Cloud Console im Abschnitt Nächste Schritte der Ergebnisdetails die URL der IAM-Seite, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Empfehlungen in Tabelle ansehen`. Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Empfehlung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Empfehlungsdetails wird geöffnet. Sehen Sie sich die Empfehlungen an, um das Problem zu beheben. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf `INACTIVE`.
`Service agent role replaced with basic role` Kategoriename in der API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Ergebnisbeschreibung: Der IAM-Recommender hat festgestellt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter ersetzt wurde. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten keinen Dienst-Agents gewährt werden. Preisstufe: Premium Unterstützte Assets: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: Kopieren Sie in der Google Cloud Console im Abschnitt Nächste Schritte der Ergebnisdetails die URL der IAM-Seite, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Empfehlungen in Tabelle ansehen`. Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf alle Berechtigungen, die sich auf nicht erforderliche Berechtigungen beziehen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf `INACTIVE`.
`Service agent granted basic role` Kategoriename in der API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Ergebnisbeschreibung: Der IAM-Recommender hat IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen gewährt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten keinen Dienst-Agents gewährt werden. Preisstufe: Premium Unterstützte Assets: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: Kopieren Sie in der Google Cloud Console im Abschnitt Nächste Schritte der Ergebnisdetails die URL der IAM-Seite, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Empfehlungen in Tabelle ansehen`. Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf alle Berechtigungen, die sich auf nicht erforderliche Berechtigungen beziehen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf `INACTIVE`.
`Unused IAM role` Kategoriename in der API: `UNUSED_IAM_ROLE`	Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: Kopieren Sie in der Google Cloud Console im Abschnitt Nächste Schritte der Ergebnisdetails die URL der IAM-Seite, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die `Eingabetaste`. Die Seite IAM wird geladen. Klicken Sie rechts oben auf der Seite IAM auf `Empfehlungen in Tabelle ansehen`. Die Empfehlungen werden in einer Tabelle angezeigt. Klicken Sie in der Spalte Sicherheitsinformationen auf alle Berechtigungen, die sich auf nicht erforderliche Berechtigungen beziehen. Der Bereich mit den Empfehlungsdetails wird geöffnet. Prüfen Sie die nicht erforderlichen Berechtigungen. Klicken Sie auf `Anwenden`. Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf `INACTIVE`.

IAM-Recommender-Ergebnisse in der Console ansehen

In der Google Cloud Console können Sie die vom IAM-Recommender ausgegebenen Ergebnisse entweder auf der Seite Sicherheitslücken in der Abfragevoreinstellung IAM Recommender oder auf der Seite Ergebnisse im Bereich Anzeigename der Quelle im Bereich Schnellfilter aufrufen.

Mandiant Attack Surface Management

Mandiant ist ein weltweit führender Anbieter von Bedrohungsdaten aus Incident-Response-Einsätzen. Mandiant Attack Surface Management identifiziert Schwachstellen und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie über die neuesten Cyberangriffe auf dem Laufenden bleiben.

Mandiant Attack Surface Management wird automatisch aktiviert, wenn Sie die Enterprise-Stufe von Security Command Center aktivieren und die Ergebnisse in der Google Cloud Console verfügbar sind.

Ergebnisse von Mandiant Attack Surface Management in der Google Cloud Console ansehen

So prüfen Sie die Ergebnisse in der Google Cloud Console:

Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Mandiant Attack Surface Management aus.

Die Tabelle enthält nun die Ergebnisse von Mandiant Attack Surface Management.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Prüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, zu der betroffenen Ressource und mehr.

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster. Diese Richtlinien dienen als Leitplanken und können beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte hilfreich sein.

Wenn Sie Policy Controller installieren und entweder die CIS Kubernetes Benchmark v1.5.1 oder die PCI-DSS v3.2.1 Policy Controller-Bundles oder beide aktivieren, schreibt Policy Controller automatisch Clusterverstöße als Misconfiguration-Klassenergebnisse in Security Command Center. Die Ergebnisbeschreibung und die nächsten Schritte in den Security Command Center-Ergebnissen sind identisch mit der Einschränkungsbeschreibung und den Abhilfeschritten des entsprechenden Policy Controller-Bundles.

Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:

CIS Kubernetes Benchmark Version 1.5.1 enthält eine Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu erreichen. Sie können sich auch Informationen zu diesem Bundle im GitHub-Repository für cis-k8s-v1.5.1 ansehen.
PCI-DSS v3.2.1, ein Bundle, das die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet. Sie können sich auch Informationen zu diesem Bundle im GitHub-Repository für pci-dss-v3 ansehen.

Informationen zum Suchen und Beheben von Policy Controller-Ergebnissen finden Sie unter Policy Controller-Ergebnisse korrigieren.

Rapid Vulnerability Detection

Rapid Vulnerability Detection führt verwaltete Scans aus, die sogenannte „N-Tage“-Sicherheitslücken erkennen. Das sind bekannte Exploits, die beliebigen Datenzugriff und die Remote-Ausführung von Code ermöglichen, einschließlich schwacher Anmeldedaten, unvollständiger Softwareinstallationen und offener Administratoroberflächen.

Eine vollständige Liste der Sicherheitslücken, die von Rapid Vulnerability Detection erkannt werden, finden Sie unter Ergebnisse und Maßnahmen von Rapid Vulnerability Detection.

Security Health Analytics

Security Health Analytics ist ein integrierter Erkennungsdienst von Security Command Center, der verwaltete Scans Ihrer Cloud-Ressourcen zur Erkennung gängiger Fehlkonfigurationen bereitstellt.

Wenn eine Fehlkonfiguration erkannt wird, gibt Security Health Analytics ein Ergebnis aus. Die meisten Ergebnisse von Security Health Analytics werden Sicherheitsstandardkontrollen zugeordnet, damit Sie die Compliance bewerten können.

Security Health Analytics scannt Ihre Ressourcen in Google Cloud. Wenn Sie die Enterprise-Stufe verwenden und Verbindungen zu anderen Cloud-Plattformen herstellen, kann Security Health Analytics auch Ihre Ressourcen auf diesen Cloud-Plattformen scannen.

Je nach verwendeter Security Command Center-Dienststufe unterscheiden sich die verfügbaren Detektoren:

In der Standard-Stufe enthält Security Health Analytics nur eine einfache Gruppe von Sicherheitslückendetektoren mit mittlerem und hohem Schweregrad.
Die Premium-Stufe umfasst alle Sicherheitslückendetektoren für Google Cloud.
Die Enterprise-Stufe enthält zusätzliche Detektoren für andere Cloud-Plattformen.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Weitere Informationen finden Sie unter:

Dienst für den Sicherheitsstatus

Der Dienst für den Sicherheitsstatus ist ein in die Premium-Stufe von Security Command Center integrierter Dienst, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Sie erhalten Informationen darüber, wie Ihre Umgebung mit den Richtlinien übereinstimmt, die Sie in Ihrem Sicherheitsstatus definieren.

Der Dienst für den Sicherheitsstatus ist nicht mit dem Dashboard für den GKE-Sicherheitsstatus verknüpft, das nur Ergebnisse in GKE-Clustern anzeigt.

Ergebnisse des Sicherheitsstatusdienstes

Ergebnisse zum Sicherheitsstatus
Ergebnis	Zusammenfassung
`SHA Canned Module Drifted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die außerhalb eines Statusupdates aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Detektoreinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor aktualisieren oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`SHA Custom Module Drifted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem benutzerdefinierten Security Health Analytics-Modul erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen für das benutzerdefinierte Modul in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics aktualisieren oder Sie können die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`SHA Custom Module Deleted` Kategoriename in der API: `SECURITY_POSTURE_DETECTOR_DELETE`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen für das benutzerdefinierte Modul in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics aktualisieren oder Sie können die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`Org Policy Canned Constraint Drifted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Aktualisierung des Sicherheitsstatus aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`Org Policy Canned Constraint Deleted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DELETE`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`Org Policy Custom Constraint Drifted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DRIFT`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb einer Aktualisierung des Sicherheitsstatus aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und ‐status aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.
`Org Policy Custom Constraint Deleted` Kategoriename in der API: `SECURITY_POSTURE_POLICY_DELETE`	Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und ‐status aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung: Aktualisieren Sie die Datei `posture.yaml` mit der Änderung. Führen Sie den Befehl `gcloud scc postures update` aus: Eine Anleitung dazu finden Sie unter Sicherheitsstatus aktualisieren. Stellen Sie den aktualisierten Sicherheitsstatus mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung eines Sicherheitsstatus aktualisieren.

Sensitive Data Protection

Der Schutz sensibler Daten ist ein vollständig verwalteter Google Cloud-Dienst, mit dem Sie sensible Daten ermitteln, klassifizieren und schützen können. Mit dem Schutz sensibler Daten können Sie feststellen, ob Sie vertrauliche oder personenidentifizierbare Informationen speichern. Hier einige Beispiele:

Personennamen
Kreditkartennummern
Nationale oder bundesstaatliche Identifikationsnummern
Krankenversicherungs-IDs
Secrets

Beim Schutz sensibler Daten wird jede Art von sensiblen Daten, nach denen Sie suchen, als infoType bezeichnet.

Wenn Sie den Schutz sensibler Daten so konfigurieren, dass Ergebnisse an Security Command Center gesendet werden, können Sie die Ergebnisse zusätzlich zum Abschnitt zum Schutz sensibler Daten direkt im Security Command Center-Bereich der Google Cloud Console sehen.

Ergebnisse zu Sicherheitslücken des Erkennungsdienstes für den Schutz sensibler Daten

Mit dem Erkennungsdienst für den Schutz sensibler Daten können Sie feststellen, ob Ihre Cloud Functions-Umgebungsvariablen Secrets wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten enthalten. Eine vollständige Liste der Secret-Typen, die der Schutz sensibler Daten in dieser Funktion erkennt, finden Sie unter Anmeldedaten und Secrets.

Ergebnistyp Ergebnisbeschreibung Compliancestandards

Ergebnistyp	Ergebnisbeschreibung	Compliancestandards
`Secrets in environment variables` Kategoriename in der API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Dieser Detektor sucht nach Secrets in Cloud Functions-Umgebungsvariablen. Abhilfe: Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Secrets in environment variables

Kategoriename in der API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Dieser Detektor sucht nach Secrets in Cloud Functions-Umgebungsvariablen.

Abhilfe: Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Nachdem Sie die Secret-Erkennung in Sensitive Data Protection aktiviert haben, kann es bis zu 12 Stunden dauern, bis der erste Scan der Umgebungsvariablen abgeschlossen ist und alle Ergebnisse von „Secrets in Umgebungsvariablen“ in Security Command Center angezeigt werden. Anschließend scannt Sensitive Data Protection die Umgebungsvariablen alle 24 Stunden. In der Praxis können Scans auch häufiger ausgeführt werden.

Wie Sie diesen Detektor aktivieren, erfahren Sie unter Secrets in Umgebungsvariablen an Security Command Center melden in der Dokumentation zum Schutz sensibler Daten.

Beobachtungen aus dem Schutz sensibler Daten

In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die der Schutz sensibler Daten in Security Command Center generiert.

Beobachtungsergebnisse aus dem Discovery Service

Mit dem Erkennungsdienst für den Schutz sensibler Daten können Sie feststellen, ob Ihre BigQuery-Daten bestimmte infoTypes enthalten und wo sie sich in Ihrer Organisation, Ihren Ordnern und Ihren Projekten befinden.

Bei einem Erkennungsvorgang werden Profile der zugrunde liegenden BigQuery-Daten auf Projekt-, Tabellen- und Spaltenebene generiert. Jedes Tabellendatenprofil generiert die folgenden Ergebniskategorien in Security Command Center:

Data sensitivity: Ein Hinweis auf die Vertraulichkeitsstufe der Daten in einer bestimmten Tabelle. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die möglicherweise eine zusätzliche Kontrolle oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist die Vertraulichkeitsstufe, die beim Generieren des Datenprofils vom Schutz sensibler Daten berechnet wurde.
Data risk: Das mit den Daten in ihrem aktuellen Zustand verbundene Risiko. Bei der Berechnung des Datenrisikos berücksichtigt der Schutz sensibler Daten die Vertraulichkeitsstufe der Daten in der Tabelle und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die vom Schutz sensibler Daten beim Generieren des Datenprofils berechnet wurde.

Ab dem Zeitpunkt, an dem der Schutz sensibler Daten die Datenprofile generiert, kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse Data sensitivity und Data risk in Security Command Center angezeigt werden.

Informationen zum Senden von Datenprofilergebnissen an Security Command Center finden Sie unter Erkennung sensibler Daten aktivieren.

Beobachtung von Ergebnissen des Inspektionsdienstes für den Schutz sensibler Daten

Ein Inspektionsjob für den Schutz sensibler Daten identifiziert jede Dateninstanz eines bestimmten infoType in einem Speichersystem wie einem Cloud Storage-Bucket oder einer BigQuery-Tabelle. Sie können beispielsweise einen Inspektionsjob ausführen, der nach allen Strings sucht, die dem infoType-Detektor CREDIT_CARD_NUMBER in einem Cloud Storage-Bucket entsprechen.

Für jeden infoType-Detektor mit einer oder mehreren Übereinstimmungen generiert der Schutz sensibler Daten ein entsprechendes Security Command Center-Ergebnis. Die Ergebniskategorie ist der Name des übereinstimmenden infoType-Detektors, z. B. Credit card number. Das Ergebnis enthält die Anzahl der übereinstimmenden Strings, die in Text oder Bildern in der Ressource erkannt wurden.

Aus Sicherheitsgründen sind die tatsächlich erkannten Strings nicht im Ergebnis enthalten. Ein Credit card number-Ergebnis gibt beispielsweise an, wie viele Kreditkartennummern gefunden wurden, aber nicht die tatsächlichen Kreditkartennummern.

Da es mehr als 150 integrierte infoType-Detektoren zum Schutz sensibler Daten gibt, sind hier nicht alle möglichen Security Command Center-Ergebniskategorien aufgeführt. Eine vollständige Liste der infoType-Detektoren finden Sie in der infoType-Detektorreferenz.

Informationen zum Senden der Ergebnisse eines Inspektionsjobs an Security Command Center finden Sie unter Ergebnisse von Inspektionsjobs zum Schutz sensibler Daten an Security Command Center senden.

Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen

So prüfen Sie die Ergebnisse in der Google Cloud Console:

Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Bereich Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Schutz sensibler Daten aus.

Die Tabelle enthält die Ergebnisse für den Schutz sensibler Daten.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Prüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, zu der betroffenen Ressource und mehr.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.

Wenn Sie VM Manager mit der Premium-Stufe von Security Command Center aktivieren, schreibt VM Manager automatisch high- und critical-Ergebnisse aus den Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Common Vulnerabilities and Exposures (CVEs).

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. Derzeit unterstützt VM Manager die Patchverwaltung auf der einzelnen Projektebene.

Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben.

Informationen dazu, wie Sie verhindern, dass Berichte zu Sicherheitslücken in Security Command Center geschrieben werden, finden Sie unter VM Manager-Ergebnisse stummschalten.

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

**Tabelle 24** VM Manager-Berichte zu Sicherheitslücken
Detektor	Zusammenfassung	Asset-Scaneinstellungen	Compliance-Standards
`OS vulnerability` Kategoriename in der API: `OS_VULNERABILITY`	Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie in den Details zu Betriebssystemen. Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt: Für die meisten Sicherheitslücken im installierten Betriebssystempaket generiert die OS Config API innerhalb weniger Minuten nach der Änderung einen Bericht zu Sicherheitslücken. Bei CVEs generiert die OS Config API den Bericht zu Sicherheitslücken innerhalb von drei bis vier Stunden, nachdem die CVE-Sicherheitslücke im Betriebssystem veröffentlicht wurde.

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie mit verwalteten Scans die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einbeziehen zu müssen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind verwaltete Scanergebnisse automatisch auf der Seite Sicherheitslücken in Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren von von Web Security Scanner verwalteten Scans finden Sie unter Security Command Center konfigurieren.

Verwaltete Scans unterstützen nur Anwendungen, die den Standardport verwenden, also 80 für HTTP-Verbindungen und 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung einen nicht standardmäßigen Port verwendet, führen Sie stattdessen einen benutzerdefinierten Scan durch.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.

Sie definieren benutzerdefinierte Scans auf Projektebene.

Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie	Ergebnisbeschreibung	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` Kategoriename in der API: `ACCESSIBLE_GIT_REPOSITORY`	Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Accessible SVN repository` Kategoriename in der API: `ACCESSIBLE_SVN_REPOSITORY`	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Cacheable password input` Kategoriename in der API: `CACHEABLE_PASSWORD_INPUT`	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium Dieses Ergebnis korrigieren	A3	A04
`Clear text password` Kategoriename in der API: `CLEAR_TEXT_PASSWORD`	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Standard Dieses Ergebnis korrigieren	A3	A02
`Insecure allow origin ends with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts `Origin` ist, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. `.endsWith(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Insecure allow origin starts with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert `Origin` übereinstimmt, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben, z. B. `.equals(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Invalid content type` Kategoriename in der API: `INVALID_CONTENT_TYPE`	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header `X-Content-Type-Options` den richtigen Wert fest. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Invalid header` Kategoriename in der API: `INVALID_HEADER`	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mismatching security header values` Kategoriename in der API: `MISMATCHING_SECURITY_HEADER_VALUES`	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Misspelled security header name` Kategoriename in der API: `MISSPELLED_SECURITY_HEADER_NAME`	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mixed content` Kategoriename in der API: `MIXED_CONTENT`	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Outdated library` Kategoriename in der API: `OUTDATED_LIBRARY`	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A9	A06
`Server side request forgery` Kategoriename in der API: `SERVER_SIDE_REQUEST_FORGERY`	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	Nicht zutreffend	A10
`Session ID leak` Kategoriename in der API: `SESSION_ID_LEAK`	Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader `Referer`. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann. Preisstufe: Premium Dieses Ergebnis korrigieren	A2	A07
`SQL injection` Kategoriename in der API: `SQL_INJECTION`	Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen. Preisstufe: Premium Dieses Ergebnis korrigieren	A1	A03
`Struts insecure deserialization` Kategoriename in der API: `STRUTS_INSECURE_DESERIALIZATION`	Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium Dieses Ergebnis korrigieren	A8	A08
`XSS` Kategoriename in der API: `XSS`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XSS angular callback` Kategoriename in der API: `XSS_ANGULAR_CALLBACK`	Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XSS error` Kategoriename in der API: `XSS_ERROR`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Standard Dieses Ergebnis korrigieren	A7	A03
`XXE reflected file leakage` Kategoriename in der API: `XXE_REFLECTED_FILE_LEAKAGE`	Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium Dieses Ergebnis korrigieren	A4	A05
`Prototype pollution` Kategoriename in der API: `PROTOTYPE_POLLUTION`	Die Anwendung ist anfällig für Umweltverschmutzung durch Prototypen. Diese Sicherheitslücke entsteht, wenn Eigenschaften des `Object.prototype`-Objekts vom Angreifer steuerbare Werte zugewiesen werden können. Es wird angenommen, dass sich die Werte, die in diesen Prototypen eingefügt wurden, in Cross-Site-Scripting oder ähnliche clientseitige Sicherheitslücken sowie Logikfehler niederschlagen. Preisstufe: Standard Dieses Ergebnis beheben	A1	A03

Bedrohungen

Mit Bedrohungsdetektoren können Sie potenziell schädliche Ereignisse finden.

Anomalieerkennung

Die Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale außerhalb des Systems nutzt. Sie zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie Security Command Center Standard oder Premium aktivieren. Die Ergebnisse sind in der Google Cloud Console verfügbar.

Die Ergebnisse der Anomalieerkennung umfassen Folgendes:

Name der Anomalie Ergebniskategorie Beschreibung

Name der Anomalie	Ergebniskategorie	Beschreibung
`Account has leaked credentials`	`account_has_leaked_credentials`	Anmeldedaten für ein Google Cloud-Dienstkonto werden versehentlich online offengelegt oder manipuliert. Schweregrad:Kritisch

Account has leaked credentials

account_has_leaked_credentials

Anmeldedaten für ein Google Cloud-Dienstkonto werden versehentlich online offengelegt oder manipuliert.

Schweregrad:Kritisch

Konto enthält gehackte Anmeldedaten

GitHub hat Security Command Center darüber informiert, dass die für einen Commit verwendeten Anmeldedaten offenbar die Anmeldedaten für ein Google Cloud Identity and Access Management-Dienstkonto sind.

Die Benachrichtigung enthält den Namen des Dienstkontos und die ID des privaten Schlüssels. Google Cloud sendet Ihrem zuständigen Kontakt für Sicherheits- und Datenschutzprobleme außerdem eine Benachrichtigung per E-Mail.

Führen Sie eine oder mehrere der folgenden Schritte aus, um das Problem zu beheben:

Identifizieren Sie den legitimen Nutzer des Schlüssels.
Rotieren Sie den Schlüssel.
Entfernen Sie den Schlüssel.
Untersuchen Sie alle Aktionen, die vom Schlüssel ausgeführt wurden, nachdem er gestohlen wurde, um sicherzustellen, dass keine der Aktionen schädlich war.

JSON: Ergebnis zu gehackten Kontoanmeldedaten

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Skripts aus, um die folgenden Ereignisse zu erkennen:

Ausgeführte Binärdatei hinzugeführt
Hinzugefügte Mediathek geladen
Ausführung: schädliche Ausführung von Binärcode hinzugefügt
Ausführung: Schädliche Bibliothek geladen
Ausführung: Eingebaute schädliche Binärdatei ausgeführt
Ausführung: Geänderte schädliche Ausführung von Binärprogrammen
Ausführung: Geänderte schädliche Bibliothek geladen
Schädliches Script ausgeführt
Reverse Shell
Unerwartete untergeordnete Shell

Weitere Informationen zu Container Threat Detection.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream für Projekte und verwendet Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe von Security Command Center aktivieren und die Ergebnisse in der Google Cloud Console verfügbar sind.

Die folgende Tabelle enthält Beispiele für Ergebnisse der Event Threat Detection.

**Tabelle C.** Event Threat Detection-Ergebnistypen
Datenvernichtung	Event Threat Detection erkennt Datenvernichtungen, indem Audit-Logs vom Service Management Server für Sicherung und Notfallwiederherstellung auf die folgenden Szenarien untersucht werden: Löschen eines Reservebilds Löschen aller einer Anwendung zugeordneten Backup-Images Sicherungs-/Wiederherstellungs-Appliance löschen
Daten-Exfiltration	Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden: Eine BigQuery-Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird. Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind. Eine Cloud SQL-Ressource wird vollständig oder teilweise in einen Cloud Storage-Bucket außerhalb Ihrer Organisation bzw. in einen Bucket exportiert, der Ihrer Organisation gehört und öffentlich zugänglich ist. Eine Cloud SQL-Sicherung wird auf einer Cloud SQL-Instanz außerhalb Ihrer Organisation wiederhergestellt. Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Cloud Storage-Bucket außerhalb Ihrer Organisation oder in einen Bucket in Ihrer Organisation, der öffentlich zugänglich ist, exportiert. Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Google Drive-Ordner exportiert.
Verdächtige Cloud SQL-Aktivitäten	Event Threat Detection prüft Audit-Logs auf die folgenden Ereignisse, die auf eine Manipulation eines gültigen Nutzerkontos in Cloud SQL-Instanzen hinweisen können: Einem Datenbanknutzer werden alle Berechtigungen für eine Cloud SQL for PostgreSQL-Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Ein Cloud SQL-Standard-Datenbankkonto-Superuser („postgres“ auf PostgreSQL-Instanzen oder „root“ auf MySQL-Instanzen) wird zum Schreiben in Systemtabellen verwendet.
Verdächtige Aktivitäten in AlloyDB for PostgreSQL	Event Threat Detection prüft Audit-Logs auf die folgenden Ereignisse, die auf eine Manipulation eines gültigen Nutzerkontos auf AlloyDB for PostgreSQL-Instanzen hinweisen können: Einem Datenbanknutzer werden alle Berechtigungen für eine AlloyDB for PostgreSQL-Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Ein AlloyDB for PostgreSQL-Standard-Datenbankkonto-Superuser (`postgres`) wird zum Schreiben in Nicht-Systemtabellen verwendet.
Brute-Force-SSH	Event Threat Detection erkennt Brute-Force-Angriffe bei der Passwortauthentifizierung bei SSH, indem Syslog-Logs auf wiederholte Fehler und dann auf Erfolg untersucht werden.
Kryptomining	Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden.
IAM-Missbrauch	Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel: Einen gmail.com-Nutzer mit der Rolle „Projektbearbeiter“ zu einer Richtlinie hinzufügen gmail.com-Nutzer über die Google Cloud Console als Projektinhaber einladen Dienstkonto, das vertrauliche Berechtigungen gewährt. Benutzerdefinierte Rollen sensible Berechtigungen gewährt. Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Beeinträchtigung der Systemwiederherstellung	Event Threat Detection erkennt anomale Änderungen an der Sicherung und der Notfallwiederherstellung, die sich auf den Sicherungsstatus auswirken können, einschließlich wichtiger Richtlinienänderungen und der Entfernung wichtiger Komponenten für Sicherung und Notfallwiederherstellung.
Log4j	Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken.
Malware	Event Threat Detection erkennt Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Command-and-Control-Domains und IP-Adressen untersucht werden.
Ausgehender DoS	Event Threat Detection prüft VPC-Flusslogs auf ausgehenden Denial-of-Service-Traffic.
Anomaler Zugriff	Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud-Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Anomales IAM-Verhalten	Event Threat Detection erkennt anomales IAM-Verhalten, indem Cloud-Audit-Logs in den folgenden Szenarien untersucht werden: IAM-Nutzer- und Dienstkonten, die über ungewöhnliche IP-Adressen auf Google Cloud zugreifen IAM-Dienstkonten, die über anomale User-Agents auf Google Cloud zugreifen Hauptkonten und Ressourcen, die IAM-Dienstkonten imitieren, um auf Google Cloud zuzugreifen.
Selbstuntersuchung des Dienstkontos	Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt	Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Compute Engine-Administrator hat Startskript hinzugefügt	Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche).
Verdächtige Kontoaktivitäten	Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen.
Von einer Regierung unterstützter Angriff	Event Threat Detection prüft Google Workspace-Audit-Logs, um festzustellen, ob von einer Regierung unterstützte Angreifer möglicherweise versucht haben, das Konto oder den Computer eines Nutzers zu manipulieren.
Änderungen bei der Einmalanmeldung (SSO)	Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden.
Bestätigung in zwei Schritten	Event Threat Detection prüft Google Workspace-Audit-Logs, um festzustellen, wenn die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist.
Anomales API-Verhalten	Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud-Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat.
Defense Evasion	Event Threat Detection erkennt Umgehungen von Abwehrmaßnahmen, indem Cloud-Audit-Logs in den folgenden Szenarien untersucht werden: Änderungen an vorhandenen VPC Service Controls-Perimetern, die zu einer Einschränkung des angebotenen Schutzes führen würden. Bereitstellungen oder Updates für Arbeitslasten, die mit dem Break-Glass-Flag die Einstellungen der Binärautorisierung überschreiben.^Vorschau
Discovery	Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden: Ein potenziell böswilliger Akteur hat mit dem Befehl `kubectl` versucht herauszufinden, welche vertraulichen Objekte in GKE abfragen können. Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.
Erstzugriff	Event Threat Detection erkennt erste Zugriffsvorgänge anhand von Audit-Logs für die folgenden Szenarien: Ein inaktives nutzerverwaltetes Dienstkonto hat eine Aktion ausgelöst.^Vorschau Ein Hauptkonto hat versucht, verschiedene Google Cloud-Methoden aufzurufen, ist jedoch aufgrund von Fehlern vom Typ Berechtigung verweigert wiederholt.^Vorschau
Rechteausweitung	Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert: Um die Berechtigung zu erhalten, hat ein potenziell böswilliger Akteur versucht, ein `ClusterRole`- oder `ClusterRoleBinding` rollenbasiertes Zugriffssteuerungsobjekt (Role-Based Access Control, RBAC) der sensiblen Rolle `cluster-admin` mithilfe einer Anfrage `PATCH` oder `PUT` zu eskalieren. Ein potenziell böswilliger Akteur hat eine Kubernetes-Master-Anfrage zur Zertifikatssignierung (CSR) erstellt, die ihm `cluster-admin` Zugriff gewährt. Zum Ausweiten der Berechtigung hat ein potenziell böswilliger Akteur versucht, ein neues `RoleBinding`- oder `ClusterRoleBinding`-Objekt für die Rolle `cluster-admin` zu erstellen. Ein potenziell böswilliger Akteur hat mit dem Befehl `kubectl` und manipulierten Bootstrap-Anmeldedaten eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt. Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit Funktionen zur Rechteausweitung enthält.
Cloud IDS-Erkennung	Cloud IDS erkennt Layer-7-Angriffe durch die Analyse gespiegelter Pakete und löst bei einem verdächtigen Ereignis ein Event Threat Detection-Ergebnis aus. Weitere Informationen zur Cloud IDS-Erkennung finden Sie unter Informationen zum Cloud IDS-Logging. ^Vorschau
Seitliche Bewegung	Event Threat Detection erkennt potenzielle Angriffe auf geänderte Bootlaufwerke, indem Cloud-Audit-Logs auf häufiges Trennen von Bootlaufwerken und erneutes Anhängen von Bootlaufwerken in Compute Engine-Instanzen untersucht werden.

Weitere Informationen zu Event Threat Detection.

Forseti Security

Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.

Folgen Sie der Anleitung im Benachrichtigungsleitfaden für Security Command Center von Forseti, um Verstoß-Benachrichtigungen von Forseti im Security Command Center anzuzeigen.

Weitere Informationen:

Weitere Informationen zu Forseti.
Hier erhalten Sie Hilfe zu Forseti.

Google Cloud Armor

Google Cloud Armor bietet Layer-7-Filterung zum Schutz Ihrer Anwendung. Google Cloud Armor bereinigt eingehende Anfragen für gängige Webangriffe oder andere Layer-7-Attribute, um möglicherweise den Traffic zu blockieren, bevor er Ihre Back-End-Dienste oder Back-End-Buckets mit Load-Balancing erreicht.

Google Cloud Armor exportiert zwei Ergebnisse in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, bietet Bedrohungserkennung über Instrumentierung auf Hypervisor-Ebene und die Analyse nichtflüchtiger Speicher. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Mining-Software für Kryptowährungen, Rootkits im Kernelmodus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt wird.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

VM Threat Detection-Bedrohungen

VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.

Bedrohungsergebnisse beim Kryptomining

VM Threat Detection erkennt die folgenden Ergebniskategorien über Hash-Matching- oder YARA-Regeln.

Bedrohungsergebnisse zum Krypto-Mining mit VM Threat Detection
Kategorie	Modul	Beschreibung
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Kennzeichnet eine Bedrohung, die sowohl vom Modul `CRYPTOMINING_HASH` als auch vom Modul `CRYPTOMINING_YARA` erkannt wurde. Weitere Informationen finden Sie unter Kombinierte Erkennungen.

Bedrohungsergebnisse im Kernelmodus des Rootkits

VM Threat Detection analysiert die Kernel-Integrität zur Laufzeit, um gängige Umgehungstechniken zu erkennen, die von Malware verwendet werden.

Das Modul KERNEL_MEMORY_TAMPERING erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.

Das Modul KERNEL_INTEGRITY_TAMPERING erkennt Bedrohungen, indem es die Integrität wichtiger Kernel-Datenstrukturen überprüft.

Ergebnisse von VM Threat Detection im Kernelmodus-Rootkit
Kategorie	Modul	Beschreibung
Manipulation des Kernel-Arbeitsspeichers
`Defense Evasion: Unexpected kernel code modification`^Vorschau	`KERNEL_MEMORY_TAMPERING`	Unerwartete Änderungen am Kernel-Codespeicher sind vorhanden.
`Defense Evasion: Unexpected kernel read-only data modification`^Vorschau	`KERNEL_MEMORY_TAMPERING`	Unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher sind vorhanden.
Manipulation der Kernel-Integrität
`Defense Evasion: Unexpected ftrace handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	`ftrace`-Punkte weisen Callbacks auf, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
`Defense Evasion: Unexpected interrupt handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Unterbrechende Handler, die nicht in den erwarteten Kernel- oder Modulcoderegionen enthalten sind, sind vorhanden.
`Defense Evasion: Unexpected kernel modules`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcode-Regionen befinden.
`Defense Evasion: Unexpected kprobe handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	`kprobe`-Punkte weisen Callbacks auf, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
`Defense Evasion: Unexpected processes in runqueue`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	In der Ausführungswarteschlange des Planers sind unerwartete Prozesse vorhanden. Solche Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Aufgabenliste des Prozesses.
`Defense Evasion: Unexpected system call handler`^Vorschau	`KERNEL_INTEGRITY_TAMPERING`	Systemaufruf-Handler, die nicht in den erwarteten Kernel- oder Modulcoderegionen enthalten sind, sind vorhanden.
Rootkit
`Defense Evasion: Rootkit`^Vorschau	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Es ist eine Kombination aus Signalen vorhanden, die mit einem bekannten Rootkit im Kernelmodus übereinstimmen. Damit Ergebnisse aus dieser Kategorie empfangen werden, müssen beide Module aktiviert sein.

Beobachtungsergebnis für VM Threat Detection

VM Threat Detection kann das folgende Beobachtungsergebnis generieren.

Beobachtungsergebnisse von VM Threat Detection
Kategoriename	API-Name	Fazit	Schweregrad
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection ist deaktiviert. Bevor dieser Dienst enable wird, kann er Ihre Compute Engine-Projekte und VM-Instanzen nicht auf unerwünschte Anwendungen scannen. Dieses Ergebnis wird nach 30 Tagen auf `INACTIVE` gesetzt. Danach wird dieses Ergebnis nicht noch einmal generiert.	Hoch

Fehler

Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors.

Unbeabsichtigte Aktionen

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename	API-Name	Fazit	Schweregrad
`API disabled`	`API_DISABLED`	Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch-Scans: Alle 6 Stunden Dieses Ergebnis korrigieren	Kritisch
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Ergebnisbeschreibung: Ressourcenwertkonfigurationen sind für Angriffspfadsimulationen definiert, stimmen aber mit keinen Ressourceninstanzen in Ihrer Umgebung überein. Die Simulationen verwenden stattdessen den Standardsatz hochwertiger Ressourcen. Dieser Fehler kann folgende Ursachen haben: Keine der Ressourcenwertkonfigurationen stimmt mit einer Ressourceninstanz überein. Eine oder mehrere Ressourcenwertkonfigurationen, die `NONE` angeben, überschreiben alle anderen gültigen Konfigurationen. Alle definierten Ressourcenwertkonfigurationen geben den Wert `NONE` an. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organizations Batch-Scans: Vor jeder Angriffspfadsimulation. Dieses Ergebnis korrigieren	Kritisch
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Ergebnisbeschreibung: In der letzten Simulation des Angriffspfads hat die Anzahl der hochwertigen Ressourceninstanzen, die durch die Ressourcenwertkonfigurationen ermittelt wurde, das Limit von 1.000 Ressourceninstanzen in einem Satz hochwertiger Ressourcen überschritten. Daher hat Security Command Center die überschüssige Anzahl von Instanzen aus dem Satz hochwertiger Ressourcen ausgeschlossen. Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der aus dem Satz ausgeschlossenen Instanzen werden im Ergebnis `SCC Error` in der Google Cloud Console angegeben. Die Angriffsrisikobewertungen für alle Ergebnisse, die sich auf ausgeschlossene Ressourceninstanzen auswirken, spiegeln nicht die hochwertige Kennzeichnung der Ressourceninstanzen wider. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organizations Batch-Scans: Vor jeder Angriffspfadsimulation. Dieses Ergebnis korrigieren	Hoch
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Ergebnis-Beschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von `gcr.io`, dem Image-Host in Container Registry abgerufen (heruntergeladen) werden kann. Das Image wird zum Bereitstellen des Container Threat Detection-DaemonSets benötigt, das für Container Threat Detection erforderlich ist. Der Versuch, das Container Threat Detection-DaemonSet bereitzustellen, hat zu folgendem Fehler geführt: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Ergebnisbeschreibung: Container Threat Detection kann in einem Kubernetes-Cluster nicht aktiviert werden. Ein Admission-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes DaemonSet-Objekts, das für Container Threat Detection erforderlich ist. In der Google Cloud Console enthalten die Ergebnisdetails die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versucht hat, ein DaemonSet-Objekt für Container Threat Detection bereitzustellen. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Hoch
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Batchscans: Jede Woche Dieses Ergebnis korrigieren	Hoch
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Hoch
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Project Batch-Scans: Alle 6 Stunden Dieses Ergebnis korrigieren	Hoch
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Batch Scans: Alle 30 Minuten Dieses Ergebnis korrigieren	Kritisch

Weitere Informationen finden Sie unter Security Command Center-Fehler.

Nächste Schritte

Weitere Informationen zu Security Command Center und Beispielanwendungsfälle finden Sie unter Security Command Center – Übersicht.
Erfahren Sie, wie Sie durch die Konfiguration des Security Command Center neue Sicherheitsquellen hinzufügen können.