Questa pagina contiene un elenco delle origini di sicurezza di Google Cloud disponibili in Security Command Center. Quando abiliti un'origine di sicurezza, questa fornisce vulnerabilità e risultati sulle minacce a Security Command Center.
Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio per tipo di risultato, tipo di risorsa o per asset specifico. Ogni origine di sicurezza potrebbe fornire più filtri per aiutarti a organizzare i risultati.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Vulnerabilità
I rilevatori di vulnerabilità possono aiutarti a trovare potenziali punti deboli nelle tue risorse Google Cloud.
Dashboard della strategia di sicurezza di GKE
La dashboard della strategia di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati utili e strategici sui potenziali problemi di sicurezza nei tuoi cluster GKE.
Se abiliti una delle seguenti funzionalità della dashboard della strategia di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:
Funzionalità della dashboard della strategia di sicurezza di GKE | Tipo di risultato di Security Command Center |
---|---|
Controllo della configurazione dei carichi di lavoro | MISCONFIGURATION |
VULNERABILITY |
I risultati mostrano informazioni sul problema di sicurezza e forniscono suggerimenti per risolvere i problemi dei carichi di lavoro o dei cluster.
Visualizza i risultati della dashboard della strategia di sicurezza di GKE nella console Google Cloud
Vai alla pagina Risultati di Security Command Center nella console Google Cloud:
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nel riquadro Filtri rapidi, nella sezione Nome visualizzato di origine, seleziona Postura di sicurezza di GKE. Se non vedi il filtro Postura di sicurezza di GKE, non ci sono risultati attivi.
Motore per suggerimenti IAM
Il motore per suggerimenti IAM fornisce suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM dalle entità quando i ruoli contengono autorizzazioni IAM di cui l'entità non ha bisogno.
Abilita o disabilita i risultati del motore per suggerimenti IAM
Per abilitare o disabilitare i risultati del motore per suggerimenti IAM in Security Command Center, segui questi passaggi:
Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
A destra della voce, seleziona Attiva o Disattiva.
I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.
Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei risultati del motore per suggerimenti IAM. I passaggi per la correzione per ogni risultato sono inclusi nella voce della tabella.
Visualizza i risultati del motore per suggerimenti IAM nella console
Nella console Google Cloud, puoi visualizzare i risultati forniti dal motore per suggerimenti IAM nella pagina Vulnerabilità selezionando la preimpostazione di query motore per suggerimenti IAM o nella pagina Risultati selezionando Motore per suggerimenti IAM nella sezione Nome visualizzato dell'origine del riquadro Filtri rapidi.
Mandiant Attack Surface Management
Mandiant è leader mondiale nell’intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle superfici di attacco esterne per aiutarti a rimanere al passo con gli ultimi attacchi informatici.
Mandiant Attack Surface Management viene abilitato automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.
Esamina i risultati di Mandiant Attack Surface Management nella console Google Cloud
Usa la procedura seguente per esaminare i risultati nella console Google Cloud:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato di origine, seleziona Mandiant Attack Surface Management.
La tabella viene compilata con i risultati di Mandiant Attack Surface Management.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.
Se installi Policy Controller e attivi i pacchetti di Policy Controller CIS Benchmark v1.5.1 o PCI-DSS v3.2.1 oppure entrambi, Policy Controller scrive automaticamente le violazioni dei cluster in Security Command Center come risultati di classe Misconfiguration
. La descrizione del risultato e i passaggi successivi nei risultati di Security Command Center corrispondono a quelli della descrizione del vincolo e dei passaggi di correzione del pacchetto di Policy Controller corrispondente.
I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:
- CIS Kubernetes Benchmark v.1.5.1, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. Puoi anche visualizzare informazioni su questo bundle nel
repository GitHub per
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
un bundle che valuta la conformità delle risorse del cluster rispetto ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1.
Puoi anche visualizzare informazioni su questo bundle nel
repository GitHub per
pci-dss-v3
.
Per trovare e risolvere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.
Rapid Vulnerability Detection
Rapid Vulnerability Detection esegue scansioni gestite che rilevano le cosiddette vulnerabilità "N-day", exploit noti che consentono l'accesso arbitrario ai dati e l'esecuzione di codice da remoto, tra cui credenziali deboli, installazioni incomplete di software ed interfacce utente amministratore esposte.
Per l'elenco completo delle vulnerabilità rilevate da Rapid Vulnerability Detection, consulta Risultati e correzioni di Rapid Vulnerability Detection.
Security Health Analytics
Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce analisi gestite delle risorse cloud per rilevare errori di configurazione comuni.
Quando viene rilevato un errore di configurazione, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli degli standard di sicurezza in modo da poter valutare la conformità.
Security Health Analytics scansiona le risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni ad altre piattaforme cloud, Security Health Analytics può anche analizzare le risorse su quelle piattaforme cloud.
A seconda del livello di servizio di Security Command Center in uso, i rilevatori disponibili variano:
- Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di media e alta gravità.
- Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
- Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.
Security Health Analytics viene abilitato automaticamente quando attivi Security Command Center.
Per ulteriori informazioni, vedi:
- Panoramica di Security Health Analytics
- Come utilizzare Security Health Analytics
- Correzione dei risultati di Security Health Analytics
- Riferimento dei risultati di Security Health Analytics
Servizio Security posture
Il servizio postura di sicurezza è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è in linea con i criteri che definisci nella tua strategia di sicurezza.
Il servizio della postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.
Sensitive Data Protection
Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti consente di scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), come le seguenti:
- Nomi di persone
- Numeri di carte di credito
- Numeri di documenti di identità nazionali o statali
- Numeri di ID dell'assicurazione sanitaria
- Secret
In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.
Se configuri l'operazione di Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.
Vulnerabilità rilevate dal servizio di rilevamento Sensitive Data Protection
Il servizio di rilevamento di Sensitive Data Protection consente di determinare se le variabili di ambiente di Cloud Functions contengono secret, come password, token di autenticazione e credenziali Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, vedi Credenziali e secret.
Tipo di risultato | Descrizione del risultato | Standard di conformità |
---|---|---|
Secrets in environment variables Nome della categoria nell'API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.
Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1,18 |
Per abilitare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.
Risultati dell'osservazione da Sensitive Data Protection
Questa sezione descrive i risultati di osservazione generati da Sensitive Data Protection in Security Command Center.
Risultati dell'osservazione da parte del servizio di rilevamento
Il servizio di rilevamento di Sensitive Data Protection aiuta a determinare se i dati BigQuery contengono infoType specifici e dove risiedono nell'organizzazione, nelle cartelle e nei progetti.
Un'operazione di rilevamento genera profili dei dati BigQuery sottostanti a livello di progetto, tabella e colonna. Ogni profilo dati della tabella genera le seguenti categorie di risultati in Security Command Center:
Data sensitivity
- Un'indicazione del livello di sensibilità dei dati in una determinata tabella. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dati.
Data risk
- Il rischio associato ai dati nel loro stato attuale. Nel calcolare il rischio dei dati, Sensitive Data Protection considera il livello di sensibilità dei dati nella tabella e la presenza di controlli dell'accesso per proteggere questi dati. La gravità del risultato è il livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dati.
Dal momento in cui Sensitive Data Protection genera i profili di dati, potrebbero essere necessarie fino a sei ore prima che i risultati Data sensitivity
e Data risk
associati vengano visualizzati in Security Command Center.
Per informazioni su come inviare i risultati del profilo dati a Security Command Center, consulta Abilitare il rilevamento dei dati sensibili.
Risultati dell'osservazione del servizio di ispezione di Sensitive Data Protection
Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione, ad esempio un bucket Cloud Storage o una tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione che
cerca tutte le stringhe corrispondenti al rilevatore di infoType CREDIT_CARD_NUMBER
in un bucket Cloud Storage.
Per ogni rilevatore infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato Security Command Center corrispondente. La categoria del risultato è il nome del rilevatore di infoType che ha rilevato una corrispondenza, ad esempio Credit
card number
. Il risultato include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini nella risorsa.
Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel risultato. Ad esempio, un risultato Credit card number
mostra quanti numeri di carte di credito sono stati trovati, ma non mostra i numeri effettivi delle carte di credito.
Poiché in Sensitive Data Protection sono presenti più di 150 rilevatori di infoType integrati, qui non sono elencate tutte le categorie di risultati di Security Command Center possibili. Per un elenco completo dei rilevatori di infoType, consulta la sezione Riferimento ai rilevatori di infoType.
Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, vedi Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.
Esamina i risultati di Sensitive Data Protection nella console Google Cloud
Usa la procedura seguente per esaminare i risultati nella console Google Cloud:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Sensitive Data Protection.
La tabella viene compilata con i risultati di Sensitive Data Protection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.
VM Manager
VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.
Se abiliti VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente in Security Command Center i risultati high
e critical
dei relativi report sulle vulnerabilità, che sono in anteprima. I report identificano le vulnerabilità nei sistemi operativi (OS) installati sulle VM, tra cui Vulnerabilità ed esposizioni comuni (CVE).
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano il processo di utilizzo della funzionalità di conformità alle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione per tutti i progetti. Attualmente, VM Manager supporta la gestione delle patch a livello di singolo progetto.
Per risolvere i risultati di VM Manager, consulta Correzione dei risultati di VM Manager.
Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.
Tutte le vulnerabilità di questo tipo sono correlate ai pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset | Standard di conformità |
---|---|---|---|
OS vulnerability
Nome categoria nell'API: |
Descrizione originale: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium
Asset supportati |
I report sulle vulnerabilità di VM Manager illustrano in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, incluse le Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:
|
Web Security Scanner
Web Security Scanner fornisce analisi delle vulnerabilità web gestite e personalizzate per applicazioni web pubbliche di App Engine, GKE e Compute Engine.
Scansioni gestite
Le analisi gestite di Web Security Scanner sono configurate e gestite da Security Command Center. Le analisi gestite vengono eseguite automaticamente una volta alla settimana per rilevare ed eseguire la scansione degli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano richieste solo GET in modo da non inviare moduli sui siti web attivi.
Le analisi gestite vengono eseguite separatamente dalle analisi personalizzate.
Se Security Command Center è attivato a livello di organizzazione, puoi utilizzare le scansioni gestite per gestire centralmente il rilevamento di base delle vulnerabilità delle applicazioni web per i progetti nella tua organizzazione, senza dover coinvolgere singoli team di progetto. Quando vengono scoperti i risultati, puoi collaborare con i team per impostare analisi personalizzate più complete.
Quando abiliti Web Security Scanner come servizio, i risultati della scansione gestita sono automaticamente disponibili nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come abilitare le analisi gestite di Web Security Scanner, consulta l'articolo sulla configurazione di Security Command Center.
Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se l'applicazione utilizza una porta non predefinita, esegui un'analisi personalizzata.
Scansioni personalizzate
Le analisi personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, scripting tra siti o utilizzo di contenuti misti.
Puoi definire scansioni personalizzate a livello di progetto.
I risultati delle scansioni personalizzati sono disponibili in Security Command Center dopo aver completato la guida per la configurazione delle scansioni personalizzate di Web Security Scanner.
Rilevatori e conformità
Web Security Scanner supporta le categorie di OWASP Top Ten, un documento che classifica e fornisce indicazioni di correzione per i dieci rischi per la sicurezza delle applicazioni web più critici, come stabilito da Open Web Application Security Project (OWASP). Per indicazioni sulla mitigazione dei rischi OWASP, consulta Le 10 principali opzioni di mitigazione di OWASP su Google Cloud.
La mappatura della conformità è inclusa come riferimento e non è fornita o rivista dalla OWASP Foundation.
Questa funzionalità è destinata esclusivamente a monitorare le violazioni dei controlli di conformità. Le mappature non vengono fornite e possono essere utilizzate come base o come sostituto per l'audit, la certificazione o il rapporto di conformità dei tuoi prodotti o servizi con eventuali benchmark o standard di settore o normativi.
Le analisi personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le analisi personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.
Categoria | Descrizione del risultato | Top 10 OWASP 2017 | Top 10 OWASP 2021 |
---|---|---|---|
Accessible Git repository
Nome categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi
l'accesso pubblico involontario al repository GIT.
Livello di prezzo: Standard |
A5 | A01 |
Accessible SVN repository
Nome categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi
l'accesso pubblico involontario al repository SVN.
Livello di prezzo: Standard |
A5 | A01 |
Cacheable password input
Nome categoria nell'API: |
Le password inserite nell'applicazione web possono essere memorizzate nella cache in una normale cache del browser anziché in uno spazio di archiviazione sicuro delle password.
Livello di prezzo: Premium |
A3 | A04 |
Clear text password
Nome categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa attraverso la rete.
Livello di prezzo: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin . Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin , ad esempio .equals(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Invalid content type
Nome categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP X-Content-Type-Options
con il valore corretto.
Livello di prezzo: Standard |
A6 | A05 |
Invalid header
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mismatching security header values
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene valori duplicati che non corrispondono, il che comporta un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Misspelled security header name
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mixed content
Nome categoria nell'API: |
Le risorse vengono gestite tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse vengano gestite tramite HTTPS.
Livello di prezzo: Standard |
A6 | A05 |
Outdated library
Nome categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema, esegui l'upgrade delle librerie a una versione più recente.
Livello di prezzo: Standard |
A9 | A06 |
Server side request forgery
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione di richieste lato server (SSRF). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste.
Livello di prezzo: Standard |
Non applicabile | A10 |
Session ID leak
Nome categoria nell'API: |
Quando effettui una richiesta interdominio, l'applicazione web include l'identificatore di sessione dell'utente
nell'intestazione della richiesta Referer . Questa vulnerabilità consente al dominio ricevente di accedere
all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente.
Livello di prezzo: Premium |
A2 | A07 |
SQL injection
Nome categoria nell'API: |
È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per impedire che gli input utente influenzino la struttura della query SQL.
Livello di prezzo: Premium |
A1 | A03 |
Struts insecure deserialization
Nome categoria nell'API: |
È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente.
Livello di prezzo: Premium |
A8 | A08 |
XSS
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco XSS (cross-site scripting). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XSS angular callback
Nome categoria nell'API: |
Una stringa fornita dall'utente non contiene caratteri di escape e AngularJS può interpolarla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente gestiti dal framework Angular.
Livello di prezzo: Standard |
A7 | A03 |
XSS error
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco tramite cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XXE reflected file leakage
Nome categoria nell'API: |
È stata rilevata una vulnerabilità da entità esterna XML (XXE). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne.
Livello di prezzo: Premium |
A4 | A05 |
Prototype pollution
Nome categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà
dell'oggetto Object.prototype possono essere assegnati valori controllabili da utenti malintenzionati. Si presume universalmente che i valori inseriti in questi prototipi
si trasformino in cross-site scripting (XSS) o in vulnerabilità simili lato client, nonché in bug logici.
Livello di prezzo: Standard |
A1 | A03 |
Minacce
I rilevatori di minacce possono aiutarti a individuare gli eventi potenzialmente dannosi.
Rilevamento di anomalie
Il rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento provenienti dall'esterno del sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le tue istanze di macchine virtuali (VM), come potenziali credenziali divulgate. Il rilevamento delle anomalie viene abilitato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.
I risultati del rilevamento di anomalie includono quanto segue:
Nome anomalia | Categoria risultati | Descrizione |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Le credenziali di un account di servizio Google Cloud sono trapelate online per errore o sono compromesse. Gravità: critica |
L'account ha divulgato credenziali
GitHub ha notificato a Security Command Center che le credenziali utilizzate per un commit sembrano essere quelle di un account di servizio Google Cloud Identity and Access Management.
La notifica include il nome dell'account di servizio e l'identificatore della chiave privata. Google Cloud invia inoltre una notifica via email al contatto designato per la sicurezza e la privacy.
Per risolvere il problema, esegui una o più delle seguenti azioni:
- Identifica l'utente legittimo della chiave.
- Ruota la chiave.
- Rimuovi la chiave.
- Esamina le eventuali azioni intraprese dalla chiave dopo la divulgazione di quest'ultima per assicurarti che nessuna di esse sia dannosa.
JSON: individuazione delle credenziali dell'account divulgate
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection può rilevare gli attacchi di runtime dei container più comuni e avvisarti in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include varie funzionalità di rilevamento, uno strumento di analisi e un'API.
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel guest ed esegue l'elaborazione del linguaggio naturale negli script per rilevare i seguenti eventi:
- Programma binario aggiuntivo eseguito
- Libreria aggiuntiva caricata
- Esecuzione: aggiunta esecuzione binaria dannosa
- Esecuzione: aggiunta libreria dannosa caricata
- Esecuzione: esecuzione binaria dannosa incorporata
- Esecuzione: esecuzione binaria dannosa modificata
- Esecuzione: libreria dannosa modificata caricata
- Script dannoso eseguito
- Shell inversa
- Shell secondaria imprevista
Scopri di più su Container Threat Detection.
Event Threat Detection
Event Threat Detection utilizza i dati di log interni ai tuoi sistemi. Monitora il flusso di Cloud Logging per i progetti e utilizza i log non appena diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.
La tabella seguente elenca esempi di risultati di Event Threat Detection.
Eliminazione dei dati |
Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di backup e RE per gli scenari seguenti:
|
Esfiltrazione di dati |
Event Threat Detection rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando gli audit log per i seguenti scenari:
|
Attività sospetta di Cloud SQL |
Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze Cloud SQL:
|
Attività sospetta di AlloyDB per PostgreSQL |
Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL:
|
Forza bruta SSH | Event Threat Detection rileva la forza bruta dell'SSH di autenticazione della password esaminando i log di syslog per individuare errori ripetuti e risultati positivi. |
Cryptomining | Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP dannosi noti dei pool di mining. |
Illeciti IAM |
Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:
|
blocco recupero sistema |
Event Threat Detection rileva modifiche anomale di Backup ed RE che possono avere un impatto sul livello del backup, tra cui le principali modifiche ai criteri e la rimozione dei componenti critici di Backup e RE. |
Log4j | Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive. |
Malware | Event Threat Detection rileva il malware esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini e IP di comando e controllo noti. |
DoS in uscita | Event Threat Detection esamina i log di flusso VPC per rilevare il traffico denial of service in uscita. |
Accesso anomalo | Event Threat Detection rileva gli accessi anomali esaminando Cloud Audit Logs per le modifiche del servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor. |
Comportamento IAM anomalo |
Event Threat Detection rileva comportamenti IAM anomali mediante l'esame di Cloud Audit Logs per i seguenti scenari:
|
Auto-indagine sull'account di servizio | Event Threat Detection rileva quando la credenziale di un account di servizio viene utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. |
Chiave SSH aggiunta dall'amministratore di Compute Engine | Event Threat Detection rileva una modifica al valore della chiave SSH dei metadati dell'istanza di Compute Engine su un'istanza stabilita (meno di 1 settimana). |
Script di avvio aggiunto dell'amministratore Compute Engine | Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza di Compute Engine su un'istanza stabilita (meno di 1 settimana). |
Attività sospetta dell'account | Event Threat Detection rileva potenziali compromissioni degli account Google Workspace esaminando gli audit log per attività anomale degli account, tra cui password divulgate e tentativi di accesso sospetti. |
Attacco sostenuto da un governo | Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando hacker sostenuti da un governo potrebbero aver tentato di compromettere l'account o il computer di un utente. |
Modifiche al Single Sign-On (SSO) | Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando il servizio SSO viene disabilitato o vengono modificate le impostazioni degli account amministratore di Google Workspace. |
Verifica in due passaggi | Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando la verifica in due passaggi è disabilitata per gli account utente e amministratore. |
Comportamento anomalo dell'API | Event Threat Detection rileva comportamenti anomali dell'API esaminando Cloud Audit Logs per le richieste ai servizi Google Cloud che un'entità non ha mai visto prima. |
Evasione della difesa |
Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari:
|
Scoperta |
Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari:
|
Accesso iniziale | Event Threat Detection rileva le operazioni di accesso iniziali esaminando gli audit log per i seguenti scenari:
|
Escalation dei privilegi |
Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per i seguenti scenari:
|
Rilevamenti di Cloud IDS | Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un risultato di Event Threat Detection. Per scoprire di più sui rilevamenti di Cloud IDS, consulta le informazioni sul logging di Cloud IDS. Anteprima |
Movimento laterale | Event Threat Detection rileva potenziali attacchi ai dischi di avvio modificati esaminando Cloud Audit Logs per verificare la presenza di frequenti scollegamenti e ricollegamenti dei dischi di avvio tra le istanze di Compute Engine. |
Scopri di più su Event Threat Detection.
Forseti Security
Forseti Security ti offre strumenti per comprendere tutte le risorse disponibili in Google Cloud. I moduli Forseti principali lavorano insieme per fornire informazioni complete in modo da proteggere le risorse e ridurre al minimo i rischi per la sicurezza.
Per visualizzare le notifiche di violazione di Forseti in Security Command Center, segui la guida alle notifiche di Security Command Center di Forseti.
Per ulteriori informazioni:
- Scopri Forseti.
- Ricevi assistenza con Forseti.
Google Cloud Armor
Google Cloud Armor contribuisce a proteggere la tua applicazione fornendo filtri di livello 7. Google Cloud Armor esegue lo scrubbing delle richieste in entrata per gli attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.
Google Cloud Armor esporta due risultati in Security Command Center:
Virtual Machine Threat Detection
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, fornisce il rilevamento delle minacce tramite la strumentazione a livello di hypervisor e l'analisi del disco permanente. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni su VM Threat Detection, consulta la panoramica su VM Threat Detection.
Risultati delle minacce per VM Threat Detection
VM Threat Detection può generare i seguenti risultati sulle minacce.
Risultati della minaccia di mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
Categoria | Modulo | Descrizione |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Corrisponde agli hash di memoria dei programmi in esecuzione con gli hash di memoria noti del software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde ai pattern di memoria, come le costanti proof of work, note per essere utilizzate da software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata da entrambi i moduli CRYPTOMINING_HASH e CRYPTOMINING_YARA .
Per maggiori informazioni, consulta
Rilevamenti combinati.
|
Risultati delle minacce per rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione comuni utilizzate dal malware.
Il modulo KERNEL_MEMORY_TAMPERING
rileva le minacce eseguendo un confronto hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING
rileva le minacce verificando l'integrità delle importanti strutture di dati del kernel.
Categoria | Modulo | Descrizione |
---|---|---|
Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice del kernel. |
Defense Evasion: Unexpected kernel read-only data modification Anteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel. |
Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
I punti ftrace sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
|
Defense Evasion: Unexpected interrupt handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interrompi che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kernel modules Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
I punti kprobe sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
|
Defense Evasion: Unexpected processes in runqueue Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi si trovano nella coda di esecuzione, ma non nell'elenco delle attività dei processi. |
Defense Evasion: Unexpected system call handler Anteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori delle chiamate di sistema che non si trovano nelle regioni di codice del kernel o dei moduli previste. |
rootkit | ||
Defense Evasion: Rootkit Anteprima
|
|
È presente una combinazione di indicatori corrispondenti a un rootkit noto in modalità kernel. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Risultati di osservazione di VM Threat Detection
VM Threat Detection può generare il seguente risultato di osservazione.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
Il rilevamento delle minacce VM è disabilitato. Finché non lo enable, questo servizio non può analizzare i progetti Compute Engine e le istanze VM per trovare applicazioni indesiderate.
Questo risultato è impostato su |
Alta |
Errori
I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati sugli errori vengono generati dall'origine di sicurezza Security Command Center
e hanno la classe di risultati SCC errors
.
Azioni involontarie
Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.
Nome categoria | Nome API | Riepilogo | Gravità |
---|---|---|---|
API disabled |
API_DISABLED |
Descrizione del risultato: un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 60 ore |
Critico |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrizione del risultato: le configurazioni dei valori delle risorse sono definite per le simulazioni dei percorsi di attacco, ma non corrispondono ad alcuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece il set di risorse di valore elevato predefinito. Questo errore può avere una delle seguenti cause:
Livello di prezzo: Premium
Asset supportati Scansioni batch: prima di ogni simulazione del percorso di attacco. |
Critico |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrizione del percorso di attacco: nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di valore elevato. Di conseguenza, Security Command Center ha escluso il numero in eccesso di istanze dal set di risorse di alto valore. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dal set vengono identificati nel risultato I punteggi di esposizione agli attacchi relativi a eventuali risultati che interessano le istanze di risorse escluse non riflettono la designazione di alto valore delle istanze di risorse. Livello di prezzo: Premium
Asset supportati Scansioni batch: prima di ogni simulazione del percorso di attacco. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Individuazione della descrizione:
non è possibile abilitare Container Threat Detection sul cluster perché non è possibile estrarre (scaricare) un'immagine container
richiesta da Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:
Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrizione visualizzata: Container Threat Detection non può essere abilitato su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet richiesto da Container Threat Detection. Quando vengono visualizzati nella console Google Cloud, i dettagli dei risultati includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet Container Threat Detection. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione da trovare: Un account di servizio non ha le autorizzazioni necessarie da Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché non è possibile abilitare, aggiornare o disabilitare la strumentazione di rilevamento. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione visualizzata: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché l'account di servizio predefinito di GKE nel cluster non dispone delle autorizzazioni. Questo impedisce a Container Threat Detection di essere abilitato correttamente sul cluster. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni settimana |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrizione del risultato: il progetto configurato per l' esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare risultati a Logging. Livello di prezzo: Premium
Asset supportati Scansioni batch: ogni 30 minuti |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrizione del risultato: Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 6 ore |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrizione del risultato: l'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non sono stati prodotti risultati. Livello di prezzo: Premium o Standard
Asset supportati Scansioni batch: ogni 30 minuti |
Critico |
Per maggiori informazioni, vedi Errori di Security Command Center.
Passaggi successivi
- Scopri di più su Security Command Center e sui casi d'uso di esempio nella panoramica di Security Command Center.
- Scopri come aggiungere nuove origini di sicurezza configurando Security Command Center.