Origini di sicurezza

Questa pagina contiene un elenco delle origini di sicurezza di Google Cloud disponibili in Security Command Center. Quando abiliti un'origine di sicurezza, questa fornisce vulnerabilità e risultati sulle minacce a Security Command Center.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio per tipo di risultato, tipo di risorsa o per asset specifico. Ogni origine di sicurezza potrebbe fornire più filtri per aiutarti a organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Vulnerabilità

I rilevatori di vulnerabilità possono aiutarti a trovare potenziali punti deboli nelle tue risorse Google Cloud.

Dashboard della strategia di sicurezza di GKE

La dashboard della strategia di sicurezza di GKE è una pagina della console Google Cloud che fornisce risultati utili e strategici sui potenziali problemi di sicurezza nei tuoi cluster GKE.

Se abiliti una delle seguenti funzionalità della dashboard della strategia di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:

Funzionalità della dashboard della strategia di sicurezza di GKE	Tipo di risultato di Security Command Center
Controllo della configurazione dei carichi di lavoro	`MISCONFIGURATION`
Analisi delle vulnerabilità del sistema operativo dei container Analisi delle vulnerabilità dei pacchetti di lingue Bollettini sulla sicurezza utili (anteprima)	`VULNERABILITY`

I risultati mostrano informazioni sul problema di sicurezza e forniscono suggerimenti per risolvere i problemi dei carichi di lavoro o dei cluster.

Visualizza i risultati della dashboard della strategia di sicurezza di GKE nella console Google Cloud

Vai alla pagina Risultati di Security Command Center nella console Google Cloud:

Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nel riquadro Filtri rapidi, nella sezione Nome visualizzato di origine, seleziona Postura di sicurezza di GKE. Se non vedi il filtro Postura di sicurezza di GKE, non ci sono risultati attivi.

Motore per suggerimenti IAM

Il motore per suggerimenti IAM fornisce suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM dalle entità quando i ruoli contengono autorizzazioni IAM di cui l'entità non ha bisogno.

Abilita o disabilita i risultati del motore per suggerimenti IAM

Per abilitare o disabilitare i risultati del motore per suggerimenti IAM in Security Command Center, segui questi passaggi:

Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud:

Vai alle Impostazioni
Se necessario, scorri verso il basso fino alla voce Motore per suggerimenti IAM.
A destra della voce, seleziona Attiva o Disattiva.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei risultati del motore per suggerimenti IAM. I passaggi per la correzione per ogni risultato sono inclusi nella voce della tabella.

Rilevatori del motore per suggerimenti IAM

Risultati del motore per suggerimenti IAM
Rilevatore	Riepilogo
`IAM role has excessive permissions` Nome categoria nell'API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descrizione da trovare: il motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I consigli vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un suggerimento relativo alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli dei consigli. Esamina il consiglio relativo alle azioni che puoi intraprendere per risolvere il problema. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su `INACTIVE` entro 24 ore.
`Service agent role replaced with basic role` Nome categoria nell'API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I consigli vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa ad autorizzazioni in eccesso. Si apre il riquadro dei dettagli dei consigli. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su `INACTIVE` entro 24 ore.
`Service agent granted basic role` Nome categoria nell'API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato in IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I consigli vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa ad autorizzazioni in eccesso. Si apre il riquadro dei dettagli dei consigli. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su `INACTIVE` entro 24 ore.
`Unused IAM role` Nome categoria nell'API: `UNUSED_IAM_ROLE`	Come trovare la descrizione: il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I consigli vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa ad autorizzazioni in eccesso. Si apre il riquadro dei dettagli dei consigli. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su `INACTIVE` entro 24 ore.

Visualizza i risultati del motore per suggerimenti IAM nella console

Nella console Google Cloud, puoi visualizzare i risultati forniti dal motore per suggerimenti IAM nella pagina Vulnerabilità selezionando la preimpostazione di query motore per suggerimenti IAM o nella pagina Risultati selezionando Motore per suggerimenti IAM nella sezione Nome visualizzato dell'origine del riquadro Filtri rapidi.

Mandiant Attack Surface Management

Mandiant è leader mondiale nell’intelligence sulle minacce in prima linea. Mandiant Attack Surface Management identifica vulnerabilità e configurazioni errate nelle superfici di attacco esterne per aiutarti a rimanere al passo con gli ultimi attacchi informatici.

Mandiant Attack Surface Management viene abilitato automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud.

Esamina i risultati di Mandiant Attack Surface Management nella console Google Cloud

Usa la procedura seguente per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato di origine, seleziona Mandiant Attack Surface Management.

La tabella viene compilata con i risultati di Mandiant Attack Surface Management.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Se installi Policy Controller e attivi i pacchetti di Policy Controller CIS Benchmark v1.5.1 o PCI-DSS v3.2.1 oppure entrambi, Policy Controller scrive automaticamente le violazioni dei cluster in Security Command Center come risultati di classe Misconfiguration. La descrizione del risultato e i passaggi successivi nei risultati di Security Command Center corrispondono a quelli della descrizione del vincolo e dei passaggi di correzione del pacchetto di Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

CIS Kubernetes Benchmark v.1.5.1, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. Puoi anche visualizzare informazioni su questo bundle nel repository GitHub per cis-k8s-v1.5.1.
PCI-DSS v3.2.1, un bundle che valuta la conformità delle risorse del cluster rispetto ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. Puoi anche visualizzare informazioni su questo bundle nel repository GitHub per pci-dss-v3.

Per trovare e risolvere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.

Rapid Vulnerability Detection

Rapid Vulnerability Detection esegue scansioni gestite che rilevano le cosiddette vulnerabilità "N-day", exploit noti che consentono l'accesso arbitrario ai dati e l'esecuzione di codice da remoto, tra cui credenziali deboli, installazioni incomplete di software ed interfacce utente amministratore esposte.

Per l'elenco completo delle vulnerabilità rilevate da Rapid Vulnerability Detection, consulta Risultati e correzioni di Rapid Vulnerability Detection.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce analisi gestite delle risorse cloud per rilevare errori di configurazione comuni.

Quando viene rilevato un errore di configurazione, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics è mappata ai controlli degli standard di sicurezza in modo da poter valutare la conformità.

Security Health Analytics scansiona le risorse su Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni ad altre piattaforme cloud, Security Health Analytics può anche analizzare le risorse su quelle piattaforme cloud.

A seconda del livello di servizio di Security Command Center in uso, i rilevatori disponibili variano:

Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di media e alta gravità.
Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.

Security Health Analytics viene abilitato automaticamente quando attivi Security Command Center.

Per ulteriori informazioni, vedi:

Servizio Security posture

Il servizio postura di sicurezza è un servizio integrato per il livello Premium di Security Command Center che consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è in linea con i criteri che definisci nella tua strategia di sicurezza.

Il servizio della postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.

Risultati del servizio Security posture

Risultati postura di sicurezza
Risultato	Riepilogo
`SHA Canned Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dello stato di sicurezza: il servizio della postura di sicurezza ha rilevato una modifica a un rilevatore di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del rilevatore nella tua postura corrispondano al tuo ambiente. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il rilevatore di Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`SHA Custom Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dello stato di sicurezza:il servizio della postura di sicurezza ha rilevato una modifica in un modulo personalizzato di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il modulo personalizzato Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per le istruzioni, consulta Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`SHA Custom Module Deleted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrizione del risultato: il servizio della postura di sicurezza ha rilevato che un modulo personalizzato di Security Health Analytics è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il modulo personalizzato Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per le istruzioni, consulta Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`Org Policy Canned Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrizione della postura: il servizio della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, vedi Creazione e modifica dei criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`Org Policy Canned Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione del risultato: il servizio della postura di sicurezza ha rilevato che un criterio dell'organizzazione è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, vedi Creazione e modifica dei criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`Org Policy Custom Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrizione della postura di sicurezza: il servizio della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri personalizzati dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per le istruzioni, consulta Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.
`Org Policy Custom Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione in corso: Il servizio della postura di sicurezza ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri personalizzati dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per le istruzioni, consulta Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per istruzioni, vedi Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare il deployment di una postura.

Sensitive Data Protection

Sensitive Data Protection è un servizio Google Cloud completamente gestito che ti consente di scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), come le seguenti:

Nomi di persone
Numeri di carte di credito
Numeri di documenti di identità nazionali o statali
Numeri di ID dell'assicurazione sanitaria
Secret

In Sensitive Data Protection, ogni tipo di dati sensibili che cerchi è chiamato infoType.

Se configuri l'operazione di Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud, oltre che nella sezione Sensitive Data Protection.

Vulnerabilità rilevate dal servizio di rilevamento Sensitive Data Protection

Il servizio di rilevamento di Sensitive Data Protection consente di determinare se le variabili di ambiente di Cloud Functions contengono secret, come password, token di autenticazione e credenziali Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, vedi Credenziali e secret.

Tipo di risultato Descrizione del risultato Standard di conformità

Tipo di risultato	Descrizione del risultato	Standard di conformità
`Secrets in environment variables` Nome della categoria nell'API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions. Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1,18

Secrets in environment variables

Nome della categoria nell'API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.

Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1,18

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, potrebbero essere necessarie fino a 12 ore per il completamento dell'analisi iniziale delle variabili di ambiente e la visualizzazione dei risultati relativi a "Secret nelle variabili di ambiente" in Security Command Center. Dopodiché, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite con maggiore frequenza.

Per abilitare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Risultati dell'osservazione da Sensitive Data Protection

Questa sezione descrive i risultati di osservazione generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione da parte del servizio di rilevamento

Il servizio di rilevamento di Sensitive Data Protection aiuta a determinare se i dati BigQuery contengono infoType specifici e dove risiedono nell'organizzazione, nelle cartelle e nei progetti.

Un'operazione di rilevamento genera profili dei dati BigQuery sottostanti a livello di progetto, tabella e colonna. Ogni profilo dati della tabella genera le seguenti categorie di risultati in Security Command Center:

Data sensitivity: Un'indicazione del livello di sensibilità dei dati in una determinata tabella. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dati.
Data risk: Il rischio associato ai dati nel loro stato attuale. Nel calcolare il rischio dei dati, Sensitive Data Protection considera il livello di sensibilità dei dati nella tabella e la presenza di controlli dell'accesso per proteggere questi dati. La gravità del risultato è il livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dati.

Dal momento in cui Sensitive Data Protection genera i profili di dati, potrebbero essere necessarie fino a sei ore prima che i risultati Data sensitivity e Data risk associati vengano visualizzati in Security Command Center.

Per informazioni su come inviare i risultati del profilo dati a Security Command Center, consulta Abilitare il rilevamento dei dati sensibili.

Risultati dell'osservazione del servizio di ispezione di Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione, ad esempio un bucket Cloud Storage o una tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione che cerca tutte le stringhe corrispondenti al rilevatore di infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore infoType con una o più corrispondenze, Sensitive Data Protection genera un risultato Security Command Center corrispondente. La categoria del risultato è il nome del rilevatore di infoType che ha rilevato una corrispondenza, ad esempio Credit card number. Il risultato include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini nella risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel risultato. Ad esempio, un risultato Credit card number mostra quanti numeri di carte di credito sono stati trovati, ma non mostra i numeri effettivi delle carte di credito.

Poiché in Sensitive Data Protection sono presenti più di 150 rilevatori di infoType integrati, qui non sono elencate tutte le categorie di risultati di Security Command Center possibili. Per un elenco completo dei rilevatori di infoType, consulta la sezione Riferimento ai rilevatori di infoType.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, vedi Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console Google Cloud

Usa la procedura seguente per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Sensitive Data Protection.

La tabella viene compilata con i risultati di Sensitive Data Protection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.

VM Manager

VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.

Se abiliti VM Manager con il livello Premium di Security Command Center, VM Manager scrive automaticamente in Security Command Center i risultati high e critical dei relativi report sulle vulnerabilità, che sono in anteprima. I report identificano le vulnerabilità nei sistemi operativi (OS) installati sulle VM, tra cui Vulnerabilità ed esposizioni comuni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo della funzionalità di conformità alle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione per tutti i progetti. Attualmente, VM Manager supporta la gestione delle patch a livello di singolo progetto.

Per risolvere i risultati di VM Manager, consulta Correzione dei risultati di VM Manager.

Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, consulta Disattivare i risultati di VM Manager.

Tutte le vulnerabilità di questo tipo sono correlate ai pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.

**Tabella 24.** Report sulle vulnerabilità di VM Manager
Rilevatore	Riepilogo	Impostazioni di scansione degli asset	Standard di conformità
`OS vulnerability` Nome categoria nell'API: `OS_VULNERABILITY`	Descrizione originale: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato	I report sulle vulnerabilità di VM Manager illustrano in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, incluse le Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue: Per la maggior parte delle vulnerabilità nel pacchetto del sistema operativo installato, l'API OS Config genera un report sulle vulnerabilità entro pochi minuti dalla modifica. Per le CVE, l'API OS Config genera il report sulle vulnerabilità entro 3-4 ore dalla pubblicazione delle CVE nel sistema operativo.

Web Security Scanner

Web Security Scanner fornisce analisi delle vulnerabilità web gestite e personalizzate per applicazioni web pubbliche di App Engine, GKE e Compute Engine.

Scansioni gestite

Le analisi gestite di Web Security Scanner sono configurate e gestite da Security Command Center. Le analisi gestite vengono eseguite automaticamente una volta alla settimana per rilevare ed eseguire la scansione degli endpoint web pubblici. Queste analisi non utilizzano l'autenticazione e inviano richieste solo GET in modo da non inviare moduli sui siti web attivi.

Le analisi gestite vengono eseguite separatamente dalle analisi personalizzate.

Se Security Command Center è attivato a livello di organizzazione, puoi utilizzare le scansioni gestite per gestire centralmente il rilevamento di base delle vulnerabilità delle applicazioni web per i progetti nella tua organizzazione, senza dover coinvolgere singoli team di progetto. Quando vengono scoperti i risultati, puoi collaborare con i team per impostare analisi personalizzate più complete.

Quando abiliti Web Security Scanner come servizio, i risultati della scansione gestita sono automaticamente disponibili nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come abilitare le analisi gestite di Web Security Scanner, consulta l'articolo sulla configurazione di Security Command Center.

Le analisi gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se l'applicazione utilizza una porta non predefinita, esegui un'analisi personalizzata.

Scansioni personalizzate

Le analisi personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati relativi alle vulnerabilità delle applicazioni, come librerie obsolete, scripting tra siti o utilizzo di contenuti misti.

Puoi definire scansioni personalizzate a livello di progetto.

I risultati delle scansioni personalizzati sono disponibili in Security Command Center dopo aver completato la guida per la configurazione delle scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie di OWASP Top Ten, un documento che classifica e fornisce indicazioni di correzione per i dieci rischi per la sicurezza delle applicazioni web più critici, come stabilito da Open Web Application Security Project (OWASP). Per indicazioni sulla mitigazione dei rischi OWASP, consulta Le 10 principali opzioni di mitigazione di OWASP su Google Cloud.

La mappatura della conformità è inclusa come riferimento e non è fornita o rivista dalla OWASP Foundation.

Questa funzionalità è destinata esclusivamente a monitorare le violazioni dei controlli di conformità. Le mappature non vengono fornite e possono essere utilizzate come base o come sostituto per l'audit, la certificazione o il rapporto di conformità dei tuoi prodotti o servizi con eventuali benchmark o standard di settore o normativi.

Le analisi personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le analisi personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

Categoria	Descrizione del risultato	Top 10 OWASP 2017	Top 10 OWASP 2021
`Accessible Git repository` Nome categoria nell'API: `ACCESSIBLE_GIT_REPOSITORY`	Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico involontario al repository GIT. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Accessible SVN repository` Nome categoria nell'API: `ACCESSIBLE_SVN_REPOSITORY`	Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico involontario al repository SVN. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Cacheable password input` Nome categoria nell'API: `CACHEABLE_PASSWORD_INPUT`	Le password inserite nell'applicazione web possono essere memorizzate nella cache in una normale cache del browser anziché in uno spazio di archiviazione sicuro delle password. Livello di prezzo: Premium Correggi questo risultato	A3	A04
`Clear text password` Nome categoria nell'API: `CLEAR_TEXT_PASSWORD`	Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa attraverso la rete. Livello di prezzo: Standard Correggi questo risultato	A3	A02
`Insecure allow origin ends with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio `.endsWith(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Insecure allow origin starts with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`, ad esempio `.equals(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Invalid content type` Nome categoria nell'API: `INVALID_CONTENT_TYPE`	È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP `X-Content-Type-Options` con il valore corretto. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Invalid header` Nome categoria nell'API: `INVALID_HEADER`	Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mismatching security header values` Nome categoria nell'API: `MISMATCHING_SECURITY_HEADER_VALUES`	Un'intestazione di sicurezza contiene valori duplicati che non corrispondono, il che comporta un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Misspelled security header name` Nome categoria nell'API: `MISSPELLED_SECURITY_HEADER_NAME`	Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mixed content` Nome categoria nell'API: `MIXED_CONTENT`	Le risorse vengono gestite tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse vengano gestite tramite HTTPS. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Outdated library` Nome categoria nell'API: `OUTDATED_LIBRARY`	È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Standard Correggi questo risultato	A9	A06
`Server side request forgery` Nome categoria nell'API: `SERVER_SIDE_REQUEST_FORGERY`	È stata rilevata una vulnerabilità di falsificazione di richieste lato server (SSRF). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste. Livello di prezzo: Standard Correggi questo risultato	Non applicabile	A10
`Session ID leak` Nome categoria nell'API: `SESSION_ID_LEAK`	Quando effettui una richiesta interdominio, l'applicazione web include l'identificatore di sessione dell'utente nell'intestazione della richiesta `Referer`. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente. Livello di prezzo: Premium Correggi questo risultato	A2	A07
`SQL injection` Nome categoria nell'API: `SQL_INJECTION`	È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per impedire che gli input utente influenzino la struttura della query SQL. Livello di prezzo: Premium Correggi questo risultato	A1	A03
`Struts insecure deserialization` Nome categoria nell'API: `STRUTS_INSECURE_DESERIALIZATION`	È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente. Livello di prezzo: Premium Correggi questo risultato	A8	A08
`XSS` Nome categoria nell'API: `XSS`	Un campo di questa applicazione web è vulnerabile a un attacco XSS (cross-site scripting). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS angular callback` Nome categoria nell'API: `XSS_ANGULAR_CALLBACK`	Una stringa fornita dall'utente non contiene caratteri di escape e AngularJS può interpolarla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente gestiti dal framework Angular. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS error` Nome categoria nell'API: `XSS_ERROR`	Un campo di questa applicazione web è vulnerabile a un attacco tramite cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XXE reflected file leakage` Nome categoria nell'API: `XXE_REFLECTED_FILE_LEAKAGE`	È stata rilevata una vulnerabilità da entità esterna XML (XXE). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne. Livello di prezzo: Premium Correggi questo risultato	A4	A05
`Prototype pollution` Nome categoria nell'API: `PROTOTYPE_POLLUTION`	L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto `Object.prototype` possono essere assegnati valori controllabili da utenti malintenzionati. Si presume universalmente che i valori inseriti in questi prototipi si trasformino in cross-site scripting (XSS) o in vulnerabilità simili lato client, nonché in bug logici. Livello di prezzo: Standard Correggi questo risultato	A1	A03

Minacce

I rilevatori di minacce possono aiutarti a individuare gli eventi potenzialmente dannosi.

Rilevamento di anomalie

Il rilevamento di anomalie è un servizio integrato che utilizza indicatori di comportamento provenienti dall'esterno del sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le tue istanze di macchine virtuali (VM), come potenziali credenziali divulgate. Il rilevamento delle anomalie viene abilitato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

I risultati del rilevamento di anomalie includono quanto segue:

Nome anomalia Categoria risultati Descrizione

Nome anomalia	Categoria risultati	Descrizione
`Account has leaked credentials`	`account_has_leaked_credentials`	Le credenziali di un account di servizio Google Cloud sono trapelate online per errore o sono compromesse. Gravità: critica

Account has leaked credentials

account_has_leaked_credentials

Le credenziali di un account di servizio Google Cloud sono trapelate online per errore o sono compromesse.

Gravità: critica

L'account ha divulgato credenziali

GitHub ha notificato a Security Command Center che le credenziali utilizzate per un commit sembrano essere quelle di un account di servizio Google Cloud Identity and Access Management.

La notifica include il nome dell'account di servizio e l'identificatore della chiave privata. Google Cloud invia inoltre una notifica via email al contatto designato per la sicurezza e la privacy.

Per risolvere il problema, esegui una o più delle seguenti azioni:

Identifica l'utente legittimo della chiave.
Ruota la chiave.
Rimuovi la chiave.
Esamina le eventuali azioni intraprese dalla chiave dopo la divulgazione di quest'ultima per assicurarti che nessuna di esse sia dannosa.

JSON: individuazione delle credenziali dell'account divulgate

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection può rilevare gli attacchi di runtime dei container più comuni e avvisarti in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include varie funzionalità di rilevamento, uno strumento di analisi e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel guest ed esegue l'elaborazione del linguaggio naturale negli script per rilevare i seguenti eventi:

Programma binario aggiuntivo eseguito
Libreria aggiuntiva caricata
Esecuzione: aggiunta esecuzione binaria dannosa
Esecuzione: aggiunta libreria dannosa caricata
Esecuzione: esecuzione binaria dannosa incorporata
Esecuzione: esecuzione binaria dannosa modificata
Esecuzione: libreria dannosa modificata caricata
Script dannoso eseguito
Shell inversa
Shell secondaria imprevista

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati di log interni ai tuoi sistemi. Monitora il flusso di Cloud Logging per i progetti e utilizza i log non appena diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene abilitato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud.

La tabella seguente elenca esempi di risultati di Event Threat Detection.

**Tabella C.** Tipi di risultati di Event Threat Detection
Eliminazione dei dati	Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio di backup e RE per gli scenari seguenti: Eliminazione di un'immagine di backup Eliminazione di tutte le immagini di backup associate a un'applicazione Eliminazione di un'appliance di backup/ripristino
Esfiltrazione di dati	Event Threat Detection rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando gli audit log per i seguenti scenari: Una risorsa BigQuery è stata salvata all'esterno dell'organizzazione oppure si è tentato di eseguire un'operazione di copia bloccata dai Controlli di servizio VPC. Viene eseguito un tentativo di accesso alle risorse BigQuery protette dai Controlli di servizio VPC. Una risorsa Cloud SQL viene esportata completamente o parzialmente in un bucket Cloud Storage esterno alla tua organizzazione o in un bucket di proprietà della tua organizzazione ed è accessibile pubblicamente. Un backup di Cloud SQL viene ripristinato in un'istanza Cloud SQL all'esterno della tua organizzazione. Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in un bucket Cloud Storage esterno all'organizzazione o in un bucket dell'organizzazione accessibile pubblicamente. Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in una cartella di Google Drive.
Attività sospetta di Cloud SQL	Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze Cloud SQL: A un utente del database vengono concessi tutti i privilegi per un database Cloud SQL per PostgreSQL o per tutte le tabelle, le procedure o le funzioni in uno schema. Un super user dell'account di database predefinito di Cloud SQL ("postgres" su istanze PostgreSQL o "root" sulle istanze MySQL) viene utilizzato per scrivere nelle tabelle non di sistema.
Attività sospetta di AlloyDB per PostgreSQL	Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare una compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL: A un utente del database vengono concessi tutti i privilegi per un database AlloyDB per PostgreSQL o per tutte le tabelle, le procedure o le funzioni in uno schema. Un super user dell'account di database predefinito di AlloyDB per PostgreSQL ("postgres") viene utilizzato per scrivere nelle tabelle non di sistema.
Forza bruta SSH	Event Threat Detection rileva la forza bruta dell'SSH di autenticazione della password esaminando i log di syslog per individuare errori ripetuti e risultati positivi.
Cryptomining	Event Threat Detection rileva il malware di coin mining esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP dannosi noti dei pool di mining.
Illeciti IAM	Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio: Aggiunta di un utente gmail.com a un criterio con il ruolo di Editor di progetto. Invitare un utente gmail.com come proprietario del progetto dalla console Google Cloud. Account di servizio che concede autorizzazioni sensibili. Autorizzazioni sensibili concesse al ruolo personalizzato. Account di servizio aggiunto dall'esterno della tua organizzazione.
blocco recupero sistema	Event Threat Detection rileva modifiche anomale di Backup ed RE che possono avere un impatto sul livello del backup, tra cui le principali modifiche ai criteri e la rimozione dei componenti critici di Backup e RE.
Log4j	Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità di Log4j attive.
Malware	Event Threat Detection rileva il malware esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini e IP di comando e controllo noti.
DoS in uscita	Event Threat Detection esamina i log di flusso VPC per rilevare il traffico denial of service in uscita.
Accesso anomalo	Event Threat Detection rileva gli accessi anomali esaminando Cloud Audit Logs per le modifiche del servizio Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor.
Comportamento IAM anomalo	Event Threat Detection rileva comportamenti IAM anomali mediante l'esame di Cloud Audit Logs per i seguenti scenari: Account utente e di servizio IAM che accedono a Google Cloud da indirizzi IP anomali. Account di servizio IAM che accedono a Google Cloud da user agent anomali. Entità e risorse che rappresentano account di servizio IAM per accedere a Google Cloud.
Auto-indagine sull'account di servizio	Event Threat Detection rileva quando la credenziale di un account di servizio viene utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Chiave SSH aggiunta dall'amministratore di Compute Engine	Event Threat Detection rileva una modifica al valore della chiave SSH dei metadati dell'istanza di Compute Engine su un'istanza stabilita (meno di 1 settimana).
Script di avvio aggiunto dell'amministratore Compute Engine	Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza di Compute Engine su un'istanza stabilita (meno di 1 settimana).
Attività sospetta dell'account	Event Threat Detection rileva potenziali compromissioni degli account Google Workspace esaminando gli audit log per attività anomale degli account, tra cui password divulgate e tentativi di accesso sospetti.
Attacco sostenuto da un governo	Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando hacker sostenuti da un governo potrebbero aver tentato di compromettere l'account o il computer di un utente.
Modifiche al Single Sign-On (SSO)	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando il servizio SSO viene disabilitato o vengono modificate le impostazioni degli account amministratore di Google Workspace.
Verifica in due passaggi	Event Threat Detection esamina gli audit log di Google Workspace per rilevare quando la verifica in due passaggi è disabilitata per gli account utente e amministratore.
Comportamento anomalo dell'API	Event Threat Detection rileva comportamenti anomali dell'API esaminando Cloud Audit Logs per le richieste ai servizi Google Cloud che un'entità non ha mai visto prima.
Evasione della difesa	Event Threat Detection rileva l'evasione della difesa esaminando Cloud Audit Logs per i seguenti scenari: Modifiche ai perimetri dei Controlli di servizio VPC esistenti che porterebbero a una riduzione della protezione offerta. Deployment o aggiornamenti dei carichi di lavoro che utilizzano il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.^Anteprima
Scoperta	Event Threat Detection rileva le operazioni di rilevamento esaminando gli audit log per i seguenti scenari: Un utente potenzialmente malintenzionato ha tentato di determinare per quali oggetti sensibili in GKE possono eseguire query utilizzando il comando `kubectl`. Una credenziale dell'account di servizio viene utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Accesso iniziale	Event Threat Detection rileva le operazioni di accesso iniziali esaminando gli audit log per i seguenti scenari: Un account di servizio gestito dall'utente inattivo ha attivato un'azione.^Anteprima Un'entità ha tentato di richiamare vari metodi di Google Cloud, ma l'operazione non è riuscita ripetutamente a causa di errori di autorizzazione negata.^Anteprima
Escalation dei privilegi	Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per i seguenti scenari: Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto `ClusterRole` o `ClusterRoleBinding` di controllo dell'accesso dell'accesso basato sui ruoli (RBAC) del ruolo sensibile `cluster-admin` utilizzando una richiesta `PUT` o `PATCH`. Un utente potenzialmente dannoso ha creato una richiesta di firma del certificato (CSR) master Kubernetes, che gli concede l'accesso `cluster-admin`. Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto `RoleBinding` o `ClusterRoleBinding` per il ruolo `cluster-admin`. Un utente potenzialmente malintenzionato ha interrogato una richiesta di firma del certificato (CSR) con il comando `kubectl`, utilizzando credenziali di bootstrap compromesse. Un utente potenzialmente dannoso ha creato un pod che contiene container o container con privilegi con funzionalità di escalation dei privilegi.
Rilevamenti di Cloud IDS	Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti con mirroring e, quando rileva un evento sospetto, attiva un risultato di Event Threat Detection. Per scoprire di più sui rilevamenti di Cloud IDS, consulta le informazioni sul logging di Cloud IDS. ^Anteprima
Movimento laterale	Event Threat Detection rileva potenziali attacchi ai dischi di avvio modificati esaminando Cloud Audit Logs per verificare la presenza di frequenti scollegamenti e ricollegamenti dei dischi di avvio tra le istanze di Compute Engine.

Scopri di più su Event Threat Detection.

Forseti Security

Forseti Security ti offre strumenti per comprendere tutte le risorse disponibili in Google Cloud. I moduli Forseti principali lavorano insieme per fornire informazioni complete in modo da proteggere le risorse e ridurre al minimo i rischi per la sicurezza.

Per visualizzare le notifiche di violazione di Forseti in Security Command Center, segui la guida alle notifiche di Security Command Center di Forseti.

Per ulteriori informazioni:

Scopri Forseti.
Ricevi assistenza con Forseti.

Google Cloud Armor

Google Cloud Armor contribuisce a proteggere la tua applicazione fornendo filtri di livello 7. Google Cloud Armor esegue lo scrubbing delle richieste in entrata per gli attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, fornisce il rilevamento delle minacce tramite la strumentazione a livello di hypervisor e l'analisi del disco permanente. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su VM Threat Detection, consulta la panoramica su VM Threat Detection.

Risultati delle minacce per VM Threat Detection

VM Threat Detection può generare i seguenti risultati sulle minacce.

Risultati della minaccia di mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati delle minacce per il mining di criptovaluta di VM Threat Detection
Categoria	Modulo	Descrizione
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Corrisponde agli hash di memoria dei programmi in esecuzione con gli hash di memoria noti del software di mining di criptovalute.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Corrisponde ai pattern di memoria, come le costanti proof of work, note per essere utilizzate da software di mining di criptovalute.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica una minaccia rilevata da entrambi i moduli `CRYPTOMINING_HASH` e `CRYPTOMINING_YARA`. Per maggiori informazioni, consulta Rilevamenti combinati.

Risultati delle minacce per rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione comuni utilizzate dal malware.

Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce eseguendo un confronto hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce verificando l'integrità delle importanti strutture di dati del kernel.

Risultati delle minacce per il rootkit in modalità kernel di VM Threat Detection
Categoria	Modulo	Descrizione
Manomissione della memoria del kernel
`Defense Evasion: Unexpected kernel code modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria del codice del kernel.
`Defense Evasion: Unexpected kernel read-only data modification`^Anteprima	`KERNEL_MEMORY_TAMPERING`	Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
`Defense Evasion: Unexpected ftrace handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	I punti `ftrace` sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
`Defense Evasion: Unexpected interrupt handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori di interrompi che non si trovano nelle regioni di codice del kernel o del modulo previste.
`Defense Evasion: Unexpected kernel modules`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
`Defense Evasion: Unexpected kprobe handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	I punti `kprobe` sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
`Defense Evasion: Unexpected processes in runqueue`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi si trovano nella coda di esecuzione, ma non nell'elenco delle attività dei processi.
`Defense Evasion: Unexpected system call handler`^Anteprima	`KERNEL_INTEGRITY_TAMPERING`	Sono presenti gestori delle chiamate di sistema che non si trovano nelle regioni di codice del kernel o dei moduli previste.
rootkit
`Defense Evasion: Rootkit`^Anteprima	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	È presente una combinazione di indicatori corrispondenti a un rootkit noto in modalità kernel. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.

Risultati di osservazione di VM Threat Detection

VM Threat Detection può generare il seguente risultato di osservazione.

Risultato di osservazione di VM Threat Detection
Nome categoria	Nome API	Riepilogo	Gravità
`VMTD disabled`	`VMTD_DISABLED`	Il rilevamento delle minacce VM è disabilitato. Finché non lo enable, questo servizio non può analizzare i progetti Compute Engine e le istanze VM per trovare applicazioni indesiderate. Questo risultato è impostato su `INACTIVE` dopo 30 giorni. Dopodiché, questo risultato non viene generato di nuovo.	Alta

Errori

I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati sugli errori vengono generati dall'origine di sicurezza Security Command Center e hanno la classe di risultati SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori potenzialmente causati da azioni involontarie.

Azioni involontarie
Nome categoria	Nome API	Riepilogo	Gravità
`API disabled`	`API_DISABLED`	Descrizione del risultato: un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 60 ore Correggi questo risultato	Critico
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrizione del risultato: le configurazioni dei valori delle risorse sono definite per le simulazioni dei percorsi di attacco, ma non corrispondono ad alcuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece il set di risorse di valore elevato predefinito. Questo errore può avere una delle seguenti cause: Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza della risorsa. Una o più configurazioni dei valori delle risorse che specificano `NONE` sostituiscono ogni altra configurazione valida. Tutte le configurazioni dei valori delle risorse definite specificano un valore pari a `NONE`. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Critico
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrizione del percorso di attacco: nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di valore elevato. Di conseguenza, Security Command Center ha escluso il numero in eccesso di istanze dal set di risorse di alto valore. Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dal set vengono identificati nel risultato `SCC Error` nella console Google Cloud. I punteggi di esposizione agli attacchi relativi a eventuali risultati che interessano le istanze di risorse escluse non riflettono la designazione di alto valore delle istanze di risorse. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organizations Scansioni batch: prima di ogni simulazione del percorso di attacco. Correggi questo risultato	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Individuazione della descrizione: non è possibile abilitare Container Threat Detection sul cluster perché non è possibile estrarre (scaricare) un'immagine container richiesta da `gcr.io`, l'host delle immagini Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection. Il tentativo di eseguire il deployment del DaemonSet di Container Threat Detection ha generato il seguente errore: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrizione visualizzata: Container Threat Detection non può essere abilitato su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet richiesto da Container Threat Detection. Quando vengono visualizzati nella console Google Cloud, i dettagli dei risultati includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet Container Threat Detection. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione da trovare: Un account di servizio non ha le autorizzazioni necessarie da Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché non è possibile abilitare, aggiornare o disabilitare la strumentazione di rilevamento. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione visualizzata: Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché l'account di servizio predefinito di GKE nel cluster non dispone delle autorizzazioni. Questo impedisce a Container Threat Detection di essere abilitato correttamente sul cluster. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Scansioni batch: ogni settimana Correggi questo risultato	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrizione del risultato: il progetto configurato per l' esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare risultati a Logging. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Scansioni batch: ogni 30 minuti Correggi questo risultato	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrizione del risultato: Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 6 ore Correggi questo risultato	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrizione del risultato: l'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non sono stati prodotti risultati. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Scansioni batch: ogni 30 minuti Correggi questo risultato	Critico

Per maggiori informazioni, vedi Errori di Security Command Center.

Passaggi successivi

Scopri di più su Security Command Center e sui casi d'uso di esempio nella panoramica di Security Command Center.
Scopri come aggiungere nuove origini di sicurezza configurando Security Command Center.