Corrigir as conclusões da análise do estado de funcionamento da segurança

Esta página fornece uma lista de guias de referência e técnicas para corrigir as conclusões do Security Health Analytics através do Security Command Center.

Precisa de funções de gestão de identidade e de acesso (IAM) adequadas para ver ou editar descobertas e para aceder ou modificar Google Cloud recursos. Se encontrar erros de autorizações ao aceder ao Security Command Center naGoogle Cloud consola, peça ajuda ao seu administrador e, para saber mais sobre as funções, consulte o artigo Controlo de acesso. Para resolver erros de recursos, leia a documentação dos produtos afetados.

Remediação da análise do estado de segurança

Esta secção inclui instruções de remediação para todas as conclusões do Security Health Analytics.

Para encontrar tipos mapeados para as referências do CIS, as orientações de remediação provêm do Center for Internet Security (CIS), exceto indicação em contrário. Para mais informações, consulte o artigo Detetores e conformidade.

Desativação automática das descobertas

Depois de corrigir uma vulnerabilidade ou uma configuração incorreta, o Security Health Analytics define automaticamente o estado da descoberta como INACTIVE na próxima vez que procurar a descoberta. A desativação de um detetor no Security Health Analytics também define o estado de todas as conclusões geradas por esse detetor como INACTIVE. O tempo que o Security Health Analytics demora a definir uma descoberta corrigida como INACTIVE depende do momento em que a descoberta é corrigida e da programação da análise que deteta a descoberta.

O Security Health Analytics também define o estado de uma conclusão como INACTIVE quando uma análise deteta que o recurso afetado pela conclusão foi eliminado. Se quiser remover uma descoberta de um recurso eliminado do seu ecrã enquanto aguarda que o Security Health Analytics detete que o recurso foi eliminado, pode desativar o som da descoberta. Para desativar o som de uma deteção, consulte o artigo Desative o som de deteções no Security Command Center.

Não use a opção Ignorar para ocultar as conclusões corrigidas para recursos existentes. Se o problema ocorrer novamente e o Security Health Analytics restaurar o estado da descoberta, pode não ver a descoberta reativada, porque as descobertas ignoradas são excluídas de qualquer consulta de descoberta que especifique NOT mute="MUTED", como a consulta de descoberta predefinida.ACTIVE

Para obter informações sobre os intervalos de análise, consulte o artigo Tipos de análise do Security Health Analytics.

Access Transparency disabled

Nome da categoria na API: ACCESS_TRANSPARENCY_DISABLED

Registar a Transparência de acesso quando os Google Cloud funcionários acedem aos projetos na sua organização para fornecer apoio técnico. Ative a Transparência de acesso para registar quem da Google Cloud está a aceder às suas informações, quando e porquê. Para mais informações, consulte o artigo Transparência de acesso.

Para ativar a Transparência de acesso num projeto, o projeto tem de estar associado a uma conta de faturação.

Funções necessárias

Para receber as autorizações de que precisa para realizar esta tarefa, peça ao seu administrador para lhe conceder a função do IAM Administrador da Transparência de acesso (roles/axt.admin) ao nível da organização. Para mais informações sobre como atribuir funções, consulte o artigo Faça a gestão do acesso.

Esta função predefinida contém as autorizações axt.labels.get e axt.labels.set, que são necessárias para realizar esta tarefa. Também pode conseguir estas autorizações com uma função personalizada ou outras funções predefinidas.

Passos de remediação

Para corrigir esta descoberta, conclua os seguintes passos:

1. Verifique as autorizações ao nível da organização:

   1. Aceda à página Identity and Access Management na Google Cloud consola.

      Aceda à Gestão de identidade e acesso

   2. Se lhe for pedido, selecione a Google Cloud organização no menu do seletor.

2. Selecione qualquer Google Cloud projeto na organização através do menu do seletor.

   A Transparência de acesso está configurada numa página de Google Cloud projeto, mas está ativada para toda a organização.

3. Aceda à página IAM e administrador > Definições.

4. Clique em Ativar transparência de acesso.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB auto backup disabled

Nome da categoria na API: ALLOYDB_AUTO_BACKUP_DISABLED

Um cluster do AlloyDB para PostgreSQL não tem cópias de segurança automáticas ativadas.

Para ajudar a evitar a perda de dados, ative as cópias de segurança automáticas para o seu cluster. Para mais informações, consulte o artigo Configure cópias de segurança automáticas adicionais.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Clique num cluster na coluna Nome do recurso.

3. Clique em Proteção de dados.

4. Na secção Política de cópia de segurança automática, clique em Editar na linha Cópias de segurança automáticas.

5. Selecione a caixa de verificação Automatizar cópias de segurança.

6. Clique em Atualizar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB backups disabled

Nome da categoria na API: ALLOYDB_BACKUPS_DISABLED

Um cluster do AlloyDB for PostgreSQL não tem cópias de segurança automáticas nem contínuas ativadas.

Para ajudar a evitar a perda de dados, ative as cópias de segurança automáticas ou contínuas para o cluster. Para mais informações, consulte o artigo Configure cópias de segurança adicionais.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Na coluna Nome do recurso, clique no nome do cluster que é identificado na descoberta.

3. Clique em Proteção de dados.

4. Configure uma política de cópia de segurança.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB CMEK disabled

Nome da categoria na API: ALLOYDB_CMEK_DISABLED

Um cluster do AlloyDB não está a usar chaves de encriptação geridas pelo cliente (CMEK).

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que a Google usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados. Para mais informações, consulte o artigo Acerca das CMEK. A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Na coluna Nome do recurso, clique no nome do cluster que é identificado na descoberta.

3. Clique em Criar cópia de segurança. Defina um ID alternativo.

4. Clique em Criar.

5. Na secção Cópia de segurança/restauro, clique em Restaurar junto à entrada do ID da cópia de segurança que escolheu.

6. Definir um novo ID do cluster e rede.

7. Clique em Opções de encriptação avançadas. Selecione a CMEK com a qual quer encriptar o novo cluster.

8. Clique em Restaurar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB log min error statement severity

Nome da categoria na API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Uma instância do AlloyDB para PostgreSQL não tem a flag log_min_error_statementdatabase definida como error ou outro valor recomendado.

A flag log_min_error_statement controla se as declarações SQL que causam condições de erro são registadas nos registos do servidor. As declarações SQL da gravidade especificada ou superior são registadas. Quanto maior for a gravidade, menor é o número de mensagens registadas. Se for definido para um nível de gravidade demasiado elevado, as mensagens de erro podem não ser registadas.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na secção Instâncias no cluster, clique em Editar para a instância.

4. Clique em Opções de configuração avançadas.

5. Na secção Flags, defina a flag da base de dados log_min_error_statement com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

6. Clique em Atualizar instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB log min messages

Nome da categoria na API: ALLOYDB_LOG_MIN_MESSAGES

Uma instância do AlloyDB para PostgreSQL não tem a flag de base de dados definida, no mínimo, como warning.log_min_messages

A flag log_min_messages controla os níveis de mensagens que são registados nos registos do servidor. Quanto maior for a gravidade, menor é o número de mensagens registadas. Se definir o limite demasiado baixo, pode aumentar o tamanho e a duração do armazenamento de registos, o que dificulta a localização de erros reais.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na secção Instâncias no cluster, clique em Editar para a instância.

4. Clique em Opções de configuração avançadas.

5. Na secção Flags, defina a flag da base de dados log_min_messages com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

6. Clique em Atualizar instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB log error verbosity

Nome da categoria na API: ALLOYDB_LOG_ERROR_VERBOSITY

Uma instância do AlloyDB para PostgreSQL não tem a flag de base de dados log_error_verbosity definida como default ou outro valor menos restritivo.

A flag log_error_verbosity controla o nível de detalhe nas mensagens registadas. Quanto maior for a verbosidade, mais detalhes são registados nas mensagens. Recomendamos que defina esta flag como default ou outro valor menos restritivo.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na secção Instâncias no cluster, clique em Editar para a instância.

4. Clique em Opções de configuração avançadas.

5. Na secção Flags, defina a flag da base de dados log_error_verbosity com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • default
   • verbose

6. Clique em Atualizar instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB Public IP

Nome da categoria na API: ALLOYDB_PUBLIC_IP

Uma instância da base de dados do AlloyDB para PostgreSQL tem um endereço IP público.

Para reduzir a superfície de ataque da sua organização, use endereços IP privados em vez de públicos. Os endereços IP privados oferecem uma segurança de rede melhorada e uma latência inferior para a sua aplicação.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Na coluna Nome do recurso, clique no nome do cluster que é identificado na descoberta.

3. Na secção Instâncias no cluster, clique em Editar para a instância.

4. Na secção Conetividade, desmarque a caixa Ativar IP público.

5. Clique em Atualizar instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

AlloyDB SSL not enforced

Nome da categoria na API: ALLOYDB_SSL_NOT_ENFORCED

Uma instância de base de dados do AlloyDB para PostgreSQL não requer que todas as ligações recebidas usem SSL.

Para evitar a divulgação de dados confidenciais em trânsito através de comunicações não encriptadas, todas as ligações recebidas à instância da base de dados do AlloyDB devem usar SSL. Saiba mais sobre a configuração do SSL/TLS.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de clusters do AlloyDB for PostgreSQL na Google Cloud consola.

   Aceda aos clusters do AlloyDB para PostgreSQL

2. Na coluna Nome do recurso, clique no nome do cluster que é identificado na descoberta.

3. Na secção Instâncias no cluster, clique em Editar para a instância.

4. Na secção Segurança de rede, clique na caixa para Exigir encriptação SSL.

5. Clique em Atualizar instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Admin service account

Nome da categoria na API: ADMIN_SERVICE_ACCOUNT

Uma conta de serviço na sua organização ou projeto tem privilégios de administrador, proprietário ou editor atribuídos. Estas funções têm autorizações amplas e não devem ser atribuídas a contas de serviço. Para saber mais sobre as contas de serviço e as funções disponíveis para as mesmas, consulte o artigo Contas de serviço.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página da política IAM na Google Cloud consola.

   Aceder à política IAM

2. Para cada principal identificado na descoberta:

   1. Clique em edit Editar principal junto ao principal.
   2. Para remover autorizações, clique em delete Eliminar função junto à função.
   3. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Alpha cluster enabled

Nome da categoria na API: ALPHA_CLUSTER_ENABLED

As funcionalidades do cluster alfa estão ativadas para um cluster do Google Kubernetes Engine (GKE).

Os clusters alfa permitem que os primeiros utilizadores experimentem cargas de trabalho que usam novas funcionalidades antes de serem lançadas para o público em geral. Os clusters alfa têm todas as funcionalidades da API GKE ativadas, mas não estão cobertos pelo ANS do GKE, não recebem atualizações de segurança, têm a atualização automática de nós e a reparação automática de nós desativadas e não podem ser atualizados. Também são eliminados automaticamente após 30 dias.

Para corrigir esta descoberta, conclua os seguintes passos:

Não é possível desativar os clusters alfa. Tem de criar um novo cluster com as funcionalidades alfa desativadas.

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique em Criar.

3. Selecione Configurar junto ao tipo de cluster que quer criar.

4. No separador Features, certifique-se de que a opção Enable Kubernetes alpha features in this cluster está desativada.

5. Clique em Criar.

6. Para mover cargas de trabalho para o novo cluster, consulte o artigo Migrar cargas de trabalho para diferentes tipos de máquinas.

7. Para eliminar o cluster original, consulte a secção Eliminar um cluster.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

API key APIs unrestricted

Nome da categoria na API: API_KEY_APIS_UNRESTRICTED

As chaves da API estão a ser usadas de forma demasiado ampla.

As chaves da API não restritas são inseguras porque podem ser obtidas a partir de dispositivos nos quais a chave está armazenada ou podem ser vistas publicamente, por exemplo, a partir de um navegador. De acordo com o princípio do menor privilégio, configure as chaves da API para chamar apenas as APIs necessárias pela aplicação. Para mais informações, consulte o artigo Aplique restrições de chaves da API.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves de API na Google Cloud consola.

   Aceda a Chaves da API

2. Para cada chave da API:

   1. Na secção Chaves da API, na linha de cada chave da API para a qual tem de restringir APIs, clique em more_vert Ações.
   2. No menu Ações, clique em Editar chave da API. É apresentada a página Editar chave da API.
   3. Na secção Restrições de API, selecione Restringir APIs. É apresentado o menu pendente Selecionar APIs.
   4. Na lista pendente Selecionar APIs, selecione as APIs a permitir.
   5. Clique em Guardar. As definições podem demorar até cinco minutos a entrar em vigor.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

API key apps unrestricted

Nome da categoria na API: API_KEY_APPS_UNRESTRICTED

Estão a ser usadas chaves da API de forma não restrita, o que permite a utilização por qualquer app não fidedigna.

As chaves da API não restritas são inseguras porque podem ser obtidas em dispositivos nos quais a chave está armazenada ou podem ser vistas publicamente, por exemplo, a partir de um navegador. De acordo com o princípio do menor privilégio, restrinja a utilização de chaves da API a anfitriões, referenciadores HTTP e apps fidedignos. Para mais informações, consulte o artigo Aplique restrições de chaves da API.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves de API na Google Cloud consola.

   Aceda a Chaves da API

2. Para cada chave da API:

   1. Na secção Chaves da API, na linha de cada chave da API para a qual precisa de restringir aplicações, clique em more_vert Ações.
   2. No menu Ações, clique em Editar chave da API. É apresentada a página Editar chave da API.
   3. Na página Editar chave da API, em Restrições de aplicações, selecione uma categoria de restrição. Pode definir uma restrição de aplicação por chave.
   4. No campo Adicionar um item apresentado quando seleciona uma restrição, clique em Adicionar um item para adicionar restrições com base nas necessidades da sua aplicação.
   5. Quando terminar de adicionar itens, clique em Concluído.
   6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

API key exists

Nome da categoria na API: API_KEY_EXISTS

Um projeto está a usar chaves da API em vez da autenticação padrão.

As chaves da API são menos seguras do que outros métodos de autenticação porque são strings encriptadas simples e fáceis de descobrir e usar por outras pessoas. Podem ser obtidas em dispositivos nos quais a chave está armazenada ou podem ser vistas publicamente, por exemplo, a partir de um navegador. Além disso, as chaves de API não identificam de forma exclusiva os utilizadores nem as aplicações que fazem pedidos. Em alternativa, pode usar um fluxo de autenticação padrão com contas de serviço ou contas de utilizador.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Certifique-se de que as suas aplicações estão configuradas com uma forma alternativa de autenticação.

2. Aceda à página Credenciais da API na Google Cloud consola.

   Aceda às credenciais da API

3. Na secção Chaves da API, na linha de cada chave da API que tem de eliminar, clique em more_vert Ações.

4. No menu Ações, clique em Eliminar chave da API.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

API key not rotated

Nome da categoria na API: API_KEY_NOT_ROTATED

Uma chave da API não é alterada há mais de 90 dias.

As chaves de API não expiram. Por isso, se uma for roubada, pode ser usada indefinidamente, a menos que o proprietário do projeto revogue ou altere a chave. A rotação frequente das chaves da API reduz o tempo durante o qual uma chave da API roubada pode ser usada para aceder a dados numa conta comprometida ou terminada. Alterne as chaves da API, pelo menos, a cada 90 dias. Para mais informações, consulte o artigo Práticas recomendadas para gerir chaves da API.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves de API na Google Cloud consola.

   Aceda a Chaves da API

2. Para cada chave da API:

   1. Na secção Chaves da API, na linha de cada chave da API que precisa de rodar, clique em more_vert Ações.
   2. No menu Ações, clique em Editar chave da API. É apresentada a página Editar chave da API.
   3. Na página Editar chave da API, se a data no campo Data de criação for anterior a 90 dias, clique em refresh Rodar chave. É gerada uma nova chave.
   4. Opcionalmente, altere o nome da chave API.
   5. Clique em Criar.
   6. Atualize as suas aplicações para usar a nova chave.
   7. Depois de atualizar as suas aplicações, regresse à página Editar chave da API e clique em Eliminar chave anterior para eliminar a chave antiga. A chave antiga não é eliminada automaticamente.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Audit config not monitored

Nome da categoria na API: AUDIT_CONFIG_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as alterações de configuração de auditoria.

O Cloud Logging produz registos de atividade do administrador e de acesso aos dados que permitem a análise de segurança, a monitorização de alterações aos recursos e a auditoria de conformidade. Ao monitorizar as alterações à configuração de auditoria, garante que todas as atividades no seu projeto podem ser auditadas em qualquer altura. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, crie métricas, se necessário, e políticas de alerta:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     protoPayload.methodName="SetIamPolicy"
     AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Audit logging disabled

Nome da categoria na API: AUDIT_LOGGING_DISABLED

Esta descoberta não está disponível para ativações ao nível do projeto.

O registo de auditoria está desativado para um ou mais Google Cloud serviços ou um ou mais principais estão isentos do registo de auditoria de acesso aos dados.

Ative o Cloud Logging para todos os serviços para acompanhar todas as atividades de administração, o acesso de leitura e o acesso de escrita aos dados do utilizador. Consoante a quantidade de informações, os custos do Cloud Logging podem ser significativos. Para compreender a sua utilização do serviço e o respetivo custo, consulte os preços do Google Cloud Observability.

Se algum principal estiver isento do registo de auditoria de acesso aos dados na configuração de registo de auditoria de acesso aos dados predefinida ou nas configurações de registo de quaisquer serviços individuais, remova a isenção.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Configuração predefinida dos registos de auditoria de acesso aos dados na Google Cloud consola.

   Aceda à configuração predefinida

2. No separador Tipos de registos, ative o registo de auditoria de acesso a dados na configuração predefinida:

   1. Selecione Leitura de administrador, Leitura de dados e Escrita de dados.
   2. Clique em Guardar.

3. No separador Principais isentos, remova todos os utilizadores isentos da configuração predefinida:

   1. Remova cada principal listado clicando em delete Eliminar junto a cada nome.
   2. Clique em Guardar.

4. Aceda à página Registos de auditoria.

   Aceder aos registos de auditoria

5. Remova todos os responsáveis isentos das configurações do registo de auditoria de acesso a dados de serviços individuais.

   1. Em Configuração dos registos de auditoria de acesso a dados, para cada serviço que mostre um principal isento, clique no serviço. É aberto um painel de configuração do registo de auditoria para o serviço.
   2. No separador Diretores isentos, remova todos os diretores isentos clicando em delete Eliminar junto a cada nome.
   3. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Auto backup disabled

Nome da categoria na API: AUTO_BACKUP_DISABLED

Uma base de dados do Cloud SQL não tem as cópias de segurança automáticas ativadas.

Para evitar a perda de dados, ative as cópias de segurança automáticas para as suas instâncias SQL. Para mais informações, consulte o artigo Criar e gerir cópias de segurança automáticas e a pedido.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

   Aceda a Instâncias

2. Clique no nome da instância.

3. Clique em Cópias de segurança.

4. Junto a Definições, clique em edit Editar.

5. Selecione a caixa de verificação Cópias de segurança diárias automáticas.

6. Opcional: na caixa Número de dias, introduza o número de dias de cópias de segurança que quer reter.

7. Opcional: na lista Período de cópia de segurança, selecione o período em que quer fazer cópias de segurança.

8. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Auto repair disabled

Nome da categoria na API: AUTO_REPAIR_DISABLED

A funcionalidade de autorreparação de um cluster do Google Kubernetes Engine (GKE), que mantém os nós num estado de funcionamento saudável, está desativada.

Quando ativado, o GKE faz verificações periódicas do estado de funcionamento de cada nó no seu cluster. Se um nó falhar verificações de estado consecutivas durante um período prolongado, o GKE inicia um processo de reparação para esse nó. Para mais informações, consulte o artigo Nós de autorreparação.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique no separador Nós.

3. Para cada conjunto de nós:

   1. Clique no nome do conjunto de nós para aceder à respetiva página de detalhes.
   2. Clique em edit Editar.
   3. Em Gestão, selecione Ativar reparação automática.
   4. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Auto upgrade disabled

Nome da categoria na API: AUTO_UPGRADE_DISABLED

A funcionalidade de atualização automática de um cluster do GKE, que mantém os clusters e os node pools na versão estável mais recente do Kubernetes, está desativada.

Para mais informações, consulte o artigo Atualizar nós automaticamente.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster.

3. Clique no separador Nós.

4. Para cada conjunto de nós:

   1. Clique no nome do conjunto de nós para aceder à respetiva página de detalhes.
   2. Clique em edit Editar.
   3. Em Gestão, selecione Ativar atualização automática.
   4. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

BigQuery table CMEK disabled

Nome da categoria na API: BIGQUERY_TABLE_CMEK_DISABLED

Uma tabela do BigQuery não está configurada para usar uma chave de encriptação gerida pelo cliente (CMEK).

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que o Google Cloud usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados. Google Cloud Para mais informações, consulte o artigo Proteger dados com chaves do Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Crie uma tabela protegida pelo Cloud Key Management Service.
2. Copie a tabela para a nova tabela com a CMEK ativada.
3. Elimine a tabela original.

Para definir uma chave CMEK predefinida que encripta todas as novas tabelas num conjunto de dados, consulte o artigo Defina uma chave predefinida do conjunto de dados.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Binary authorization disabled

Nome da categoria na API: BINARY_AUTHORIZATION_DISABLED

A Autorização binária está desativada num cluster do GKE.

A autorização binária inclui uma funcionalidade opcional que protege a segurança da cadeia de fornecimento, permitindo apenas que as imagens de contentores assinadas por autoridades fidedignas durante o processo de desenvolvimento sejam implementadas no cluster. Ao aplicar a implementação baseada em assinaturas, obtém um controlo mais rigoroso sobre o ambiente do contentor, garantindo que apenas as imagens validadas podem ser implementadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na secção Segurança, clique em edit Editar na linha Autorização binária.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Ativar autorização binária.

4. Clique em Guardar alterações.

5. Aceda à página de configuração da autorização binária.

   Aceda à Autorização binária

6. Certifique-se de que está configurada uma política que requer atestadores e que a regra predefinida do projeto não está configurada como Permitir todas as imagens. Para mais informações, consulte o artigo Configure para o GKE.

   Para garantir que as imagens que violam a política podem ser implementadas e que as violações são registadas nos registos de auditoria da nuvem, pode ativar o modo de teste.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Bucket CMEK disabled

Nome da categoria na API: BUCKET_CMEK_DISABLED

Um contentor não está encriptado com chaves de encriptação geridas pelo cliente (CMEK).

A definição de uma CMEK predefinida num contentor dá-lhe mais controlo sobre o acesso aos seus dados. Para mais informações, consulte o artigo Chaves de encriptação geridas pelo cliente.

Para corrigir esta descoberta, use as CMEK com um contentor seguindo as instruções em Usar chaves de encriptação geridas pelo cliente. A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Bucket IAM not monitored

Nome da categoria na API: BUCKET_IAM_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as alterações de autorizações da IAM do Cloud Storage.

A monitorização das alterações às autorizações dos contentores do Cloud Storage ajuda a identificar utilizadores com privilégios excessivos ou atividade suspeita. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     resource.type=gcs_bucket
     AND protoPayload.methodName="storage.setIamPermissions"

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Bucket logging disabled

Nome da categoria na API: BUCKET_LOGGING_DISABLED

Existe um contentor de armazenamento sem o registo ativado.

Para ajudar a investigar problemas de segurança e monitorizar o consumo de armazenamento, ative os registos de acesso e as informações de armazenamento para os seus contentores do Cloud Storage. Os registos de acesso fornecem informações para todos os pedidos feitos num contentor especificado e os registos de armazenamento fornecem informações sobre o consumo de armazenamento desse contentor.

Para corrigir esta descoberta, configure o registo para o contentor indicado pela descoberta do Security Health Analytics, concluindo o guia Registos de utilização e registos de armazenamento.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Bucket policy only disabled

Nome da categoria na API: BUCKET_POLICY_ONLY_DISABLED

O acesso uniforme ao nível do contentor, anteriormente denominado apenas política do contentor, não está configurado.

O acesso uniforme ao nível do contentor simplifica o controlo de acesso ao contentor desativando as autorizações ao nível do objeto (ACLs). Quando ativadas, apenas as autorizações de IAM ao nível do contentor concedem acesso ao contentor e aos objetos que contém. Para mais informações, consulte o artigo Acesso uniforme ao nível do contentor.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página do navegador do Cloud Storage na Google Cloud consola.

   Aceda ao navegador do Cloud Storage

2. Na lista de contentores, clique no nome do contentor pretendido.

3. Clique no separador Configuração.

4. Em Autorizações, na linha de Controlo de acesso, clique em edit Editar modelo de controlo de acesso.

5. Na caixa de diálogo, selecione Uniforme.

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloud Asset API disabled

Nome da categoria na API: CLOUD_ASSET_API_DISABLED

O serviço Cloud Asset Inventory não está ativado para o projeto.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Biblioteca de APIs na Google Cloud consola.

   Aceder à biblioteca de APIs

2. Pesquise Cloud Asset Inventory.

3. Selecione o resultado do serviço API Cloud Asset.

4. Certifique-se de que a opção API ativada é apresentada.

Cluster logging disabled

Nome da categoria na API: CLUSTER_LOGGING_DISABLED

O registo não está ativado para um cluster do GKE.

Para ajudar a investigar problemas de segurança e monitorizar a utilização, ative o Cloud Logging nos seus clusters.

Consoante a quantidade de informações, os custos do Cloud Logging podem ser significativos. Para compreender a sua utilização do serviço e o respetivo custo, consulte os preços do Google Cloud Observability.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Selecione o cluster indicado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Na lista pendente Registo do Stackdriver antigo ou Monitorização do Stackdriver Kubernetes Engine, selecione Ativado.

   Estas opções não são compatíveis. Certifique-se de que usa apenas o Stackdriver Kubernetes Engine Monitoring ou o Legacy Stackdriver Logging com o Legacy Stackdriver Monitoring.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cluster monitoring disabled

Nome da categoria na API: CLUSTER_MONITORING_DISABLED

A monitorização está desativada nos clusters do GKE.

Para ajudar a investigar problemas de segurança e monitorizar a utilização, ative o Cloud Monitoring nos seus clusters.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Selecione o cluster indicado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Na lista pendente Legacy Stackdriver Monitoring ou Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

   Estas opções não são compatíveis. Certifique-se de que usa apenas o Stackdriver Kubernetes Engine Monitoring ou o Legacy Stackdriver Monitoring com o Legacy Stackdriver Logging.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cluster private Google access disabled

Nome da categoria na API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Os anfitriões de cluster não estão configurados para usar apenas endereços IP privados e internos para aceder às APIs Google.

O acesso privado à Google permite que as instâncias de máquinas virtuais (VM) com apenas endereços IP privados e internos alcancem os endereços IP públicos das APIs e dos serviços Google. Para mais informações, consulte o artigo Configurar o acesso privado da Google.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes de nuvem privada virtual na Google Cloud consola.

   Aceda a Redes de VPC

2. Na lista de redes, clique no nome da rede pretendida.

3. Na página Detalhes da rede VPC, clique no separador Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede associada ao cluster do Kubernetes na deteção.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Acesso privado à Google, selecione Ativado.

7. Clique em Guardar.

8. Para remover IPs públicos (externos) de instâncias de VM cujo único tráfego externo se destina às APIs Google, consulte o artigo Desatribuir um endereço IP externo estático.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cluster secrets encryption disabled

Nome da categoria na API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

A encriptação de segredos da camada de aplicação está desativada num cluster do GKE.

A encriptação de Secrets na camada de aplicação garante que os Secrets do GKE são encriptados com chaves do Cloud KMS. A funcionalidade oferece uma camada de segurança adicional para dados confidenciais, como segredos definidos pelo utilizador e segredos necessários para o funcionamento do cluster, como chaves de contas de serviço, que são todos armazenados no etcd.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves do Cloud KMS na Google Cloud consola.

   Aceda às chaves do Cloud KMS

2. Reveja as chaves da aplicação ou crie uma chave de encriptação de base de dados (DEK). Para mais informações, consulte o artigo Criar uma chave do Cloud KMS.

3. Aceda à página Clusters do Kubernetes.

   Aceda aos clusters do Kubernetes

4. Selecione o cluster na descoberta.

5. Em Segurança, no campo Encriptação de segredos da camada de aplicação, clique em edit Editar encriptação de segredos da camada de aplicação.

6. Selecione a caixa de verificação Ativar encriptação de segredos da camada de aplicação e, de seguida, escolha a DEK que criou.

7. Clique em Guardar alterações.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cluster shielded nodes disabled

Nome da categoria na API: CLUSTER_SHIELDED_NODES_DISABLED

Os nós do GKE protegidos não estão ativados para um cluster.

Sem os nós do GKE protegidos, os atacantes podem explorar uma vulnerabilidade num pod para roubar credenciais de arranque e roubar a identidade de nós no seu cluster. A vulnerabilidade pode dar aos atacantes acesso a segredos do cluster.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Selecione o cluster na descoberta.

3. Em Segurança, no campo Nós do GKE protegidos, clique em edit Editar nós do GKE protegidos.

4. Selecione a caixa de verificação Ativar nós do GKE protegidos.

5. Clique em Guardar alterações.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Compute project wide SSH keys allowed

Nome da categoria na API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

São usadas chaves SSH ao nível do projeto, o que permite iniciar sessão em todas as instâncias do projeto.

A utilização de chaves SSH ao nível do projeto facilita a gestão de chaves SSH, mas, se forem comprometidas, representa um risco de segurança que pode afetar todas as instâncias num projeto. Deve usar chaves SSH específicas da instância, que limitam a superfície de ataque se as chaves SSH forem comprometidas. Para mais informações, consulte o artigo Faça a gestão de chaves SSH nos metadados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em edit Editar.

4. Em Chaves SSH, selecione Bloquear chaves SSH ao nível do projeto.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Compute Secure Boot disabled

Nome da categoria na API: COMPUTE_SECURE_BOOT_DISABLED

Uma VM protegida não tem o arranque seguro ativado.

A utilização do Arranque seguro ajuda a proteger as suas máquinas virtuais contra rootkits e bootkits. O Compute Engine não ativa o arranque seguro por predefinição porque alguns controladores não assinados e software de baixo nível não são compatíveis. Se a sua MV não usar software incompatível e for iniciada com o Arranque seguro ativado, a Google recomenda a utilização do Arranque seguro. Se estiver a usar módulos de terceiros com controladores Nvidia, certifique-se de que são compatíveis com o arranque seguro antes de o ativar.

Para mais informações, consulte o artigo Arranque seguro.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em stop Parar.

4. Depois de a instância parar, clique em edit Editar.

5. Em VM protegida, selecione Ativar arranque seguro.

6. Clique em Guardar.

7. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Compute serial ports enabled

Nome da categoria na API: COMPUTE_SERIAL_PORTS_ENABLED

As portas de série estão ativadas para uma instância, o que permite ligações à consola de série da instância.

Se ativar a consola série interativa numa instância, os clientes podem tentar estabelecer ligação a essa instância a partir de qualquer endereço IP. Por conseguinte, o suporte da consola série interativa deve ser desativado. Para mais informações, consulte o artigo Ativar o acesso para um projeto.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em edit Editar.

4. Em Acesso remoto, desmarque a opção Ativar ligação a portas de série.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Confidential Computing disabled

Nome da categoria na API: CONFIDENTIAL_COMPUTING_DISABLED

Uma instância do Compute Engine não tem a computação confidencial ativada.

A computação confidencial adiciona um terceiro pilar à história da encriptação ponto a ponto, encriptando os dados durante a utilização. Com os ambientes de execução confidenciais fornecidos pela computação confidencial e pela virtualização encriptada segura da AMD (SEV), Google Cloud mantém o código sensível e outros dados encriptados na memória durante o processamento.

A computação confidencial só pode ser ativada quando uma instância é criada. Assim, tem de eliminar a instância atual e criar uma nova.

Para mais informações, consulte o artigo Máquina virtual confidencial e Compute Engine.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em delete Eliminar.

4. Crie uma VM confidencial através da Google Cloud consola.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

COS not used

Nome da categoria na API: COS_NOT_USED

As VMs do Compute Engine não estão a usar o SO otimizado para contentores, que foi concebido para executar contentores Docker de forma Google Cloud segura.

O SO otimizado para contentores é o SO recomendado pela Google para alojar e executar contentores no Google Cloud. A sua pequena dimensão do SO minimiza a exposição à segurança, enquanto as atualizações automáticas corrigem as vulnerabilidades de segurança atempadamente. Para mais informações, consulte o artigo Vista geral do SO otimizado para contentores.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster na descoberta.

3. Clique no separador Nós.

4. Para cada conjunto de nós:

   1. Clique no nome do conjunto de nós para aceder à respetiva página de detalhes.
   2. Clique em edit Editar .
   3. Em Nodes -> Image type, clique em Change.
   4. Selecione Container-Optimized OS e, de seguida, clique em Alterar.
   5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Custom role not monitored

Nome da categoria na API: CUSTOM_ROLE_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar alterações de funções personalizadas.

O IAM fornece funções predefinidas e personalizadas que concedem acesso a recursos Google Cloud específicos. Ao monitorizar as atividades de criação, eliminação e atualização de funções, pode identificar funções com privilégios excessivos em fases iniciais. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     resource.type="iam_role"
     AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
     OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
     OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dataproc CMEK disabled

Nome da categoria na API: DATAPROC_CMEK_DISABLED

Foi criado um cluster do Dataproc sem uma configuração de encriptação CMEK. Com as CMEK, as chaves que cria e gere no Cloud Key Management Service envolvem as chaves que o Google Cloud usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Cluster do Dataproc na Google Cloud consola.

   Aceda aos clusters do Dataproc

2. Selecione o seu projeto e clique em Criar cluster.

3. Na secção Gerir segurança, clique em Encriptação e selecione Chave gerida pelo cliente.

4. Selecione uma chave gerida pelo cliente na lista.

   Se não tiver uma chave gerida pelo cliente, tem de criar uma para usar. Para mais informações, consulte o artigo Chaves de encriptação geridas pelo cliente.

5. Certifique-se de que a chave do KMS selecionada tem a função de encriptar/desencriptar do CryptoKey do Cloud KMS atribuída à conta de serviço do cluster do Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

6. Após a criação do cluster, migre todas as cargas de trabalho do cluster mais antigo para o novo cluster.

7. Aceda aos clusters do Dataproc e selecione o seu projeto.

8. Selecione o grupo antigo e clique em delete Eliminar grupo.

9. Repita todos os passos acima para outros clusters do Dataproc disponíveis no projeto selecionado.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dataproc image outdated

Nome da categoria na API: DATAPROC_IMAGE_OUTDATED

Foi criado um cluster do Dataproc com uma versão de imagem do Dataproc afetada por vulnerabilidades de segurança na utilidade Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Este detetor encontra vulnerabilidades verificando se o campo softwareConfig.imageVersion na propriedade config de um Cluster tem alguma das seguintes versões afetadas:

• Versões de imagens anteriores a 1.3.95.
• Versões de imagens secundárias anteriores a 1.4.77, 1.5.53 e 2.0.27.

O número da versão de uma imagem personalizada do Dataproc pode ser substituído manualmente. Considere os seguintes cenários:

• Uma pessoa pode modificar a versão de uma imagem personalizada afetada para que pareça não estar afetada. Neste caso, este detetor não emite uma descoberta.
• É possível substituir a versão de uma imagem personalizada não afetada por uma que se saiba ter a vulnerabilidade. Neste caso, este detetor emite uma deteção falsa positiva. Para suprimir estes resultados falsos positivos, pode desativá-los.

Para corrigir esta descoberta, recrie e atualize o cluster afetado.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dataset CMEK disabled

Nome da categoria na API: DATASET_CMEK_DISABLED

Um conjunto de dados do BigQuery não está configurado para usar uma chave de encriptação gerida pelo cliente (CMEK) predefinida.

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que o Google Cloud usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados. Google Cloud Para mais informações, consulte o artigo Proteger dados com chaves do Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

Não pode alternar uma tabela no local entre as encriptações predefinidas e a encriptação CMEK. Para definir uma chave CMEK predefinida com a qual encriptar todas as novas tabelas no conjunto de dados, siga as instruções para Definir uma chave predefinida do conjunto de dados.

A definição de uma chave predefinida não volta a encriptar retroativamente as tabelas atualmente no conjunto de dados com uma nova chave. Para usar as CMEK para dados existentes, faça o seguinte:

1. Crie um novo conjunto de dados.
2. Defina uma chave CMEK predefinida no conjunto de dados que criou.
3. Para copiar tabelas para o seu conjunto de dados com CMEK ativadas, siga as instruções para Copiar uma tabela.
4. Depois de copiar os dados com êxito, elimine os conjuntos de dados originais.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Default network

Nome da categoria na API: DEFAULT_NETWORK

A rede predefinida existe num projeto.

As redes predefinidas têm regras de firewall e configurações de rede criadas automaticamente que podem não ser seguras. Para mais informações, consulte o artigo Rede predefinida.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Na lista de redes, clique no nome da rede predefinida.

3. Na página Detalhes da rede de VPC, clique em delete Eliminar rede de VPC.

4. Para criar uma nova rede com regras de firewall personalizadas, consulte o artigo Criar redes.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Default service account used

Nome da categoria na API: DEFAULT_SERVICE_ACCOUNT_USED

Uma instância do Compute Engine está configurada para usar a conta de serviço predefinida.

A conta de serviço predefinida do Compute Engine tem a função de editor no projeto, o que permite o acesso de leitura e escrita à maioria dos Google Cloud serviços. Para se defender contra escalamentos de privilégios e acesso não autorizado, não use a conta de serviço do Compute Engine predefinida. Em alternativa, crie uma nova conta de serviço e atribua apenas as autorizações necessárias à sua instância. Leia o artigo Controlo de acesso para ver informações sobre funções e autorizações.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Selecione a instância relacionada com a descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, clique em stop Parar.

4. Depois de a instância parar, clique em edit Editar.

5. Na secção Conta de serviço, selecione uma conta de serviço diferente da conta de serviço do Compute Engine predefinida. Pode ter de criar primeiro uma nova conta de serviço. Leia o artigo Controlo de acesso para ver informações sobre as funções e as autorizações do IAM.

6. Clique em Guardar. A nova configuração é apresentada na página Detalhes da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Disk CMEK disabled

Nome da categoria na API: DISK_CMEK_DISABLED

Os discos nesta VM não estão encriptados com chaves de encriptação geridas pelo cliente (CMEK).

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que o Google Cloud usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados. Google Cloud Para mais informações, consulte o artigo Proteger recursos com chaves do Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Discos do Compute Engine na Google Cloud consola.

   Aceda aos discos do Compute Engine

2. Na lista de discos, clique no nome do disco indicado na deteção.

3. Na página Gerir disco, clique em delete Eliminar.

4. Para criar um novo disco com a CMEK ativada, consulte o artigo Encriptar um novo disco persistente com as suas próprias chaves. A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Disk CSEK disabled

Nome da categoria na API: DISK_CSEK_DISABLED

Os discos nesta VM não estão encriptados com chaves de encriptação fornecidas pelos clientes (CSEK). Os discos das VMs críticas devem ser encriptados com CSEK.

Se fornecer as suas próprias chaves de encriptação, o Compute Engine usa a sua chave para proteger as chaves geradas pela Google usadas para encriptar e desencriptar os seus dados. Para mais informações, consulte o artigo Chaves de encriptação fornecidas pelos clientes. As CSEKs incorrem em custos adicionais relacionados com o Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

Elimine e crie um disco

Só pode encriptar novos discos persistentes com a sua própria chave. Não pode encriptar discos persistentes existentes com a sua própria chave.

1. Aceda à página Discos do Compute Engine na Google Cloud consola.

   Aceda aos discos do Compute Engine

2. Na lista de discos, clique no nome do disco indicado na deteção.

3. Na página Gerir disco, clique em delete Eliminar.

4. Para criar um novo disco com a CSEK ativada, consulte o artigo Encriptar discos com chaves de encriptação fornecidas pelo cliente.

5. Conclua os passos restantes para ativar o detetor.

Ative o detetor

1. Aceda à página Recursos do Security Command Center na Google Cloud consola.

   Aceda a Recursos

2. Na secção Tipo de recurso do painel Filtros rápidos, selecione compute.Disk.

   Se não vir compute.Disk, clique em Ver mais, introduza Disk no campo de pesquisa e, de seguida, clique em Aplicar.

   O painel Resultados é atualizado para mostrar apenas instâncias do tipo de recurso compute.Disk.

3. Na coluna Nome a apresentar, selecione a caixa junto ao nome do disco que quer usar com a CSEK e, de seguida, clique em Definir marcas de segurança.

4. Na caixa de diálogo, clique em Adicionar marca.

5. No campo chave, introduza enforce_customer_supplied_disk_encryption_keys e, no campo valor, introduza true.

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

DNS logging disabled

Nome da categoria na API: DNS_LOGGING_DISABLED

A monitorização dos registos do Cloud DNS oferece visibilidade dos nomes DNS pedidos pelos clientes na rede VPC. Estes registos podem ser monitorizados para verificar a existência de nomes de domínio anómalos e avaliados em função das informações sobre ameaças. Recomendamos que ative o registo de DNS para redes de VPC.

Consoante a quantidade de informações, os custos do registo do Cloud DNS podem ser significativos. Para compreender a sua utilização do serviço e o respetivo custo, consulte o artigo Preços do Google Cloud Observability: Cloud Logging.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Na lista de redes, clique no nome da rede VPC.

3. Crie uma nova política de servidor (se não existir) ou edite uma política existente:

   • Se a rede não tiver uma política de servidor DNS, conclua os seguintes passos:

     1. Clique em edit Editar.
     2. No campo Política do servidor DNS, clique em Criar uma nova política do servidor.
     3. Introduza um nome para a nova política de servidor.
     4. Defina Registos como Ativado.
     5. Clique em Guardar.

   • Se a rede tiver uma política de servidor DNS, conclua os seguintes passos:

     1. No campo Política do servidor DNS, clique no nome da política de DNS.
     2. Clique em edit Editar política.
     3. Defina Registos como Ativado.
     4. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

DNSSEC disabled

Nome da categoria na API: DNSSEC_DISABLED

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) estão desativadas para as zonas do Cloud DNS.

As DNSSEC validam as respostas DNS e mitigam riscos, como o roubo de DNS e os ataques de interposição, através da assinatura criptográfica de registos DNS. Deve ativar as DNSSEC. Para mais informações, consulte a vista geral das extensões de segurança do DNS (DNSSEC).

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Cloud DNS na Google Cloud consola.

   Aceda às redes do Cloud DNS

2. Localize a linha com a zona DNS indicada na descoberta.

3. Clique na definição de DNSSEC na linha e, de seguida, em DNSSEC, selecione Ativado.

4. Leia a caixa de diálogo apresentada. Se estiver satisfeito, clique em Ativar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Effectively Anonymous Users Granted GKE Cluster Access

Nome da categoria na API: GKE_PRIVILEGE_ESCALATION_DEFAULT_USERS_GROUPS

Alguém criou uma associação RBAC que faz referência a um dos seguintes utilizadores ou grupos:

• system:anonymous
• system:authenticated
• system:unauthenticated

Estes utilizadores e grupos são efetivamente anónimos e não devem ser usados em RoleBindings nem ClusterRoleBindings. Para ver detalhes, consulte a secção Evite funções e grupos predefinidos.

Para corrigir esta descoberta, aplique os seguintes passos aos recursos afetados:

1. Abra o manifesto de cada ClusterRoleBinding ou RoleBinding afetado.
2. Defina os seguintes campos restritos para um dos valores permitidos.

Campos restritos

• subjects[*].name

Valores permitidos

• Quaisquer grupos, utilizadores ou contas de serviço que não incluam system:anonymous, system:authenticated ou system:unauthenticated.

Egress deny rule not set

Nome da categoria na API: EGRESS_DENY_RULE_NOT_SET

Não está definida uma regra de recusa de saída numa firewall.

Uma firewall que nega todo o tráfego de rede de saída impede quaisquer ligações de rede de saída indesejadas, exceto as ligações que outras firewalls autorizam explicitamente. Para mais informações, consulte o artigo Casos de saída.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda a Firewall

2. Clique em Criar regra de firewall.

3. Atribua um nome e, opcionalmente, uma descrição à firewall.

4. Em Direção do tráfego, selecione Saída.

5. Em Ação em caso de correspondência, selecione Recusar.

6. No menu pendente Alvos, selecione Todas as instâncias na rede.

7. No menu pendente Filtro de destino, selecione Intervalos de IP e, de seguida, escreva 0.0.0.0/0 na caixa Intervalos de IP de destino.

8. Em Protocolos e portas, selecione Negar tudo.

9. Clique em Desativar regra e, de seguida, em Aplicação, selecione Ativada.

10. Clique em Criar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Essential contacts not configured

Nome da categoria na API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

A sua organização não designou uma pessoa ou um grupo para receber notificações de Google Cloud acerca de eventos importantes, como ataques, vulnerabilidades e incidentes de dados na sua Google Cloud organização. Recomendamos que designe como contacto essencial uma ou mais pessoas ou grupos na organização empresarial.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Contactos essenciais na Google Cloud consola.

   Aceder a Contactos essenciais

2. Certifique-se de que a organização aparece no seletor de recursos na parte superior da página. O seletor de recursos indica o projeto, a pasta ou a organização para os quais está atualmente a gerir contactos.

3. Clique em + Adicionar contacto. É aberto o painel Adicionar um contacto.

4. Nos campos Email e Confirmar email, introduza o endereço de email do contacto.

5. Na secção Categorias de notificações, selecione as categorias de notificações sobre as quais quer que o contacto receba comunicações. Certifique-se de que estão configurados endereços de email adequados para cada uma das seguintes categorias de notificação:

   1. Legal
   2. Segurança
   3. Suspensão
   4. Técnico

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Firewall not monitored

Nome da categoria na API: FIREWALL_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as alterações às regras de firewall da rede VPC.

A monitorização dos eventos de criação e atualização de regras de firewall dá-lhe informações sobre as alterações de acesso à rede e pode ajudar a detetar rapidamente atividade suspeita. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     resource.type="gce_firewall_rule"
     AND (protoPayload.methodName:"compute.firewalls.insert"
     OR protoPayload.methodName:"compute.firewalls.patch"
     OR protoPayload.methodName:"compute.firewalls.delete")

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Firewall rule logging disabled

Nome da categoria na API: FIREWALL_RULE_LOGGING_DISABLED

O registo de regras de firewall está desativado.

O registo de regras de firewall permite-lhe auditar, validar e analisar os efeitos das suas regras de firewall. Pode ser útil para auditar o acesso à rede ou fornecer um aviso antecipado de que a rede está a ser usada de forma não aprovada. O custo dos registos pode ser significativo. Para mais informações sobre o registo das regras da firewall e o respetivo custo, consulte o artigo Usar o registo das regras da firewall.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall pretendida.

3. Clique em edit Editar.

4. Em Registos, selecione Ativar.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Flow logs disabled

Nome da categoria na API: FLOW_LOGS_DISABLED

Existe uma sub-rede da VPC com os registos de fluxo desativados.

Os registos de fluxo da VPC registam uma amostra de fluxos de rede enviados e recebidos por instâncias de VM. Estes registos podem ser usados para monitorização de rede, análise forense, análise de segurança em tempo real e otimização de despesas. Para mais informações acerca dos registos de fluxo e do respetivo custo, consulte o artigo Usar registos de fluxo da VPC.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Na lista de redes, clique no nome da rede pretendida.

3. Na página Detalhes da rede VPC, clique no separador Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede indicado na descoberta.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Registos de fluxo, selecione Ativado.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Flow logs settings not recommended

Nome da categoria na API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Na configuração de uma sub-rede numa rede VPC, o serviço VPC Flow Logs está desativado ou não está configurado de acordo com as recomendações da CIS Benchmark 1.3. Os registos de fluxo de VPC registam uma amostra de fluxos de rede enviados e recebidos por instâncias de VMs que podem ser usados para detetar ameaças.

Para mais informações acerca dos registos de fluxo da VPC e do respetivo custo, consulte o artigo Usar registos de fluxo da VPC.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Na lista de redes, clique no nome da rede.

3. Na página Detalhes da rede VPC, clique no separador Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede indicado na descoberta.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Registos de fluxo, selecione Ativado.

   1. Opcionalmente, modifique a configuração dos registos clicando no botão Configurar registos para expandir o separador. As referências da CIS recomendam as seguintes definições:
      1. Defina o Intervalo de agregação como 5 SEG.
      2. Na caixa de verificação Campos adicionais, selecione a opção Incluir metadados.
      3. Defina a Taxa de amostragem como 100%.
      4. Clique no botão GUARDAR.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Full API access

Nome da categoria na API: FULL_API_ACCESS

Uma instância do Compute Engine está configurada para usar a conta de serviço predefinida com acesso total a todas as Google Cloud APIs.

Uma instância configurada com a conta de serviço predefinida e o âmbito de acesso à API definido como Permitir acesso total a todas as APIs Cloud pode permitir que os utilizadores realizem operações ou chamadas de API para as quais não têm autorizações do IAM. Para mais informações, consulte o artigo Conta de serviço predefinida do Compute Engine.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Se a instância estiver em execução, clique em stop Parar.

4. Quando a instância estiver parada, clique em edit Editar.

5. Na secção Segurança e acesso, em Contas de serviço, selecione Conta de serviço predefinida do Compute Engine.

6. Em Âmbitos de acesso, selecione Permitir acesso predefinido ou Definir acesso para cada API. Isto limita as APIs a que qualquer processo ou carga de trabalho que use a conta de serviço da VM predefinida pode aceder.

7. Se selecionou Definir acesso para cada API, faça o seguinte:

   • Desative a Cloud Platform definindo-a como Nenhuma.
   • Ative as APIs específicas às quais a conta de serviço da VM predefinida requer acesso.

8. Clique em Guardar.

9. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

HTTP load balancer

Nome da categoria na API: HTTP_LOAD_BALANCER

Uma instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Para proteger a integridade dos seus dados e impedir que os intrusos adulterem as suas comunicações, configure os balanceadores de carga HTTP(S) para permitirem apenas tráfego HTTPS. Para mais informações, consulte o artigo Vista geral do balanceamento de carga HTTP(S) externo.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Proxies de destino na Google Cloud consola.

   Aceda a Proxies de destino

2. Na lista de proxies de destino, clique no nome do proxy de destino no resultado.

3. Clique no link abaixo do Mapa de URLs.

4. Clique em edit Editar.

5. Clique em Configuração do front-end.

6. Elimine todas as configurações de IP de front-end e de porta que permitam tráfego HTTP e crie novas que permitam tráfego HTTPS.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Instance OS login disabled

Nome da categoria na API: INSTANCE_OS_LOGIN_DISABLED

O Início de sessão do SO está desativado nesta instância do Compute Engine.

O Início de sessão do SO permite a gestão centralizada de chaves SSH com o IAM e desativa a configuração de chaves SSH baseada em metadados em todas as instâncias de um projeto. Saiba como configurar o início de sessão no SO.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância carregada, clique em stop Parar.

4. Depois de a instância parar, clique em edit Editar.

5. Na secção Metadados personalizados, certifique-se de que o item com a chave enable-oslogin tem o valor TRUE.

6. Clique em Guardar.

7. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Integrity monitoring disabled

Nome da categoria na API: INTEGRITY_MONITORING_DISABLED

A monitorização da integridade está desativada num cluster do GKE.

A monitorização da integridade permite-lhe monitorizar e validar a integridade do arranque em tempo de execução dos seus nós protegidos através da monitorização. Isto permite-lhe responder a falhas de integridade e impedir a implementação de nós comprometidos no cluster.

Para corrigir esta descoberta, conclua os seguintes passos:

Depois de um nó ser aprovisionado, não é possível atualizá-lo para ativar a monitorização da integridade. Tem de criar um novo conjunto de nós com a monitorização da integridade ativada.

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique no nome do cluster na descoberta.

3. Clique em Adicionar conjunto de nós.

4. No separador Segurança, certifique-se de que a opção Ativar monitorização da integridade está ativada.

5. Clique em Criar.

6. Para migrar as suas cargas de trabalho dos conjuntos de nós não conformes existentes para os novos conjuntos de nós, consulte o artigo Migrar cargas de trabalho para diferentes tipos de máquinas.

7. Depois de mover as cargas de trabalho, elimine o conjunto de nós original não conforme.

   1. Na página Kubernetes cluster, no menu Node pools, clique no nome do conjunto de nós que quer eliminar.
   2. Clique em Remover conjunto de nós.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Intranode visibility disabled

Nome da categoria na API: INTRANODE_VISIBILITY_DISABLED

A visibilidade intranós está desativada para um cluster do GKE.

A ativação da visibilidade intranodal torna o tráfego de Pod para Pod intranodal visível para a estrutura de rede. Com esta funcionalidade, pode usar o registo de fluxos da VPC ou outras funcionalidades da VPC para monitorizar ou controlar o tráfego intranodal. Para obter registos, tem de ativar os registos de fluxo da VPC na sub-rede selecionada. Para mais informações, consulte o artigo Usar registos de fluxo de VPC.

Para corrigir esta descoberta, conclua os seguintes passos:

Depois de um nó ser aprovisionado, não é possível atualizá-lo para ativar a monitorização da integridade. Tem de criar um novo conjunto de nós com a monitorização da integridade ativada.

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na secção Rede, clique em edit Editar visibilidade intranó na linha Visibilidade intranó.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Ativar visibilidade intranodal.

4. Clique em Guardar alterações.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

IP alias disabled

Nome da categoria na API: IP_ALIAS_DISABLED

Foi criado um cluster do GKE com intervalos de IP de alias desativados.

Quando ativa os intervalos de IPs de alias, os clusters do GKE atribuem endereços IP a partir de um bloco CIDR conhecido, pelo que o seu cluster é escalável e interage melhor com Google Cloud produtos e entidades. Para mais informações, consulte o artigo Vista geral dos intervalos de IPs de alias.

Para corrigir esta descoberta, conclua os seguintes passos:

Não pode migrar um cluster existente para usar IPs de alias. Para criar um novo cluster com IPs de alias ativados, faça o seguinte:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique em Criar.

3. No painel de navegação, em Cluster, clique em Rede.

4. Em Opções de rede avançadas, selecione Ativar o encaminhamento de tráfego nativo da VPC (usa o IP de alias).

5. Clique em Criar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

IP forwarding enabled

Nome da categoria na API: IP_FORWARDING_ENABLED

O encaminhamento de IP está ativado nas instâncias do Compute Engine.

Impeça a perda de dados ou a divulgação de informações desativando o encaminhamento de IP de pacotes de dados para as suas VMs.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, selecione a caixa junto ao nome da instância na descoberta.

3. Clique em delete Eliminar.

4. Selecione Criar instância para criar uma nova instância para substituir a que eliminou.

5. Para garantir que o encaminhamento de IP está desativado, clique em Gestão, discos, trabalhar em rede, chaves SSH e, de seguida, clique em Trabalhar em rede.

6. Em Interfaces de rede, clique em edit Editar.

7. Em Encaminhamento de IP, no menu pendente, certifique-se de que a opção Desativado está selecionada.

8. Especifique outros parâmetros da instância e, de seguida, clique em Criar. Para mais informações, consulte o artigo Criar e iniciar uma instância de VM.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

KMS key not rotated

Nome da categoria na API: KMS_KEY_NOT_ROTATED

A rotação não está configurada numa chave de encriptação do Cloud KMS.

A rotação regular das chaves de encriptação oferece proteção caso uma chave seja comprometida e limita o número de mensagens encriptadas disponíveis para criptoanálise para uma versão específica da chave. Para mais informações, consulte o artigo Rotação de chaves.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves do Cloud KMS na Google Cloud consola.

   Aceda às chaves do Cloud KMS

2. Clique no nome do conjunto de chaves indicado na descoberta.

3. Clique no nome da chave indicado na descoberta.

4. Clique em Editar período de rotação.

5. Defina o período de rotação para um máximo de 90 dias.

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

KMS project has owner

Nome da categoria na API: KMS_PROJECT_HAS_OWNER

Um utilizador tem autorizações roles/Owner num projeto com chaves criptográficas. Para mais informações, consulte o artigo Autorizações e funções.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página IAM na Google Cloud consola.

   Aceda à página do IAM

2. Se necessário, selecione o projeto na descoberta.

3. Para cada principal ao qual foi atribuída a função Proprietário:

   1. Clique em edit Editar.
   2. No painel Editar autorizações, junto à função Proprietário, clique em delete Eliminar.
   3. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

KMS public key

Nome da categoria na API: KMS_PUBLIC_KEY

Uma Cryptokey do Cloud KMS ou um conjunto de chaves do Cloud KMS é público e acessível a qualquer pessoa na Internet. Para mais informações, consulte o artigo Usar o IAM com o Cloud KMS.

Para corrigir esta descoberta, se estiver relacionada com uma chave criptográfica:

1. Aceda à página Chaves criptográficas na Google Cloud consola.

   Chaves criptográficas

2. Em Nome, selecione o conjunto de chaves que contém a chave criptográfica relacionada com a descoberta do Security Health Analytics.

3. Na página Detalhes do conjunto de chaves carregada, selecione a caixa de verificação junto à chave criptográfica.

4. Se o PAINEL DE INFORMAÇÕES não for apresentado, clique no botão MOSTRAR PAINEL DE INFORMAÇÕES.

5. Use a caixa de filtro antes de Função / principal para pesquisar principais para allUsers e allAuthenticatedUsers e clique em delete Eliminar para remover o acesso para estes principais.

Para corrigir esta descoberta, se estiver relacionada com um Key Ring:

1. Aceda à página Chaves criptográficas na Google Cloud consola.

   Chaves criptográficas

2. Encontre a linha com o porta-chaves na localização e selecione a caixa de verificação.

3. Se o PAINEL DE INFORMAÇÕES não for apresentado, clique no botão MOSTRAR PAINEL DE INFORMAÇÕES.

4. Use a caixa de filtro antes de Função / principal para pesquisar principais para allUsers e allAuthenticatedUsers e clique em delete Eliminar para remover o acesso para estes principais.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

KMS role separation

Nome da categoria na API: KMS_ROLE_SEPARATION

Esta descoberta não está disponível para ativações ao nível do projeto.

Um ou mais responsáveis têm várias autorizações do Cloud KMS atribuídas. Recomendamos que nenhuma conta tenha simultaneamente a função Administrador do Cloud KMS, juntamente com outras autorizações do Cloud KMS. Para mais informações, consulte o artigo Autorizações e funções.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página IAM na Google Cloud consola.

   Aceda ao IAM

2. Para cada principal indicado na descoberta, faça o seguinte:

   1. Verifique se a função foi herdada de uma pasta ou de um recurso da organização consultando a coluna Herança. Se a coluna contiver um link para um recurso principal, clique no link para aceder à página IAM do recurso principal.
   2. Clique em edit Editar junto a um principal.
   3. Para remover autorizações, clique em delete Eliminar junto a Administrador do Cloud KMS. Se quiser remover todas as autorizações para o principal, clique em Eliminar junto a todas as outras autorizações.

3. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Legacy authorization enabled

Nome da categoria na API: LEGACY_AUTHORIZATION_ENABLED

A autorização antiga está ativada nos clusters do GKE.

No Kubernetes, o controlo de acesso baseado em funções (CABF) permite-lhe definir funções com regras que contêm um conjunto de autorizações e conceder autorizações ao nível do cluster e do espaço de nomes. Esta funcionalidade oferece uma melhor segurança, garantindo que os utilizadores só têm acesso a recursos específicos. Pondere desativar o controlo de acesso baseado em atributos (CABF) antigo.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Selecione o cluster indicado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Na lista pendente Autorização antiga, selecione Desativada.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Legacy metadata enabled

Nome da categoria na API: LEGACY_METADATA_ENABLED

Os metadados antigos estão ativados nos clusters do GKE.

O servidor de metadados de instâncias do Compute Engine expõe pontos finais /0.1/ e /v1beta1/ antigos, que não aplicam cabeçalhos de consulta de metadados. Esta é uma funcionalidade nas APIs /v1/ que torna mais difícil para um potencial atacante obter metadados de instâncias. A menos que seja necessário, recomendamos que desative estas APIs /0.1/ e /v1beta1/ antigas.

Para mais informações, consulte o artigo Desativar e fazer a transição das APIs de metadados antigas.

Para corrigir esta descoberta, conclua os seguintes passos:

Só pode desativar as APIs de metadados antigas quando criar um novo cluster ou quando adicionar um novo conjunto de nós a um cluster existente. Para atualizar um cluster existente e desativar as APIs de metadados antigas, consulte o artigo Migrar cargas de trabalho para diferentes tipos de máquinas.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Legacy network

Nome da categoria na API: LEGACY_NETWORK

Existe uma rede antiga num projeto.

As redes antigas não são recomendadas porque muitas novas funcionalidades de Google Cloud segurança não são suportadas nas redes antigas. Em alternativa, use redes VPC. Para mais informações, consulte o artigo Redes antigas.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Para criar uma nova rede não antiga, clique em Criar rede.

3. Regresse à página Redes VPC.

4. Na lista de redes, clique em legacy_network.

5. Na página Detalhes da rede de VPC, clique em delete Eliminar rede de VPC.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Load balancer logging disabled

Nome da categoria na API: LOAD_BALANCER_LOGGING_DISABLED

O registo está desativado para o serviço de back-end num balanceador de carga.

A ativação do registo para um balanceador de carga permite-lhe ver o tráfego de rede HTTP(S) para as suas aplicações Web. Para mais informações, consulte o artigo Equilibrador de carga.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Cloud Load Balancing na Google Cloud consola.

   Aceda ao Cloud Load Balancing

2. Clique no nome do balanceador de carga.

3. Clique em edit Editar.

4. Clique em Configuração de back-end.

5. Na página Configuração de back-end, clique em edit Editar.

6. Na secção Registo, selecione Ativar registo e escolha a melhor taxa de amostragem para o seu projeto.

7. Para terminar a edição do serviço de back-end, clique em Atualizar.

8. Para terminar a edição do equilibrador de carga, clique em Atualizar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Locked retention policy not set

Nome da categoria na API: LOCKED_RETENTION_POLICY_NOT_SET

Não está definida uma política de retenção bloqueada para os registos.

Uma política de retenção bloqueada impede a substituição dos registos e a eliminação do contentor de registos. Para mais informações, consulte o artigo Bucket Lock.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Explorador de armazenamento na Google Cloud consola.

   Aceda ao navegador de armazenamento

2. Selecione o contentor indicado na descoberta do Security Health Analytics.

3. Na página Detalhes do contentor, clique no separador Retenção.

4. Se não tiver sido definida uma política de retenção, clique em Definir política de retenção.

5. Introduza um período de retenção.

6. Clique em Guardar. A política de retenção é apresentada no separador Retenção.

7. Clique em Bloquear para garantir que o período de retenção não é reduzido nem removido.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Log not exported

Nome da categoria na API: LOG_NOT_EXPORTED

Um recurso não tem um destino de registo adequado configurado.

O Cloud Logging ajuda a encontrar rapidamente a causa principal dos problemas no seu sistema e aplicações. No entanto, a maioria dos registos só é retida durante 30 dias por predefinição. Exporte cópias de todas as entradas do registo para prolongar o período de armazenamento. Para mais informações, consulte o artigo Vista geral das exportações de registos.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Log Router na Google Cloud consola.

   Aceder ao registo do router

2. Clique em Criar destino.

3. Para garantir que todos os registos são exportados, deixe os filtros de inclusão e exclusão vazios.

4. Clique em Criar destino.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Master authorized networks disabled

Nome da categoria na API: MASTER_AUTHORIZED_NETWORKS_DISABLED

As redes autorizadas do plano de controlo não estão ativadas em clusters do GKE.

As redes autorizadas do plano de controlo melhoram a segurança do seu cluster de contentores ao bloquear o acesso de endereços IP especificados ao plano de controlo do cluster. Para mais informações, consulte o artigo Adicionar redes autorizadas para acesso ao plano de controlo.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Selecione o cluster indicado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Na lista pendente Redes autorizadas do plano de controlo, selecione Ativado.

5. Clique em Adicionar rede autorizada.

6. Especifique as redes autorizadas que quer usar.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

MFA not enforced

Nome da categoria na API: MFA_NOT_ENFORCED

Esta descoberta não está disponível para ativações ao nível do projeto.

A autenticação multifator, especificamente a validação em dois passos, está desativada para alguns utilizadores na sua organização.

A autenticação multifator é usada para proteger as contas contra acesso não autorizado e é a ferramenta mais importante para proteger a sua organização contra credenciais de início de sessão comprometidas. Para mais informações, consulte o artigo Proteja a sua empresa com a validação em dois passos.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página da consola do administrador na Google Cloud consola.

   Aceda à consola do administrador

2. Aplique a validação em dois passos a todas as unidades organizacionais.

Suprima as descobertas deste tipo

Para suprimir a deteção deste tipo, defina uma regra de desativação do som que desative automaticamente o som de deteções futuras deste tipo. Para mais informações, consulte o artigo Desative as conclusões no Security Command Center.

Embora não seja uma forma recomendada de suprimir as conclusões, também pode adicionar marcas de segurança dedicadas aos recursos para que os detetores do Security Health Analytics não criem conclusões de segurança para esses recursos.

• Para impedir que esta descoberta seja ativada novamente, adicione a marca de segurança allow_mfa_not_enforced com um valor de true ao recurso.
• Para ignorar potenciais violações de unidades organizacionais específicas, adicione a marca de segurança excluded_orgunits ao recurso com uma lista separada por vírgulas de caminhos de unidades organizacionais no campo value. Por exemplo, excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Network not monitored

Nome da categoria na API: NETWORK_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as alterações da rede VPC.

Para detetar alterações incorretas ou não autorizadas à configuração da sua rede, monitorize as alterações da rede VPC. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     resource.type="gce_network"
     AND (protoPayload.methodName:"compute.networks.insert"
     OR protoPayload.methodName:"compute.networks.patch"
     OR protoPayload.methodName:"compute.networks.delete"
     OR protoPayload.methodName:"compute.networks.removePeering"
     OR protoPayload.methodName:"compute.networks.addPeering")

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Network policy disabled

Nome da categoria na API: NETWORK_POLICY_DISABLED

A política de rede está desativada nos clusters do GKE.

Por predefinição, a comunicação entre pods está aberta. A comunicação aberta permite que os pods se liguem diretamente entre nós, com ou sem tradução de endereços de rede. Um recurso NetworkPolicy é como uma firewall ao nível do pod que restringe as ligações entre pods, a menos que o recurso NetworkPolicy permita explicitamente a ligação. Saiba como definir uma política de rede.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique no nome do cluster apresentado na descoberta do Security Health Analytics.

3. Em Rede, na linha de Política de rede do Kubernetes Calico, clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Na caixa de diálogo, selecione Ativar a política de rede do Kubernetes do Calico para o plano de controlo e Ativar a política de rede do Kubernetes do Calico para nós.

5. Clique em Guardar alterações.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Nodepool boot CMEK disabled

Nome da categoria na API: NODEPOOL_BOOT_CMEK_DISABLED

Os discos de arranque neste conjunto de nós não estão encriptados com chaves de encriptação geridas pelo cliente (CMEK). As CMEK permitem que o utilizador configure as chaves de encriptação predefinidas para discos de arranque num conjunto de nós.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster na descoberta.

3. Clique no separador Nós.

4. Para cada pool de nós default-pool, clique em delete Eliminar.

5. Quando lhe for pedido que confirme, clique em Eliminar.

6. Para criar novos node pools com CMEK, consulte o artigo Usar chaves de encriptação geridas pelo cliente (CMEK). A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Nodepool secure boot disabled

Nome da categoria na API: NODEPOOL_SECURE_BOOT_DISABLED

O arranque seguro está desativado para um cluster do GKE.

Ative o arranque seguro para nós do GKE protegidos para validar as assinaturas digitais dos componentes de arranque do nó. Para mais informações, consulte o artigo Arranque seguro.

Para corrigir esta descoberta, conclua os seguintes passos:

Depois de um conjunto de nós ser aprovisionado, não é possível atualizá-lo para ativar o arranque seguro. Tem de criar um novo conjunto de nós com o arranque seguro ativado.

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique no nome do cluster na descoberta.

3. Clique em Adicionar conjunto de nós.

4. No menu Conjuntos de nós, faça o seguinte:

   1. Clique no nome do novo conjunto de nós para expandir o separador.
   2. Selecione Segurança e, de seguida, em Opções protegidas, selecione Ativar arranque seguro.
   3. Clique em Criar.
   4. Para migrar as suas cargas de trabalho dos conjuntos de nós não conformes existentes para os novos conjuntos de nós, consulte o artigo Migrar cargas de trabalho para diferentes tipos de máquinas.
   5. Depois de mover as cargas de trabalho, elimine o conjunto de nós original não conforme.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Non org IAM member

Nome da categoria na API: NON_ORG_IAM_MEMBER

Um utilizador fora da sua organização ou projeto tem autorizações do IAM num projeto ou numa organização. Saiba mais acerca das autorizações de IAM.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página IAM na Google Cloud consola.

   Aceda ao IAM

2. Selecione a caixa de verificação junto aos utilizadores fora da sua organização ou projeto.

3. Clique em Remover.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Object versioning disabled

Nome da categoria na API: OBJECT_VERSIONING_DISABLED

O controlo de versões de objetos não está ativado num contentor de armazenamento onde os destinos estão configurados.

Para suportar a obtenção de objetos eliminados ou substituídos, o Cloud Storage oferece a funcionalidade de controlo de versões de objetos. Ative o controlo de versões de objetos para proteger os seus dados do Cloud Storage contra a substituição ou a eliminação acidental. Saiba como ativar o controlo de versões de objetos.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta deteção, use a flag --versioning num comando gcloud storage buckets update com o valor adequado:

    gcloud storage buckets update gs://finding.assetDisplayName --versioning

Substitua finding.assetDisplayName pelo nome do contentor relevante.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open Cassandra port

Nome da categoria na API: OPEN_CASSANDRA_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas Cassandra podem expor os seus serviços Cassandra a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do Cassandra são:

• TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open ciscosecure websm port

Nome da categoria na API: OPEN_CISCOSECURE_WEBSM_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue às portas CiscoSecure/WebSM podem expor os seus serviços CiscoSecure/WebSM a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do CiscoSecure/WebSM são:

• TCP - 9090

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open directory services port

Nome da categoria na API: OPEN_DIRECTORY_SERVICES_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue às portas do diretório podem expor os seus serviços de diretório a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas do serviço de diretório são:

• TCP - 445
• UDP - 445

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open DNS port

Nome da categoria na API: OPEN_DNS_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas DNS podem expor os seus serviços DNS a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas do serviço DNS são:

• TCP - 53
• UDP - 53

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open Elasticsearch port

Nome da categoria na API: OPEN_ELASTICSEARCH_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue às portas do Elasticsearch podem expor os seus serviços do Elasticsearch a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas do serviço Elasticsearch são:

• TCP - 9200, 9300

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open firewall

Nome da categoria na API: OPEN_FIREWALL

As regras de firewall que permitem ligações de todos os endereços IP, como 0.0.0.0/0, ou de todas as portas podem expor desnecessariamente recursos a ataques de origens não intencionais. Estas regras devem ser removidas ou definidas explicitamente para os intervalos de portas ou IPs de origem pretendidos. Por exemplo, em aplicações destinadas a ser públicas, considere restringir as portas permitidas às necessárias para a aplicação, como 80 e 443. Se a sua aplicação precisar de permitir ligações de todas as portas ou endereços IP, considere adicionar o recurso a uma lista de autorizações. Saiba mais sobre como atualizar regras de firewall.

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Regras da firewall na Google Cloud consola.

   Aceda às regras de firewall

2. Clique na regra de firewall apresentada na descoberta do Security Health Analytics e, de seguida, clique em edit Editar.

3. Em Intervalos de IPs de origem, edite os valores de IP para restringir o intervalo de IPs permitidos.

4. Em Protocolos e portas, selecione Protocolos e portas especificados, selecione os protocolos permitidos e introduza as portas permitidas.

5. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open FTP port

Nome da categoria na API: OPEN_FTP_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas FTP podem expor os seus serviços FTP a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas do serviço FTP são:

• TCP - 21

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open group IAM member

Nome da categoria na API: OPEN_GROUP_IAM_MEMBER

Um ou mais responsáveis que têm acesso a uma organização, um projeto ou uma pasta são contas de grupos Google que podem ser associadas sem aprovação.

Google Cloud Os clientes podem usar os Grupos Google para gerir funções e autorizações para membros nas respetivas organizações ou aplicar políticas de acesso a coleções de utilizadores. Em vez de conceder funções diretamente aos membros, os administradores podem conceder funções e autorizações aos Grupos Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todas as funções e autorizações de um grupo, o que permite aos membros aceder a recursos e serviços específicos.

Se uma conta do Google Groups aberta for usada como principal numa associação do IAM, qualquer pessoa pode herdar a função associada apenas aderindo ao grupo diretamente ou indiretamente (através de um subgrupo). Recomendamos que revogue as funções dos grupos abertos ou restrinja o acesso a esses grupos.

Para corrigir esta descoberta, siga um dos seguintes procedimentos.

Remova o grupo da política IAM

1. Aceda à página IAM na Google Cloud consola.

   Go IAM

2. Se necessário, selecione o projeto, a pasta ou a organização na descoberta.

3. Revogue a função de cada grupo aberto identificado na descoberta.

Restrinja o acesso aos grupos abertos

1. Inicie sessão nos Grupos Google.
2. Atualize as definições de cada grupo aberto e dos respetivos subgrupos para especificar quem pode aderir ao grupo e quem tem de aprovar a adesão.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open HTTP port

Nome da categoria na API: OPEN_HTTP_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas HTTP podem expor os seus serviços HTTP a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço HTTP são:

• TCP - 80

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open LDAP port

Nome da categoria na API: OPEN_LDAP_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas LDAP podem expor os seus serviços LDAP a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas do serviço LDAP são:

• TCP - 389, 636
• UDP - 389

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open Memcached port

Nome da categoria na API: OPEN_MEMCACHED_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas Memcached podem expor os seus serviços Memcached a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do Memcached são:

• TCP - 11211, 11214, 11215
• UDP - 11211, 11214, 11215

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open MongoDB port

Nome da categoria na API: OPEN_MONGODB_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue às portas do MongoDB podem expor os seus serviços do MongoDB a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do MongoDB são:

• TCP - 27017, 27018, 27019

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open MySQL port

Nome da categoria na API: OPEN_MYSQL_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas MySQL podem expor os seus serviços MySQL a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço do MySQL são:

• TCP - 3306

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open NetBIOS port

Nome da categoria na API: `OPEN_NETBIOS_PORT`

As regras de firewall que permitem que qualquer endereço IP se ligue a portas NetBIOS podem expor os seus serviços NetBIOS a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço NetBIOS são:

• TCP - 137, 138, 139
• UDP - 137, 138, 139

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open OracleDB port

Nome da categoria na API: OPEN_ORACLEDB_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas OracleDB podem expor os seus serviços OracleDB a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do OracleDB são:

• TCP - 1521, 2483, 2484
• UDP - 2483, 2484

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open POP3 port

Nome da categoria na API: OPEN_POP3_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas POP3 podem expor os seus serviços POP3 a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas do serviço POP3 são:

• TCP - 110

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open PostgreSQL port

Nome da categoria na API: OPEN_POSTGRESQL_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas PostgreSQL podem expor os seus serviços PostgreSQL a atacantes. Para mais informações, consulte o artigo Vista geral das regras da firewall da VPC.

As portas de serviço do PostgreSQL são:

• TCP - 5432
• UDP - 5432

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open RDP port

Nome da categoria na API: OPEN_RDP_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas RDP podem expor os seus serviços RDP a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço de PDR são:

• TCP - 3389
• UDP - 3389

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open Redis port

Nome da categoria na API: OPEN_REDIS_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas Redis podem expor os seus serviços Redis a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço do Redis são:

• TCP - 6379

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open SMTP port

Nome da categoria na API: OPEN_SMTP_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas SMTP podem expor os seus serviços SMTP a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas do serviço SMTP são:

• TCP - 25

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open SSH port

Nome da categoria na API: OPEN_SSH_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas SSH podem expor os seus serviços SSH a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço SSH são:

• SCTP - 22
• TCP - 22

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Open Telnet port

Nome da categoria na API: OPEN_TELNET_PORT

As regras de firewall que permitem que qualquer endereço IP se ligue a portas Telnet podem expor os seus serviços Telnet a atacantes. Para mais informações, consulte o artigo Vista geral das regras de firewall da VPC.

As portas de serviço Telnet são:

• TCP - 23

Esta descoberta é gerada para regras de firewall vulneráveis, mesmo que desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam para configurações não seguras que permitem tráfego indesejável se estiverem ativadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Firewall na Google Cloud consola.

   Aceda à firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, elimine 0.0.0.0/0.

5. Adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à instância.

6. Adicione protocolos e portas específicos que quer abrir na sua instância.

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Org policy Confidential VM policy

Nome da categoria na API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações acerca desta restrição da política da organização, consulte o artigo Aplicação de restrições da política da organização.

A sua organização requer que esta VM tenha o serviço de VM confidencial ativado. As VMs que não têm este serviço ativado não usam a encriptação da memória de tempo de execução, o que as expõe a ataques de memória de tempo de execução.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Se a VM não precisar do serviço de VM confidencial, mova-a para uma nova pasta ou projeto.

4. Se a VM exigir uma VM confidencial, clique em delete Eliminar.

5. Para criar uma nova instância com a Confidential VM ativada, consulte o artigo Início rápido: criar uma instância de Confidential VM.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Org policy location restriction

Nome da categoria na API: ORG_POLICY_LOCATION_RESTRICTION

A restrição da política da organização gcp.resourceLocations permite-lhe restringir a criação de novos recursos às regiões da nuvem que selecionar. Para mais informações, consulte o artigo Restringir localizações de recursos.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

O detetor ORG_POLICY_LOCATION_RESTRICTION abrange muitos tipos de recursos e as instruções de correção são diferentes para cada recurso. A abordagem geral para corrigir violações de localização inclui o seguinte:

1. Copie, mova ou faça uma cópia de segurança do recurso fora da região ou dos respetivos dados para um recurso que esteja na região. Leia a documentação dos serviços individuais para receber instruções sobre como mover recursos.
2. Elimine o recurso original fora da região ou os respetivos dados.

Esta abordagem não é possível para todos os tipos de recursos. Para receber orientações, consulte as recomendações personalizadas fornecidas na descoberta.

Considerações adicionais

Ao corrigir esta descoberta, considere o seguinte.

Recursos geridos

Por vezes, os ciclos de vida dos recursos são geridos e controlados por outros recursos. Por exemplo, um grupo de instâncias gerido do Compute Engine cria e destrói instâncias do Compute Engine de acordo com a política de escala automática do grupo de instâncias. Se os recursos geridos e de gestão estiverem no âmbito da aplicação de restrições de localização, ambos podem ser sinalizados como a violar a política da organização. A correção das conclusões para recursos geridos deve ser feita no recurso de gestão para garantir a estabilidade operacional.

Recursos em utilização

Determinados recursos são usados por outros recursos. Por exemplo, um disco do Compute Engine associado a uma instância do Compute Engine em execução é considerado em utilização pela instância. Se o recurso em utilização violar a política da organização de localização, tem de garantir que o recurso não está em utilização antes de resolver a violação de localização.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

OS login disabled

Nome da categoria na API: OS_LOGIN_DISABLED

O Início de sessão do SO está desativado nas instâncias do Compute Engine neste projeto.

O Início de sessão do SO permite a gestão centralizada de chaves SSH com o IAM e desativa a configuração de chaves SSH baseada em metadados em todas as instâncias de um projeto. Saiba como configurar o início de sessão no SO.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Metadados na Google Cloud consola.

   Aceda aos metadados

2. Clique em Editar e, de seguida, em Adicionar item.

3. Adicione um item com a chave enable-oslogin e o valor TRUE.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Over privileged account

Nome da categoria na API: OVER_PRIVILEGED_ACCOUNT

Um nó do GKE está a usar o nó de serviço predefinido do Compute Engine, que tem um acesso amplo por predefinição e pode ter privilégios excessivos para executar o seu cluster do GKE.

Para corrigir esta descoberta, conclua os seguintes passos:

Siga as instruções para usar contas de serviço Google com o menor número possível de privilégios.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Over privileged scopes

Nome da categoria na API: OVER_PRIVILEGED_SCOPES

Uma conta de serviço de nó tem âmbitos de acesso amplos.

Os âmbitos de acesso são o método antigo de especificar autorizações para a sua instância. Para reduzir a possibilidade de uma escalada de privilégios num ataque, crie e use uma conta de serviço com privilégios mínimos para executar o seu cluster do GKE.

Para corrigir esta descoberta, siga as instruções para usar contas de serviço Google com o menor número possível de privilégios.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Over privileged service account user

Nome da categoria na API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Um utilizador tem as funções iam.serviceAccountUser ou iam.serviceAccountTokenCreator ao nível do projeto, da pasta ou da organização, em vez de para uma conta de serviço específica.

A atribuição dessas funções a um utilizador para um projeto, uma pasta ou uma organização dá ao utilizador acesso a todas as contas de serviço existentes e futuras nesse âmbito. Esta situação pode resultar num escalamento não intencional de privilégios. Para mais informações, consulte o artigo Autorizações da conta de serviço.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página IAM na Google Cloud consola.

   Aceda à página do IAM

2. Se necessário, selecione o projeto, a pasta ou a organização na descoberta.

3. Para cada principal atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator, faça o seguinte:

   1. Clique em edit Editar.
   2. No painel Editar autorizações, junto às funções, clique em delete Eliminar.
   3. Clique em Guardar.

4. Siga este guia para conceder a utilizadores individuais autorização para se fazerem passar por uma única conta de serviço. Tem de seguir o guia para cada conta de serviço que quer permitir que os utilizadores escolhidos representem.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Owner not monitored

Nome da categoria na API: OWNER_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as atribuições ou as alterações de propriedade do projeto.

A função de IAM proprietário tem o nível de privilégio mais elevado num projeto. Para proteger os seus recursos, configure alertas para receber notificações quando novos proprietários são adicionados ou removidos. Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
     AND (ProjectOwnership OR projectOwnerInvitee)
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Pod security policy disabled

Nome da categoria na API: POD_SECURITY_POLICY_DISABLED

O PodSecurityPolicy está desativado num cluster do GKE.

Um PodSecurityPolicy é um recurso de controlador de admissão que valida pedidos para criar e atualizar pods num cluster. Os clusters não aceitam pods que não cumpram as condições definidas no PodSecurityPolicy.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, defina e autorize PodSecurityPolicies e ative o controlador PodSecurityPolicy. Para ver instruções, consulte a secção Usar o PodSecurityPolicies.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Primitive roles used

Nome da categoria na API: PRIMITIVE_ROLES_USED

Um utilizador tem uma das seguintes funções básicas de IAM: roles/owner, roles/editor ou roles/viewer. Estas funções são demasiado permissivas e não devem ser usadas. Em alternativa, devem ser atribuídos apenas por projeto.

Para mais informações, consulte o artigo Compreender as funções.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página da política IAM na Google Cloud consola.

   Aceder à política IAM

2. Para cada utilizador ao qual foi atribuída uma função primitiva, considere usar funções mais detalhadas em alternativa.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Private cluster disabled

Nome da categoria na API: PRIVATE_CLUSTER_DISABLED

Um cluster do GKE tem um cluster privado desativado.

Os clusters privados permitem que os nós tenham apenas endereços IP privados. Esta funcionalidade limita o acesso à Internet de saída para os nós. Se um nó do cluster não tiver um endereço IP público, não é detetável nem exposto à Internet pública. Ainda pode encaminhar tráfego para um nó através de um balanceador de carga interno. Para mais informações, consulte o artigo Clusters privados.

Não pode tornar um cluster existente privado. Para corrigir esta descoberta, crie um novo cluster privado:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique em Criar cluster.

3. No menu de navegação, em Cluster, selecione Rede.

4. Selecione o botão de opção Cluster privado.

5. Em Opções de redes avançadas, selecione a caixa de verificação Ativar encaminhamento de tráfego nativo da VPC (usa o IP de alias).

6. Clique em Criar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Private Google access disabled

Nome da categoria na API: PRIVATE_GOOGLE_ACCESS_DISABLED

Existem sub-redes privadas sem acesso às APIs públicas da Google.

O acesso privado à Google permite que as instâncias de VM com apenas endereços IP internos (privados) alcancem os endereços IP públicos das APIs e dos serviços Google.

Para mais informações, consulte o artigo Configurar o acesso privado da Google.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Redes VPC na Google Cloud consola.

   Aceda a redes de VPC

2. Na lista de redes, clique no nome da rede pretendida.

3. Na página Detalhes da rede VPC, clique no separador Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede associada ao cluster do Kubernetes na deteção.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Acesso privado à Google, selecione Ativado.

7. Clique em Guardar.

8. Para remover IPs públicos (externos) de instâncias de VM cujo único tráfego externo se destina às APIs Google, consulte o artigo Desatribuir um endereço IP externo estático.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public bucket ACL

Nome da categoria na API: PUBLIC_BUCKET_ACL

Um contentor é público e qualquer pessoa na Internet pode aceder ao mesmo.

Para mais informações, consulte o artigo Vista geral do controlo de acesso.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Explorador de armazenamento na Google Cloud consola.

   Aceda ao navegador de armazenamento

2. Selecione o contentor indicado na descoberta do Security Health Analytics.

3. Na página Detalhes do contentor, clique no separador Autorizações.

4. Junto a Vista por, clique em Funções.

5. Na caixa Filtro, pesquise allUsers e allAuthenticatedUsers.

6. Clique em delete Eliminar para remover todas as autorizações da IAM concedidas a allUsers e allAuthenticatedUsers.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public Compute image

Nome da categoria na API: PUBLIC_COMPUTE_IMAGE

Uma imagem do Compute Engine é pública e qualquer pessoa na Internet pode aceder à mesma. allUsers representa qualquer pessoa na Internet e allAuthenticatedUsers representa qualquer pessoa autenticada com uma Conta Google. Nenhuma das opções está restrita a utilizadores na sua organização.

As imagens do Compute Engine podem conter informações confidenciais, como chaves de encriptação ou software licenciado. Estas informações confidenciais não devem estar acessíveis publicamente. Se pretendia tornar esta imagem do Compute Engine pública, certifique-se de que não contém informações confidenciais.

Para mais informações, consulte a vista geral do controlo de acesso.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página de imagens do Compute Engine na Google Cloud consola.

   Aceda às imagens do Compute Engine

2. Selecione a caixa junto à imagem public-image e, de seguida, clique em Mostrar painel de informações.

3. Na caixa Filtro, pesquise os responsáveis por allUsers e allAuthenticatedUsers.

4. Expanda a função para a qual quer remover utilizadores.

5. Clique em delete Eliminar para remover um utilizador dessa função.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public dataset

Nome da categoria na API: PUBLIC_DATASET

Um conjunto de dados do BigQuery é público e acessível a qualquer pessoa na Internet. O principal da IAM allUsers representa qualquer pessoa na Internet e allAuthenticatedUsers representa qualquer pessoa com sessão iniciada num serviço Google. Nenhum dos dois está restrito a utilizadores na sua organização.

Para mais informações, consulte o artigo Controlar o acesso a conjuntos de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Explorador do BigQuery na Google Cloud consola.

   Aceda ao conjunto de dados do BigQuery

2. Na lista de conjuntos de dados, clique no nome do conjunto de dados que é identificado na descoberta. É aberto o painel Informações do conjunto de dados.

3. Junto à parte superior do painel Informações do conjunto de dados, clique em PARTILHAR.

4. No menu pendente, clique em Autorizações.

5. No painel Autorizações do conjunto de dados, introduza allUsers e allAuthenticatedUsers e remova o acesso para estes principais.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public IP address

Nome da categoria na API: PUBLIC_IP_ADDRESS

Uma instância do Compute Engine tem um endereço IP público.

Para reduzir a superfície de ataque das suas organizações, evite atribuir endereços IP públicos às suas VMs. As instâncias paradas podem continuar a ser denunciadas com uma descoberta de IP público, por exemplo, se as interfaces de rede estiverem configuradas para atribuir um IP público efémero no início. Certifique-se de que as configurações de rede para instâncias paradas não incluem acesso externo.

Para mais informações, consulte o artigo Estabelecer ligação segura a instâncias de VM.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceda a Instâncias de VM

2. Na lista de instâncias, selecione a caixa junto ao nome da instância na descoberta.

3. Clique em edit Editar.

4. Para cada interface em Interfaces de rede, clique em edit Editar e defina IP externo como Nenhum.

5. Clique em Concluído e, de seguida, clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public log bucket

Nome da categoria na API: PUBLIC_LOG_BUCKET

Esta descoberta não está disponível para ativações ao nível do projeto.

Um contentor de armazenamento é público e usado como um destino de registo, o que significa que qualquer pessoa na Internet pode aceder aos registos armazenados neste contentor. allUsers representa qualquer pessoa na Internet e allAuthenticatedUsers representa qualquer pessoa que tenha sessão iniciada num serviço Google. Nenhum dos dois está restrito a utilizadores na sua organização.

Para mais informações, consulte o artigo Vista geral do controlo de acesso.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página do navegador do Cloud Storage na Google Cloud consola.

   Aceda ao navegador do Cloud Storage

2. Na lista de contentores, clique no nome do contentor indicado na descoberta.

3. Clique no separador Autorizações.

4. Remova allUsers e allAuthenticatedUsers da lista de diretores.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Public SQL instance

Nome da categoria na API: PUBLIC_SQL_INSTANCE

A sua instância do SQL tem 0.0.0.0/0 como uma rede permitida. Esta ocorrência significa que qualquer cliente IPv4 pode passar a firewall de rede e fazer tentativas de início de sessão na sua instância, incluindo clientes que pode não ter tido intenção de permitir. Os clientes continuam a precisar de credenciais válidas para iniciar sessão com êxito na sua instância.

Para mais informações, consulte o artigo Autorizar com redes autorizadas.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. No painel de navegação, clique em Ligações.

5. Em Redes autorizadas, elimine 0.0.0.0/0 e adicione endereços IP específicos ou intervalos de IP que quer permitir que se liguem à sua instância.

6. Clique em Concluído e, de seguida, clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Pubsub CMEK disabled

Nome da categoria na API: PUBSUB_CMEK_DISABLED

Um tópico do Pub/Sub não está encriptado com chaves de encriptação geridas pelo cliente (CMEK).

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que a Google usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados.

Para corrigir esta descoberta, elimine o tópico existente e crie um novo:

1. Aceda à página Tópicos do Pub/Sub na Google Cloud consola.

   Aceda a Tópicos

2. Se necessário, selecione o projeto que contém o tópico do Pub/Sub.

3. Selecione a caixa de verificação junto ao tópico indicado na descoberta e, de seguida, clique em delete Eliminar.

4. Para criar um novo tópico do Pub/Sub com as CMEK ativadas, consulte o artigo Usar chaves de encriptação geridas pelo cliente. A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

5. Publicar resultados ou outros dados no tópico do Pub/Sub ativado com CMEK.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Route not monitored

Nome da categoria na API: ROUTE_NOT_MONITORED

As métricas e os alertas de registo não estão configurados para monitorizar as alterações de rotas da rede VPC.

Google Cloud As rotas são destinos e saltos que definem o caminho que o tráfego de rede percorre a partir de uma instância de VM para um IP de destino. Ao monitorizar as alterações às tabelas de rotas, pode ajudar a garantir que todo o tráfego da VPC flui através de um caminho esperado.

Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     resource.type="gce_route"
     AND (protoPayload.methodName:"compute.routes.delete"
     OR protoPayload.methodName:"compute.routes.insert")

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Redis role used on org

Nome da categoria na API: REDIS_ROLE_USED_ON_ORG

Esta descoberta não está disponível para ativações ao nível do projeto.

É atribuída uma função do IAM do Redis ao nível da organização ou da pasta.

As seguintes funções do IAM do Redis devem ser atribuídas apenas por projeto e não ao nível da organização ou da pasta:

• roles/redis.admin
• roles/redis.viewer
• roles/redis.editor

Para mais informações, consulte o artigo Controlo de acesso e autorizações.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página da política IAM na Google Cloud consola.

   Aceder à política IAM

2. Remova as funções do IAM do Redis indicadas na descoberta e adicione-as nos projetos individuais.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Release channel disabled

Nome da categoria na API: RELEASE_CHANNEL_DISABLED

Um cluster do GKE não está subscrito num canal de lançamento.

Subscreva um canal de lançamento para automatizar as atualizações de versões para o cluster do GKE. As funcionalidades também reduzem a complexidade da gestão de versões ao número de funcionalidades e ao nível de estabilidade necessários. Para mais informações, consulte o artigo Canais de lançamento.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Na secção Noções básicas do cluster, clique em edit Atualizar versão principal do cluster na linha Canal de lançamento.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Canal de lançamento e, de seguida, escolha o canal de lançamento ao qual quer subscrever.

   Se a versão do painel de controlo do seu cluster não for atualizável para um canal de lançamento, esse canal pode ser desativado como opção.

4. Clique em Guardar alterações.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

RSASHA1 for signing

Nome da categoria na API: RSASHA1_FOR_SIGNING

O RSASHA1 é usado para a assinatura de chaves em zonas do Cloud DNS. O algoritmo usado para a assinatura de chaves não deve ser fraco.

Para corrigir esta descoberta, substitua o algoritmo por um recomendado seguindo o guia Usar opções de assinatura avançadas.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Service account key not rotated

Nome da categoria na API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Esta descoberta não está disponível para ativações ao nível do projeto.

Uma chave de conta de serviço gerida pelo utilizador não é alterada há mais de 90 dias.

Em geral, as chaves de contas de serviço geridas pelo utilizador devem ser alteradas, pelo menos, a cada 90 dias, para garantir que não é possível aceder aos dados com uma chave antiga que possa ter sido perdida, comprometida ou roubada. Para mais informações, consulte o artigo Rode as chaves da conta de serviço para reduzir o risco de segurança causado por chaves roubadas.

Se gerou o par de chaves públicas/privadas, armazenou a chave privada num módulo de segurança de hardware (HSM) e carregou a chave pública para a Google, pode não precisar de rodar a chave a cada 90 dias. Em alternativa, pode alternar para uma chave se considerar que esta pode ter sido comprometida.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Contas de serviço na Google Cloud consola.

   Aceda a Contas de serviço

2. Se necessário, selecione o projeto indicado na deteção.

3. Na lista de contas de serviço, encontre a conta de serviço apresentada na constatação.

4. Clique no separador Chaves e, em seguida, identifique a chave que quer desativar.

5. Para desativar a chave, siga as instruções em Desative uma chave de conta de serviço.

6. Opcional: depois de se certificar de que a chave já não está a ser usada, elimine a chave da conta de serviço.

   read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Service account role separation

Nome da categoria na API: SERVICE_ACCOUNT_ROLE_SEPARATION

Esta descoberta não está disponível para ativações ao nível do projeto.

Um ou mais responsáveis na sua organização têm várias autorizações de conta de serviço atribuídas. Nenhuma conta deve ter simultaneamente a função de administrador da conta de serviço juntamente com outras autorizações da conta de serviço. Para saber mais sobre as contas de serviço e as funções disponíveis para as mesmas, consulte o artigo Contas de serviço.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página IAM na Google Cloud consola.

   Aceda ao IAM

2. Para cada principal indicado na descoberta, faça o seguinte:

   1. Verifique se a função foi herdada de uma pasta ou de um recurso da organização consultando a coluna Herança. Se a coluna contiver um link para um recurso principal, clique no link para aceder à página IAM do recurso principal.
   2. Clique em edit Editar junto a um principal.
   3. Para remover autorizações, clique em delete Eliminar junto a Administrador da conta de serviço. Se quiser remover todas as autorizações da conta de serviço, clique em Eliminar junto a todas as outras autorizações.

3. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Shielded VM disabled

Nome da categoria na API: SHIELDED_VM_DISABLED

A VM protegida está desativada nesta instância do Compute Engine.

As VMs protegidas são máquinas virtuais (VMs) no Google Cloud Google Cloud Platform reforçadas por um conjunto de controlos de segurança que ajudam a defender contra rootkits e bootkits. As VMs protegidas ajudam a garantir que o carregador de arranque e o firmware estão assinados e validados. Saiba mais sobre a VM protegida.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias de VM na Google Cloud consola.

   Aceder às instâncias de VM

2. Selecione a instância relacionada com a descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, clique em stop Parar.

4. Depois de a instância parar, clique em edit Editar.

5. Na secção VM protegida, ative as opções Ativar vTPM e Ativar monitorização da integridade para ativar a VM protegida.

6. Opcionalmente, se não usar controladores personalizados ou não assinados, ative também o Arranque seguro.

7. Clique em Guardar. A nova configuração é apresentada na página Detalhes da instância.

8. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL CMEK disabled

Nome da categoria na API: SQL_CMEK_DISABLED

Uma instância da base de dados SQL não está a usar chaves de encriptação geridas pelo cliente (CMEK).

Com as CMEK, as chaves que cria e gere no Cloud KMS envolvem as chaves que a Google usa para encriptar os seus dados, o que lhe dá mais controlo sobre o acesso aos seus dados. Para mais informações, consulte as vistas gerais da CMEK para o seu produto: Cloud SQL para MySQL, Cloud SQL para PostgreSQL ou Cloud SQL para SQL Server. A CMEK incorre em custos adicionais relacionados com o Cloud KMS.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em delete Eliminar.

4. Para criar uma nova instância com as CMEK ativadas, siga as instruções para configurar as CMEK para o seu produto:

   1. Cloud SQL para MySQL
   2. Cloud SQL para PostgreSQL
   3. Cloud SQL para SQL Server

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL contained database authentication

Nome da categoria na API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Uma instância de base de dados do Cloud SQL para SQL Server não tem a flag de base de dados contained database authentication definida como Off.

A flag contained database authentication controla se pode criar ou anexar bases de dados contidas ao motor de base de dados. Uma base de dados autónoma inclui todas as definições e metadados da base de dados necessários para definir a base de dados e não tem dependências de configuração na instância do motor de base de dados onde a base de dados está instalada.

Não é recomendável ativar esta flag pelos seguintes motivos:

• Os utilizadores podem ligar-se à base de dados sem autenticação ao nível do motor da base de dados.
• Isolar a base de dados do motor de base de dados permite mover a base de dados para outra instância do SQL Server.

As bases de dados autónomas enfrentam ameaças únicas que devem ser compreendidas e mitigadas pelos administradores do motor de base de dados do SQL Server. A maioria das ameaças resulta do processo de autenticação de UTILIZADOR COM PALAVRA-PASSE, que move o limite de autenticação do nível do motor de base de dados para o nível da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Database flags, defina o flag da base de dados contained database authentication com o valor Off.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL cross DB ownership chaining

Nome da categoria na API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Uma instância da base de dados do Cloud SQL para SQL Server não tem a flag da base de dados cross db ownership chaining definida como Off.

A flag cross db ownership chaining permite-lhe controlar a união de proprietários entre bases de dados ao nível da base de dados ou permitir a união de proprietários entre bases de dados para todas as declarações de bases de dados.

Não é recomendável ativar esta flag, a menos que todas as bases de dados alojadas pela instância do SQL Server participem na encadeamento de propriedade entre bases de dados e tenha conhecimento das implicações de segurança desta definição.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina o flag da base de dados cross db ownership chaining com o valor Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL external scripts enabled

Nome da categoria na API: SQL_EXTERNAL_SCRIPTS_ENABLED

Uma instância de base de dados do Cloud SQL para SQL Server não tem a flag de base de dados external scripts enabled definida como Off.

Quando ativada, esta definição permite a execução de scripts com determinadas extensões de linguagem remotas. Uma vez que esta funcionalidade pode afetar negativamente a segurança do sistema, recomendamos que a desative.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados external scripts enabled com o valor Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL instance not monitored

Nome da categoria na API: SQL_INSTANCE_NOT_MONITORED

Esta descoberta não está disponível para ativações ao nível do projeto.

As métricas e os alertas de registo não estão configurados para monitorizar as alterações de configuração da instância do Cloud SQL.

A configuração incorreta das opções da instância do SQL pode causar riscos de segurança. A desativação das opções de cópia de segurança automática e de alta disponibilidade pode afetar a continuidade da empresa e a não restrição das redes autorizadas pode aumentar a exposição a redes não fidedignas. A monitorização das alterações à configuração da instância SQL ajuda a reduzir o tempo necessário para detetar e corrigir configurações incorretas.

Para mais informações, consulte o artigo Vista geral das métricas baseadas em registos.

Consoante a quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para compreender a sua utilização do serviço e os respetivos custos, consulte os preços da observabilidade do Google Cloud.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

Crie uma métrica

1. Aceda à página Métricas baseadas em registos na Google Cloud consola.

   Aceda a Métricas baseadas em registos

2. Clique em Criar métrica.

3. Em Tipo de métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um nome da métrica de registo.
   2. Adicione uma descrição.
   3. Defina Unidades como 1.

5. Em Seleção de filtros, copie e cole o seguinte texto na caixa Criar filtro, substituindo o texto existente, se necessário:

     protoPayload.methodName="cloudsql.instances.update"
     OR protoPayload.methodName="cloudsql.instances.create"
     OR protoPayload.methodName="cloudsql.instances.delete"

6. Clique em Criar métrica. É apresentada uma confirmação.

Crie uma política de alerta

1. Na Google Cloud consola, aceda à página Métricas baseadas em registos:

   Aceda a Métricas baseadas em registos

   Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

2. Na secção Métricas definidas pelo utilizador, selecione a métrica que criou na secção anterior.

3. Clique em Mais more_vert e, de seguida, clique em Criar alerta a partir da métrica.

   A caixa de diálogo Nova condição é aberta com as opções de métricas e transformação de dados pré-preenchidas.

4. Clicar em Seguinte.
   1. Reveja as definições pré-preenchidas. É recomendável modificar o Valor do limite.
   2. Clique em Nome da condição e introduza um nome para a condição.
5. Clicar em Seguinte.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.

   Para receber uma notificação quando os incidentes são abertos e fechados, selecione a opção Notificar no encerramento do incidente. Por predefinição, as notificações são enviadas apenas quando são abertos incidentes.

7. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
8. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
9. Clique em Nome do alerta e introduza um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL local infile

Nome da categoria na API: SQL_LOCAL_INFILE

Uma instância da base de dados do Cloud SQL para MySQL não tem a flag da base de dados local_infile definida como Desativada. Devido a problemas de segurança associados à flag local_infile, esta deve ser desativada. Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados local_infile com o valor Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log checkpoints disabled

Nome da categoria na API: SQL_LOG_CHECKPOINTS_DISABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_checkpoints definida como On.

A ativação de log_checkpoints faz com que os controlos de segurança e os pontos de reinício sejam registados no registo do servidor. Algumas estatísticas estão incluídas nas mensagens de registo, incluindo o número de buffers escritos e o tempo gasto a escrevê-los.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_checkpoints com o valor Ativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log connections disabled

Nome da categoria na API: SQL_LOG_CONNECTIONS_DISABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_connections definida como On.

A ativação da definição log_connections faz com que as tentativas de ligação ao servidor sejam registadas, juntamente com a conclusão bem-sucedida da autenticação do cliente. Os registos podem ser úteis na resolução de problemas e na confirmação de tentativas de ligação invulgares ao servidor.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_connections com o valor Ativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log disconnections disabled

Nome da categoria na API: SQL_LOG_DISCONNECTIONS_DISABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_disconnections definida como On.

A ativação da definição log_disconnections cria entradas de registo no final de cada sessão. Os registos são úteis para resolver problemas e confirmar atividade invulgar durante um período. Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_disconnections com o valor Ativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log duration disabled

Nome da categoria na API: SQL_LOG_DURATION_DISABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_duration definida como On.

Quando log_duration está ativado, esta definição faz com que o tempo de execução e a duração de cada declaração concluída sejam registados. A monitorização da quantidade de tempo necessária para executar consultas pode ser crucial na identificação de consultas lentas e na resolução de problemas da base de dados.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_duration como Ativada.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log error verbosity

Nome da categoria na API: SQL_LOG_ERROR_VERBOSITY

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_error_verbosity definida como predefinição ou detalhada.

A flag log_error_verbosity controla a quantidade de detalhes nas mensagens registadas. Quanto maior for a verbosidade, mais detalhes são registados nas mensagens. Recomendamos que defina esta flag como default ou verbose.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_error_verbosity como default ou verbose.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log lock waits disabled

Nome da categoria na API: SQL_LOG_LOCK_WAITS_DISABLED

Uma instância de base de dados do Cloud SQL para PostgreSQL não tem a flag de base de dados log_lock_waits definida como On.

A ativação da definição log_lock_waits cria entradas de registo quando as esperas de sessão demoram mais tempo do que o tempo deadlock_timeout para adquirir um bloqueio. Os registos são úteis para determinar se os tempos de espera de bloqueio estão a causar um fraco desempenho.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_lock_waits com o valor Ativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log min duration statement enabled

Nome da categoria na API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Uma instância de base de dados do Cloud SQL para PostgreSQL não tem a flag de base de dados log_min_duration_statement definida como -1.

A flag log_min_duration_statement faz com que as declarações SQL cuja execução demore mais do que um tempo especificado sejam registadas. Considere desativar esta definição, uma vez que as declarações SQL podem conter informações confidenciais que não devem ser registadas. Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_min_duration_statement com o valor -1.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log min error statement

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_min_error_statement definida corretamente.

A flag log_min_error_statement controla se as declarações SQL que causam condições de erro são registadas nos registos do servidor. As declarações SQL da gravidade especificada ou superior são registadas com mensagens para as declarações de erro. Quanto maior for a gravidade, menor é o número de mensagens gravadas.

Se log_min_error_statement não estiver definido com o valor correto, as mensagens podem não ser classificadas como mensagens de erro. Uma gravidade definida demasiado baixa pode aumentar o número de mensagens e dificultar a localização de erros reais. Uma gravidade definida como demasiado alta pode fazer com que as mensagens de erro para erros reais não sejam registadas.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_min_error_statement com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log min error statement severity

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_min_error_statement definida corretamente.

A flag log_min_error_statement controla se as declarações SQL que causam condições de erro são registadas nos registos do servidor. As declarações SQL da gravidade especificada ou mais rigorosas são registadas com mensagens para as declarações de erro. Quanto mais rigorosa for a gravidade, menos mensagens são registadas.

Se log_min_error_statement não estiver definido com o valor correto, as mensagens podem não ser classificadas como mensagens de erro. Uma gravidade definida demasiado baixa aumentaria o número de mensagens e dificultaria a localização de erros reais. Um nível de gravidade demasiado elevado (demasiado rigoroso) pode fazer com que as mensagens de erro de erros reais não sejam registadas.

Recomendamos que defina esta flag como error ou mais rigorosa.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_min_error_statement com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • error
   • log
   • fatal
   • panic

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log min messages

Nome da categoria na API: SQL_LOG_MIN_MESSAGES

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_min_messages definida, no mínimo, como aviso.

A flag log_min_messages controla os níveis de mensagens que são registados nos registos do servidor. Quanto maior for a gravidade, menor é o número de mensagens registadas. Se definir o limite demasiado baixo, pode aumentar o tamanho e a duração do armazenamento de registos, o que dificulta a localização de erros reais.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_min_messages com um dos seguintes valores recomendados, de acordo com a política de registo da sua organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log executor stats enabled

Nome da categoria na API: SQL_LOG_EXECUTOR_STATS_ENABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_executor_stats definida como Off.

Quando a flag log_executor_stats está ativada, as estatísticas de desempenho do executor são incluídas nos registos do PostgreSQL para cada consulta. Esta definição pode ser útil para resolver problemas, mas pode aumentar significativamente o número de registos e a sobrecarga de desempenho.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_executor_stats como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log hostname enabled

Nome da categoria na API: `SQL_LOG_HOSTNAME_ENABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_hostname definida como Desativada.

Quando a flag log_hostname está ativada, o nome do anfitrião do anfitrião que está a estabelecer ligação é registado. Por predefinição, as mensagens do registo de ligações mostram apenas o endereço IP. Esta definição pode ser útil para a resolução de problemas. No entanto, pode incorrer em sobrecarga no desempenho do servidor, porque, para cada declaração registada, é necessária a resolução de DNS para converter um endereço IP num nome de anfitrião.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_hostname como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log parser stats enabled

Nome da categoria na API: SQL_LOG_PARSER_STATS_ENABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_parser_stats definida como Desativado.

Quando a flag log_parser_stats está ativada, as estatísticas de desempenho do analisador são incluídas nos registos do PostgreSQL para cada consulta. Isto pode ser útil para a resolução de problemas, mas pode aumentar significativamente o número de registos e a sobrecarga de desempenho.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_parser_stats como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log planner stats enabled

Nome da categoria na API: SQL_LOG_PLANNER_STATS_ENABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_planner_stats definida como Desativada.

Quando a flag log_planner_stats está ativada, é usado um método de criação de perfis simples para registar estatísticas de desempenho do planeador do PostgreSQL. Isto pode ser útil para a resolução de problemas, mas pode aumentar significativamente o número de registos e a sobrecarga de desempenho.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_planner_stats como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log statement

Nome da categoria na API: SQL_LOG_STATEMENT

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_statement definida como ddl.

O valor desta flag controla que declarações SQL são registadas. O registo ajuda a resolver problemas operacionais e permite a análise forense. Se esta flag não estiver definida com o valor correto, as informações relevantes podem ser ignoradas ou podem ser ocultadas em demasiadas mensagens. Recomendamos um valor de ddl (todas as declarações de definição de dados), a menos que a política de registo da sua organização indique o contrário.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_statement como ddl.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log statement stats enabled

Nome da categoria na API: SQL_LOG_STATEMENT_STATS_ENABLED

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_statement_stats definida como Desativada.

Quando a flag log_statement_stats é ativada, as estatísticas de desempenho de ponta a ponta são incluídas nos registos do PostgreSQL para cada consulta. Esta definição pode ser útil para resolver problemas, mas pode aumentar significativamente o número de registos e a sobrecarga de desempenho.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, defina a flag da base de dados log_statement_stats como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL log temp files

Nome da categoria na API: SQL_LOG_TEMP_FILES

Uma instância da base de dados do Cloud SQL para PostgreSQL não tem a flag da base de dados log_temp_files definida como 0.

É possível criar ficheiros temporários para ordenações, hashes e resultados de consultas temporários. Definir a flag log_temp_files como 0 faz com que todas as informações dos ficheiros temporários sejam registadas. O registo de todos os ficheiros temporários é útil para identificar potenciais problemas de desempenho. Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizadores da base de dados, defina o sinalizador da base de dados log_temp_files com o valor 0.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL no root password

Nome da categoria na API: SQL_NO_ROOT_PASSWORD

Uma instância da base de dados MySQL não tem uma palavra-passe definida para a conta raiz. Deve adicionar uma palavra-passe à instância da base de dados MySQL. Para mais informações, consulte o artigo Utilizadores do MySQL.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, selecione o separador Utilizadores.

4. Junto ao utilizador root, clique em Mais , e, de seguida, selecione Alterar palavra-passe.

5. Introduza uma nova palavra-passe forte e, de seguida, clique em OK.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL public IP

Nome da categoria na API: SQL_PUBLIC_IP

Uma base de dados do Cloud SQL tem um endereço IP público.

Para reduzir a superfície de ataque da sua organização, as bases de dados do Cloud SQL não devem ter endereços IP públicos. As endereços IP privados oferecem uma melhor segurança de rede e uma menor latência para a sua aplicação.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. No menu do lado esquerdo, clique em Ligações.

4. Clique no separador Rede e desmarque a caixa de verificação IP público.

5. Se a instância ainda não estiver configurada para usar um IP privado, consulte o artigo Configurar o IP privado para uma instância existente.

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL remote access enabled

Nome da categoria na API: SQL_REMOTE_ACCESS_ENABLED

Uma instância de base de dados do Cloud SQL para SQL Server não tem a flag de base de dados de acesso remoto definida como Desativado.

Quando ativada, esta definição concede autorização para executar procedimentos armazenados locais a partir de servidores remotos ou procedimentos armazenados remotos a partir do servidor local. Esta funcionalidade pode ser usada de forma abusiva para iniciar um ataque de negação de serviço (DoS) em servidores remotos, transferindo o processamento de consultas para um alvo. Para evitar o abuso, recomendamos que desative esta definição.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags, defina o acesso remoto como Desativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL skip show database disabled

Nome da categoria na API: SQL_SKIP_SHOW_DATABASE_DISABLED

Uma instância de base de dados do Cloud SQL para MySQL não tem a flag de base de dados skip_show_database definida como On.

Quando ativada, esta flag impede que os utilizadores usem a declaração SHOW DATABASES se não tiverem o privilégio SHOW DATABASES. Com esta definição, os utilizadores sem autorização explícita não podem ver bases de dados que pertencem a outros utilizadores. Recomendamos que ative esta flag.

Para mais informações, consulte o artigo Configurar flags da base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags, defina skip_show_database como On.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL trace flag 3625

Nome da categoria na API: SQL_TRACE_FLAG_3625

Uma instância de base de dados do Cloud SQL para SQL Server não tem a flag de base de dados 3625 (trace flag) definida como Ativada.

Esta flag limita a quantidade de informações devolvidas aos utilizadores que não são membros da função de servidor fixa sysadmin, ao ocultar os parâmetros de algumas mensagens de erro com asteriscos (******). Para ajudar a evitar a divulgação de informações confidenciais, recomendamos que ative esta flag.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Sinalizações da base de dados, defina 3625 como Ativado.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL user connections configured

Nome da categoria na API: SQL_USER_CONNECTIONS_CONFIGURED

Uma instância de base de dados do Cloud SQL para SQL Server tem a flag de base de dados user connections configurada.

A opção Ligações de utilizadores especifica o número máximo de ligações de utilizadores simultâneas permitidas numa instância do SQL Server. Uma vez que é uma opção dinâmica (de configuração automática), o SQL Server ajusta o número máximo de ligações de utilizadores automaticamente, conforme necessário, até ao valor máximo permitido. O valor predefinido é 0, o que significa que são permitidas até 32 767 ligações de utilizadores. Por este motivo, não recomendamos a configuração da flag da base de dados user connections.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Indicadores da base de dados, junto a Ligações de utilizadores, clique em delete Eliminar.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL user options configured

Nome da categoria na API: SQL_USER_OPTIONS_CONFIGURED

Uma instância de base de dados do Cloud SQL para SQL Server tem a flag de base de dados user options configurada.

Esta definição substitui os valores predefinidos globais das opções SET para todos os utilizadores. Uma vez que os utilizadores e as aplicações podem assumir que as opções SET da base de dados predefinidas estão a ser usadas, a definição das opções do utilizador pode causar resultados inesperados. Por este motivo, não recomendamos que configure a flag da base de dados user options.

Para mais informações, consulte o artigo Configurar flags de base de dados.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na secção Flags da base de dados, junto a opções do utilizador, clique em delete Eliminar.

5. Clique em Guardar. A nova configuração é apresentada na página Vista geral da instância.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SQL weak root password

Nome da categoria na API: SQL_WEAK_ROOT_PASSWORD

Uma instância da base de dados MySQL tem uma palavra-passe fraca definida para a conta root. Deve definir uma palavra-passe forte para a instância. Para mais informações, consulte o artigo Utilizadores do MySQL.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, selecione o separador Utilizadores.

4. Junto ao utilizador root, clique em Mais , e, de seguida, selecione Alterar palavra-passe.

5. Introduza uma nova palavra-passe forte e, de seguida, clique em OK.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

SSL not enforced

Nome da categoria na API: SSL_NOT_ENFORCED

Uma instância de base de dados do Cloud SQL não requer que todas as ligações recebidas usem SSL.

Para evitar a fuga de dados confidenciais em trânsito através de comunicações não encriptadas, todas as ligações recebidas à instância da base de dados SQL devem usar SSL. Saiba mais sobre a configuração do SSL/TLS.

Para corrigir esta descoberta, permita apenas ligações SSL para as suas instâncias SQL:

1. Aceda à página Instâncias do Cloud SQL na Google Cloud consola.

   Aceda a Instâncias do Cloud SQL

2. Selecione a instância apresentada na descoberta do Security Health Analytics.

3. No separador Ligações, clique em Permitir apenas ligações SSL ou Exigir certificados de cliente fidedignos. Para mais informações, consulte o artigo Aplique a encriptação SSL/TLS.

4. Se escolheu Exigir certificados de cliente fidedignos, crie um novo certificado de cliente. Para mais informações, consulte o artigo Crie um novo certificado de cliente.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Too many KMS users

Nome da categoria na API: TOO_MANY_KMS_USERS

Limite a três o número de utilizadores principais que podem usar chaves criptográficas. As seguintes funções predefinidas concedem autorizações para encriptar, desencriptar ou assinar dados através de chaves criptográficas:

• roles/owner
• roles/cloudkms.cryptoKeyEncrypterDecrypter
• roles/cloudkms.cryptoKeyEncrypter
• roles/cloudkms.cryptoKeyDecrypter
• roles/cloudkms.signer
• roles/cloudkms.signerVerifier

Para mais informações, consulte o artigo Autorizações e funções.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Chaves do Cloud KMS na Google Cloud consola.

   Aceda às chaves do Cloud KMS

2. Clique no nome do conjunto de chaves indicado na descoberta.

3. Clique no nome da chave indicado na descoberta.

4. Selecione a caixa junto à versão principal e, de seguida, clique em Mostrar painel de informações.

5. Reduza o número de responsáveis com autorizações para encriptar, desencriptar ou assinar dados para três ou menos. Para revogar autorizações, clique em delete Eliminar junto a cada principal.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Unconfirmed AppArmor profile

Nome da categoria na API: GKE_APP_ARMOR

Um contentor pode ser configurado explicitamente para não ter restrições do AppArmor. Isto garante que não é aplicado nenhum perfil do AppArmor ao contentor e, por isso, não está restrito por um perfil. O controlo de segurança preventivo desativado aumenta o risco de fuga do contentor.

Para corrigir esta descoberta, aplique os seguintes passos às cargas de trabalho afetadas:

1. Abra o manifesto de cada carga de trabalho afetada.
2. Defina os seguintes campos restritos para um dos valores permitidos.

Campos restritos

• metadata.annotations["container.apparmor.security.beta.kubernetes.io/*"]

Valores permitidos

• falso

User managed service account key

Nome da categoria na API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Um utilizador gere uma chave de conta de serviço. As chaves das contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.

Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.

Para corrigir esta descoberta, conclua os seguintes passos:

1. Aceda à página Contas de serviço na Google Cloud consola.

   Aceda a Contas de serviço

2. Se necessário, selecione o projeto indicado na deteção.

3. Elimine as chaves de contas de serviço geridas pelo utilizador indicadas na descoberta, se não forem usadas por nenhuma aplicação.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Weak SSL policy

Nome da categoria na API: WEAK_SSL_POLICY

Uma instância do Compute Engine tem uma política SSL fraca ou usa a política SSL predefinida com uma versão TLS inferior a 1.2. Google Cloud

Os balanceadores de carga de proxy HTTPS e SSL usam políticas SSL para determinar o protocolo e os conjuntos de cifras usados nas ligações TLS estabelecidas entre os utilizadores e a Internet. Estas ligações encriptam dados confidenciais para impedir que intrusos maliciosos acedam aos mesmos. Uma política de SSL fraca permite que os clientes que usam versões desatualizadas do TLS se liguem com um conjunto de cifras ou um protocolo menos seguro. Para ver uma lista de conjuntos de cifras recomendados e desatualizados, visite a página de parâmetros TLS da iana.org.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

Os passos de remediação para esta descoberta diferem consoante esta descoberta tenha sido acionada pela utilização de uma política de SSL Google Cloud predefinida ou uma política de SSL que permita um conjunto de cifras fraco ou uma versão mínima do TLS inferior a 1.2. Siga o procedimento abaixo correspondente ao acionador da descoberta.

Remediação da política de SSL Google Cloud predefinida

1. Aceda à página Proxies de destino na Google Cloud consola.

   Aceda a Proxies de destino

2. Encontre o proxy de destino indicado na descoberta e tome nota das regras de encaminhamento na coluna Em utilização por.

3. Para criar uma nova política SSL, consulte o artigo Usar políticas SSL. A política deve ter uma versão mínima do TLS de 1.2 e um perfil moderno ou restrito.

4. Para usar um perfil personalizado , certifique-se de que os seguintes conjuntos de cifras estão desativados:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

5. Aplique a política de SSL a cada regra de encaminhamento que anotou anteriormente.

Remediação permitida para conjunto de cifras fraco ou versão de TLS de nível inferior

1. Na Google Cloud consola, aceda à página Políticas de SSL .

   Aceda às políticas de SSL

2. Encontre o equilibrador de carga indicado na coluna Em utilização por.

3. Clique abaixo do nome da política.

4. Clique em edit Editar.

5. Altere a versão mínima do TLS para TLS 1.2 e o perfil para Modern ou Restricted.

6. Para usar um perfil Personalizado, certifique-se de que os seguintes conjuntos de cifras estão desativados:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

7. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Web UI enabled

Nome da categoria na API: WEB_UI_ENABLED

A IU Web do GKE (painel de controlo) está ativada.

As contas de serviço do Kubernetes altamente privilegiadas suportam a interface Web do Kubernetes. Se estiver comprometida, a conta de serviço pode ser usada indevidamente. Se já estiver a usar a consola, a interface Web do Kubernetes expande desnecessariamente a sua superfície de ataque. Google Cloud Saiba como desativar a interface Web do Kubernetes.

Para corrigir esta descoberta, desative a interface Web do Kubernetes:

1. Aceda à página Clusters do Kubernetes na Google Cloud consola.

   Aceda aos clusters do Kubernetes

2. Clique no nome do cluster apresentado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição pode estar desativado. Se não conseguir editar as definições do cluster, aguarde alguns minutos e tente novamente.

4. Clique em Suplementos. A secção é expandida para apresentar os suplementos disponíveis.

5. Na lista pendente Painel de controlo do Kubernetes, selecione Desativado.

6. Clique em Guardar.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Workload Identity disabled

Nome da categoria na API: WORKLOAD_IDENTITY_DISABLED

O Workload Identity está desativado num cluster do GKE.

A Workload Identity é a forma recomendada de aceder aos Google Cloud serviços a partir do GKE, uma vez que oferece propriedades de segurança e capacidade de gestão melhoradas. A ativação desta opção protege alguns metadados do sistema potencialmente confidenciais de cargas de trabalho do utilizador em execução no seu cluster. Saiba mais sobre a ocultação de metadados.

Para corrigir esta descoberta, siga o guia para ativar a identidade de workload num cluster.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Corrija as configurações incorretas do AWS

AWS Cloud Shell Full Access Restricted

Nome da categoria na API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

O AWS CloudShell é uma forma conveniente de executar comandos da CLI em relação aos serviços AWS. Uma política de IAM gerida ("AWSCloudShellFullAccess") fornece acesso total ao CloudShell, o que permite a capacidade de carregamento e transferência de ficheiros entre o sistema local de um utilizador e o ambiente do CloudShell. No ambiente do Cloud Shell, um utilizador tem autorizações sudo e pode aceder à Internet. Por isso, é possível instalar software de transferência de ficheiros (por exemplo) e mover dados do Cloud Shell para servidores de Internet externos.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Access Keys Rotated Every 90 Days or Less

Nome da categoria na API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

As chaves de acesso consistem num ID da chave de acesso e numa chave de acesso secreta, que são usados para assinar pedidos programáticos que faz à AWS. Os utilizadores da AWS precisam das suas próprias chaves de acesso para fazer chamadas programáticas para a AWS a partir da interface de linhas de comando da AWS (CLI da AWS), das ferramentas para o Windows PowerShell, dos SDKs da AWS ou de chamadas HTTP diretas através das APIs para serviços individuais da AWS. Recomendamos que todas as chaves de acesso sejam alteradas regularmente.

aws iam create-access-key

aws iam get-access-key-last-used

aws iam update-access-key

aws iam delete-access-key

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nome da categoria na API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Para ativar as ligações HTTPS ao seu Website ou aplicação na AWS, precisa de um certificado de servidor SSL/TLS. Pode usar o ACM ou o IAM para armazenar e implementar certificados de servidor.
Use o IAM como gestor de certificados apenas quando tiver de suportar ligações HTTPS numa região que não seja suportada pelo ACM. O IAM encripta de forma segura as suas chaves privadas e armazena a versão encriptada no armazenamento de certificados SSL do IAM. O IAM suporta a implementação de certificados de servidor em todas as regiões, mas tem de obter o certificado de um fornecedor externo para utilização com a AWS. Não pode carregar um certificado da ACM para o IAM. Além disso, não pode gerir os seus certificados a partir da consola do IAM.

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Autoscaling Group Elb Healthcheck Required

Nome da categoria na API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Esta verificação determina se os seus grupos de dimensionamento automático associados a um equilibrador de carga estão a usar verificações de estado do Elastic Load Balancing.

Isto garante que o grupo pode determinar o estado de funcionamento de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. A utilização de verificações de estado de funcionamento do Elastic Load Balancing pode ajudar a suportar a disponibilidade de aplicações que usam grupos de escalamento automático do EC2.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nome da categoria na API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Certifique-se de que as instâncias da base de dados do RDS têm a flag de atualização automática da versão secundária ativada para receber atualizações automáticas do motor durante o período de manutenção especificado. Assim, as instâncias do RDS podem receber as novas funcionalidades, as correções de erros e os patches de segurança para os respetivos motores de base de dados.

aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'

aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately

aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Aws Config Enabled All Regions

Nome da categoria na API: AWS_CONFIG_ENABLED_ALL_REGIONS

O AWS Config é um serviço Web que realiza a gestão da configuração dos recursos da AWS suportados na sua conta e envia-lhe ficheiros de registo. As informações registadas incluem o item de configuração (recurso da AWS), as relações entre itens de configuração (recursos da AWS) e quaisquer alterações de configuração entre recursos. Recomendamos que o AWS Config esteja ativado em todas as regiões.

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true

{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

aws configservice start-configuration-recorder --configuration-recorder-name default

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Aws Security Hub Enabled

Nome da categoria na API: AWS_SECURITY_HUB_ENABLED

O Security Hub recolhe dados de segurança de todas as contas, serviços e produtos de parceiros de terceiros suportados da AWS, e ajuda a analisar as tendências de segurança e a identificar os problemas de segurança de maior prioridade. Quando ativa o Security Hub, este começa a consumir, agregar, organizar e priorizar as conclusões dos serviços AWS que ativou, como o Amazon GuardDuty, o Amazon Inspector e o Amazon Macie. Também pode ativar integrações com produtos de segurança de parceiros da AWS.

aws securityhub enable-security-hub --enable-default-standards

aws securityhub enable-security-hub --no-enable-default-standards

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nome da categoria na API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

O AWS CloudTrail é um serviço Web que regista chamadas de API AWS para uma conta e disponibiliza esses registos aos utilizadores e recursos de acordo com as políticas de IAM. O AWS Key Management Service (KMS) é um serviço gerido que ajuda a criar e controlar as chaves de encriptação usadas para encriptar os dados da conta e usa módulos de segurança de hardware (HSMs) para proteger a segurança das chaves de encriptação. Os registos do CloudTrail podem ser configurados para tirar partido da encriptação do lado do servidor (SSE) e das chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registos do CloudTrail. Recomendamos que o CloudTrail seja configurado para usar o SSE-KMS.

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloudtrail Log File Validation Enabled

Nome da categoria na API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

A validação de ficheiros de registo do CloudTrail cria um ficheiro de resumo assinado digitalmente que contém um hash de cada registo que o CloudTrail escreve no S3. Estes ficheiros de resumo podem ser usados para determinar se um ficheiro de registo foi alterado, eliminado ou permaneceu inalterado depois de o CloudTrail ter entregue o registo. Recomendamos que a validação de ficheiros seja ativada em todos os CloudTrails.

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloudtrail Trails Integrated Cloudwatch Logs

Nome da categoria na API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

O AWS CloudTrail é um serviço Web que regista chamadas de API AWS feitas numa determinada conta AWS. As informações registadas incluem a identidade do autor da chamada da API, a hora da chamada da API, o endereço IP de origem do autor da chamada da API, os parâmetros do pedido e os elementos de resposta devolvidos pelo serviço AWS. O CloudTrail usa o Amazon S3 para o armazenamento e a entrega de ficheiros de registo, pelo que os ficheiros de registo são armazenados de forma duradoura. Além de capturar registos do CloudTrail num contentor do S3 especificado para análise a longo prazo, pode configurar o CloudTrail para enviar registos para os registos do CloudWatch e realizar uma análise em tempo real. Para uma trilha ativada em todas as regiões numa conta, o CloudTrail envia ficheiros de registo de todas essas regiões para um grupo de registos do CloudWatch Logs. Recomendamos que os registos do CloudTrail sejam enviados para os registos do CloudWatch.

Nota: o objetivo desta recomendação é garantir que a atividade da conta da AWS está a ser captada, monitorizada e que são gerados alertas adequados. O CloudWatch Logs é uma forma nativa de o fazer através dos serviços da AWS, mas não impede a utilização de uma solução alternativa.

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloudwatch Alarm Action Check

Nome da categoria na API: CLOUDWATCH_ALARM_ACTION_CHECK

Esta verificação determina se o Amazon Cloudwatch tem ações definidas quando um alarme transita entre os estados "OK", "ALARM" e "INSUFFICIENT_DATA".

A configuração de ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando as métricas monitorizadas excedem os limites.
Garante uma resolução rápida dos problemas, reduz o tempo de inatividade e permite a correção automática, mantendo o bom funcionamento do sistema e evitando interrupções.

Os alarmes têm, pelo menos, uma ação.
Os alertas têm, pelo menos, uma ação quando a transição do alerta para o estado "INSUFFICIENT_DATA" ocorre a partir de qualquer outro estado.
(Opcional) Os alarmes têm, pelo menos, uma ação quando a transição do alarme é para um estado "OK" a partir de qualquer outro estado.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Cloudwatch Log Group Encrypted

Nome da categoria na API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Esta verificação garante que os registos do CloudWatch estão configurados com o KMS.

Os dados do grupo de registos são sempre encriptados nos registos do CloudWatch. Por predefinição, o CloudWatch Logs usa a encriptação do lado do servidor para os dados de registo em repouso. Em alternativa, pode usar o AWS Key Management Service para esta encriptação. Se o fizer, a encriptação é feita através de uma chave do AWS KMS. A encriptação com o AWS KMS é ativada ao nível do grupo de registos, associando uma chave do KMS a um grupo de registos, quer quando cria o grupo de registos, quer depois de este existir.

Para mais informações, consulte o artigo Encriptar dados de registo nos registos do CloudWatch com o serviço de gestão de chaves da AWS no guia do utilizador do Amazon CloudWatch.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

CloudTrail CloudWatch Logs Enabled

Nome da categoria na API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Este controlo verifica se os rastos do CloudTrail estão configurados para enviar registos para o CloudWatch Logs. O controlo falha se a propriedade CloudWatchLogsLogGroupArn da trilha estiver vazia.

O CloudTrail regista as chamadas API da AWS feitas numa determinada conta. As informações registadas incluem o seguinte:

• A identidade do autor da chamada API
• A hora da chamada API
• O endereço IP de origem do autor da chamada da API
• Os parâmetros do pedido
• Os elementos de resposta devolvidos pelo serviço AWS

O CloudTrail usa o Amazon S3 para o armazenamento e a entrega de ficheiros de registo. Pode capturar registos do CloudTrail num contentor do S3 especificado para análise a longo prazo. Para realizar a análise em tempo real, pode configurar o CloudTrail para enviar registos para o CloudWatch Logs.

Para uma trilha ativada em todas as regiões numa conta, o CloudTrail envia ficheiros de registo de todas essas regiões para um grupo de registos do CloudWatch Logs.

O Security Hub recomenda que envie registos do CloudTrail para os registos do CloudWatch. Tenha em atenção que esta recomendação se destina a garantir que a atividade da conta é captada, monitorizada e que são gerados alertas adequados. Pode usar os registos do CloudWatch para configurar esta opção com os seus serviços AWS. Esta recomendação não impede a utilização de uma solução diferente.

O envio de registos do CloudTrail para os registos do CloudWatch facilita o registo de atividade em tempo real e histórico com base no utilizador, na API, no recurso e no endereço IP. Pode usar esta abordagem para estabelecer alarmes e notificações para atividade anómala ou sensível da conta.

Para integrar o CloudTrail com os registos do CloudWatch, consulte o artigo Enviar eventos para os registos do CloudWatch no manual do utilizador do AWS CloudTrail.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

No AWS Credentials in CodeBuild Project Environment Variables

Nome da categoria na API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Esta verificação determina se o projeto contém as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

As credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY nunca devem ser armazenadas em texto simples, uma vez que tal pode levar à exposição não intencional de dados e ao acesso não autorizado.

Para remover variáveis de ambiente de um projeto do CodeBuild, consulte o artigo Alterar as definições de um projeto de compilação no AWS CodeBuild no guia do utilizador do AWS CodeBuild. Certifique-se de que não tem nada selecionado para as variáveis de ambiente.

Pode armazenar variáveis de ambiente com valores confidenciais no AWS Systems Manager Parameter Store ou no AWS Secrets Manager e, em seguida, recuperá-los da especificação de compilação. Para obter instruções, consulte a caixa com a etiqueta Importante na secção Ambiente no guia do utilizador do AWS CodeBuild.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Codebuild Project Source Repo Url Check

Nome da categoria na API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Esta verificação determina se um URL do repositório de origem do Bitbucket de um projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de utilizador e uma palavra-passe. O controlo falha se o URL do repositório de origem do Bitbucket contiver tokens de acesso pessoal ou um nome de utilizador e uma palavra-passe.

As credenciais de início de sessão não devem ser armazenadas nem transmitidas em texto simples, nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoal ou credenciais de início de sessão, deve aceder ao seu fornecedor de origem no CodeBuild e alterar o URL do repositório de origem para conter apenas o caminho para a localização do repositório do Bitbucket. A utilização de tokens de acesso pessoal ou credenciais de início de sessão pode resultar na exposição não intencional de dados ou no acesso não autorizado.

Pode atualizar o seu projeto do CodeBuild para usar o OAuth.

Para remover a autenticação básica/a chave de acesso pessoal (GitHub) da origem do projeto do CodeBuild

1. Abra a consola do CodeBuild em https://console.aws.amazon.com/codebuild/.
2. Escolha o projeto de compilação que contém tokens de acesso pessoal ou um nome de utilizador e uma palavra-passe.
3. Em Editar, escolha Origem.
4. Escolha Desligar do GitHub / Bitbucket.
5. Escolha Associar através do OAuth e, de seguida, escolha Associar ao GitHub / Bitbucket.
6. Quando lhe for pedido, escolha autorizar, conforme adequado.
7. Reconfigure o URL do repositório e as definições de configuração adicionais, conforme necessário.
8. Escolha Atualizar origem.

Para mais informações, consulte os exemplos baseados em exemplos de utilização do CodeBuild no guia do utilizador do AWS CodeBuild.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Credentials Unused 45 Days Greater Disabled

Nome da categoria na API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Os utilizadores do IAM da AWS podem aceder aos recursos da AWS através de diferentes tipos de credenciais, como palavras-passe ou chaves de acesso. Recomendamos que todas as credenciais que não tenham sido usadas durante 45 ou mais dias sejam desativadas ou removidas.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Default Security Group Vpc Restricts All Traffic

Nome da categoria na API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Uma VPC inclui um grupo de segurança predefinido cujas definições iniciais negam todo o tráfego de entrada, permitem todo o tráfego de saída e permitem todo o tráfego entre instâncias atribuídas ao grupo de segurança. Se não especificar um grupo de segurança quando inicia uma instância, esta é automaticamente atribuída a este grupo de segurança predefinido. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. Recomendamos que o grupo de segurança predefinido restrinja todo o tráfego.

A VPC predefinida em todas as regiões deve ter o respetivo grupo de segurança predefinido atualizado para estar em conformidade. Todas as VPCs criadas recentemente contêm automaticamente um grupo de segurança predefinido que requer correção para estar em conformidade com esta recomendação.

NOTA: quando implementar esta recomendação, o registo de fluxo de VPC é inestimável para determinar o acesso à porta com privilégios mínimos exigido pelos sistemas para funcionar corretamente, uma vez que pode registar todas as aceitações e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isto reduz drasticamente a principal barreira à engenharia de privilégios mínimos: descobrir as portas mínimas necessárias pelos sistemas no ambiente. Mesmo que a recomendação de registo de fluxo da VPC nesta referência não seja adotada como uma medida de segurança permanente, deve ser usada durante qualquer período de deteção e engenharia para grupos de segurança com privilégios mínimos.

Membros do grupo de segurança

Faça o seguinte para implementar o estado prescrito:

1. Identificar os recursos da AWS que existem no grupo de segurança predefinido
2. Crie um conjunto de grupos de segurança com privilégios mínimos para esses recursos
3. Coloque os recursos nesses grupos de segurança
4. Remova os recursos indicados no passo 1 do grupo de segurança predefinido

Estado do grupo de segurança

1. Inicie sessão na AWS Management Console em https://console.aws.amazon.com/vpc/home
2. Repita os passos seguintes para todas as VPCs, incluindo a VPC predefinida em cada região da AWS:
3. No painel esquerdo, clique em Security Groups
4. Para cada grupo de segurança predefinido, faça o seguinte:
5. Selecione o grupo de segurança default
6. Clique no separador Inbound Rules
7. Remova todas as regras de entrada
8. Clique no separador Outbound Rules
9. Remova todas as regras de saída

Recomendado:

Os grupos do IAM permitem-lhe editar o campo "nome". Depois de corrigir as regras de grupos predefinidos para todas as VPCs em todas as regiões, edite este campo para adicionar texto semelhante a "NÃO USAR. DO NOT ADD RULES"

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dms Replication Not Public

Nome da categoria na API: DMS_REPLICATION_NOT_PUBLIC

Verifica se as instâncias de replicação do AWS DMS são públicas. Para tal, examina o valor do campo PubliclyAccessible.

Uma instância de replicação privada tem um endereço IP privado ao qual não pode aceder fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando as bases de dados de origem e de destino estão na mesma rede. A rede também tem de estar ligada à VPC da instância de replicação através de uma VPN, do AWS Direct Connect ou do peering de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte o artigo Instâncias de replicação públicas e privadas no guia do utilizador do AWS Database Migration Service.

Também deve garantir que o acesso à configuração da instância do AWS DMS está limitado apenas a utilizadores autorizados. Para tal, restrinja as autorizações de IAM dos utilizadores para modificar as definições e os recursos do AWS DMS.

Não é possível alterar a definição de acesso público de uma instância de replicação do DMS depois de a criar. Para alterar a definição de acesso público, elimine a instância atual e, em seguida, recrie-a. Não selecione a opção Acessível publicamente.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nome da categoria na API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Por predefinição, a consola da AWS não tem caixas de verificação selecionadas quando cria um novo utilizador do IAM. Ao criar as credenciais de utilizador do IAM, tem de determinar o tipo de acesso de que precisam.

Acesso programático: o utilizador do IAM pode ter de fazer chamadas de API, usar a CLI da AWS ou usar as ferramentas para o Windows PowerShell. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse utilizador.

Acesso à AWS Management Console: se o utilizador precisar de aceder à AWS Management Console, crie uma palavra-passe para o utilizador.

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dynamodb Autoscaling Enabled

Nome da categoria na API: DYNAMODB_AUTOSCALING_ENABLED

Esta verificação determina se uma tabela do Amazon DynamoDB consegue dimensionar a respetiva capacidade de leitura e escrita conforme necessário. Este controlo é aprovado se a tabela usar o modo de capacidade a pedido ou o modo aprovisionado com o dimensionamento automático configurado. Aumentar a capacidade com a procura evita exceções de limitação de pedidos, o que ajuda a manter a disponibilidade das suas aplicações.

As tabelas do DynamoDB no modo de capacidade a pedido só estão limitadas pelas quotas de tabelas predefinidas de débito do DynamoDB. Para aumentar estas quotas, pode registar um pedido de apoio técnico através do apoio técnico da AWS.

As tabelas do DynamoDB no modo aprovisionado com o dimensionamento automático ajustam a capacidade de débito aprovisionada dinamicamente em resposta aos padrões de tráfego. Para mais informações sobre a limitação de pedidos do DynamoDB, consulte o artigo Limitação de pedidos e capacidade de picos no guia para programadores do Amazon DynamoDB.

Para obter instruções detalhadas sobre como ativar o dimensionamento automático do DynamoDB em tabelas existentes no modo de capacidade, consulte o artigo Ativar o dimensionamento automático do DynamoDB em tabelas existentes no guia do programador do Amazon DynamoDB.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dynamodb In Backup Plan

Nome da categoria na API: DYNAMODB_IN_BACKUP_PLAN

Este controlo avalia se uma tabela do DynamoDB está abrangida por um plano de cópia de segurança. O controlo falha se uma tabela do DynamoDB não estiver abrangida por um plano de cópia de segurança. Este controlo apenas avalia tabelas do DynamoDB que estão no estado ACTIVE.

As cópias de segurança ajudam a recuperar mais rapidamente de um incidente de segurança. Também reforçam a resiliência dos seus sistemas. A inclusão de tabelas do DynamoDB num plano de cópia de segurança ajuda a proteger os seus dados contra perdas ou eliminações não intencionais.

Para adicionar uma tabela do DynamoDB a um plano de cópia de segurança do AWS Backup, consulte o artigo Atribuir recursos a um plano de cópia de segurança no guia para programadores do AWS Backup.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dynamodb Pitr Enabled

Nome da categoria na API: DYNAMODB_PITR_ENABLED

A recuperação pontual (PITR) é um dos mecanismos disponíveis para fazer uma cópia de segurança de tabelas do DynamoDB.

Uma cópia de segurança num determinado momento é mantida durante 35 dias. Caso a sua necessidade seja uma retenção mais longa, consulte o artigo Configure cópias de segurança agendadas para o Amazon DynamoDB com o AWS Backup na documentação da AWS.

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Dynamodb Table Encrypted Kms

Nome da categoria na API: DYNAMODB_TABLE_ENCRYPTED_KMS

Verifica se todas as tabelas do DynamoDB estão encriptadas com uma chave do KMS gerida pelo cliente (não predefinida).

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Ebs Optimized Instance

Nome da categoria na API: EBS_OPTIMIZED_INSTANCE

Verifica se a otimização do EBS está ativada para as suas instâncias do EC2 que podem ser otimizadas para o EBS

Para configurar as definições de instâncias otimizadas para EBS, consulte o artigo Instâncias otimizadas para Amazon EBS no guia do utilizador do Amazon EC2.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Ebs Snapshot Public Restorable Check

Nome da categoria na API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Verifica se as imagens instantâneas do Amazon Elastic Block Store não são públicas. O controlo falha se as cópias instantâneas do Amazon EBS puderem ser restauradas por qualquer pessoa.

Os instantâneos do EBS são usados para fazer uma cópia de segurança dos dados nos seus volumes do EBS para o Amazon S3 num momento específico. Pode usar os resumos para restaurar estados anteriores dos volumes EBS. Raramente é aceitável partilhar uma captura de ecrã com o público. Normalmente, a decisão de partilhar uma captura de ecrã publicamente foi tomada por engano ou sem uma compreensão completa das implicações. Esta verificação ajuda a garantir que toda a partilha foi totalmente planeada e intencional.

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Ebs Volume Encryption Enabled All Regions

Nome da categoria na API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

O Elastic Compute Cloud (EC2) suporta a encriptação em repouso quando usa o serviço Elastic Block Store (EBS). Embora esteja desativada por predefinição, a imposição da encriptação na criação de volumes do EBS é suportada.

aws --region <region> ec2 enable-ebs-encryption-by-default

read_more Saiba mais sobre os recursos suportados e as definições de análise deste tipo de descoberta.

Ec2 Instances In Vpc

Nome da categoria na API: EC2_INSTANCES_IN_VPC

A Amazon VPC oferece mais funcionalidades de segurança do que o EC2 Classic. Recomendamos que todos os nós pertençam a uma Amazon VPC.

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }