Messaggio di risposta per SecurityCenterManagement.SimulateSecurityHealthAnalyticsCustomModule.
| Rappresentazione JSON |
|---|
{
"result": {
object ( |
| Campi | |
|---|---|
result |
Risultato dello scenario di test nella richiesta corrispondente. |
SimulatedResult
Possibile risultato del test.
| Rappresentazione JSON |
|---|
{ // Union field |
| Campi | |
|---|---|
Campo unione result. Il risultato della simulazione. result può essere solo uno dei seguenti: |
|
finding |
Risultato che verrebbe pubblicato per lo scenario di test se viene rilevata una violazione. |
no |
Indica che lo scenario di test non attiva alcuna violazione. |
error |
Si è verificato un errore durante il test. |
SimulatedFinding
L'insieme minimo di campi necessari per rappresentare un rilevamento simulato da un modulo personalizzato di Security Health Analytics.
| Rappresentazione JSON |
|---|
{ "name": string, "parent": string, "resourceName": string, "category": string, "state": enum ( |
| Campi | |
|---|---|
name |
Identificatore. Il nome della risorsa relativa del rilevamento, in uno dei seguenti formati:
|
parent |
Il nome della risorsa relativa dell'origine a cui appartiene il rilevamento. Ad esempio, |
resource |
Per i risultati relativi alle risorse Google Cloud, il nome completo della risorsa della risorsa Google Cloud a cui si riferisce il risultato. Quando il risultato riguarda una risorsa non Google Cloud, il valore può essere una stringa definita dal cliente o dal partner. Questo campo è immutabile dopo la data e l'ora di creazione. |
category |
Il gruppo tassonomico aggiuntivo all'interno dei risultati di una determinata origine. Ad esempio, |
state |
Solo output. Lo stato del risultato. |
source |
Proprietà specifiche dell'origine. Queste proprietà sono gestite dalla sorgente che scrive il rilevamento. I nomi delle chiavi devono essere compresi tra 1 e 255 caratteri; devono iniziare con una lettera e contenere solo caratteri alfanumerici o trattini bassi. Un oggetto contenente un elenco di coppie |
event |
Data/ora in cui il risultato è stato rilevato per la prima volta. Se un risultato esistente viene aggiornato, questa è la data/ora in cui si è verificato l'aggiornamento. Se il problema viene risolto in un secondo momento, questa data e ora riflettono il momento in cui è stato risolto. Ad esempio, se il risultato rappresenta un firewall aperto, questa proprietà acquisisce il momento in cui il rilevatore ritiene che il firewall sia diventato aperto. La precisione è determinata dal rilevatore. L'ora dell'evento non deve essere impostata su un valore maggiore del timestamp corrente. Un timestamp in formato "Zulu" UTC RFC3339, con risoluzione a livello di nanosecondo e fino a nove cifre frazionarie. Esempi: |
severity |
La gravità del risultato. Questo campo è gestito dalla sorgente che scrive il rilevamento. |
finding |
La classe del rilevamento. |
Stato
Lo stato del risultato.
| Enum | |
|---|---|
STATE_UNSPECIFIED |
Valore predefinito. Questo valore non è utilizzato. |
ACTIVE |
Il risultato richiede attenzione e non è stato ancora risolto. |
INACTIVE |
Il problema è stato risolto, classificato come non problematico o risolto in altro modo e non è più attivo. |
Gravità
La gravità del risultato.
| Enum | |
|---|---|
SEVERITY_UNSPECIFIED |
Valore predefinito. Questo valore non è utilizzato. |
CRITICAL |
Per le vulnerabilità: una vulnerabilità critica è facilmente rilevabile da un attore esterno, è sfruttabile e consente di eseguire direttamente codice arbitrario, esfiltrare dati e ottenere in altro modo privilegi e accesso aggiuntivi a risorse e carichi di lavoro cloud. Alcuni esempi sono i dati utente non protetti accessibili al pubblico e l'accesso SSH pubblico con password deboli o assenti. Per le minacce: indica una minaccia in grado di accedere, modificare o eliminare dati o eseguire codice non autorizzato all'interno di risorse esistenti. |
HIGH |
Per le vulnerabilità: una vulnerabilità ad alto rischio può essere facilmente scoperta e sfruttata in combinazione con altre vulnerabilità per ottenere l'accesso diretto e la possibilità di eseguire codice arbitrario, esfiltrare dati e ottenere in altro modo privilegi e accessi aggiuntivi a risorse e carichi di lavoro cloud. Un esempio è un database con password deboli o nessuna password accessibile solo internamente. Questo database potrebbe essere facilmente compromesso da un utente che ha accesso alla rete interna. Per le minacce: indica una minaccia in grado di creare nuove risorse di calcolo in un ambiente, ma non di accedere ai dati o di eseguire codice nelle risorse esistenti. |
MEDIUM |
Per le vulnerabilità: una vulnerabilità a rischio medio potrebbe essere utilizzata da un utente per ottenere l'accesso a risorse o privilegi che gli consentano di ottenere eventualmente (tramite più passaggi o uno exploit complesso) l'accesso e la possibilità di eseguire codice arbitrario o esfiltrare dati. Un esempio è un account di servizio con accesso a più progetti di quanto dovrebbe. Se un attore ottiene l'accesso all'account di servizio, potrebbe potenzialmente utilizzarlo per manipolare un progetto per cui l'account di servizio non era destinato. Per le minacce: indica una minaccia in grado di causare un impatto operativo, ma che potrebbe non accedere ai dati o eseguire codice non autorizzato. |
LOW |
Per le vulnerabilità: una vulnerabilità a basso rischio ostacola la capacità di un'organizzazione di sicurezza di rilevare vulnerabilità o minacce attive nel proprio deployment o impedisce l'indagine sulla causa principale dei problemi di sicurezza. Un esempio è il monitoraggio e i log disattivati per le configurazioni e l'accesso alle risorse. Per le minacce: indica una minaccia che ha ottenuto l'accesso minimo a un ambiente, ma non è in grado di accedere ai dati, eseguire codice o creare risorse. |
FindingClass
Rappresenta il tipo di rilevamento.
| Enum | |
|---|---|
FINDING_CLASS_UNSPECIFIED |
Valore predefinito. Questo valore non è utilizzato. |
THREAT |
Descrive attività indesiderate o dannose. |
VULNERABILITY |
Descrive una potenziale debolezza del software che aumenta il rischio per la riservatezza, l'integrità e la disponibilità. |
MISCONFIGURATION |
Descrive un potenziale punto debole nella configurazione delle risorse o delle risorse cloud che aumenta il rischio. |
OBSERVATION |
Descrive un'osservazione sulla sicurezza a scopo informativo. |
SCC_ERROR |
Descrive un errore che impedisce il corretto funzionamento di Security Command Center. |
POSTURE_VIOLATION |
Descrive un potenziale rischio per la sicurezza dovuto a una modifica della security posture. |
TOXIC_COMBINATION |
Descrive una combinazione di problemi di sicurezza che, considerati nel loro insieme, rappresentano un problema di sicurezza più grave. |
Stato
Il tipo Status definisce un modello di errore logico adatto a diversi ambienti di programmazione, tra cui API REST e API RPC. Viene utilizzato da gRPC. Ogni messaggio Status contiene tre dati: codice di errore, messaggio di errore e dettagli dell'errore.
Per scoprire di più su questo modello di errore e su come utilizzarlo, consulta la guida alla progettazione delle API.
| Rappresentazione JSON |
|---|
{ "code": integer, "message": string, "details": [ { "@type": string, field1: ..., ... } ] } |
| Campi | |
|---|---|
code |
Il codice di stato, che deve essere un valore enum di |
message |
Un messaggio di errore rivolto agli sviluppatori, che deve essere in inglese. Qualsiasi messaggio di errore rivolto agli utenti deve essere localizzato e inviato nel campo |
details[] |
Un elenco di messaggi che contengono i dettagli dell'errore. Esiste un insieme comune di tipi di messaggi da utilizzare per le API. Un oggetto contenente campi di tipo arbitrario. Un campo aggiuntivo |