本页介绍了美国国家标准与技术研究院 (NIST) SP 800-53 标准的预定义态势模板 v1.0 版本中包含的检测政策。此模板包含一个政策集,用于定义适用于必须符合 NIST SP 800-53 标准的工作负载的 Security Health Analytics 检测器。
您可以直接部署此状态模板,无需进行任何更改。
Security Health Analytics 检测器
下表介绍了 安全状况模板。
检测器名称 | 说明 |
---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
此检测器会检查是否未配置 BigQuery 表 使用客户管理的加密密钥 (CMEK)。如需了解详情,请参阅 数据集 漏洞发现结果。 |
PUBLIC_DATASET |
此检测器会检查数据集是否配置为对 公开访问权限。如需了解详情,请参阅 数据集 漏洞发现结果。 |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
此检测器会检查 Cloud SQL for SQL Server 中的 |
INSTANCE_OS_LOGIN_DISABLED |
此检测器会检查 OS Login 是否未开启。 |
SQL_SKIP_SHOW_DATABASE_DISABLED |
此检测器会检查 Cloud SQL for MySQL 中的 |
SQL_EXTERNAL_SCRIPTS_ENABLED |
此检测器会检查 Cloud SQL for SQL Server 中的 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
此检测器会检查 VPC 流日志是否未开启。 |
API_KEY_EXISTS |
此检测器用于检查项目是否使用 API 密钥,而不是标准身份验证。 |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
COMPUTE_SERIAL_PORTS_ENABLED |
此检测器会检查串行端口是否已启用。 |
SQL_LOG_DISCONNECTIONS_DISABLED |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
此检测器会检查是否使用了项目级 SSH 密钥。 |
KMS_PROJECT_HAS_OWNER |
此检测器会检查用户对包含密钥的项目是否具有 Owner 权限。 |
KMS_KEY_NOT_ROTATED |
此检测器会检查是否未开启 Cloud Key Management Service 加密轮替。 |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
此检测器会检查您是否至少有一位重要联系人。 |
AUDIT_LOGGING_DISABLED |
此检测器会检查是否已为资源停用审核日志记录。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否为日志设置了已锁定的保留政策。 |
DNS_LOGGING_DISABLED |
此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。 |
LOG_NOT_EXPORTED |
此检测器会检查资源是否未配置日志接收器。 |
KMS_ROLE_SEPARATION |
此检测器会检查 Cloud KMS 密钥的职责分离情况。 |
DISK_CSEK_DISABLED |
此检测器会检查虚拟机是否停用了客户提供的加密密钥 (CSEK) 支持。 |
SQL_USER_CONNECTIONS_CONFIGURED |
此检测器会检查是否已配置 Cloud SQL for SQL Server 中的 |
API_KEY_APIS_UNRESTRICTED |
此检测器会检查 API 密钥的使用是否过于宽泛。 |
SQL_LOG_MIN_MESSAGES |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
SQL_LOCAL_INFILE |
此检测器会检查 Cloud SQL for MySQL 中的 |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
DATASET_CMEK_DISABLED |
此检测器会检查是否为 BigQuery 数据集停用了 CMEK 支持。 |
OPEN_SSH_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SSH 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
FIREWALL_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。 |
SQL_LOG_STATEMENT |
此检测器会检查 Cloud SQL for PostgreSQL Server 中的 |
SQL_PUBLIC_IP |
此检测器会检查 Cloud SQL 数据库是否具有外部 IP 地址。 |
IP_FORWARDING_ENABLED |
此检测器会检查 IP 转发是否已开启。 |
DATAPROC_CMEK_DISABLED |
此检测器会检查是否对 Dataproc 集群停用了 CMEK 支持。 |
CONFIDENTIAL_COMPUTING_DISABLED |
此检测器会检查机密计算是否已关闭。 |
KMS_PUBLIC_KEY |
此检测器用于检查 Cloud Key Management Service 加密密钥是否可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果。 |
SQL_INSTANCE_NOT_MONITORED |
此检测器会检查是否已针对 Cloud SQL 配置更改关闭日志记录。 |
SQL_TRACE_FLAG_3625 |
此检测器会检查 Cloud SQL for SQL Server 中的 |
DEFAULT_NETWORK |
此检测器会检查项目中是否存在默认网络。 |
DNSSEC_DISABLED |
此检测器会检查 Cloud DNS 是否已停用 DNS 安全 (DNSSEC)。如需了解详情,请参阅 DNS 漏洞发现结果。 |
API_KEY_NOT_ROTATED |
此检测器会检查 API 密钥在过去 90 天内是否发生了轮替。 |
SQL_LOG_CONNECTIONS_DISABLED |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
LEGACY_NETWORK |
此检测器会检查项目中是否存在旧版网络。 |
IAM_ROOT_ACCESS_KEY_CHECK |
此检测器会检查 IAM 根访问密钥是否可访问。 |
PUBLIC_IP_ADDRESS |
此检测器会检查实例是否具有外部 IP 地址。 |
OPEN_RDP_PORT |
此检测器会检查防火墙是否有开放的 RDP 端口。 |
INSTANCE_OS_LOGIN_DISABLED |
此检测器会检查 OS Login 是否未开启。 |
ADMIN_SERVICE_ACCOUNT |
此检测器用于检查服务账号是否具有 Admin、Owner 或 Editor 权限。 |
SQL_USER_OPTIONS_CONFIGURED |
此检测器会检查 Cloud SQL for SQL Server 中的 |
FULL_API_ACCESS |
此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。 |
DEFAULT_SERVICE_ACCOUNT_USED |
此检测器会检查是否正在使用默认服务账号。 |
NETWORK_NOT_MONITORED |
此检测器会检查日志指标和提醒是否未配置为监控 VPC 网络更改。 |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
此检测器会检查 Cloud SQL for SQL Server 中的 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
LOAD_BALANCER_LOGGING_DISABLED |
此检测器会检查是否已为负载均衡器关闭日志记录。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
此检测器会检查用户是否在项目级(而不是特定服务账号)拥有服务账号角色。 |
SQL_REMOTE_ACCESS_ENABLED |
此检测器会检查 Cloud SQL for SQL Server 中的 |
CUSTOM_ROLE_NOT_MONITORED |
此检测器会检查是否已为自定义角色更改关闭日志记录。 |
AUTO_BACKUP_DISABLED |
此检测器会检查 Cloud SQL 数据库是否未开启自动备份。 |
RSASHA1_FOR_SIGNING |
此检测器用于检查 Cloud DNS 区域中是否使用 RSASHA1 进行密钥签名。 |
CLOUD_ASSET_API_DISABLED |
此检测器会检查 Cloud Asset Inventory 是否已关闭。 |
SQL_LOG_ERROR_VERBOSITY |
此检测器会检查 Cloud SQL for PostgreSQL 中的 |
ROUTE_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。 |
BUCKET_POLICY_ONLY_DISABLED |
此检测器会检查是否配置了统一存储桶级访问权限。 |
BUCKET_IAM_NOT_MONITORED |
此检测器会检查是否已为 Cloud Storage 中的 IAM 权限更改关闭了日志记录。 |
PUBLIC_SQL_INSTANCE |
此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。 |
SERVICE_ACCOUNT_ROLE_SEPARATION |
此检测器会检查服务账号密钥的职责分离。 |
AUDIT_CONFIG_NOT_MONITORED |
此检测器会检查审核配置更改是否被监控。 |
OWNER_NOT_MONITORED |
此检测器会检查是否已为项目所有权分配和更改关闭了日志记录。 |
查看状况模板
如需查看 NIST 800-53 的安全状况模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID
:组织的数字 ID
执行
gcloud scc posture-templates
describe
命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
响应包含状况模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID
:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
如需发送您的请求,请展开以下选项之一:
响应包含状况模板。