Gerenciamento de inventário de sistema operacional

Esta página fornece uma visão geral do gerenciamento de inventário do sistema operacional. Para obter informações sobre como configurar e usar o gerenciamento de inventário do SO, consulte Visualizando detalhes do sistema operacional .

Use o gerenciamento de inventário de SO para coletar e visualizar detalhes do sistema operacional para suas instâncias de máquina virtual (VM). Esses detalhes do sistema operacional incluem informações como nome do host, sistema operacional e versão do kernel. Você também pode obter informações sobre pacotes de sistema operacional instalados, atualizações de pacotes de sistema operacional disponíveis, aplicativos do Windows e vulnerabilidades de sistema operacional.

Quando usar o gerenciamento de inventário do SO

O gerenciamento de inventário do sistema operacional pode ser usado para concluir as seguintes tarefas:

  • Identifique VMs que executam uma versão específica de um sistema operacional
  • Exibir pacotes do sistema operacional instalados em uma VM
  • Gere uma lista de atualizações de pacotes do sistema operacional disponíveis para cada VM
  • Identifique pacotes, atualizações ou patches de sistema operacional ausentes para uma VM
  • Ver relatórios de vulnerabilidade de uma VM

Como funciona o gerenciamento de inventário do sistema operacional

Quando o gerenciamento de inventário do SO está habilitado, o agente de configuração do SO executa uma varredura de inventário para coletar dados e, em seguida, envia essas informações ao servidor de metadados, à API de configuração do SO e a vários fluxos de log. Essa verificação é executada a cada 10 minutos na VM.

Para ativar o gerenciamento de inventário do SO, o VM Manager deve ser configurado na VM. Consulte Configurar o Gerenciador de VM .

Depois de configurar o VM Manager, você poderá consultar os atributos do convidado ou a API OS Config para recuperar informações sobre o sistema operacional que está em execução em uma VM. Consulte Exibir detalhes do sistema operacional .

Como os dados do sistema operacional são coletados

Para VMs Linux, o agente de configuração do sistema operacional é executado na VM e analisa o /etc/os-release ou o arquivo equivalente da distribuição Linux para coletar detalhes do sistema operacional. O agente OS Config também usa gerenciadores de pacotes como apt , yum ou GooGet para coletar informações sobre os pacotes instalados e atualizações disponíveis para a instância.

Para VMs do Windows, o agente de configuração do sistema operacional usa as APIs do sistema Windows para coletar os detalhes das informações do sistema operacional. O agente Windows Update também é usado para localizar as atualizações instaladas e disponíveis.

Onde os dados do sistema operacional são armazenados

Os dados de inventário são armazenados na API OS Config. O conteúdo dos pacotes instalados e atualizações de pacotes é compactado usando gzip para economizar espaço e depois codificado em base64.

Registro

Durante a coleta e o armazenamento de dados, o agente de configuração do SO grava registros de atividades em vários fluxos de registros no Compute Engine. Estes incluem:

  • A porta serial
  • Logs do sistema - log de eventos do Windows e syslog do Linux
  • Fluxos padrão - stdout
  • Logs do Cloud Logging : esses logs só estarão disponíveis se o Cloud Logging estiver ativado na instância de VM.

Informações fornecidas pelo gerenciamento de inventário do sistema operacional

O gerenciamento de inventário de SO pode fornecer as seguintes informações sobre o sistema operacional em execução na sua instância de VM:

  • Nome do host
  • LongName - O nome detalhado do sistema operacional. Por exemplo, Microsoft Windows Server 2016 Datacenter .
  • ShortName - A forma abreviada do nome do sistema operacional. Por exemplo, Windows .
  • Versão do kernel
  • Arquitetura do sistema operacional
  • Versão do sistema operacional
  • Versão do agente de configuração do SO
  • Última atualização – Um carimbo de data/hora da última vez em que o agente verificou o sistema com êxito e atualizou os atributos do convidado com dados do inventário do sistema operacional.

Pacote do sistema operacional instalado e informações do aplicativo

A tabela a seguir resume as informações que o gerenciamento de inventário de SO fornece para pacotes de sistema operacional instalados em VMs Linux e Windows. Ele também descreve as informações disponíveis para aplicativos em execução no Windows.

Sistema operacional Gerenciador de pacotes Campos disponíveis
Servidor Linux e Windows As informações do pacote instalado estão disponíveis nos seguintes gerenciadores de pacotes:
  • RPM para Red Hat Enterprise Linux (RHEL)
  • DEB para Debian e Ubuntu
  • GooGet para Windows Server
 Para cada pacote instalado são fornecidas as seguintes informações:
  • Nome do pacote
  • Arquitetura
  • Versão
Servidor Windows Agente de atualização do Windows Os seguintes campos estão listados para as atualizações do Windows :
  • Título
  • Descrição
  • Categorias
  • IDs de categoria 1
  • KBArticleIDs
  • URL de suporte
  • ID de atualização 1
  • RevisãoNúmero 1
  • LastDeploymentChangeTime
Servidor Windows Atualizações de engenharia de correção rápida do Windows Os campos a seguir estão listados para as atualizações do QuickFixEngineering
  • Rubrica
  • Descrição
  • ID do HotFix
  • Instalado em
Servidor Windows Instalador do Windows 2 Os seguintes campos estão listados para o Windows Installer :
  • Nome de exibição
  • Versão de exibição
  • Editor
  • Data de instalação
  • Link de ajuda

1 Este campo está oculto na saída da linha de comando padrão gcloud compute instances os-inventory describe . Para visualizar este campo você deve visualizar a saída no formato JSON. Para visualizar a saída no formato JSON, anexe --format=JSON ao comando gcloud . Para obter mais informações sobre a formatação de saída, consulte gcloud topic formats .

2 Para visualizar as propriedades do instalador de seus aplicativos Windows, você precisa do agente de configuração do SO versão 20210811 ou posterior. Para visualizar a versão do agente, consulte Exibir versão do agente de configuração do SO .

Informações disponíveis sobre atualização de pacotes do sistema operacional

A tabela a seguir resume as informações de atualização que o gerenciamento de inventário de SO fornece para pacotes de sistema operacional instalados.

Sistema operacional Gerenciador de pacotes Campos disponíveis
Servidor Linux e Windows As informações de atualização de pacotes estão disponíveis nos seguintes gerenciadores de pacotes:
  • Yum para Red Hat Enterprise Linux (RHEL)
  • Apto para Debian e Ubuntu
  • GooGet para Windows Server
 Para cada atualização de pacote disponível, são fornecidas as seguintes informações:
  • Nome do pacote
  • Arquitetura
  • Versão
Servidor Windows Agente de atualização do Windows Os seguintes campos estão listados para as atualizações do Windows :
  • Título
  • Descrição
  • Categorias
  • IDs de categoria 1
  • KBArticleIDs
  • URL de suporte
  • ID de atualização 1
  • RevisãoNúmero 1
  • LastDeploymentChangeTime

1 Este campo está oculto na saída da linha de comando padrão gcloud compute instances os-inventory describe . Para visualizar este campo você deve visualizar a saída no formato JSON. Para visualizar a saída no formato JSON, anexe --format=JSON ao comando gcloud . Para obter mais informações sobre a formatação de saída, consulte gcloud topic formats .

Relatórios de vulnerabilidade

Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em atividades maliciosas. Para VMs, uma vulnerabilidade pode ser um problema no código ou na lógica de operação de pacotes de sistema operacional ou aplicativos de software.

As vulnerabilidades associadas aos pacotes do sistema operacional instalado são normalmente armazenadas em um repositório de origem de vulnerabilidade. Para obter mais informações sobre essas fontes de vulnerabilidade, consulte Fontes de vulnerabilidade . Você pode usar o gerenciamento de inventário do SO para visualizar relatórios de vulnerabilidade de problemas com pacotes de SO instalados.

Para obter dados de vulnerabilidade para uma VM, o VM Manager deve ser configurado e a versão do agente de configuração do SO datada de 20201110 ou posterior deve estar em execução na VM. Consulte Configurando o VM Manager .

Depois que o agente OS Config é configurado e relata o inventário, o serviço OS Config API verifica e verifica continuamente a origem da vulnerabilidade do sistema operacional em relação aos dados de inventário disponíveis. Quando uma vulnerabilidade é detectada nos pacotes do sistema operacional, o serviço gera um relatório de vulnerabilidade. Esses relatórios são gerados da seguinte forma:

  • Quando um pacote é instalado ou atualizado no sistema operacional de uma VM, você pode esperar ver informações de vulnerabilidades e exposições comuns (CVEs) para a VM no VM Manager, no Security Command Center e no Cloud Asset Inventory dentro de duas horas após a alteração.
  • Quando novos comunicados de segurança são publicados para um sistema operacional, os CVEs atualizados normalmente ficam disponíveis dentro de 24 horas após o fornecedor do sistema operacional publicar o comunicado.

Para visualizar esses relatórios de vulnerabilidade, consulte Visualizar relatórios de vulnerabilidade .

Como os relatórios de vulnerabilidade são gerados

O VM Manager conclui periodicamente as seguintes tarefas:

  1. Lê os relatórios coletados dos dados de inventário do SO em uma VM.
  2. Verifica dados de classificação da origem da vulnerabilidade para cada sistema operacional e ordena esses dados com base na gravidade (da mais alta para a mais baixa), pelo menos uma vez por dia.
  3. Exibe os dados CVE de uma VM no console do Google Cloud. Você também pode visualizar os relatórios de vulnerabilidade usando o Security Command Center ou o Cloud Asset Inventory.

Fontes de vulnerabilidade

A tabela a seguir resume a origem da vulnerabilidade usada para cada sistema operacional. Para obter uma lista completa dos sistemas operacionais suportados e suas versões, consulte Detalhes do sistema operacional .

Sistema operacional Pacote fonte de vulnerabilidade
RHEL e CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Linux rochoso https://errata.rockylinux.org/
Windows Dados de vulnerabilidade publicados pelo Microsoft Security Response Center .

Retenção de dados

Os dados do inventário do sistema operacional e do relatório de vulnerabilidade são armazenados até que a VM seja excluída. No entanto, se por algum motivo o agente de configuração do sistema operacional parar de reportar ao serviço API de configuração do sistema operacional por alguns dias, o VM Manager excluirá o inventário do sistema operacional disponível e os dados do relatório de vulnerabilidade coletados até esse ponto. Nenhum dado estará disponível para essa VM até que o agente de configuração do SO comece a ser executado novamente.

Preços

Para obter informações sobre preços, consulte preços do VM Manager .

O que vem a seguir