Services de détection

Cette page contient la liste des services de détection, parfois appelés sources de sécurité, que Security Command Center utilise pour détecter les problèmes de sécurité dans vos environnements cloud.

Lorsque ces services détectent un problème, ils génèrent un résultat, qui est un enregistrement identifiant le problème de sécurité et fournissant les informations dont vous avez besoin pour le hiérarchiser et le résoudre.

Vous pouvez afficher les résultats dans la console Google Cloud et les filtrer de différentes manières, par exemple par type de résultat, type de ressource ou pour un élément spécifique. Chaque source de sécurité peut fournir davantage de filtres pour vous aider à organiser les résultats.

Les rôles IAM pour Security Command Center peuvent être accordés au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Services de détection des failles

Les services de détection des failles incluent des services intégrés qui détectent les failles logicielles, les erreurs de configuration et les non-respects de posture dans vos environnements cloud. Ces types de problèmes de sécurité sont collectivement appelés failles.

Évaluation des failles Artifact Registry

L'évaluation des failles d'Artifact Registry est un service de détection qui vous alerte en cas de failles dans vos images de conteneurs déployées.

Ce service de détection génère des résultats de failles pour les images de conteneurs dans les conditions suivantes :

  • L'image de conteneur est stockée dans Artifact Registry.

  • L'image de conteneur est déployée sur l'un des éléments suivants :

    • Cluster Google Kubernetes Engine
    • Service Cloud Run
    • Job Cloud Run
    • App Engine

L'évaluation des failles d'Artifact Registry ne génère pas de résultats pour les images de conteneurs qui ne répondent pas à ce critère.

Une fois les résultats de l'évaluation des failles d'Artifact Registry générés, vous pouvez les interroger jusqu'à cinq semaines après la dernière analyse d'image de conteneur effectuée. Pour en savoir plus sur la conservation des données Security Command Center, consultez Conservation des données.

Activer les résultats de l'évaluation des failles Artifact Registry

Pour que l'évaluation des failles d'Artifact Registry génère des résultats dans Security Command Center pour les images de conteneurs déployées stockées dans Artifact Registry, l'API Container Scanning doit être activée pour votre projet.

Si vous n'avez pas activé l'API Container Scanning, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page API Container Scanning.

    Accéder à l'API Container Scanning

  2. Sélectionnez le projet pour lequel vous souhaitez activer l'API Container Scanning.

  3. Cliquez sur Activer.

Security Command Center affichera les résultats des images de conteneurs vulnérables analysées et déployées activement dans les éléments d'exécution applicables. Toutefois, le service de détection se comporte différemment selon la date à laquelle vous avez activé Security Command Center et l'API Container Scanning.

Scénario d'activation Comportement du service de détection

Vous avez activé Security Command Center après avoir activé l'API Container Scanning et déployé une image de conteneur.

L'évaluation des failles d'Artifact Registry génère des résultats pour les failles existantes détectées lors des précédentes analyses Artifact Registry dans les 24 heures suivant l'activation.

Vous avez activé Security Command Center et déployé une image de conteneur avant d'activer l'API Container Scanning.

L'évaluation des failles d'Artifact Registry ne génère pas automatiquement de résultats pour les images de conteneurs que vous avez déployées avant d'activer l'API, tant qu'une nouvelle analyse n'est pas déclenchée. Pour déclencher manuellement une nouvelle analyse, redéployez l'image de conteneur sur la même ressource d'exécution. L'évaluation des failles Artifact Registry génère immédiatement des résultats si des failles sont détectées lors de l'analyse.

Vous avez activé Security Command Center et l'API Container Scanning avant de déployer une image de conteneur.

L'image de conteneur nouvellement déployée est immédiatement analysée dans Artifact Registry. L'évaluation des failles d'Artifact Registry génère des résultats si des failles sont détectées lors de l'analyse.

Désactiver les résultats de l'évaluation des failles Artifact Registry

Pour désactiver les résultats de l'évaluation des failles d'Artifact Registry, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Détails de l'API/du service pour l'API Container Scanning.

    Accéder aux détails de l'API/du service

  2. Sélectionnez le projet pour lequel vous souhaitez désactiver l'API Container Scanning.

  3. Cliquez sur Désactiver l'API.

Security Command Center n'affichera pas les résultats des failles détectées lors des futures analyses d'images de conteneurs. Security Command Center conserve les résultats existants de l'évaluation des failles d'Artifact Registry pendant au moins 35 jours après la dernière analyse d'image de conteneur effectuée. Pour en savoir plus sur la conservation des données Security Command Center, consultez Conservation des données.

Vous pouvez également désactiver l'évaluation des failles Artifact Registry en désactivant l'ID de source d'évaluation des failles dans les paramètres Security Command Center. Toutefois, nous vous déconseillons de le faire. Si vous désactivez l'ID de source "Évaluation des failles", tous les services de détection classés sous cet ID seront désactivés. Par conséquent, nous vous recommandons de désactiver l'API Container Scanning en suivant la procédure ci-dessus.

Afficher les résultats de l'évaluation des failles Artifact Registry dans la console

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Évaluation des failles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Tableau de bord de la stratégie de sécurité GKE

Le tableau de bord de stratégie de sécurité GKE est une page de la consoleGoogle Cloud qui vous fournit des résultats avisés et exploitables sur les problèmes de sécurité potentiels dans vos clusters GKE.

Si vous activez l'une des fonctionnalités suivantes du tableau de bord de stratégie de sécurité GKE, les résultats s'affichent dans le niveau Standard ou Premium de Security Command Center :

Fonctionnalité du tableau de bord de stratégie de sécurité GKE Classe de résultat Security Command Center
Audit de configuration de la charge de travail MISCONFIGURATION
VULNERABILITY

Les résultats affichent des informations sur le problème de sécurité et fournissent des recommandations pour le résoudre dans vos charges de travail ou clusters.

Afficher les résultats du tableau de bord de stratégie de sécurité GKE dans la console

Standard ou Premium

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Stratégie de sécurité GKE. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Entreprise

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder à la page "Résultats" du niveau Enterprise

  2. Sélectionnez votre Google Cloud organisation.
  3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
  4. Sélectionnez Stratégie de sécurité GKE. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Outil de recommandation IAM

L'outil de recommandation IAM génère des recommandations que vous pouvez suivre pour améliorer la sécurité en supprimant ou en remplaçant les rôles IAM des comptes principaux lorsque ces rôles contiennent des autorisations IAM dont le compte principal n'a pas besoin.

IAM Recommender est automatiquement activé lorsque vous activez Security Command Center.

Activer ou désactiver les résultats de l'outil de recommandation IAM

Pour activer ou désactiver les résultats du service de recommandation IAM dans Security Command Center, procédez comme suit :

  1. Accédez à l'onglet Services intégrés de la page Paramètres de Security Command Center dans la console Google Cloud  :

    Accéder aux services intégrés

  2. Accédez à l'entrée Outil de recommandation IAM.

  3. À droite de l'entrée, sélectionnez Activer ou Désactiver.

Les résultats de l'outil de recommandation IAM sont classés comme des failles.

Pour corriger un résultat de l'outil de recommandation IAM, développez la section suivante pour afficher un tableau des résultats de l'outil de recommandation IAM. Les étapes de correction pour chaque résultat sont incluses dans l'entrée du tableau.

Afficher les résultats de l'outil de recommandation IAM dans la console

Sélectionnez l'onglet correspondant à votre niveau de service.

Standard ou Premium

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Entreprise

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder à la page "Résultats" du niveau Enterprise

  2. Sélectionnez votre Google Cloud organisation.
  3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
  4. Sélectionnez Outil de recommandation IAM. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Dans le niveau Premier, vous pouvez également consulter les résultats de l'outil de recommandation IAM sur la page Vulnérabilités en sélectionnant le préréglage de requête Outil de recommandation IAM.

Mandiant Attack Surface Management

Mandiant est un leader mondial du renseignement direct sur les menaces. Mandiant Attack Surface Management identifie les failles et les erreurs de configuration dans vos surfaces d'attaque externes pour vous aider à vous protéger contre les dernières cyberattaques.

Mandiant Attack Surface Management est automatiquement activé lorsque vous activez le niveau Security Command Center Enterprise, et les résultats sont disponibles dans la console Google Cloud .

Pour savoir en quoi le produit autonome Mandiant Attack Surface Management diffère de l'intégration de Mandiant Attack Surface Management dans Security Command Center, consultez ASM et Security Command Center sur le portail de documentation Mandiant. Vous devez vous authentifier auprès de Mandiant pour accéder à ce lien.

Examiner les résultats de Mandiant Attack Surface Management dans la console

Standard ou Premium

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Mandiant Attack Surface Management. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Entreprise

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder à la page "Résultats" du niveau Enterprise

  2. Sélectionnez votre Google Cloud organisation.
  3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
  4. Sélectionnez Mandiant Attack Surface Management. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Ni Security Command Center ni Mandiant Attack Surface Management ne marquent les résultats comme résolus. Une fois un problème résolu, vous pouvez le marquer manuellement comme tel. S'il n'est pas identifié lors de la prochaine analyse Mandiant Attack Surface Management, il reste résolu.

Model Armor

Model Armor est un service entièrement géré Google Cloud qui améliore la sécurité des applications d'IA en filtrant les requêtes et les réponses des LLM.

Résultats de failles du service Model Armor

Résultat Résumé

Nom de la catégorie dans l'API : FLOOR_SETTINGS_VIOLATION

Description du résultat : non-respect d'un paramètre de plancher qui se produit lorsqu'un modèle Model Armor ne respecte pas les normes de sécurité minimales définies par les paramètres de plancher de la hiérarchie des ressources.

Niveau de tarification : Premium

Corriger ce résultat :

Cette découverte vous oblige à mettre à jour le modèle Model Armor pour qu'il soit conforme aux paramètres de plancher définis au niveau de la hiérarchie des ressources.

Policy Controller

Policy Controller permet d'appliquer des règles programmables à vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc.

Si vous installez Policy Controller et activez l'un des bundles Policy Controller, Policy Controller écrit automatiquement les cas de non-respect des règles du cluster dans Security Command Center en tant que résultats de classe Misconfiguration. La description du résultat et les prochaines étapes dans les résultats Security Command Center sont les mêmes que la description de la contrainte et les étapes de correction du bundle Policy Controller correspondant.

Les résultats Policy Controller proviennent des bundles Policy Controller suivants :

Pour trouver et corriger les résultats de Policy Controller, consultez Corriger les résultats de Policy Controller.

Moteur de risque

Le moteur de risque Security Command Center évalue l'exposition aux risques de vos déploiements cloud, attribue des scores d'exposition aux attaques aux résultats de détection de failles et à vos ressources à forte valeur, et schématise les chemins qu'un pirate informatique pourrait emprunter pour atteindre vos ressources à forte valeur.

Dans le niveau Enterprise de Security Command Center, le moteur de risque détecte des groupes de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin d'accès à une ou plusieurs de vos ressources à forte valeur. Un pirate informatique déterminé pourrait potentiellement utiliser ce chemin pour atteindre et compromettre ces ressources.

Lorsque le moteur de risque détecte l'une de ces combinaisons, il génère un résultat de classe TOXIC_COMBINATION. Dans le résultat, "Moteur de risque" est indiqué comme source.

Le moteur de risque identifie également les ressources ou groupes de ressources communs où convergent plusieurs chemins d'attaque, puis génère un résultat de classe CHOKEPOINT.

Pour en savoir plus, consultez Vue d'ensemble des combinaisons toxiques et des goulets d'étranglement.

Security Health Analytics

Security Health Analytics est un service de détection intégré à Security Command Center qui fournit des analyses gérées de vos ressources cloud pour détecter les erreurs de configuration courantes.

Lorsqu'une configuration incorrecte est détectée, Security Health Analytics génère un résultat. La plupart des résultats Security Health Analytics sont mappés sur des contrôles de normes de sécurité afin que vous puissiez évaluer la conformité.

Security Health Analytics analyse vos ressources sur Google Cloud. Si vous utilisez le niveau Enterprise et que vous établissez des connexions à d'autres plates-formes cloud, Security Health Analytics peut également analyser vos ressources sur ces plates-formes cloud.

Les détecteurs disponibles varient en fonction du niveau de service Security Command Center que vous utilisez :

  • Au niveau Standard, Security Health Analytics n'inclut qu'un groupe de base de détecteurs de failles de gravité moyenne et élevée.
  • Le niveau Premium inclut tous les détecteurs de failles pour Google Cloud.
  • Le niveau Enterprise inclut des détecteurs supplémentaires pour d'autres plates-formes cloud.

Security Health Analytics est automatiquement activé lorsque vous activez Security Command Center.

Pour en savoir plus, consultez les pages suivantes :

Service de stratégie de sécurité

Le service de posture de sécurité est un service intégré au niveau Premium de Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Il fournit des informations sur la façon dont votre environnement s'aligne sur les règles que vous définissez dans votre stratégie de sécurité.

Le service de stratégie de sécurité n'est pas lié au tableau de bord de stratégie de sécurité GKE, qui n'affiche que les résultats dans les clusters GKE.

Protection des données sensibles

Sensitive Data Protection est un service Google Cloud entièrement géré qui vous aide à découvrir, classer et protéger vos données sensibles. Vous pouvez utiliser la protection des données sensibles pour déterminer si vous stockez des informations sensibles ou permettant d'identifier personnellement l'utilisateur, comme les suivantes :

  • Noms de personnes
  • Numéros de cartes de crédit
  • Numéros d'identification nationaux ou d'État
  • Numéros d'identification de l'assurance santé
  • Secrets

Dans la protection des données sensibles, chaque type de données sensibles que vous recherchez est appelé infoType.

Si vous configurez votre opération de protection des données sensibles pour envoyer les résultats à Security Command Center, vous pouvez les consulter directement dans la section Security Command Center de la console Google Cloud , en plus de la section "Protection des données sensibles".

Résultats de failles du service de découverte Sensitive Data Protection

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données très sensibles qui ne sont pas protégées.

Catégorie Résumé

Nom de la catégorie dans l'API :

PUBLIC_SENSITIVE_DATA

Description du résultat : la ressource spécifiée contient des données à sensibilité élevée accessibles par tous les internautes.

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

Pour les données Google Cloud , supprimez allUsers etallAuthenticatedUsers de la stratégie IAM de l'asset de données.

Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès public en lecture. Pour en savoir plus, consultez les pages Configurer les paramètres de blocage de l'accès public pour vos buckets S3 et Configurer les ACL dans la documentation AWS.

Pour les données Azure Blob Storage, supprimez l'accès public au conteneur et aux blobs. Pour en savoir plus, consultez Présentation : corriger l'accès en lecture anonyme aux données blob dans la documentation Azure.

Normes de conformité : non mappées

Nom de la catégorie dans l'API :

SECRETS_IN_ENVIRONMENT_VARIABLES

Description du résultat : des secrets (tels que des mots de passe, des jetons d'authentification et des identifiants Google Cloud ) sont présents dans les variables d'environnement.

Pour activer ce détecteur, consultez Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation Sensitive Data Protection.

Composants acceptés :

Remédiation :

Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le plutôt dans Secret Manager.

Pour les variables d'environnement de révision du service Cloud Run, supprimez tout le trafic de la révision, puis supprimez la révision.

Normes de conformité :

  • CIS GCP Foundation 1.3 : 1.18
  • CIS GCP Foundation 2.0 : 1.18

Nom de la catégorie dans l'API :

SECRETS_IN_STORAGE

Description du résultat : la ressource spécifiée contient secrets, tels que des mots de passe, des jetons d'authentification et des identifiants Cloud.

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

  1. Pour les données Google Cloud , utilisez Sensitive Data Protection pour exécuter une analyse approfondie de la ressource spécifiée afin d'identifier toutes les ressources concernées. Pour les données Cloud SQL, exportez-les vers un fichier CSV ou AVRO dans un bucket Cloud Storage, puis exécutez une analyse approfondie du bucket.

    Pour les données provenant d'autres fournisseurs de services cloud, inspectez manuellement le bucket ou le conteneur spécifié.

  2. Supprimez les secrets détectés.
  3. Envisagez de réinitialiser les identifiants.
  4. Pour les données Google Cloud , envisagez plutôt de stocker les secrets détectés dans Secret Manager.

Normes de conformité : non mappées

Résultats de configuration incorrecte du service de découverte Sensitive Data Protection

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous avez des erreurs de configuration qui pourraient exposer des données sensibles.

Catégorie Résumé

Nom de la catégorie dans l'API :

SENSITIVE_DATA_CMEK_DISABLED

Description du résultat : la ressource spécifiée contient des données à sensibilité élevée ou modérée et n'utilise pas de clé de chiffrement gérée par le client (CMEK).

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

Normes de conformité : non mappées

Résultats d'observation de Sensitive Data Protection

Cette section décrit les résultats d'observation que la protection des données sensibles génère dans Security Command Center.

Résultats d'observation du service de découverte

Le service de découverte Sensitive Data Protection vous aide à déterminer si vos données contiennent des infoTypes spécifiques et où ils se trouvent dans votre organisation, vos dossiers et vos projets. Il génère les catégories de résultats d'observation suivantes dans Security Command Center :

Data sensitivity
Indication du niveau de sensibilité des données d'un élément de données spécifique. Les données sont dites sensibles si elles contiennent des informations permettant d'identifier personnellement les utilisateurs ou d'autres éléments qui peuvent nécessiter un contrôle ou une gestion supplémentaire. La gravité du résultat correspond au niveau de sensibilité calculé par Sensitive Data Protection lors de la génération du profil de données.
Data risk
Risque associé aux données dans leur état actuel. Lors du calcul du risque lié aux données, la protection des données sensibles tient compte du niveau de sensibilité des données de l'élément de données et de la présence de contrôles d'accès pour protéger ces données. La gravité du résultat correspond au niveau de risque des données calculé par Sensitive Data Protection lors de la génération du profil de données.

Selon la taille de votre organisation, les résultats de Sensitive Data Protection peuvent commencer à s'afficher dans Security Command Center quelques minutes après l'activation de la découverte des données sensibles. Pour les grandes entreprises ou celles qui ont des configurations spécifiques affectant la génération de résultats, il peut s'écouler jusqu'à 12 heures avant que les premiers résultats n'apparaissent dans Security Command Center.

Ensuite, Sensitive Data Protection génère des résultats dans Security Command Center quelques minutes après que le service de découverte a analysé vos ressources.

Pour savoir comment envoyer les résultats des profils de données à Security Command Center, consultez les ressources suivantes :

Résultats d'observation du service d'inspection Sensitive Data Protection

Une tâche d'inspection de protection des données sensibles identifie chaque instance de données d'un infoType spécifique dans un système de stockage tel qu'un bucket Cloud Storage ou une table BigQuery. Par exemple, vous pouvez exécuter un job d'inspection qui recherche toutes les chaînes correspondant au détecteur d'infoType CREDIT_CARD_NUMBER dans un bucket Cloud Storage.

Pour chaque détecteur infoType comportant une ou plusieurs correspondances, Sensitive Data Protection génère un résultat Security Command Center correspondant. La catégorie de résultat correspond au nom du détecteur d'infoType qui a trouvé une correspondance (par exemple, Credit card number). Le résultat inclut le nombre de chaînes correspondantes détectées dans le texte ou les images de la ressource.

Pour des raisons de sécurité, les chaînes détectées ne sont pas incluses dans le résultat. Par exemple, un résultat Credit card number indique le nombre de numéros de carte de crédit trouvés, mais pas les numéros de carte de crédit eux-mêmes.

Étant donné que la protection des données sensibles inclut plus de 150 détecteurs d'infoTypes intégrés, toutes les catégories de résultats Security Command Center possibles ne sont pas listées ici. Pour obtenir la liste complète des détecteurs d'infoTypes, consultez la documentation de référence sur les détecteurs d'infoTypes.

Pour savoir comment envoyer les résultats d'une tâche d'inspection à Security Command Center, consultez Envoyer les résultats d'une tâche d'inspection de protection des données sensibles à Security Command Center.

Examiner les résultats de Sensitive Data Protection dans la console

Standard ou Premium

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Protection des données sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Entreprise

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder à la page "Résultats" du niveau Enterprise

  2. Sélectionnez votre Google Cloud organisation.
  3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
  4. Sélectionnez Protection des données sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Pour utiliser VM Manager avec les activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.

Si vous activez VM Manager avec le niveau Premium de Security Command Center, VM Manager écrit automatiquement les résultats high et critical de ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation (OS) installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. VM Manager permet de gérer les correctifs au niveau du projet.

Pour corriger les résultats de VM Manager, consultez Corriger les résultats de VM Manager.

Pour empêcher l'écriture des rapports de failles dans Security Command Center, consultez Ignorer les résultats de VM Manager.

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : OS_VULNERABILITY

Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification : Premium

Composants acceptés

compute.googleapis.com/Instance

Corriger ce résultat

Les rapports sur les failles de VM Manager détaillent les failles dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles et risques courants (CVE).

Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la page Détails des systèmes d'exploitation.

Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

  • Lorsqu'un package est installé ou mis à jour dans le système d'exploitation d'une VM, vous pouvez vous attendre à voir les informations sur les failles et risques courants (CVE) de la VM dans Security Command Center dans un délai de deux heures après la modification.
  • Lorsque de nouveaux avis de sécurité sont publiés pour un système d'exploitation, les CVE mises à jour sont généralement disponibles dans les 24 heures suivant la publication de l'avis par le fournisseur du système d'exploitation.

Évaluation des failles pour AWS

Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles logicielles dans vos charges de travail exécutées sur des machines virtuelles (VM) EC2 sur la plate-forme cloud AWS.

Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat de classe Vulnerability dans la catégorie de résultats Software vulnerability de Security Command Center.

Le service d'évaluation des failles pour AWS analyse les instantanés des instances de machines EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les cibles d'analyse.

Pour en savoir plus, consultez les ressources suivantes :

Évaluation des failles pour Google Cloud

L'évaluation des failles du service Google Cloud détecte les failles logicielles dans les ressources suivantes de la plate-forme Google Cloud  :

  • Exécuter des instances de VM Compute Engine
  • Nœuds dans les clusters GKE Standard
  • Conteneurs exécutés dans des clusters GKE Standard et GKE Autopilot

Pour chaque faille détectée, l'évaluation des failles pour Google Cloud génère un résultat de classe Vulnerability dans la catégorie de résultats Software vulnerability ou OS vulnerability dans Security Command Center.

Le service d'évaluation des failles pour Google Cloud analyse vos instances de VM Compute Engine en clonant leurs disques environ toutes les 12 heures, en les montant dans une instance de VM sécurisée et en les évaluant avec le scanner SCALIBR.

Pour en savoir plus, consultez Évaluation des failles pour Google Cloud.

Web Security Scanner

Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.

Analyses gérées

Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.

Les analyses gérées s'exécutent indépendamment des analyses personnalisées.

Si Security Command Center est activé au niveau de l'organisation, vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.

Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles sur la page Failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez Configurer les services Security Command Center.

Les analyses gérées ne sont compatibles qu'avec les applications qui utilisent le port par défaut, à savoir le port 80 pour les connexions HTTP et le port 443 pour les connexions HTTPS. Si votre application utilise un port autre que celui par défaut, effectuez plutôt une analyse personnalisée.

Analyses personnalisées

Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes.

Vous définissez des analyses personnalisées au niveau du projet.

Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez suivi le guide de configuration des analyses personnalisées de Web Security Scanner.

Détecteurs et conformité

Web Security Scanner accepte les catégories du Top 10 de l'OWASP, un document qui classe les 10 risques de sécurité les plus critiques pour les applications Web identifiés par le projet OWASP (Open Web Application Security Project) et fournit des conseils de résolution pour chacun. Pour obtenir des conseils visant à réduire les risques identifiés par l'OWASP, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Le mappage de conformité est inclus pour référence et n'est pas fourni ni examiné par la Fondation OWASP.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Pour en savoir plus, consultez la présentation de Web Security Scanner.

Notebook Security Scanner

Notebook Security Scanner est un service intégré de détection des failles de package de Security Command Center. Une fois Notebook Security Scanner activé, il analyse automatiquement les notebooks Colab Enterprise (fichiers avec l'extension de nom de fichier ipynb) toutes les 24 heures pour détecter les failles dans les packages Python et publie ces résultats sur la page Résultats de Security Command Center.

Vous pouvez utiliser Notebook Security Scanner pour les notebooks Colab Enterprise créés dans les régions suivantes : us-central1, us-east4, us-west1 et europe-west4.

Pour commencer à utiliser Notebook Security Scanner, consultez Activer et utiliser Notebook Security Scanner.

Services de détection des menaces

Les services de détection des menaces incluent des services intégrés qui détectent les événements pouvant indiquer des événements potentiellement dangereux, tels que des ressources compromises ou des cyberattaques.

Détection d'anomalies

La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et instances de machines virtuelles (VM), telles que les identifiants volés potentiels. La détection d'anomalies est automatiquement activée lorsque vous activez le niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans la console  Google Cloud .

Voici quelques exemples de résultats de détection d'anomalies :

Nom de l'anomalie Catégorie de résultats Description
account_has_leaked_credentials

Identifiants d'un compte de service Google Cloud accidentellement divulgués en ligne ou compromis.

Gravité : critique

Des identifiants du compte ont été divulgués

GitHub a informé Security Command Center que les identifiants utilisés pour un commit semblent être ceux d'un compte de serviceGoogle Cloud Identity and Access Management.

La notification inclut le nom du compte de service et l'identifiant de la clé privée. Google Cloud envoie également une notification par e-mail à votre contact désigné pour les questions de sécurité et de confidentialité.

Pour résoudre ce problème, effectuez une ou plusieurs des actions suivantes :

  • Identifiez l'utilisateur légitime de la clé.
  • Faites tourner la clé.
  • Retirez la clé.
  • Examinez toutes les actions effectuées par la clé après sa fuite pour vous assurer qu'aucune d'elles n'était malveillante.

JSON : problème d'identifiants de compte divulgués

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et effectue un traitement du langage naturel sur le code pour détecter les événements suivants :

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (bêta)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (bêta)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (bêta)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Remote Command Execution Detected (bêta)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (bêta)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Reverse Shell
  • Unexpected Child Shell

Apprenez-en davantage sur Container Threat Detection.

Event Threat Detection

Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging pour les projets et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Event Threat Detection est automatiquement activé lorsque vous activez le niveau Premium de Security Command Center, et les résultats sont disponibles dans la consoleGoogle Cloud .

Le tableau suivant liste des exemples de résultats d'Event Threat Detection.

Tableau C. Types de résultats d'Event Threat Detection

Event Threat Detection détecte la destruction de données en examinant les journaux d'audit du serveur de gestion Backup and DR pour les scénarios suivants :

  • Suppression d'une image de sauvegarde
  • Suppression de toutes les images de sauvegarde associées à une application
  • Suppression d'un appareil de sauvegarde/restauration

Event Threat Detection détecte l'exfiltration de données de BigQuery et de Cloud SQL en recherchant dans les journaux d'audit les scénarios suivants :

  • Une ressource BigQuery est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
  • Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
  • Une ressource Cloud SQL est entièrement ou partiellement exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket appartenant à votre organisation et accessible au public.
  • Une sauvegarde Cloud SQL est restaurée sur une instance Cloud SQL en dehors de votre organisation.
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un bucket Cloud Storage extérieur à votre organisation ou vers un bucket de votre organisation accessible à tous.Bêta
  • Une ressource BigQuery appartenant à votre organisation est exportée vers un dossier Google Drive.
  • Une ressource BigQuery est enregistrée dans une ressource publique appartenant à votre organisation.

Event Threat Detection examine les journaux d'audit pour détecter les événements suivants, qui peuvent indiquer qu'un compte utilisateur valide a été piraté sur des instances Cloud SQL :

  • Un utilisateur de base de données dispose de tous les privilèges sur une base de données Cloud SQL pour PostgreSQL, ou sur toutes les tables, procédures ou fonctions d'un schéma.
  • Un compte super-utilisateur de base de données Cloud SQL par défaut (postgres sur les instances PostgreSQL ou root sur les instances MySQL) est utilisé pour écrire dans les tables non système.

Event Threat Detection examine les journaux d'audit pour détecter les événements suivants, qui peuvent indiquer qu'un compte utilisateur valide a été piraté sur des instances AlloyDB pour PostgreSQL :

  • Un utilisateur de base de données dispose de tous les privilèges sur une base de données AlloyDB pour PostgreSQL, ou sur toutes les tables, procédures ou fonctions d'un schéma.
  • Un super-utilisateur de compte de base de données AlloyDB pour PostgreSQL par défaut (`postgres`) est utilisé pour écrire dans des tables non système.
Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite.
Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects ou des adresses IP de pools de minage.

Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :

  • Ajouter un utilisateur gmail.com à une stratégie dotée du rôle d'éditeur de projet
  • Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de la console Google Cloud .
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé disposant d'autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation

Event Threat Detection détecte les modifications anormales apportées à Backup and DR qui peuvent avoir un impact sur la posture de sauvegarde, y compris les modifications majeures des règles et la suppression de composants Backup and DR critiques.
Event Threat Detection détecte les tentatives possibles d'exploitation de Log4j et des failles actives Log4j.
Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus.
Event Threat Detection examine les journaux de flux VPC pour détecter le trafic de déni de service sortant.
Event Threat Detection détecte les accès anormaux en examinant Cloud Audit Logs pour détecter les modifications apportées aux services Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Event Threat Detection détecte un comportement IAM anormal en examinant Cloud Audit Logs pour les scénarios suivants :
  • Comptes utilisateur et de service IAM accédant à Google Cloud à partir d'adresses IP anormales.
  • Comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux.
  • Comptes principaux et ressources empruntant l'identité de comptes de service IAM pour accéder à Google Cloud.
Event Threat Detection détecte quand un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service.
Event Threat Detection détecte une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Event Threat Detection détecte une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Event Threat Detection détecte les menaces potentielles affectant les comptes Google Workspace en examinant les journaux d'audit pour détecter les activités anormales, y compris les fuites de mots de passe et les tentatives de connexion suspectes.
Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment des personnes malveillantes soutenues par un gouvernement ont tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Event Threat Detection examine les journaux d'audit Google Workspace pour détecter si l'authentification unique est désactivée ou si les paramètres sont modifiés pour les comptes d'administrateur Google Workspace.
Event Threat Detection examine les journaux d'audit Google Workspace pour détecter à quel moment la validation en deux étapes est désactivée sur les comptes d'utilisateurs et d'administrateurs.
Event Threat Detection détecte le comportement anormal des API en examinant Cloud Audit Logs pour rechercher des requêtes de services Google Cloud qu'un compte principal n'a pas encore vus.

Event Threat Detection détecte l'évasion des défenses en examinant Cloud Audit Logs pour les scénarios suivants :

  • Modifications apportées aux périmètres VPC Service Controls existants qui entraîneraient une réduction de la protection proposée.
  • Déploiements ou mises à jour de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.Aperçu
  • Désactivez la règle storage.secureHttpTransport au niveau du projet, du dossier ou de l'organisation.
  • Modifiez la configuration du filtrage des adresses IP pour un bucket Cloud Storage.

Event Threat Detection détecte les opérations de découverte en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels elle peut effectuer des requêtes, à l'aide de la commande kubectl.
  • Des identifiants de compte de service sont utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Event Threat Detection détecte les opérations d'accès initial en examinant les journaux d'audit afin d'identifier les scénarios suivants :
  • Un compte de service géré par l'utilisateur inactif a déclenché une action.Aperçu
  • Un compte principal a tenté d'appeler différentes méthodes Google Cloud , mais a échoué à plusieurs reprises en raison d'erreurs d'autorisation refusée.Aperçu

Event Threat Detection détecte l'élévation des privilèges dans GKE en examinant les journaux d'audit afin d'identifier les scénarios suivants :

  • Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
  • Une personne potentiellement malveillante a créé une requête de signature de certificat (CSR) du plan de contrôle Kubernetes, qui lui permet de disposer de l'accès cluster-admin.
  • Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
  • Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
  • Une personne potentiellement malveillante a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.
Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'il détecte un événement suspect, déclenche un résultat Event Threat Detection. Pour en savoir plus sur les détections Cloud IDS, consultez Informations sur la journalisation Cloud IDS. Aperçu
Event Threat Detection détecte les potentielles attaques de disque de démarrage modifié en examinant Cloud Audit Logs pour détecter les détachements et rattachements fréquents de disques de démarrage sur les instances Compute Engine.

Apprenez-en davantage sur Event Threat Detection.

Google Cloud Armor

Google Cloud Armor permet de protéger votre application en fournissant un filtrage de couche 7. Google Cloud Armor nettoie les requêtes entrantes des attaques Web courantes ou d'autres attributs de couche 7, afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets de backend.

Google Cloud Armor exporte deux résultats vers Security Command Center :

Virtual Machine Threat Detection

Virtual Machine Threat Detection est un service intégré de Security Command Center disponible dans les niveaux Enterprise et Premium. Ce service analyse les machines virtuelles pour détecter les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.

Résultats de menace VM Threat Detection

VM Threat Detection peut générer les résultats de menace suivants.

Résultats de menaces de minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes grâce à la correspondance de hachage ou aux règles YARA.

Résultats de menaces de minage de cryptomonnaie de VM Threat Detection
Catégorie Module Description
CRYPTOMINING_HASH Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
CRYPTOMINING_YARA Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifie une menace détectée à la fois par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA. Pour en savoir plus, consultez Détections combinées.

Résultats de détection des menaces de rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau au moment de l'exécution pour détecter les techniques d'évasion courantes utilisées par les logiciels malveillants.

Le module KERNEL_MEMORY_TAMPERING détecte les menaces en comparant le code du noyau et la mémoire de données en lecture seule du noyau d'une machine virtuelle à des hachages.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l'intégrité des structures de données importantes du noyau.

Résultats de menaces de rootkit en mode noyau de VM Threat Detection
Catégorie Module Description
rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Une combinaison de signaux correspondant à un rootkit en mode noyau connu est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés.
Altération de la mémoire du noyau
KERNEL_MEMORY_TAMPERING Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Atteinte à l'intégrité du noyau
KERNEL_INTEGRITY_TAMPERING Des points ftrace sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code de module ou de noyau attendue.
KERNEL_INTEGRITY_TAMPERING Des gestionnaires d'interruption qui ne se trouvent pas dans les régions de code du module ou du noyau attendues sont présents.
KERNEL_INTEGRITY_TAMPERING Des pages de code du noyau qui ne se trouvent pas dans les régions de code du noyau ou du module attendues sont présentes.
KERNEL_INTEGRITY_TAMPERING Des points kprobe sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du module ou du noyau attendue.
KERNEL_INTEGRITY_TAMPERING Des processus inattendus sont présents dans la file d'attente d'exécution du planificateur. Ces processus se trouvent dans la file d'exécution, mais pas dans la liste des tâches de processus.
KERNEL_INTEGRITY_TAMPERING Des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code du kernel ou du module attendues sont présents.

Erreurs

Les détecteurs d'erreurs peuvent vous aider à détecter des erreurs dans votre configuration qui empêchent les sources de sécurité de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center et ont la classe de résultat SCC errors.

Actions accidentelles

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.

Actions involontaires
Nom de la catégorie Nom de l'API Résumé Gravité
API_DISABLED

Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 60 heures

Corriger ce résultat

Critique
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Description du résultat : des configurations de valeurs de ressources sont définies pour les simulations de chemins d'attaque, mais elles ne correspondent à aucune instance de ressource dans votre environnement. Les simulations utilisent plutôt l'ensemble de ressources à forte valeur par défaut.

Cette erreur peut avoir l'une des causes suivantes :

  • Aucune des configurations de valeurs de ressources ne correspond à une instance de ressource.
  • Une ou plusieurs configurations de valeurs de ressources qui spécifient NONE remplacent toutes les autres configurations valides.
  • Toutes les configurations de valeurs de ressources définies spécifient une valeur de NONE.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot : avant chaque simulation de chemin d'attaque.

Corriger ce résultat

Critique
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Description du résultat : Lors de la dernière simulation de chemin d'attaque, le nombre d'instances de ressources à forte valeur, tel qu'identifié par les configurations de valeurs de ressources, a dépassé la limite de 1 000 instances de ressources dans un ensemble de ressources à forte valeur. Par conséquent, Security Command Center a exclu le nombre d'instances excédentaires de l'ensemble de ressources à forte valeur.

Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont indiqués dans le résultat SCC Error de la console Google Cloud .

Les scores d'exposition aux attaques de tous les résultats qui affectent les instances de ressources exclues ne reflètent pas la désignation de forte valeur des instances de ressources.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot : avant chaque simulation de chemin d'attaque.

Corriger ce résultat

Élevée
KTD_IMAGE_PULL_FAILURE

Description du résultat : Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) à partir de gcr.io, l'hôte d'images Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection.

La tentative de déploiement du DaemonSet Container Threat Detection a généré l'erreur suivante :

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Description du résultat : Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet Kubernetes DaemonSet requis par Container Threat Detection.

Lorsque vous consultez les détails du résultat dans la console Google Cloud , ils incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevée
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les semaines

Corriger ce résultat

High
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevé
VPC_SC_RESTRICTION

Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 6 heures

Corriger ce résultat

Élevé
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit.

Niveau de tarification : Premium ou Standard

Composants acceptés

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique

Pour en savoir plus, consultez la page Erreurs Security Command Center.

Étapes suivantes