Esta página foi traduzida pela API Cloud Translation.

Serviços de detecção

Esta página contém uma lista dos serviços de detecção, às vezes também chamados de fontes de segurança, que o Security Command Center usa para detectar problemas de segurança nos seus ambientes de nuvem.

Quando esses serviços detectam um problema, eles geram uma descoberta, que é um registro que identifica o problema de segurança e fornece as informações necessárias para priorizar e resolver o problema.

É possível visualizar as descobertas no console do Google Cloud e filtrá-las de várias maneiras diferentes, como por tipo de descoberta, tipo de recurso ou recurso específico. Cada fonte de segurança pode fornecer mais filtros para ajudar a organizar as descobertas.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Serviços de detecção de vulnerabilidades

Os serviços de detecção de vulnerabilidades incluem serviços integrados que detectam vulnerabilidades de software, configurações incorretas e violações de postura nos seus ambientes de nuvem. Coletivamente, esses tipos de problemas de segurança são chamados de vulnerabilidades.

Avaliação de vulnerabilidades do Artifact Registry

A avaliação de vulnerabilidades do Artifact Registry é um serviço de detecção que alerta sobre vulnerabilidades nas imagens de contêiner implantadas.

Esse serviço de detecção gera descobertas de vulnerabilidade para imagens de contêiner nas seguintes condições:

A imagem do contêiner é armazenada no Artifact Registry.
A imagem do contêiner é implantada em um dos seguintes recursos:
- Cluster do Google Kubernetes Engine
- Serviço do Cloud Run
- Job do Cloud Run
- App Engine

A avaliação de vulnerabilidades do Artifact Registry não gera descobertas para imagens de contêiner que não atendem a esse critério.

Depois que os resultados da avaliação de vulnerabilidade do Artifact Registry são gerados, eles ficam disponíveis para consulta por até cinco semanas após a última verificação da imagem do contêiner. Para mais informações sobre a retenção de dados do Security Command Center, consulte Retenção de dados.

Ativar as descobertas da avaliação de vulnerabilidades do Artifact Registry

Para que a avaliação de vulnerabilidades do Artifact Registry gere descobertas no Security Command Center para imagens de contêiner implantadas armazenadas no Artifact Registry, a API Container Scanning precisa estar ativada no seu projeto.

Se você não ativou a API Container Scanning, faça o seguinte:

No console Google Cloud , acesse a página da API Container Scanning.

Acessar a API Container Scanning
Selecione o projeto em que você quer ativar a API Container Scanning.
Clique em Ativar.

O Security Command Center vai mostrar descobertas de imagens de contêineres vulneráveis verificadas que estão ativas nos recursos de tempo de execução aplicáveis. No entanto, o serviço de detecção se comporta de maneira diferente, dependendo de quando você ativou o Security Command Center e a API Container Scanning.

Cenário de ativação	Comportamento do serviço de detecção
Você ativou o Security Command Center depois de ativar a API Container Scanning e implantar uma imagem de contêiner.	A avaliação de vulnerabilidades do Artifact Registry vai gerar descobertas para vulnerabilidades encontradas em verificações anteriores do Artifact Registry em até 24 horas após a ativação.
Você ativou o Security Command Center e implantou uma imagem de contêiner antes de ativar a API Container Scanning.	A avaliação de vulnerabilidades do Artifact Registry não gera automaticamente descobertas de vulnerabilidades para imagens de contêineres implantadas antes da ativação da API até que uma nova verificação seja acionada. Para acionar manualmente uma nova verificação, reimplante a imagem do contêiner no mesmo recurso de ambiente de execução. A avaliação de vulnerabilidades do Artifact Registry vai gerar descobertas imediatamente se alguma vulnerabilidade for detectada durante a verificação.
Você ativou o Security Command Center e a API Container Scanning antes de implantar uma imagem de contêiner.	A imagem de contêiner recém-implantada é verificada imediatamente no Artifact Registry, e a avaliação de vulnerabilidade do Artifact Registry gera descobertas se alguma vulnerabilidade for detectada pela verificação.

Desativar descobertas da avaliação de vulnerabilidades do Artifact Registry

Para desativar as descobertas da avaliação de vulnerabilidades do Artifact Registry, faça o seguinte:

No console Google Cloud , acesse a página Detalhes da API/serviço da API Container Scanning.

Acessar Detalhes da API/serviço
Selecione o projeto em que você quer desativar a API Container Scanning.
Clique em Desativar API.

O Security Command Center não vai mostrar descobertas de vulnerabilidades detectadas em futuras varreduras de imagens de contêiner. O Security Command Center retém as descobertas de avaliação de vulnerabilidade do Artifact Registry por pelo menos 35 dias após a última verificação de imagem de contêiner realizada. Para mais informações sobre a retenção de dados do Security Command Center, consulte Retenção de dados.

Também é possível desativar a avaliação de vulnerabilidades do Artifact Registry desativando o ID da fonte de avaliação de vulnerabilidades nas configurações do Security Command Center. No entanto, não recomendamos isso. Desativar o ID da fonte da Avaliação de vulnerabilidades desativa todos os serviços de detecção classificados com esse ID. Portanto, recomendamos desativar a API Container Scanning com o procedimento anterior.

Detectores de avaliação de vulnerabilidades do Artifact Registry

Detector Resumo

Detector	Resumo
`Container image vulnerability` Nome da categoria na API: `CONTAINER_IMAGE_VULNERABILITY`	Descrição da descoberta: uma vulnerabilidade foi detectada em uma imagem de contêiner verificada no Artifact Registry. Essa imagem é implantada em um dos seguintes recursos: Cluster do Google Kubernetes Engine Serviço do Cloud Run Job do Cloud Run App Engine Nível de preços: Standard, Premium ou Enterprise Corrigir essa descoberta : Dependendo do tipo de recurso de ambiente de execução, faça o seguinte: Para recursos de serviço do Google Kubernetes Engine ou do Cloud Run, faça upgrade ou exclua a versão da imagem do contêiner. Para jobs do Cloud Run e recursos do App Engine, exclua a versão da imagem do contêiner da associação de tempo de execução para cancelar a implantação. Consulte os detalhes da descoberta para conferir as etapas de correção específicas com base no recurso de tempo de execução adequado. Para clientes do nível Standard, não há suporte para o uso do recurso de consulta de recursos do Inventário de recursos do Cloud para determinar onde a imagem de contêiner vulnerável está implantada. Recomendamos fazer upgrade para os níveis Premium ou Enterprise e receber informações mais detalhadas.

Container image vulnerability

Nome da categoria na API: CONTAINER_IMAGE_VULNERABILITY

Descrição da descoberta: uma vulnerabilidade foi detectada em uma imagem de contêiner verificada no Artifact Registry. Essa imagem é implantada em um dos seguintes recursos:

Cluster do Google Kubernetes Engine
Serviço do Cloud Run
Job do Cloud Run
App Engine

Nível de preços: Standard, Premium ou Enterprise

Corrigir essa descoberta :

Dependendo do tipo de recurso de ambiente de execução, faça o seguinte:

Para recursos de serviço do Google Kubernetes Engine ou do Cloud Run, faça upgrade ou exclua a versão da imagem do contêiner.
Para jobs do Cloud Run e recursos do App Engine, exclua a versão da imagem do contêiner da associação de tempo de execução para cancelar a implantação.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas com base no recurso de tempo de execução adequado.

Para clientes do nível Standard, não há suporte para o uso do recurso de consulta de recursos do Inventário de recursos do Cloud para determinar onde a imagem de contêiner vulnerável está implantada. Recomendamos fazer upgrade para os níveis Premium ou Enterprise e receber informações mais detalhadas.

Ver descobertas da avaliação de vulnerabilidade do Artifact Registry no console

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto Google Cloud ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Painel de postura de segurança do GKE

O painel de postura de segurança do GKE é uma página no consoleGoogle Cloud que oferece descobertas opinativas e úteis sobre possíveis problemas de segurança nos seus clusters do GKE.

Se você ativar algum dos seguintes recursos do painel de postura de segurança do GKE, as descobertas vão aparecer no nível Standard ou Premium do Security Command Center:

Recurso do painel de postura de segurança do GKE	Classe de descoberta do Security Command Center
Auditoria de configuração da carga de trabalho	`MISCONFIGURATION`
Verificação de vulnerabilidades do SO do contêiner Verificação de vulnerabilidades de pacotes de linguagens Boletins de segurança acionáveis (pré-lançamento)	`VULNERABILITY`

Os resultados mostram informações sobre o problema de segurança e oferecem recomendações para resolvê-los nas cargas de trabalho ou nos clusters.

Ver descobertas do painel de postura de segurança do GKE no console

Padrão ou Premium

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto Google Cloud ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Postura de segurança do GKE. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Enterprise

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas no nível Enterprise
Selecione sua Google Cloud organização.
Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
Selecione Postura de segurança do GKE. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Detector	Resumo
`IAM role has excessive permissions` Nome da categoria na API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes da descoberta no console Google Cloud , copie e cole o URL da página IAM na barra de endereços de um navegador e pressione `Enter`. A página IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer recomendação relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto. Analise a recomendação das ações que podem ser tomadas para resolver o problema. Clique em Aplicar. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 10 dias.
`Service agent role replaced with basic role` Nome da categoria na API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes da descoberta no console Google Cloud , copie e cole o URL da página IAM na barra de endereço de um navegador e pressione `Enter`. A página IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto. Analise as permissões em excesso. Clique em Aplicar. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 10 dias.
`Service agent granted basic role` Nome da categoria na API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Descrição da descoberta: o recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes da descoberta no console Google Cloud , copie e cole o URL da página IAM na barra de endereço de um navegador e pressione `Enter`. A página IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto. Analise as permissões em excesso. Clique em Aplicar. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 10 dias.
`Unused IAM role` Nome da categoria na API: `UNUSED_IAM_ROLE`	Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel de IAM que não foi usado nos últimos 90 dias. Nível de preços: Premium Recursos compatíveis: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas: Na seção Próximas etapas dos detalhes da descoberta no console Google Cloud , copie e cole o URL da página IAM na barra de endereço de um navegador e pressione `Enter`. A página IAM é carregada. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto. Analise as permissões em excesso. Clique em Aplicar. Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para `INACTIVE` em até 10 dias.

Padrão ou Premium

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto Google Cloud ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione IAM Recommender. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Enterprise

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas no nível Enterprise
Selecione sua Google Cloud organização.
Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
Selecione Recomendador do IAM. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

No nível Premier, também é possível conferir as descobertas do recomendador do IAM na página Vulnerabilidades ao selecionar a predefinição de consulta Recomendador do IAM.

Gerenciamento de superfície de ataque da Mandiant

A Mandiant é líder mundial em inteligência contra ameaças de linha de frente. O Gerenciamento da superfície de ataque da Mandiant identifica vulnerabilidades e configurações incorretas nas superfícies de ataque externas para ajudar você a se manter atualizado contra os ataques cibernéticos mais recentes.

O Mandiant Attack Surface Management é ativado automaticamente quando você ativa o nível Security Command Center Enterprise e as descobertas estão disponíveis no console Google Cloud .

Para saber como o produto independente Mandiant Attack Surface Management difere da integração dele no Security Command Center, consulte ASM e Security Command Center no portal de documentação da Mandiant. Esse link requer autenticação da Mandiant.

Analisar as descobertas do Mandiant Attack Surface Management no console

Padrão ou Premium

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto Google Cloud ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Mandiant Attack Surface Management. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Enterprise

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas no nível Enterprise
Selecione sua Google Cloud organização.
Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
Selecione Gerenciamento de superfície de ataque da Mandiant. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Nem o Security Command Center nem o Mandiant Attack Surface Management marcam descobertas como resolvidas. Depois de resolver um problema, você pode marcá-lo manualmente como resolvido. Se ela não for identificada na próxima verificação do Mandiant Attack Surface Management, vai continuar resolvida.

Model Armor

O Model Armor é um serviço Google Cloud totalmente gerenciado que aumenta a segurança dos aplicativos de IA ao analisar comandos e respostas de LLMs.

Descobertas de vulnerabilidades do serviço Model Armor

Descoberta Resumo

Descoberta	Resumo
`Floor settings violation` Nome da categoria na API: `FLOOR_SETTINGS_VIOLATION`	Descrição da descoberta: uma violação de configuração mínima que ocorre quando um modelo do Model Armor não atende aos padrões mínimos de segurança definidos pelas configurações mínimas da hierarquia de recursos. Nível de preços: Premium Corrigir essa descoberta: Para resolver esse problema, atualize o modelo do Model Armor para que ele esteja em conformidade com as configurações mínimas definidas na hierarquia de recursos.

`Floor settings violation`

Nome da categoria na API: FLOOR_SETTINGS_VIOLATION

Descrição da descoberta: uma violação de configuração mínima que ocorre quando um modelo do Model Armor não atende aos padrões mínimos de segurança definidos pelas configurações mínimas da hierarquia de recursos.

Nível de preços: Premium

Corrigir essa descoberta:

Para resolver esse problema, atualize o modelo do Model Armor para que ele esteja em conformidade com as configurações mínimas definidas na hierarquia de recursos.

Policy Controller

O Policy Controller permite a aplicação de políticas programáveis aos clusters do Kubernetes. Essas políticas funcionam como proteções e podem ajudar nas práticas recomendadas, na segurança e no gerenciamento de conformidade dos clusters e frotas.

Se você instalar o Policy Controller e ativar qualquer um dos pacotes do Policy Controller, o Policy Controller vai gravar automaticamente violações de cluster no Security Command Center como descobertas da classe Misconfiguration. A descrição e as próximas etapas nas descobertas do Security Command Center são as mesmas que a descrição da restrição e as etapas de correção do pacote correspondente do Policy Controller.

As descobertas do Policy Controller vêm dos seguintes pacotes:

Comparativo de mercado CIS do Kubernetes v.1.5.1, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança forte. Também é possível ver informações sobre esse pacote no repositório do GitHub para cis-k8s-v1.5.1.
PCI-DSS v3.2.1, um pacote que avalia a conformidade dos recursos do cluster em relação a alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1. Também é possível ver informações sobre esse pacote no repositório do GitHub para pci-dss-v3.

Para encontrar e corrigir as descobertas do Policy Controller, consulte Como corrigir as descobertas do Policy Controller.

Mecanismo de risco

O mecanismo de risco do Security Command Center avalia a exposição ao risco das suas implantações na nuvem, atribui pontuações de exposição a ataques às descobertas de vulnerabilidade e aos seus recursos de alto valor, além de diagramar caminhos que um possível invasor pode seguir para alcançar seus recursos de alto valor.

No nível Enterprise do Security Command Center, o Risk Engine detecta grupos de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado pode usar para alcançar e comprometer esses recursos.

Quando o Risk Engine detecta uma dessas combinações, ele gera uma descoberta da classe TOXIC_COMBINATION. Na descoberta, o Risk Engine é listado como a origem.

O Risk Engine também identifica recursos ou grupos de recursos comuns em que vários caminhos de ataque convergem e gera uma descoberta de classe CHOKEPOINT.

Para mais informações, consulte Visão geral de combinações ruins e pontos de estrangulamento.

Security Health Analytics

O Security Health Analytics é um serviço de detecção integrado do Security Command Center que oferece verificações gerenciadas dos seus recursos de nuvem para detectar configurações incorretas comuns.

Quando uma configuração incorreta é detectada, o Security Health Analytics gera uma descoberta. A maioria das descobertas do Security Health Analytics é mapeada para controles de padrões de segurança para que você possa avaliar a conformidade.

O Security Health Analytics verifica seus recursos em Google Cloud. Se você estiver usando o nível Enterprise e estabelecer conexões com outras plataformas de nuvem, o Security Health Analytics também poderá verificar seus recursos nessas plataformas.

Dependendo do nível de serviço do Security Command Center que você está usando, os detectores disponíveis são diferentes:

No nível Standard, a Análise de integridade da segurança inclui apenas um grupo básico de detectores de vulnerabilidade de média e alta gravidade.
O nível Premium inclui todos os detectores de vulnerabilidade para Google Cloud.
O nível Enterprise inclui detectores adicionais para outras plataformas de nuvem.

O Security Health Analytics é ativado automaticamente quando você ativa o Security Command Center.

Veja mais informações em:

Serviço de postura de segurança

O serviço de postura de segurança é um serviço integrado do nível Premium do Security Command Center que permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. Ele fornece informações sobre como seu ambiente se alinha às políticas definidas na sua postura de segurança.

O serviço de postura de segurança não está relacionado ao painel de postura de segurança do GKE, que mostra apenas descobertas em clusters do GKE.

Descobertas do serviço de postura de segurança

Descoberta Resumo

Descoberta	Resumo
`SHA Canned Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações do detector na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector do Security Health Analytics ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console Google Cloud . Para instruções, consulte Ativar e desativar detectores. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`SHA Custom Module Drifted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações personalizadas do módulo na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação de postura. Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`SHA Custom Module Deleted` Nome da categoria na API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrição da descoberta: o serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações personalizadas do módulo na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação de postura. Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`Org Policy Canned Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou a postura e a implantação de postura. Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`Org Policy Canned Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou a postura e a implantação de postura. Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`Org Policy Custom Constraint Drifted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DRIFT`	Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política personalizada da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização personalizadas na postura e no ambiente correspondam. Você tem duas opções para resolver esse problema: atualizar a política personalizada da organização ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.
`Org Policy Custom Constraint Deleted` Nome da categoria na API: `SECURITY_POSTURE_POLICY_DELETE`	Descrição da descoberta: o serviço de postura de segurança detectou que uma política personalizada da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização personalizadas na postura e no ambiente correspondam. Você tem duas opções para resolver esse problema: atualizar a política personalizada da organização ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte: Atualize o arquivo `posture.yaml` com a mudança. Execute o comando `gcloud scc postures update`. Para instruções, consulte Atualizar as definições de política em uma postura. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`SHA Canned Module Drifted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para resolver isso, aceite ou reverta a mudança para que as configurações do detector na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector do Security Health Analytics ou atualizar a postura e a implantação de postura.

Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console Google Cloud . Para instruções, consulte Ativar e desativar detectores.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`SHA Custom Module Drifted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para resolver isso, aceite ou reverta a mudança para que as configurações personalizadas do módulo na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação de postura.

Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`SHA Custom Module Deleted`

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`Org Policy Canned Constraint Drifted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou a postura e a implantação de postura.

Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`Org Policy Canned Constraint Deleted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`Org Policy Custom Constraint Drifted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política personalizada da organização que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização personalizadas na postura e no ambiente correspondam. Você tem duas opções para resolver esse problema: atualizar a política personalizada da organização ou atualizar a postura e a implantação de postura.

Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

`Org Policy Custom Constraint Deleted`

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que uma política personalizada da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada.

Para aceitar a mudança, faça o seguinte:

Atualize o arquivo posture.yaml com a mudança.
Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Proteção de dados sensíveis

A proteção de dados sensíveis é um serviço Google Cloud totalmente gerenciado que ajuda você a descobrir, classificar e proteger seus dados sensíveis. É possível usar a proteção de dados confidenciais para determinar se você está armazenando informações confidenciais ou de identificação pessoal (PII), como estas:

Nomes pessoais
Números de cartões de crédito
Números de identificação nacionais ou estaduais
Números de identificação de seguro de saúde
Secrets

Na Proteção de dados confidenciais, cada tipo de dados confidenciais que você pesquisa é chamado de infoType.

Se você configurar a operação de proteção de dados sensíveis para enviar resultados ao Security Command Center, poderá acessar as descobertas diretamente na seção Security Command Center do console Google Cloud , além da seção de Proteção de dados sensíveis.

Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.

Categoria Resumo

Categoria	Resumo
`Public sensitive data` Nome da categoria na API: `PUBLIC_SENSITIVE_DATA`	Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Bucket do Amazon S3 Contêiner do Armazenamento de Blobs do Azure Remediação: Para dados Google Cloud , remova `allUsers` e `allAuthenticatedUsers` da política do IAM do recurso de dados. Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte Como configurar o bloqueio de acesso público para seus buckets do S3 e Como configurar ACLs na documentação da AWS. Para dados do Azure Blob Storage, remova o acesso público ao contêiner e aos blobs. Para mais informações, consulte Visão geral: correção do acesso de leitura anônimo para dados de blob na documentação do Azure. Padrões de compliance: não mapeados
`Secrets in environment variables` Nome da categoria na API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais do Google Cloud , em variáveis de ambiente. Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados confidenciais. Recursos compatíveis: `cloudfunctions.googleapis.com/CloudFunction` `run.googleapis.com/Revision` Remediação: Para variáveis de ambiente de funções do Cloud Run, remova o secret da variável de ambiente e armazene-o no Secret Manager. Para variáveis de ambiente de revisão do serviço do Cloud Run, mova todo o tráfego da revisão e exclua-a. Padrões de compliance: CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18
`Secrets in storage` Nome da categoria na API: `SECRETS_IN_STORAGE`	Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado. Recursos compatíveis: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Bucket do Amazon S3 Contêiner do Armazenamento de Blobs do Azure Remediação: Para dados Google Cloud , use a Proteção de Dados Sensíveis para executar uma verificação de inspeção detalhada do recurso especificado e identificar todos os recursos afetados. Para dados do Cloud SQL, exporte para um arquivo CSV ou AVRO em um bucket do Cloud Storage e execute uma verificação de inspeção detalhada do bucket. Para dados de outros provedores de nuvem, inspecione manualmente o bucket ou contêiner especificado. Remova os secrets detectados. Considere redefinir as credenciais. Para dados de Google Cloud , considere armazenar os secrets detectados no Secret Manager. Padrões de compliance: não mapeados

`Public sensitive data`

Nome da categoria na API:

PUBLIC_SENSITIVE_DATA

Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet.

Recursos compatíveis:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Bucket do Amazon S3
Contêiner do Armazenamento de Blobs do Azure

Remediação:

Para dados Google Cloud , remova allUsers e allAuthenticatedUsers da política do IAM do recurso de dados.

Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte Como configurar o bloqueio de acesso público para seus buckets do S3 e Como configurar ACLs na documentação da AWS.

Para dados do Azure Blob Storage, remova o acesso público ao contêiner e aos blobs. Para mais informações, consulte Visão geral: correção do acesso de leitura anônimo para dados de blob na documentação do Azure.

Padrões de compliance: não mapeados

`Secrets in environment variables`

Nome da categoria na API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais do Google Cloud , em variáveis de ambiente.

Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados confidenciais.

Recursos compatíveis:

Remediação:

Para variáveis de ambiente de funções do Cloud Run, remova o secret da variável de ambiente e armazene-o no Secret Manager.

Para variáveis de ambiente de revisão do serviço do Cloud Run, mova todo o tráfego da revisão e exclua-a.

Padrões de compliance:

CIS GCP Foundation 1.3: 1.18
CIS GCP Foundation 2.0: 1.18

`Secrets in storage`

Nome da categoria na API:

SECRETS_IN_STORAGE

Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado.

Recursos compatíveis:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Bucket do Amazon S3
Contêiner do Armazenamento de Blobs do Azure

Remediação:

Para dados Google Cloud , use a Proteção de Dados Sensíveis para executar uma verificação de inspeção detalhada do recurso especificado e identificar todos os recursos afetados. Para dados do Cloud SQL, exporte para um arquivo CSV ou AVRO em um bucket do Cloud Storage e execute uma verificação de inspeção detalhada do bucket.

Para dados de outros provedores de nuvem, inspecione manualmente o bucket ou contêiner especificado.
Remova os secrets detectados.
Considere redefinir as credenciais.
Para dados de Google Cloud , considere armazenar os secrets detectados no Secret Manager.

Padrões de compliance: não mapeados

Descobertas de configuração incorreta do serviço de descoberta da proteção de dados sensíveis

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você tem configurações incorretas que podem expor dados sensíveis.

Categoria Resumo

Categoria	Resumo
`Sensitive data CMEK disabled` Nome da categoria na API: `SENSITIVE_DATA_CMEK_DISABLED`	Descrição da descoberta: o recurso especificado tem dados de alta ou média sensibilidade e não está usando uma chave de criptografia gerenciada pelo cliente (CMEK). Recursos compatíveis: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Bucket do Amazon S3 Contêiner do Armazenamento de Blobs do Azure Remediação: Para dados do BigQuery, use a CMEK na tabela ou no conjunto de dados. Para dados do Cloud SQL, consulte a documentação da CMEK para Cloud SQL para MySQL ou Cloud SQL para PostgreSQL. Para dados do Cloud Storage, use a CMEK no bucket. Padrões de compliance: não mapeados

`Sensitive data CMEK disabled`

Nome da categoria na API:

SENSITIVE_DATA_CMEK_DISABLED

Descrição da descoberta: o recurso especificado tem dados de alta ou média sensibilidade e não está usando uma chave de criptografia gerenciada pelo cliente (CMEK).

Recursos compatíveis:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Bucket do Amazon S3
Contêiner do Armazenamento de Blobs do Azure

Remediação:

Para dados do BigQuery, use a CMEK na tabela ou no conjunto de dados.
Para dados do Cloud SQL, consulte a documentação da CMEK para Cloud SQL para MySQL ou Cloud SQL para PostgreSQL.
Para dados do Cloud Storage, use a CMEK no bucket.

Padrões de compliance: não mapeados

Descobertas de observação da proteção de dados confidenciais

Nesta seção, descrevemos as descobertas de observação geradas pela proteção de dados confidenciais no Security Command Center.

Descobertas de observação do serviço de descoberta

O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se os dados contêm infoTypes específicos e onde eles residem na sua organização, pastas e projetos. Ele gera as seguintes categorias de descoberta de observação no Security Command Center:

Data sensitivity: Uma indicação do nível de sensibilidade dos dados em um recurso de dados específico. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk: Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados sensíveis considera o nível de sensibilidade dos dados no recurso de dados e a presença de controles de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados sensíveis calculou ao gerar o perfil de dados.

Dependendo do tamanho da sua organização, as descobertas da Proteção de Dados Sensíveis podem começar a aparecer no Security Command Center alguns minutos depois que você ativa a descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.

Em seguida, a Proteção de Dados Sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.

Para informações sobre como enviar resultados de perfil de dados para o Security Command Center, consulte o seguinte:

Para o Security Command Center Enterprise: Ative a descoberta de dados sensíveis.
Para o Security Command Center Premium ou Standard: Publicar perfis de dados no Security Command Center.

Descobertas de observação do serviço de inspeção de proteção de dados confidenciais

Um job de inspeção da proteção de dados sensíveis identifica cada instância de dados de um infoType específico em um sistema de armazenamento, como um bucket do Cloud Storage ou uma tabela do BigQuery. Por exemplo, é possível executar um job de inspeção que procure todas as strings que correspondem ao detector de infoType CREDIT_CARD_NUMBER em um bucket do Cloud Storage.

Para cada detector de infoType que tem uma ou mais correspondências, a proteção de dados confidenciais gera uma descoberta correspondente do Security Command Center. A categoria de descoberta é o nome do detector de infoType que teve uma correspondência, por exemplo, Credit card number. A descoberta inclui o número de strings correspondentes que foram detectadas no texto ou nas imagens do recurso.

Por motivos de segurança, as strings reais detectadas não são incluídas na descoberta. Por exemplo, uma descoberta de Credit card number mostra quantos números de cartão de crédito foram encontrados, mas não os reais.

Como há mais de 150 detectores de infoType integrados na proteção de dados sensíveis, todas as categorias de descoberta possíveis do Security Command Center não estão listadas aqui. Para uma lista completa de detectores de infoType, consulte Referência de detectores de infoType.

Para informações sobre como enviar os resultados de um job de inspeção para o Security Command Center, consulte Enviar os resultados do job de inspeção de proteção de dados confidenciais para o Security Command Center.

Analise as descobertas da proteção de dados confidenciais no console

Padrão ou Premium

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto Google Cloud ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Proteção de dados sensíveis. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Enterprise

No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Acesse Descobertas no nível Enterprise
Selecione sua Google Cloud organização.
Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
Selecione Proteção de dados sensíveis. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Para usar o VM Manager com ativações em nível de projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.

Se você ativar o VM Manager com o nível Premium do Security Command Center, o VM Manager gravará automaticamente as descobertas de high e critical dos relatórios de vulnerabilidade, que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais (SO) instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. O VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Para corrigir as descobertas do VM Manager, consulte Como corrigir as descobertas do VM Manager.

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, consulte Desativar descobertas do VM Manager.

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Detector Resumo Configurações da verificação de recursos

Detector	Resumo	Configurações da verificação de recursos
`OS vulnerability` Nome da categoria na API: `OS_VULNERABILITY`	Descrição da descoberta: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir essa descoberta	Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). Para conferir uma lista completa de sistemas operacionais compatíveis, consulte Detalhes do sistema operacional. As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira: Quando um pacote é instalado ou atualizado no sistema operacional de uma VM, é possível ver informações de Vulnerabilidades e Exposições Comuns (CVEs) da VM no Security Command Center em até duas horas após a mudança. Quando novos avisos de segurança são publicados para um sistema operacional, as CVEs atualizadas normalmente ficam disponíveis em até 24 horas após o fornecedor do sistema operacional publicar o aviso.

`OS vulnerability`

Nome da categoria na API: OS_VULNERABILITY

Descrição da descoberta: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis

compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Para conferir uma lista completa de sistemas operacionais compatíveis, consulte Detalhes do sistema operacional.

As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

Quando um pacote é instalado ou atualizado no sistema operacional de uma VM, é possível ver informações de Vulnerabilidades e Exposições Comuns (CVEs) da VM no Security Command Center em até duas horas após a mudança.
Quando novos avisos de segurança são publicados para um sistema operacional, as CVEs atualizadas normalmente ficam disponíveis em até 24 horas após o fornecedor do sistema operacional publicar o aviso.

Avaliação de vulnerabilidades da AWS

O serviço de avaliação de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades de software nas suas cargas de trabalho em execução em máquinas virtuais (VMs) do EC2 na plataforma de nuvem da AWS.

Para cada vulnerabilidade detectada, a Vulnerability Assessment para AWS gera uma descoberta de classe Vulnerability na categoria Software vulnerability no Security Command Center.

O serviço de avaliação de vulnerabilidades da AWS verifica snapshots das instâncias de máquina do EC2 em execução, para que as cargas de trabalho de produção não sejam afetadas. Esse método de verificação é chamado de verificação de disco sem agente porque nenhum agente é instalado nos destinos da verificação.

Para ver mais informações, consulte os seguintes tópicos:

Avaliação de vulnerabilidades para Google Cloud

A avaliação de vulnerabilidades para o serviço Google Cloud detecta vulnerabilidades de software nos seguintes recursos na plataforma Google Cloud :

Execução de instâncias de VM do Compute Engine
Nós em clusters do GKE Standard
Contêineres em execução em clusters do GKE Standard e do GKE Autopilot

Para cada vulnerabilidade detectada, a verificação de vulnerabilidades para Google Cloud gera uma descoberta de classe Vulnerability na categoria de descoberta Software vulnerability ou OS vulnerability no Security Command Center.

A Avaliação de vulnerabilidades para o serviço Google Cloud verifica suas instâncias de VM do Compute Engine clonando os discos delas aproximadamente a cada 12 horas, montando-os em uma instância de VM segura e avaliando-os com o scanner SCALIBR.

Para mais informações, consulte Vulnerability Assessment para Google Cloud.

Web Security Scanner

O Web Security Scanner fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos da Web públicos do App Engine, GKE e do Compute Engine.

Verificações gerenciadas

As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam solicitações somente GET para que não enviem formulários em sites ativos.

As verificações gerenciadas são executadas separadamente das verificações personalizadas.

Se o Security Command Center estiver ativado no nível da organização, é possível usar verificações gerenciadas para gerenciar de maneira centralizada a detecção de vulnerabilidades de aplicativos da Web básicos em projetos da organização, sem precisar envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe com essas equipes para configurar verificações personalizadas mais abrangentes.

Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e nos relatórios relacionados. Para saber como ativar as verificações gerenciadas do Web Security Scanner, consulte Configurar serviços do Security Command Center.

As verificações gerenciadas só são compatíveis com aplicativos que usam a porta padrão, que é 80 para conexões HTTP e 443 para conexões HTTPS. Se o aplicativo usar uma porta não padrão, faça uma verificação personalizada.

Verificações personalizadas

As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre sites ou uso de conteúdo misto.

As verificações personalizadas são definidas no nível do projeto.

As descobertas da verificação personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar verificações personalizadas do Web Security Scanner.

Detectores e compliance

O Web Security Scanner é compatível com categorias do OWASP Top 10, um documento que classifica e fornece orientações de correção para os 10 riscos mais críticos de segurança de aplicativos da Web, conforme determinado pelos Open Web Application Security Project (OWASP). Para orientações sobre como reduzir os riscos do OWASP, consulte As 10 principais opções de mitigação do OWASP no Google Cloud.

O mapeamento de conformidade está incluído para referência e não é fornecido ou revisado pela OWASP Foundation.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Para mais informações, consulte Visão geral do Web Security Scanner.

Notebook Security Scanner

O Notebook Security Scanner é um serviço integrado de detecção de vulnerabilidades de pacotes do Security Command Center. Depois que o Notebook Security Scanner é ativado, ele verifica automaticamente os notebooks do Colab Enterprise (arquivos com a extensão ipynb) a cada 24 horas para detectar vulnerabilidades em pacotes do Python e publica essas descobertas na página Descobertas do Security Command Center.

Você pode usar o Notebook Security Scanner para notebooks do Colab Enterprise criados nas seguintes regiões: us-central1, us-east4, us-west1 e europe-west4.

Para começar a usar o Notebook Security Scanner, consulte Ativar e usar o Notebook Security Scanner.

Serviços de detecção de ameaças

Os serviços de detecção de ameaças incluem serviços integrados e integrados que detectam eventos que podem indicar eventos potencialmente nocivos, como recursos comprometidos ou ataques cibernéticos.

Detecção de anomalias

A detecção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Ela exibe informações granulares sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM), como possíveis credenciais vazadas. A detecção de anomalias é ativada automaticamente quando você ativa o nível Standard ou Premium do Security Command Center, e as descobertas estão disponíveis no console Google Cloud .

As descobertas da detecção de anomalias incluem:

Nome da anomalia Categoria da descoberta Descrição

Nome da anomalia	Categoria da descoberta	Descrição
`Account has leaked credentials`	`account_has_leaked_credentials`	As credenciais de uma Google Cloud conta de serviço são vazadas on-line ou comprometidas. Gravidade: crítica

`Account has leaked credentials`

account_has_leaked_credentials

As credenciais de uma Google Cloud conta de serviço são vazadas on-line ou comprometidas.

Gravidade: crítica

A conta vazou credenciais

O GitHub notificou o Security Command Center de que as credenciais usadas para uma confirmação parecem ser as credenciais de uma conta de serviço doGoogle Cloud Identity and Access Management.

A notificação inclui o nome da conta de serviço e o identificador da chave privada.O Google Cloud também envia uma notificação por e-mail ao contato designado para questões de segurança e privacidade.

Para corrigir esse problema, escolha uma ou mais das seguintes opções:

Identifique o usuário legítimo da chave.
Gire a chave.
Remova a chave.
Investigue as ações realizadas pela chave depois que ela foi vazada para garantir que nenhuma foi mal-intencionada.

JSON: descoberta de credenciais da conta vazadas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.

A instrumentação de detecção do Container Threat Detection coleta comportamentos de baixo nível no kernel convidado e executa o processamento de linguagem natural em códigos para detectar os seguintes eventos:

Added Binary Executed
Added Library Loaded
Command and Control: Steganography Tool Detected (Pré-lançamento)
Credential Access: Find Google Cloud Credentials
Credential Access: GPG Key Reconnaissance
Credential Access: Search Private Keys or Passwords
Defense Evasion: Base64 ELF File Command Line
Defense Evasion: Base64 Encoded Python Script Executed
Defense Evasion: Base64 Encoded Shell Script Executed
Defense Evasion: Launch Code Compiler Tool In Container (Pré-lançamento)
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Container Escape
Execution: Fileless Execution in /memfd:
Execution: Ingress Nightmare Vulnerability Execution (Pré-lançamento)
Execution: Kubernetes Attack Tool Execution
Execution: Local Reconnaissance Tool Execution
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Execution: Netcat Remote Code Execution In Container
Execution: Possible Remote Command Execution Detected (Pré-lançamento)
Execution: Program Run with Disallowed HTTP Proxy Env
Execution: Suspicious OpenSSL Shared Object Loaded
Exfiltration: Launch Remote File Copy Tools in Container
Impact: Detect Malicious Cmdlines (Pré-lançamento)
Impact: Remove Bulk Data From Disk
Impact: Suspicious crypto mining activity using the Stratum Protocol
Malicious Script Executed
Malicious URL Observed
Privilege Escalation: Fileless Execution in /dev/shm
Reverse Shell
Unexpected Child Shell

Saiba mais sobre o Container Threat Detection.

Event Threat Detection

O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ela observa o fluxo do Cloud Logging para projetos e consome registros à medida que eles são disponibilizados. Quando uma ameaça é detectada, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. O Event Threat Detection é ativado automaticamente quando você ativa o nível Premium do Security Command Center e as descobertas estão disponíveis no Google Cloud console.

A tabela a seguir lista exemplos de descobertas do Event Threat Detection.

**Tabela C.** de detecção de ameaças a eventos finding types
Destruição de dados	A detecção de ameaças a eventos detecta a destruição de dados examinando os registros de auditoria do servidor de gerenciamento de serviços de backup e DR nos seguintes cenários: Exclusão de uma imagem de backup Exclusão de todas as imagens de backup associadas a um aplicativo Exclusão de um dispositivo de backup/recuperação
Exfiltração de dados	O Event Threat Detection detecta a exfiltração de dados no BigQuery e do Cloud SQL examinando os registros de auditoria nestes cenários: Um recurso BigQuery é salvo fora da organização ou uma operação de cópia é bloqueada por meio do VPC Service Controls. Foi feita uma tentativa de acessar os recursos do BigQuery protegidos pelo VPC Service Controls. Um recurso do Cloud SQL é total ou parcialmente exportado para um bucket do Cloud Storage fora da organização ou para um bucket de propriedade da sua organização que pode ser acessado publicamente. Um backup do Cloud SQL é restaurado em uma instância do Cloud SQL fora da sua organização. Um recurso do BigQuery da sua organização é exportado para um bucket do Cloud Storage fora dela ou para um bucket da sua organização acessível publicamente. Um recurso do BigQuery da sua organização é exportado para uma pasta do Google Drive. Um recurso do BigQuery é salvo em um recurso público de propriedade da sua organização.
Atividade suspeita do Cloud SQL	O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos que podem indicar uma violação de uma conta de usuário válida em instâncias do Cloud SQL: Um usuário do banco de dados recebe todos os privilégios de um banco de dados do Cloud SQL para PostgreSQL ou de todas as tabelas, procedimentos ou funções em um esquema. Um superusuário da conta padrão do Cloud SQL (`postgres` em instâncias do PostgreSQL ou 'root' em instâncias do MySQL) é usado para gravar em tabelas que não são do sistema.Visualizar
Atividade suspeita do AlloyDB para PostgreSQL	O Event Threat Detection examina os registros de auditoria para detectar os seguintes eventos que podem indicar a violação de uma conta de usuário válida em instâncias do AlloyDB para PostgreSQL: Um usuário do banco de dados recebe todos os privilégios de um banco de dados do AlloyDB para PostgreSQL ou de todas as tabelas, procedimentos ou funções em um esquema. Um superusuário da conta de banco de dados padrão do AlloyDB para PostgreSQL (`postgres`) é usado para gravar em tabelas que não são do sistema.
Ataques de força bruta contra SSH	O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso.
Criptomineração	A detecção de ameaças de eventos detecta malware de mineração de moedas examinando os registros de fluxo da VPC e os registros do Cloud DNS em busca de conexões com domínios inválidos conhecidos ou endereços IP de pools de mineração.
Abuso do IAM	Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como: Como adicionar um usuário do gmail.com a uma política com o papel de editor do projeto. Convidar um usuário do gmail.com como proprietário do projeto no console Google Cloud . Conta de serviço que concede permissões confidenciais. O papel personalizado concedeu permissões confidenciais. Conta de serviço adicionada de fora da organização.
Inibir a recuperação do sistema	A detecção de ameaças a eventos detecta mudanças anômalas no Backup e DR que podem afetar a postura de backup, incluindo mudanças importantes na política e remoção de componentes críticos de backup e DR.
Log4j	A detecção de ameaças de eventos detecta possíveis tentativas de exploração do Log4j e vulnerabilidades ativas do Log4j.
Malware	O Event Threat Detection detecta malware examinando os Registros de fluxo da VPC e os registros do Cloud DNS em busca de conexões com domínios e IPs de comando e controle conhecidos.
DoS de saída	A detecção de ameaças de eventos examina os registros de fluxo da VPC para detectar negação de saída do tráfego de serviço.
Acesso anômalo	A detecção de ameaças de eventos detecta acesso anômalo examinando os registros de auditoria do Cloud para modificações de serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP de Tor.
Comportamento anômalo do IAM	O Event Threat Detection detecta um comportamento anômalo do IAM examinando os registros de auditoria do Cloud nos seguintes cenários: Contas de usuário e de serviço do IAM que acessam Google Cloud de endereços IP anômalos. Contas de serviço do IAM que acessam Google Cloud de user agents anômalos. Principais e recursos que se passam por contas de serviço do IAM para acessar Google Cloud.
Autoinvestigação da conta de serviço	O Event Threat Detection detecta quando uma credencial da conta de serviço é usada para investigar os papéis e as permissões associados a ela.
Chave SSH adicionada pelo administrador do Compute Engine	O Event Threat Detection detecta uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Script de inicialização adicionado pelo administrador do Compute Engine	O Event Threat Detection detecta uma modificação no valor do script de inicialização dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Atividade suspeita da conta	O Event Threat Detection detecta possíveis comprometimentos nas contas do Google Workspace examinando os registros de auditoria de atividades anômalas de contas, incluindo senhas vazadas e tentativas de login suspeito.
Ataque apoiado pelo governo	O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando invasores apoiados pelo governo podem ter tentado comprometer a conta ou o computador de um usuário.
Mudanças no Logon único (SSO)	O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando o SSO está desativado ou as configurações são alteradas para as contas de administrador do Google Workspace.
Verificação em duas etapas	O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando a verificação em duas etapas está desativada em contas de usuário e administrador.
Comportamento anômalo da API	A detecção de ameaças de eventos detecta um comportamento anômalo de API ao examinar os registros de auditoria do Cloud em busca de solicitações para os serviços do Google Cloud que um principal não viu antes.
Evasão de defesa	O Event Threat Detection detecta a Evasão de defesa examinando os Registros de auditoria do Cloud em busca dos seguintes cenários: Alterações nos perímetros atuais do VPC Service Controls que levariam a uma redução na proteção oferecida. Implantações ou atualizações em cargas de trabalho que usam a sinalização de acesso imediato para modificar os controles de autorização binária.^Visualizar Desative a política storage.secureHttpTransport no nível do projeto, da pasta ou da organização. Mude a configuração de filtragem de IP para um bucket do Cloud Storage.
Discovery	O Event Threat Detection detecta operações de descoberta examinando os registros de auditoria para os cenários a seguir: Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no GKE ela pode consultar usando o comando `kubectl`. Uma credencial de conta de serviço está sendo usada para investigar os papéis e as permissões associados a essa mesma conta de serviço.
Acesso inicial	O Event Threat Detection detecta operações de acesso inicial examinando os registros de auditoria para os seguintes cenários: Uma conta de serviço gerenciado pelo usuário inativa acionou uma ação.^Prévia Um principal tentou invocar vários métodos do Google Cloud , mas falhou repetidamente devido a erros de permissão negada.^Prévia
Escalonamento de privilégios	O Event Threat Detection detecta o escalonamento de privilégios no GKE examinando os registros de auditoria para os cenários a seguir: Para escalonar o privilégio, uma pessoa mal-intencionada tentou modificar um objeto de controle de acesso baseado em papéis (RBAC) `ClusterRole`, `RoleBinding` ou `ClusterRoleBinding` do papel sensível `cluster-admin` usando uma solicitação `PUT` ou `PATCH`. Uma pessoa possivelmente maliciosa criou uma solicitação de assinatura de certificado (CSR, na sigla em inglês) do plano de controle do Kubernetes, o que lhes dá acesso `cluster-admin`. Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou criar um novo objeto `RoleBinding` ou `ClusterRoleBinding` para o papel `cluster-admin`. Uma pessoa mal-intencionada consultada para uma solicitação de assinatura de certificado (CSR), com o comando `kubectl` usando credenciais de inicialização comprometida. Uma pessoa possivelmente mal-intencionada criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.
Detecções do Cloud IDS	O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando detecta um evento suspeito, aciona uma descoberta de detecção de ameaças a eventos. Para saber mais sobre as detecções do Cloud IDS, consulte as informações de geração de registros do Cloud IDS. ^Prévia
Movimentação lateral	A detecção de ameaças a eventos detecta possíveis ataques de disco de inicialização modificado examinando os Registros de auditoria do Cloud em busca de remoções e reconexões frequentes de disco de inicialização em instâncias do Compute Engine.

Saiba mais sobre o Event Threat Detection.

Google Cloud Armor

O Google Cloud Armor ajuda a proteger seu aplicativo fornecendo filtragem da camada 7. O Google Cloud Armor limpa solicitações recebidas para ataques comuns da Web ou outros atributos da Camada 7 para bloquear o tráfego antes que ele alcance os serviços ou buckets de back-end com balanceamento de carga.

O Google Cloud Armor exporta duas descobertas para o Security Command Center:

Detecção de ameaças a máquinas virtuais

A Detecção de ameaças a máquinas virtuais é um serviço integrado do Security Command Center disponível nos níveis Enterprise e Premium. Esse serviço verifica máquinas virtuais para detectar aplicativos potencialmente maliciosos, como software de mineração de criptomoedas, rootkits no modo kernel e malware em execução em ambientes de nuvem comprometidos.

A VM Threat Detection faz parte do pacote de detecção de ameaças do Security Command Center e foi projetada para complementar os recursos atuais do Event Threat Detection e do Container Threat Detection.

Para mais informações sobre a VM Threat Detection, consulte Visão geral da VM Threat Detection.

Descobertas de ameaças da VM Threat Detection

A VM Threat Detection pode gerar as seguintes ameaças.

Descobertas de ameaças de mineração de criptomoedas

A detecção de ameaças da VM detecta as seguintes categorias de descoberta usando correspondência de hash ou regras YARA.

Descobertas de ameaças de mineração de criptomoedas na detecção de ameaças de VM
Categoria	Módulo	Descrição
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Corresponde os hashes de memória da execução de programas a hashes de memória conhecidos de software de mineração de criptomoeda.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Corresponde aos padrões de memória, como constantes de prova de trabalho, conhecidas por serem usadas por software de mineração de criptomoeda.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica uma ameaça que foi detectada pelos módulos `CRYPTOMINING_HASH` e `CRYPTOMINING_YARA`. Para mais informações, consulte Detecções combinadas.

Descobertas de ameaças do rootkit no modo kernel

A VM Threat Detection analisa a integridade do kernel no ambiente de execução para detectar técnicas comuns de evasão usadas por malware.

O módulo KERNEL_MEMORY_TAMPERING detecta ameaças fazendo uma comparação de hash no código e na memória de dados somente leitura do kernel de uma máquina virtual.

O módulo KERNEL_INTEGRITY_TAMPERING detecta ameaças verificando a integridade de estruturas de dados importantes do kernel.

Descobertas de ameaças do rootkit no modo kernel da VM Threat Detection
Categoria	Módulo	Descrição
Rootkit
`Defense Evasion: Rootkit`	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Uma combinação de indicadores que correspondem a um rootkit de modo kernel conhecido está presente. Para receber descobertas dessa categoria, verifique se os dois módulos estão ativados.
Adulteração de memória do kernel
`Defense Evasion: Unexpected kernel read-only data modification`	`KERNEL_MEMORY_TAMPERING`	Há modificações inesperadas da memória de dados somente leitura do kernel.
Adulteração de integridade do kernel
`Defense Evasion: Unexpected ftrace handler`	`KERNEL_INTEGRITY_TAMPERING`	Os pontos `ftrace` estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
`Defense Evasion: Unexpected interrupt handler`	`KERNEL_INTEGRITY_TAMPERING`	São interrompidos os gerenciadores que não estão nas regiões esperadas de kernel ou módulo de código.
`Defense Evasion: Unexpected kernel modules`	`KERNEL_INTEGRITY_TAMPERING`	As páginas de código do kernel que não estão nas regiões de código de kernel ou módulo esperadas estão presentes.
`Defense Evasion: Unexpected kprobe handler`	`KERNEL_INTEGRITY_TAMPERING`	Os pontos `kprobe` estão presentes com callbacks que apontam para regiões que não estão no intervalo de código do módulo ou kernel esperado.
`Defense Evasion: Unexpected processes in runqueue`	`KERNEL_INTEGRITY_TAMPERING`	Há processos inesperados na fila de execução do programador. Esses processos estão na fila de execução, mas não na lista de tarefas do processo.
`Defense Evasion: Unexpected system call handler`	`KERNEL_INTEGRITY_TAMPERING`	Os gerenciadores de chamadas do sistema que não estão nas regiões de código de módulo ou kernel esperado estão presentes.

Erros

Os detectores de erro ajudam a detectar erros na configuração que impedem as fontes de segurança de gerar descobertas. As descobertas de erro são geradas pela fonte de segurança Security Command Center e têm a classe de descoberta SCC errors.

Ações acidentais

As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.

Ações acidentais
Nome da categoria	Nome da API	Resumo	Gravidade
`API disabled`	`API_DISABLED`	Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 60 horas Corrigir essa descoberta	Crítica
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor. Esse erro pode ter uma das seguintes causas: Nenhuma das configurações de valor de recurso corresponde a nenhuma instância de recurso. Uma ou mais configurações de valor de recurso que especificam `NONE` substituem todas as outras configurações válidas. Todas as configurações de valor de recurso definidas especificam um valor de `NONE`. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organizations Verificações em lote: antes de cada simulação de caminho de ataque. Corrigir essa descoberta	Crítica
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor. O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta `SCC Error` no console Google Cloud . As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organizations Verificações em lote: antes de cada simulação de caminho de ataque. Corrigir essa descoberta	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descrição da descoberta: o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) de `gcr.io`, o Host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection. A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrição da descoberta:o Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes que o Container Threat Detection exige. Quando visualizados no console Google Cloud , os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: semanalmente Corrigir essa descoberta	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada seis horas Corrigir essa descoberta	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica

Para saber mais, consulte Erros do Security Command Center.

A seguir

Saiba mais sobre o Security Command Center na visão geral do Security Command Center.
Saiba como adicionar novas fontes de segurança ao configurar os serviços do Security Command Center.

Serviços de detecção Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Serviços de detecção de vulnerabilidades

Avaliação de vulnerabilidades do Artifact Registry

Ativar as descobertas da avaliação de vulnerabilidades do Artifact Registry

Desativar descobertas da avaliação de vulnerabilidades do Artifact Registry

Detectores de avaliação de vulnerabilidades do Artifact Registry

Ver descobertas da avaliação de vulnerabilidade do Artifact Registry no console

Painel de postura de segurança do GKE

Ver descobertas do painel de postura de segurança do GKE no console

Padrão ou Premium

Enterprise

Recomendador IAM

Ativar ou desativar as descobertas do recomendador do IAM

Detectores de recomendador do IAM

IAM role has excessive permissions

Service agent role replaced with basic role

Service agent granted basic role

Unused IAM role

Conferir descobertas do recomendador do IAM no console

Padrão ou Premium

Enterprise

Gerenciamento de superfície de ataque da Mandiant

Analisar as descobertas do Mandiant Attack Surface Management no console

Padrão ou Premium

Enterprise

Model Armor

Descobertas de vulnerabilidades do serviço Model Armor

Floor settings violation

Policy Controller

Mecanismo de risco

Security Health Analytics

Serviço de postura de segurança

Descobertas do serviço de postura de segurança

SHA Canned Module Drifted

SHA Custom Module Drifted

SHA Custom Module Deleted

Org Policy Canned Constraint Drifted

Org Policy Canned Constraint Deleted

Org Policy Custom Constraint Drifted

Org Policy Custom Constraint Deleted

Proteção de dados sensíveis

Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais

Public sensitive data

Secrets in environment variables

Secrets in storage

Descobertas de configuração incorreta do serviço de descoberta da proteção de dados sensíveis

Sensitive data CMEK disabled

Descobertas de observação da proteção de dados confidenciais

Descobertas de observação do serviço de descoberta

Descobertas de observação do serviço de inspeção de proteção de dados confidenciais

Analise as descobertas da proteção de dados confidenciais no console

Padrão ou Premium

Enterprise

VM Manager

OS vulnerability

Avaliação de vulnerabilidades da AWS

Avaliação de vulnerabilidades para Google Cloud

Web Security Scanner

Verificações gerenciadas

Verificações personalizadas

Detectores e compliance

Notebook Security Scanner

Serviços de detecção de ameaças

Detecção de anomalias

Account has leaked credentials

A conta vazou credenciais

JSON: descoberta de credenciais da conta vazadas

Container Threat Detection

Event Threat Detection

Destruição de dados

Exfiltração de dados

Atividade suspeita do Cloud SQL

Atividade suspeita do AlloyDB para PostgreSQL

Ataques de força bruta contra SSH

Criptomineração

Abuso do IAM

Inibir a recuperação do sistema

Log4j

Malware

DoS de saída

Serviços de detecção

`IAM role has excessive permissions`

`Service agent role replaced with basic role`

`Service agent granted basic role`

`Unused IAM role`

`Floor settings violation`

`SHA Canned Module Drifted`

`SHA Custom Module Drifted`

`SHA Custom Module Deleted`

`Org Policy Canned Constraint Drifted`

`Org Policy Canned Constraint Deleted`

`Org Policy Custom Constraint Drifted`

`Org Policy Custom Constraint Deleted`

`Public sensitive data`

`Secrets in environment variables`

`Secrets in storage`

`Sensitive data CMEK disabled`

`OS vulnerability`

`Account has leaked credentials`

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`

`Execution: Cryptocurrency Mining Combined Detection`

`Defense Evasion: Rootkit`

`Defense Evasion: Unexpected kernel read-only data modification`

`Defense Evasion: Unexpected ftrace handler`

`Defense Evasion: Unexpected interrupt handler`

`Defense Evasion: Unexpected kernel modules`

`Defense Evasion: Unexpected kprobe handler`

`Defense Evasion: Unexpected processes in runqueue`

`Defense Evasion: Unexpected system call handler`

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`Security Command Center service account missing permissions`