偵測服務

本頁面列出 Security Command Center 用於偵測雲端環境安全性問題的偵測服務 (有時也稱為安全性來源)。

這些服務偵測到問題時，會產生發現結果，也就是識別安全性問題的記錄，並提供您優先處理及解決問題所需的資訊。

您可以在 Google Cloud 控制台中查看發現項目，並以多種不同方式篩選，例如依發現項目類型、資源類型或特定資產篩選。每個安全性來源可能會提供更多篩選器，協助您整理發現項目。

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源，取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色，請參閱存取權控管。

安全漏洞偵測服務

安全漏洞偵測服務包括內建和整合式服務，可偵測雲端環境中的軟體安全漏洞、錯誤設定和狀態違規情形。這些類型的安全問題統稱為「安全漏洞」。

Artifact Registry 安全漏洞評估

Artifact Registry 安全漏洞評估是一項偵測服務，可提醒您已部署的容器映像檔中是否有安全漏洞。

在下列情況下，這項偵測服務會產生容器映像檔的安全漏洞發現：

• 容器映像檔會儲存在 Artifact Registry 中。

• 容器映像檔會部署至下列其中一項資產：

  • Google Kubernetes Engine 叢集
  • Cloud Run 服務
  • Cloud Run 工作
  • App Engine

如果容器映像檔不符合這項條件，Artifact Registry 漏洞評估就不會產生相關發現項目。

產生 Artifact Registry 安全漏洞評估結果後，您最多可在上次掃描容器映像檔的五週後查詢結果。如要進一步瞭解 Security Command Center 資料保留機制，請參閱「資料保留」。

啟用 Artifact Registry 安全漏洞評估結果

如要讓 Artifact Registry 安全漏洞評估功能在 Security Command Center 中，針對儲存在 Artifact Registry 的已部署容器映像檔產生發現項目，您必須為專案啟用 Container Scanning API。

如果您尚未啟用 Container Scanning API，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Container Scanning API」頁面。

   前往 Container Scanning API

2. 選取要啟用 Container Scanning API 的專案。

3. 按一下「啟用」。

Security Command Center 會顯示掃描結果，指出哪些易受攻擊的容器映像檔已部署至適用的執行階段資產。不過，偵測服務的運作方式會因啟用 Security Command Center 和 Container Scanning API 的時間而異。

停用 Artifact Registry 安全漏洞評估結果

如要停用 Artifact Registry 安全漏洞評估結果，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往 Container Scanning API 的「API/Service Details」(API/服務詳細資料) 頁面。

   前往「API/服務詳細資料」頁面

2. 選取要停用 Container Scanning API 的專案。

3. 點選「停用 API」。

Security Command Center 不會顯示日後容器映像檔掃描偵測到的安全漏洞發現項目。在執行最後一次容器映像檔掃描後，Security Command Center 至少會保留現有的 Artifact Registry 安全漏洞評估結果 35 天。如要進一步瞭解 Security Command Center 資料保留機制，請參閱「資料保留」。

您也可以在 Security Command Center 設定中停用安全漏洞評估來源 ID，藉此停用 Artifact Registry 安全漏洞評估功能，但我們不建議這麼做。停用 Vulnerability Assessment 來源 ID 後，系統會停用 Vulnerability Assessment 來源 ID 底下分類的所有偵測服務。因此，我們建議您按照上述程序停用 Container Scanning API。

在控制台中查看 Artifact Registry 安全漏洞評估結果

1. 在 Google Cloud 控制台中，前往 Security Command Center 的「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分中，選取「弱點評估」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如有) 可採取哪些步驟來修正發現項目。
6. 選用：如要查看調查結果的完整 JSON 定義，請按一下「JSON」JSON分頁。

GKE 安全防護機制資訊主頁

GKE 安全防護機制資訊主頁是Google Cloud 控制台中的頁面，可提供具體可行的發現，協助您瞭解 GKE 叢集中的潛在安全性問題。

啟用下列任一項 GKE 安全防護機制資訊主頁功能後，您會在 Security Command Center Standard 方案或 Premium 方案中看到發現項目：

調查結果會顯示安全性問題的相關資訊，並提供建議，協助您解決工作負載或叢集中的問題。

在控制台中查看 GKE 安全防護機制資訊主頁的調查結果

IAM 推薦功能

IAM 建議工具會產生建議，供您移除或替換主體的身分與存取權管理角色，藉此提升安全性。如果這些角色包含主體不需要的身分與存取權管理權限，建議工具就會提供相關建議。

啟用 Security Command Center 時，系統會自動啟用 IAM 建議工具。

啟用或停用 IAM 推薦事項

如要在 Security Command Center 中啟用或停用 IAM 建議事項，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的 Security Command Center「設定」頁面，然後點選「整合式服務」分頁：

   前往「整合式服務」

2. 前往「IAM 推薦功能」項目。

3. 在項目右側選取「啟用」或「停用」。

身分與存取權管理推薦工具的發現項目會歸類為安全漏洞。

如要修正 IAM 推薦功能發現的問題，請展開下列章節，查看 IAM 推薦功能發現問題的表格。表格項目中會列出每項發現的修正步驟。

在控制台中查看 IAM 推薦功能結果

選取與服務層級相關的分頁標籤。

在 Premier 方案中，您也可以選取 IAM 建議工具查詢預設集，在「安全漏洞」頁面查看 IAM 建議工具的結果。

Mandiant Attack Surface Management

Mandiant 是全球第一線威脅情報的領導者。Mandiant Attack Surface Management 會找出外部攻擊面中的安全漏洞和錯誤設定，協助您防範最新的網路攻擊。

啟用 Security Command Center Enterprise 方案後，系統會自動啟用 Mandiant Attack Surface Management，您可以在 Google Cloud 控制台中查看發現項目。

如要瞭解獨立的 Mandiant Attack Surface Management 產品與 Security Command Center 整合的 Mandiant Attack Surface Management 有何不同，請參閱 Mandiant 文件入口網站上的「ASM and Security Command Center」。這個連結需要 Mandiant 驗證。

在控制台中查看 Mandiant Attack Surface Management 發現的結果

Security Command Center 和 Mandiant Attack Surface Management 都不會將發現項目標示為已解決。解決問題後，您可以手動將問題標示為已解決。如果下次 Mandiant Attack Surface Management 掃描未發現該問題，就會維持解決狀態。

Model Armor

Model Armor 是一項全代管 Google Cloud 服務，可篩選 LLM 提示和回覆，提升 AI 應用程式的安全性和防護能力。

Model Armor 服務發現的安全漏洞

Policy Controller

Policy Controller 可對 Kubernetes 叢集套用並強制執行可設定的政策。這些政策可以做為防護機制，協助您管理叢集和機群的最佳做法、安全性與法規遵循事宜。

如果您安裝 Policy Controller，並啟用任何 Policy Controller 套裝組合，Policy Controller 就會自動將叢集違規事項寫入 Security Command Center，做為 Misconfiguration 類別的發現項目。Security Command Center 發現項目的說明和後續步驟，與對應 Policy Controller 套件的限制說明和補救步驟相同。

Policy Controller 發現項目來自下列 Policy Controller 套裝組合：

• CIS Kubernetes 基準 v.1.5.1，這是一組建議，可協助您設定 Kubernetes 來支援功能強大的安全防護措施。您也可以在 cis-k8s-v1.5.1 的 GitHub 存放區中查看這個套件組合的相關資訊。
• PCI-DSS v3.2.1：這個套裝組合會評估叢集資源是否符合付款卡產業資料安全標準 (PCI-DSS) v3.2.1 的某些部分。您也可以在 pci-dss-v3 的 GitHub 存放區中查看這個套件組合的相關資訊。

如要找出並修正 Policy Controller 發現的問題，請參閱「修正 Policy Controller 發現的問題」。

風險引擎

Security Command Center 風險引擎會評估雲端部署作業的風險暴露程度，為安全漏洞發現項目和高價值資源指派受攻擊風險分數，並繪製潛在攻擊者可能採取的路徑，以取得高價值資源。

在 Security Command Center 的 Enterprise 方案中，風險引擎會偵測到多個安全性問題。當這些問題以特定模式同時發生時，就會形成攻擊路徑，讓有心人士可能藉此存取並入侵一或多個高價值資源。

如果風險引擎偵測到其中一種組合，就會產生 TOXIC_COMBINATION 類別的發現項目。在發現項目中，「風險引擎」會列為發現項目的來源。

風險引擎也會找出多個攻擊路徑匯聚的常見資源或資源群組，然後產生 CHOKEPOINT 類別的發現項目。

詳情請參閱「有害組合和瓶頸總覽」。

安全性狀態分析

安全性狀態分析是 Security Command Center 的內建偵測服務，可對雲端資源執行代管掃描，偵測常見的錯誤設定。

偵測到錯誤設定時，Security Health Analytics 會產生發現項目。 大多數的 Security Health Analytics 發現項目都會對應至安全標準控制項，方便您評估法規遵循情形。

安全狀態分析會在 Google Cloud掃描資源，如果您使用 Enterprise 方案並建立與其他雲端平台的連線，安全性狀態分析也能掃描這些雲端平台上的資源。

可用的偵測器會因您使用的 Security Command Center 服務層級而異：

• 在 Standard 級中，安全性狀態分析只包含一組基本的中等嚴重性和高嚴重性安全漏洞偵測器。
• Premium 級方案包含 Google Cloud的所有安全漏洞偵測工具。
• Enterprise 級別包含其他雲端平台的額外偵測器。

啟用 Security Command Center 時，系統會自動啟用安全狀態分析。

如需詳細資訊，請參閱：

• Security Health Analytics 總覽
• 如何使用 Security Health Analytics
• 修正 Security Health Analytics 發現項目
• Security Health Analytics 發現項目參考資料

安全防護機制服務

安全狀態服務是 Security Command Center 進階方案的內建服務，可讓您定義、評估及監控 Google Cloud的整體安全狀態。並提供相關資訊，說明您的環境是否符合您在安全防護機制中定義的政策。

安全防護機制服務與 GKE 安全防護機制資訊主頁無關，後者只會顯示 GKE 叢集中的發現項目。

Sensitive Data Protection

Sensitive Data Protection 是一項全代管 Google Cloud 服務，可協助您探索、分類及保護機密資料。您可以透過 Sensitive Data Protection 判斷是否儲存機密或個人識別資訊 (PII)，例如：

• 人名
• 信用卡號碼
• 國民身分證字號或州/省身分證字號
• 健康保險 ID 號碼
• 密鑰

在 Sensitive Data Protection 中，您搜尋的每種機密資料都稱為 infoType。

如果您將 Sensitive Data Protection 作業設為將結果傳送至 Security Command Center，除了 Sensitive Data Protection 專區外，您也可以直接在 Google Cloud 控制台的 Security Command Center 專區中查看發現項目。

Sensitive Data Protection 探索服務發現的安全性漏洞

Sensitive Data Protection 探索服務可協助您判斷是否儲存未受保護的高度機密資料。

Sensitive Data Protection 探索服務發現的錯誤設定

Sensitive Data Protection 探索服務可協助您判斷是否有可能導致機密資料外洩的設定錯誤。

Sensitive Data Protection 的觀察結果

本節說明 Sensitive Data Protection 在 Security Command Center 中產生的觀察結果。

探索服務的觀察結果

Sensitive Data Protection 探索服務可協助您判斷資料是否含有特定 infoType，以及這些 infoType 在貴機構、資料夾和專案中的存放位置。並在 Security Command Center 中產生下列觀察發現項目類別：

Data sensitivity

指出特定資料資產中資料的機密程度。如果資料中包含個人識別資訊或其他可能需要進一步控管或管理的元素，就會將其視為機密資料。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料剖析檔時計算出的機密程度。

Data risk

資料在目前狀態下的風險。計算資料風險時，Sensitive Data Protection 會考量資料資產中資料的機密程度，以及是否有存取權控管機制可以保護該項資料。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料設定檔時計算出的資料風險等級。

視貴機構規模而定，啟用機密資料探索功能後，幾分鐘內 Security Command Center 就會開始顯示 Sensitive Data Protection 發現項目。如果組織規模較大，或有影響發現項目生成的特定設定，Security Command Center 最多可能需要 12 小時，才會顯示初始發現項目。

隨後，Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內，在 Security Command Center 中產生發現項目。

如要瞭解如何將資料剖析檔結果傳送至 Security Command Center，請參閱下列文章：

• 如果是 Security Command Center Enterprise：啟用機密資料探索功能。
• Security Command Center Premium 或 Standard：將資料剖析檔發布至 Security Command Center。

Sensitive Data Protection 檢查服務的觀察結果

Sensitive Data Protection 檢查工作會找出儲存系統 (例如 Cloud Storage 值區或 BigQuery 資料表) 中，特定 infoType 的每個資料例項。舉例來說，您可以執行檢查工作，在 Cloud Storage 值區中搜尋符合 CREDIT_CARD_NUMBER infoType 偵測工具的所有字串。

如果每個 infoType 偵測工具都有一或多個相符項目，Sensitive Data Protection 就會產生對應的 Security Command Center 發現項目。發現項目類別是相符的 infoType 偵測工具名稱，例如 Credit card number。這項發現包括在資源的文字或圖片中偵測到的相符字串數量。

基於安全考量，發現項目不會包含偵測到的實際字串。舉例來說，Credit card number 發現項目會顯示找到的信用卡號碼數量，但不會顯示實際的信用卡號碼。

由於 Sensitive Data Protection 內建超過 150 種 infoType 偵測工具，因此這裡不會列出所有可能的 Security Command Center 發現項目類別。如需 infoType 偵測工具的完整清單，請參閱 InfoType 偵測工具參考資料。

如要瞭解如何將檢查作業結果傳送至 Security Command Center，請參閱「將 Sensitive Data Protection 檢查作業結果傳送至 Security Command Center」。

在主控台中查看 Sensitive Data Protection 發現項目

VM 管理員

VM 管理員是一套工具，可用來管理在 Compute Engine 上執行 Windows 和 Linux 的大型虛擬機器 (VM) 機群作業系統。

如要透過專案層級啟用的 Security Command Center Premium 使用 VM Manager，請在父項機構中啟用 Security Command Center Standard。

如果您使用 Security Command Center 進階方案啟用 VM 管理員，VM 管理員會自動透過安全漏洞報表 (預先發布版) 將 high 和 critical 發現項目寫入 Security Command Center。這些報告會找出 VM 安裝的作業系統 (OS) 安全漏洞，包括常見安全漏洞與弱點 (CVE)。

安全漏洞報告不適用於 Security Command Center Standard。

調查結果可簡化使用 VM 管理工具修補程式合規功能 (預先發布版) 的程序。這項功能可讓您在所有專案中，於機構層級執行修補程式管理。VM 管理員支援單一專案層級的修補程式管理。

如要修正 VM 管理員發現項目，請參閱「修正 VM 管理員發現項目」。

如要停止將安全漏洞報表寫入 Security Command Center，請參閱「略過 VM 管理員發現項目」。

這類安全漏洞都與受支援的 Compute Engine VM 中安裝的作業系統套件有關。

AWS 安全漏洞評估

Amazon Web Services (AWS) 的安全漏洞評估服務會偵測在 AWS 雲端平台 EC2 虛擬機器 (VM) 上執行的工作負載中，是否有軟體安全漏洞。

針對偵測到的每個安全漏洞，AWS 適用的安全漏洞評估功能會在 Security Command Center 的 Software vulnerability 發現項目類別中，產生 Vulnerability 類別的發現項目。

AWS 安全漏洞評估服務會掃描執行中 EC2 機器執行個體的快照，因此不會影響正式版工作負載。這種掃描方法稱為「無代理程式磁碟掃描」，因為掃描目標未安裝任何代理程式。

如要瞭解詳情，請參考下列資源：

• AWS 安全漏洞評估總覽
• 啟用及使用 AWS 安全漏洞評估

「 Google Cloud」的弱點評估

安全漏洞評估服務會偵測 Google Cloud 平台下列資源中的軟體安全漏洞： Google Cloud

• 執行 Compute Engine VM 執行個體
• GKE Standard 叢集中的節點
• 在 GKE Standard 和 GKE Autopilot 叢集中執行的容器

針對偵測到的每個安全漏洞， Google Cloud 安全漏洞評估功能會在 Security Command Center 的 Software vulnerability 或 OS vulnerability 發現項目類別中，產生 Vulnerability 類別的發現項目。

Vulnerability Assessment for Google Cloud 服務會掃描您的 Compute Engine VM 執行個體，方法是每隔約 12 小時複製磁碟、在安全 VM 執行個體中掛接磁碟，然後使用 SCALIBR 掃描器評估磁碟。

詳情請參閱「Vulnerability Assessment for Google Cloud」。

Web Security Scanner

Web Security Scanner 可針對公開的 App Engine、GKE 和 Compute Engine 服務網頁應用程式，提供代管和自訂的網頁安全漏洞掃描。

代管掃描作業

Web Security Scanner 代管掃描作業由 Security Command Center 設定及管理。系統每週會自動執行一次受管理掃描，偵測及掃描公開網路端點。這些掃描作業不會使用驗證，且只會傳送 GET 請求，因此不會在實際運作的網站上提交任何表單。

系統會分開執行管理型掃描和自訂掃描。

如果 Security Command Center 是在機構層級啟用，您可以使用受管理掃描功能，集中管理機構中專案的基本網頁應用程式安全漏洞偵測，不必個別通知專案團隊。發現結果後，您可以與這些團隊合作，設定更全面的自訂掃描。

啟用 Web Security Scanner 服務後，Security Command Center 的「安全漏洞」頁面和相關報表就會自動顯示代管掃描的發現項目。如要瞭解如何啟用 Web Security Scanner 受管理掃描，請參閱「設定 Security Command Center 服務」。

受管理掃描僅支援使用預設通訊埠的應用程式，也就是 HTTP 連線的通訊埠 80，以及 HTTPS 連線的通訊埠 443。如果應用程式使用非預設通訊埠，請改為執行自訂掃描。

自訂掃描

Web Security Scanner 自訂掃描功能可提供應用程式安全漏洞的詳細資訊，例如過時的程式庫、跨網站指令碼攻擊或混合式內容的使用情形。

您可以在專案層級定義自訂掃描。

完成設定 Web Security Scanner 自訂掃描的指南後，您可以在 Security Command Center 中查看自訂掃描結果。

偵測工具和法規遵循

Web Security Scanner 支援 OWASP Top Ten 中的類別。這份文件列出前 10 大最嚴重的網頁應用程式安全性風險，並提供補救措施指引。這些風險是由 Open Web Application Security Project (OWASP) 判定。如需防範 OWASP 風險的指引，請參閱 Google Cloud 的 OWASP 前 10 名緩解選項。

合規性對應僅供參考，並非由 OWASP 基金會提供或審查。

這項功能僅供您監控是否違反法規遵循控管措施。這些對應表不得做為您產品或服務是否符合任何法規或產業基準/標準的稽核、認證或合規報告依據或替代方案。

詳情請參閱「Web Security Scanner 總覽」。

Notebook Security Scanner

Notebook Security Scanner 是 Security Command Center 的內建套件安全漏洞偵測服務。啟用 Notebook Security Scanner 後，系統會每 24 小時自動掃描 Colab Enterprise 筆記本 (副檔名為 ipynb 的檔案)，偵測 Python 套件中的安全漏洞，並將這些發現結果發布至 Security Command Center 的「發現」頁面。

您可以使用筆記本安全性掃描器，掃描在下列區域建立的 Colab Enterprise 筆記本：us-central1、us-east4、us-west1 和 europe-west4。

如要開始使用 Notebook Security Scanner，請參閱「啟用及使用 Notebook Security Scanner」。

威脅偵測服務

威脅偵測服務包括內建和整合式服務，可偵測可能有害的事件，例如資源遭入侵或網路攻擊。

異常偵測

異常偵測是內建服務，會使用您系統以外的行為信號。如果偵測到專案和虛擬機器 (VM) 執行個體出現安全性異常狀況，例如憑證可能遭到外洩，這項服務就會提供詳細資訊。啟用 Security Command Center Standard 或 Premium 級時，系統會自動啟用異常偵測功能，您可以在 Google Cloud 控制台中查看結果。

異常偵測結果包括：

帳戶憑證外洩

GitHub 通知 Security Command Center，用於提交的憑證似乎是Google Cloud Identity and Access Management 服務帳戶的憑證。

通知會包含服務帳戶名稱和私密金鑰 ID。 Google Cloud 也會透過電子郵件，將通知傳送給指定的安全性和隱私權問題聯絡人。

如要解決這個問題，請採取下列一或多項做法：

• 確認金鑰的合法使用者。
• 輪替金鑰。
• 取下鑰匙。
• 調查金鑰洩漏後，金鑰執行的所有動作，確保沒有惡意動作。

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection 可偵測最常見的容器執行階段攻擊，並在 Security Command Center 中發出警報，您也可以選擇在 Cloud Logging 中發出警報。Container Threat Detection 包含多種偵測功能、分析工具和 API。

Container Threat Detection 偵測儀器會收集客層核心中的低階行為，並對程式碼執行自然語言處理，以偵測下列事件：

• Added Binary Executed
• Added Library Loaded
• Command and Control: Steganography Tool Detected (預覽)
• Credential Access: Find Google Cloud Credentials
• Credential Access: GPG Key Reconnaissance
• Credential Access: Search Private Keys or Passwords
• Defense Evasion: Base64 ELF File Command Line
• Defense Evasion: Base64 Encoded Python Script Executed
• Defense Evasion: Base64 Encoded Shell Script Executed
• Defense Evasion: Launch Code Compiler Tool In Container (預覽)
• Execution: Added Malicious Binary Executed
• Execution: Added Malicious Library Loaded
• Execution: Built in Malicious Binary Executed
• Execution: Container Escape
• Execution: Fileless Execution in /memfd:
• Execution: Ingress Nightmare Vulnerability Execution (預覽)
• Execution: Kubernetes Attack Tool Execution
• Execution: Local Reconnaissance Tool Execution
• Execution: Malicious Python executed
• Execution: Modified Malicious Binary Executed
• Execution: Modified Malicious Library Loaded
• Execution: Netcat Remote Code Execution In Container
• Execution: Possible Remote Command Execution Detected (預覽)
• Execution: Program Run with Disallowed HTTP Proxy Env
• Execution: Suspicious OpenSSL Shared Object Loaded
• Exfiltration: Launch Remote File Copy Tools in Container
• Impact: Detect Malicious Cmdlines (預覽)
• Impact: Remove Bulk Data From Disk
• Impact: Suspicious crypto mining activity using the Stratum Protocol
• Malicious Script Executed
• Malicious URL Observed
• Privilege Escalation: Fileless Execution in /dev/shm
• Reverse Shell
• Unexpected Child Shell

進一步瞭解 Container Threat Detection。

Event Threat Detection

Event Threat Detection 會使用系統「內部」的記錄資料。這項服務會監控專案的 Cloud Logging 串流，並在記錄檔可用時使用。偵測到威脅時，Event Threat Detection 會將發現項目寫入 Security Command Center 和 Cloud Logging 專案。啟用 Security Command Center 進階方案後，系統會自動啟用 Event Threat Detection，您可以在Google Cloud 控制台中查看發現項目。

下表列出 Event Threat Detection 發現項目的範例。

進一步瞭解 Event Threat Detection。

Google Cloud Armor

Google Cloud Armor 提供第 7 層篩選功能，有助於保護應用程式。Google Cloud Armor 會清除常見的網路攻擊或其他第 7 層屬性，以防流量抵達負載平衡後端服務或後端值區。

Google Cloud Armor 會將兩項發現項目匯出至 Security Command Center：

• 允許的流量暴增

• 拒絕率提高

Virtual Machine Threat Detection

Virtual Machine Threat Detection 是 Security Command Center 的內建服務，適用於 Enterprise 和 Premium 方案。這項服務會掃描虛擬機器，偵測潛在的惡意應用程式，例如加密貨幣挖礦軟體、核心模式 Rootkit，以及在遭駭雲端環境中執行的惡意軟體。

VM 威脅偵測是 Security Command Center 威脅偵測套件的一部分，旨在輔助 Event Threat Detection 和 Container Threat Detection 的現有功能。

如要進一步瞭解 VM 威脅偵測，請參閱 VM 威脅偵測總覽。

VM 威脅偵測威脅發現項目

VM 威脅偵測可產生下列威脅發現。

加密貨幣挖礦威脅調查結果

VM 威脅偵測會透過雜湊比對或 YARA 規則，偵測下列發現項目類別。

核心模式 Rootkit 威脅發現項目

VM 威脅偵測會在執行階段分析核心完整性，偵測惡意軟體使用的常見規避技術。

KERNEL_MEMORY_TAMPERING 模組會比較虛擬機器的核心程式碼和核心唯讀資料記憶體的雜湊值，藉此偵測威脅。

KERNEL_INTEGRITY_TAMPERING 模組會檢查重要核心資料結構的完整性，藉此偵測威脅。

錯誤

錯誤偵測器可協助您偵測設定中的錯誤，避免安全來源無法產生調查結果。錯誤發現項目是由 Security Command Center 安全性來源產生，且發現項目類別為 SCC errors。

誤觸動作

下列發現項目類別代表可能因無意間的動作而導致的錯誤。

詳情請參閱「Security Command Center 錯誤」。

後續步驟

• 請參閱「Security Command Center 總覽」，瞭解 Security Command Center。
• 瞭解如何設定 Security Command Center 服務，新增安全防護來源。