此页面由 Cloud Translation API 翻译。

漏洞发现结果

Security Health Analytics 和 Web Security Scanner 检测器会生成 Security Command Center 中提供的漏洞发现结果。在 Security Command Center 中启用这些检测器后，集成服务（例如虚拟机管理器）也会生成漏洞发现结果。

您能否查看和修改发现结果取决于您被分配的 Identity and Access Management (IAM) 角色和权限。如需详细了解 Security Command Center 中的 IAM 角色，请参阅访问权限控制。

检测器与合规性

Security Command Center 会监控您是否符合各种安全标准，其检测器会映射到各种安全标准的控件。

对于每个受支持的安全标准，Security Command Center 都会检查部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一个发现结果列表，其中会说明控制失败的原因。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations 的各个受支持基准版本的映射。其他合规性映射仅供参考。

Security Command Center 会定期添加对新基准版本和标准的支持。旧版本仍然受支持，但最终将会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵业务的标准和控制措施。创建安全状况后，您可以监控环境中可能影响贵商家合规性的任何变化。

如需详细了解如何管理合规性，请参阅评估和报告是否符合安全标准。

支持的安全标准

Google Cloud

Security Command Center 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

Center for Information Security (CIS) Controls 8.0
CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
CIS Kubernetes 基准 v1.5.1
Cloud Controls Matrix (CCM) 4
《健康保险流通与责任法案》(HIPAA)
国际标准化组织 (ISO) 27001、2022 和 2013
美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
NIST CSF 1.0
2021 年和 2017 年开放式 Web 应用安全项目 (OWASP) 十大风险
支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Command Center 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

CIS Amazon Web Services Foundations 2.0.0
CIS Controls 8.0
CCM 4
HIPAA
ISO 27001 2022
NIST 800-53 R5
NIST CSF 1.0
PCI DSS 4.0 和 3.2.1
SOC 2 2017 TSC

如需了解如何查看和导出合规性报告，请参阅在 Google Cloud 控制台中使用 Security Command Center中的合规性部分。

修复后停用发现结果

修复漏洞或配置错误发现结果后，检测到发现结果的 Security Command Center 服务会在下次检测服务扫描发现结果时自动将发现结果的状态设置为 INACTIVE。Security Command Center 将修复后的发现结果设置为 INACTIVE 所需的时间取决于检测发现结果的扫描时间表。

如果扫描检测到受发现结果影响的资源被删除，Security Command Center 服务也会将漏洞或配置错误发现结果的状态设置为 INACTIVE。

如需详细了解扫描间隔时间，请参阅以下主题：

发现的 Security Health Analytics 问题

Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源，接收资源和 Identity and Access Management (IAM) 政策更改的通知。某些检测器直接调用 Google Cloud API 来检索数据，如本页面后面的表格中所示。

如需详细了解 Security Health Analytics、扫描时间表以及 Security Health Analytics 对内置和自定义模块检测器的支持，请参阅 Security Health Analytics 概览。

下面的表格介绍 Security Health Analytics 检测器、支持的资源和合规标准、用于扫描的设置以及生成的发现结果类型。您可以使用 Google Cloud 控制台中的 Security Command Center 漏洞页面按各种属性过滤发现结果。

如需了解如何修复问题并保护资源，请参阅修复 Security Health Analytics 发现结果。

API 密钥漏洞发现结果

API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。

检测器摘要资源扫描设置

检测器	摘要	资源扫描设置
`API key APIs unrestricted` API 中的类别名称：`API_KEY_APIS_UNRESTRICTED`	发现结果说明：有过于广泛使用的 API 密钥。如需解决此问题，请限制 API 密钥的使用，仅允许使用应用需要的 API。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索项目中所有 API 密钥的 `restrictions` 属性，检查是否有任何密钥设置为 `cloudapis.googleapis.com`。实时扫描：否
`API key apps unrestricted` API 中的类别名称：`API_KEY_APPS_UNRESTRICTED`	发现结果说明：有些 API 密钥可以不受限制地使用，允许任何不受信任的应用使用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	检索项目中所有 API 密钥的 `restrictions` 属性，检查是否设置了 `browserKeyRestrictions`、`serverKeyRestrictions`、`androidKeyRestrictions` 或 `iosKeyRestrictions`。实时扫描：否
`API key exists` API 中的类别名称：`API_KEY_EXISTS`	发现结果说明：项目使用 API 密钥，而不是标准身份验证。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索项目拥有的所有 API 密钥。实时扫描：否
`API key not rotated` API 中的类别名称：`API_KEY_NOT_ROTATED`	发现结果说明：该 API 密钥超过 90 天未轮替。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	检索所有 API 密钥的 `createTime` 属性中所包含的时间戳，检查是否已过去 90 天。实时扫描：否

API key APIs unrestricted

API 中的类别名称：API_KEY_APIS_UNRESTRICTED

发现结果说明：有过于广泛使用的 API 密钥。如需解决此问题，请限制 API 密钥的使用，仅允许使用应用需要的 API。

价格层级：付费方案

支持的资源
cloudresourcemanager.googleapis.com/Project

检测器	摘要	资源扫描设置
`KMS key not rotated` API 中的类别名称：`KMS_KEY_NOT_ROTATED`	发现结果说明：Cloud KMS 加密密钥上没有配置轮替。应在 90 天的时段内轮替密钥。价格层级：付费方案支持的资源 cloudkms.googleapis.com/CryptoKey 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	检查资源元数据中是否存在 `rotationPeriod` 或 `nextRotationTime` 属性。从扫描中排除的资源：非对称密钥和含有已停用或已销毁主要版本的密钥实时扫描：是
`KMS project has owner` API 中的类别名称：`KMS_PROJECT_HAS_OWNER`	发现结果说明：用户对具有加密密钥的项目具有 Owner 权限。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	检查项目元数据中的 IAM 允许政策以找出分配有 `roles/Owner` 的主账号。其他输入：从存储中读取项目的加密密钥，仅提交包含加密密钥的项目的发现结果实时扫描：是，但仅扫描 IAM 允许政策更改，不扫描 KMS 密钥更改
`KMS public key` API 中的类别名称：`KMS_PUBLIC_KEY`	发现结果说明：Cloud KMS 加密密钥可公开访问。价格层级：付费方案支持的资源 cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing 修正此发现结果合规性标准： CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号 `allUsers` 或 `allAuthenticatedUsers`。实时扫描：是
`Too many KMS users` API 中的类别名称：`TOO_MANY_KMS_USERS`	发现结果说明：超过 3 个用户使用加密密钥。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudkms.googleapis.com/CryptoKey 修正此发现结果合规性标准： PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	检查密钥环、项目和组织的 IAM 允许政策，并检索其角色允许其使用 Cloud KMS 密钥对数据进行加密、解密或签名的主账号：`roles/owner`、`roles/cloudkms.cryptoKeyEncrypterDecrypter`、`roles/cloudkms.cryptoKeyEncrypter`、`roles/cloudkms.cryptoKeyDecrypter`、`roles/cloudkms.signer` 和 `roles/cloudkms.signerVerifier`。其他输入：从存储中读取加密密钥的加密密钥版本，仅提交具有有效版本的密钥的发现结果。检测器还会从存储空间中读取密钥环、项目和组织 IAM 允许政策实时扫描：是

检测器	摘要	资源扫描设置
`Audit config not monitored` API 中的类别名称：`AUDIT_CONFIG_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控审核配置更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描*：否
`Bucket IAM not monitored` API 中的类别名称：`BUCKET_IAM_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`Custom role not monitored` API 中的类别名称：`CUSTOM_ROLE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控自定义角色更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`Firewall not monitored` API 中的类别名称：`FIREWALL_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`Network not monitored` API 中的类别名称：`NETWORK_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 VPC 网络更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`Owner not monitored` API 中的类别名称：`OWNER_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控项目所有权分配或更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`Route not monitored` API 中的类别名称：`ROUTE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 VPC 网络路由更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	发现结果说明：日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Project 修正此发现结果合规性标准： CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	检查项目的 `LogsMetric` 资源的 `filter` 属性是否已设置为 `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"`；如果指定了 `resource.type`，则值为 `global`。检测器还会搜索相应的 `alertPolicy` 资源，并检查 `conditions` 和 `notificationChannels` 属性是否正确配置。其他 IAM 权限：`roles/monitoring.alertPolicyViewer` 其他输入：从存储中读取项目的日志指标。从 Google Cloud Observability 读取 Google Cloud Observability 账号信息，仅为具有有效账号的项目提交发现结果实时扫描：否

类别	发现结果说明	OWASP 2017 年排名前 10	OWASP 2021 年排名前 10
`Accessible Git repository` API 中的类别名称：`ACCESSIBLE_GIT_REPOSITORY`	Git 代码库被公开。如需解决此发现结果，请移除对 Git 代码库的意外公开访问权限。价格层级：付费方案或标准方案修正此发现结果	A5	A01
`Accessible SVN repository` API 中的类别名称：`ACCESSIBLE_SVN_REPOSITORY`	SVN 代码库会公开。如需解决此发现结果，请移除对 SVN 代码库的意外公开访问权限。价格层级：付费方案或标准方案修正此发现结果	A5	A01
`Cacheable password input` API 中的类别名称：`CACHEABLE_PASSWORD_INPUT`	在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中，而不是安全的密码存储空间中。价格层级：付费方案修正此发现结果	A3	A04
`Clear text password` API 中的类别名称：`CLEAR_TEXT_PASSWORD`	密码以明文形式传输，可以被拦截。要解决此发现结果，请对通过网络传输的密码进行加密。价格层级：付费方案或标准方案修正此发现结果	A3	A02
`Insecure allow origin ends with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	跨站点 HTTP 或 HTTPS 端点仅验证 `Origin` 请求标头的后缀，然后将其呈现在 `Access-Control-Allow-Origin` 响应标头内。若要解决此问题，请先验证预期的根网域是否是 `Origin` 标头值的一部分，然后再将其呈现在 `Access-Control-Allow-Origin` 响应标头内。对于子网域通配符，请在根域名前面附加英文句点，例如 `.endsWith(".google.com")`。价格层级：付费方案修正此发现结果	A5	A01
`Insecure allow origin starts with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	跨站点 HTTP 或 HTTPS 端点仅验证 `Origin` 请求标头的前缀，然后将其呈现在 `Access-Control-Allow-Origin` 响应标头内。如需解决此发现结果，请先验证预期网域是否与 `Origin` 标头值完全匹配，然后再将其呈现在 `Access-Control-Allow-Origin` 响应标头内，例如 `.equals(".google.com")`。价格层级：付费方案修正此发现结果	A5	A01
`Invalid content type` API 中的类别名称：`INVALID_CONTENT_TYPE`	加载的资源与响应的 Content-Type HTTP 标头不匹配。如需解决此发现结果，请使用正确的值设置 `X-Content-Type-Options` HTTP 标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Invalid header` API 中的类别名称：`INVALID_HEADER`	安全标头存在语法错误，因此被浏览器忽略。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Mismatching security header values` API 中的类别名称：`MISMATCHING_SECURITY_HEADER_VALUES`	安全标头具有重复的、不匹配的值，这会导致未定义的行为。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Misspelled security header name` API 中的类别名称：`MISSPELLED_SECURITY_HEADER_NAME`	安全标头拼写错误并且被忽略。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Mixed content` API 中的类别名称：`MIXED_CONTENT`	资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此发现结果，请确保所有资源通过 HTTPS 传送。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Outdated library` API 中的类别名称：`OUTDATED_LIBRARY`	检测到有已知漏洞的库。要解决此发现结果，请将库升级到新版本。价格层级：付费方案或标准方案修正此发现结果	A9	A06
`Server side request forgery` API 中的类别名称：`SERVER_SIDE_REQUEST_FORGERY`	检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果，请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。价格层级：付费方案或标准方案修正此发现结果	不适用	A10
`Session ID leak` API 中的类别名称：`SESSION_ID_LEAK`	在发出跨网域的请求时，Web 应用的 `Referer` 请求标头中包含用户的会话标识符。此漏洞会向接收网域授予会话标识符的访问权限，可用于假冒或唯一标识用户。价格层级：付费方案修正此发现结果	A2	A07
`SQL injection` API 中的类别名称：`SQL_INJECTION`	检测到潜在的 SQL 注入漏洞。如需解决此发现结果，请使用参数化查询以防止用户输入影响 SQL 查询的结构。价格层级：付费方案修正此发现结果	A1	A03
`Struts insecure deserialization` API 中的类别名称：`STRUTS_INSECURE_DESERIALIZATION`	检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果，请将 Apache Strut 升级到最新版本。价格层级：付费方案修正此发现结果	A8	A08
`XSS` API 中的类别名称：`XSS`	此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果，请验证和转义不受信任的用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XSS angular callback` API 中的类别名称：`XSS_ANGULAR_CALLBACK`	用户提供的字符串没有转义，并且 AngularJS 可以对其进行插入。要解决此发现结果，请验证和转义 Angular 框架处理的不受信任用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XSS error` API 中的类别名称：`XSS_ERROR`	此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果，请验证和转义不受信任的用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XXE reflected file leakage` API 中的类别名称：`XXE_REFLECTED_FILE_LEAKAGE`	检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果，请配置 XML 解析器以禁止外部实体。价格层级：付费方案修正此发现结果	A4	A05
`Prototype pollution` API 中的类别名称：`PROTOTYPE_POLLUTION`	该应用容易受到原型污染的影响。如果可以为 `Object.prototype` 对象的属性分配攻击者可控制的值，就会出现此漏洞。在这些原型上植入的值普遍被认为会转换为跨站脚本攻击，或类似的客户端漏洞以及逻辑 bug。价格层级：付费方案或标准方案修正此发现结果	A1	A03

漏洞发现结果

检测器与合规性

支持的安全标准

Google Cloud

AWS

修复后停用发现结果

发现的 Security Health Analytics 问题

API 密钥漏洞发现结果

Cloud Asset Inventory 漏洞发现结果

计算映像漏洞发现结果

计算实例漏洞发现结果

容器漏洞发现结果

Dataproc 漏洞发现结果

数据集漏洞发现结果

DNS 漏洞发现结果

防火墙漏洞发现结果

IAM 漏洞发现结果

KMS 漏洞发现结果

日志记录漏洞发现结果

监控漏洞发现结果

多重身份验证发现结果

网络漏洞发现结果

组织政策漏洞发现结果

Pub/Sub 漏洞发现结果

SQL 漏洞发现结果

存储漏洞发现结果

子网漏洞发现结果

AWS 发现

Web Security Scanner 发现结果

IAM Recommender 发现结果

CIEM 发现结果

安全状况服务发现结果

虚拟机管理器

虚拟机管理器发现结果

在控制台中查看发现结果

Google Cloud 控制台

安全运维控制台

修复虚拟机管理器发现结果

忽略虚拟机管理器发现结果

敏感数据保护

Policy Controller

查找并修复 Policy Controller 发现结果

Google Cloud 控制台

安全运维控制台

后续步骤