En esta página se explica cómo usar las funciones de análisis gestionado de Web Security Scanner y cómo revisar los resultados en la consola de Google Cloud . También se muestran ejemplos de resultados de Web Security Scanner.
Web Security Scanner es un servicio integrado de Security Command Center que identifica vulnerabilidades de seguridad comunes en tus aplicaciones web de App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Para ver los resultados de Web Security Scanner, debe habilitarse en la configuración de Servicios de Security Command Center.
Consulta más información sobre cómo funciona Web Security Scanner.
Revisar los resultados
La función análisis gestionado de Web Security Scanner configura y programa automáticamente los análisis de cada uno de tus proyectos incluidos en el ámbito. Los análisis de Web Security Scanner pueden tardar hasta 24 horas en iniciarse después de habilitar el servicio y se ejecutan semanalmente después del primer análisis. Los resultados se consultan en Security Command Center.
Los análisis gestionados son independientes de los análisis personalizados de Web Security Scanner. Los análisis personalizados son más exhaustivos que los análisis gestionados predeterminados y proporcionan información detallada sobre las vulnerabilidades encontradas en las aplicaciones. Para obtener información sobre los análisis personalizados, consulta la guía de análisis personalizados de Web Security Scanner.
Revisar los resultados en la consola
Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Para revisar los resultados de Web Security Scanner en Security Command Center, siga estos pasos:
- En la Google Cloud consola, ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Web Security Scanner. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
- Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
- En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
- Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.
Ver todos los resultados asociados a una URL concreta
Un análisis puede generar resultados de varias URLs base. Para mostrar todos los resultados asociados a una URL determinada en un análisis, sigue estos pasos:
- Abre el resultado y consulta su definición JSON.
- Copia la URL situada junto a
externalUri. - Cierra el panel de detalles del resultado.
En el editor de consultas, introduce la siguiente consulta:
externalUri:"AFFECTED_URI"Sustituye AFFECTED_URI por la URL que has copiado anteriormente.
Security Command Center muestra todos los resultados asociados a la URL.
Ejemplos de resultados
Estos son algunos ejemplos de resultados de análisis gestionados de Web Security Scanner:
| Vulnerabilidad | Descripción |
|---|---|
| Contenido mixto | Una página que se ha servido a través de HTTPS también sirve recursos a través de HTTP. Un atacante intermediario podría manipular el recurso HTTP y obtener acceso completo al sitio web que carga el recurso o monitorizar las acciones de los usuarios. |
| Contraseña sin cifrar |
Una aplicación devuelve contenido sensible con un tipo de contenido no válido o
sin un encabezado X-Content-Type-Options: nosniff.
|
| Biblioteca obsoleta |
Se sabe que la versión de una biblioteca incluida tiene un problema de seguridad. El analizador comprueba la versión de la biblioteca que se está utilizando y la contrasta con una lista de bibliotecas vulnerables conocidas. Puede haber falsos positivos si no es posible detectar la versión o si se ha aplicado manualmente un parche a la biblioteca. Web Security Scanner identifica algunas versiones vulnerables de las siguientes bibliotecas populares:
Esta lista se actualiza periódicamente con nuevas bibliotecas y vulnerabilidades actualizadas, según corresponda. |
Consulta más información sobre cómo usar Security Command Center en la consola Google Cloud .
Filtrar resultados en la consola Google Cloud
Una organización grande puede tener muchas vulnerabilidades en su implementación que debe revisar, priorizar y monitorizar. Si usas los filtros disponibles en las páginas Vulnerabilidades y Resultados de Security Command Center en la consola de Google Cloud , puedes centrarte en las vulnerabilidades más graves de tu organización y revisar las vulnerabilidades por tipo de recurso, proyecto y más.
Para obtener más información sobre cómo filtrar resultados de vulnerabilidades, consulta Filtrar resultados de vulnerabilidades en Security Command Center.
Silenciar hallazgos
Para controlar el volumen de resultados en Security Command Center, puede silenciar manualmente o mediante programación resultados concretos, o bien crear reglas de silencio que silencien automáticamente los resultados actuales y futuros en función de los filtros que defina.
Las detecciones silenciadas se ocultan y se silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o reactivarlos en cualquier momento. Para obtener más información, consulta Silenciar resultados en Security Command Center.
Configuraciones de análisis
Si se le proporcionan credenciales de acceso a Web Security Scanner, realizará todas las acciones con ese nivel de acceso. Para reducir el riesgo de que se vean afectados tus recursos de producción y detectar las vulnerabilidades antes de que lleguen a producción, te recomendamos que realices análisis en entornos de desarrollo, pruebas, preproducción o control de calidad.
Analizar los recursos de producción es útil porque incluso los pequeños cambios que se hagan en los recursos entre las fases de prueba y producción pueden introducir vulnerabilidades. Sin embargo, puede que quieras usar el acceso limitado durante los análisis de producción. Consulta las prácticas recomendadas para obtener más información.
Para revisar las configuraciones de análisis gestionadas e iniciar análisis manualmente, usa laGoogle Cloud consola.
Para ver la configuración de análisis gestionado de un proyecto, sigue estos pasos:
- Ve a la página Web Security Scanner en la Google Cloud consola.
Ve a la página Web Security Scanner - Selecciona un proyecto. Aparecerá una página con una lista de tus análisis gestionados y personalizados.
- En Configuraciones de análisis, haz clic en
managed_scan. En la página que aparece se muestran los resultados del análisis gestionado más reciente, incluido el estado del análisis, las URLs rastreadas y las vulnerabilidades encontradas. Usa la lista desplegable para ver los resultados de análisis anteriores.
Web Security Scanner administra y mantiene los análisis gestionados, por lo que no puede modificar las configuraciones de análisis. Los análisis gestionados solo se pueden editar o eliminar en Security Command Center, tal como se explica en el artículo sobre cómo inhabilitar análisis gestionados.
Intervalos de direcciones IP estáticas para análisis gestionados
Cuando Web Security Scanner está habilitado en Security Command Center, los análisis gestionados se inician automáticamente con direcciones IP estáticas de los siguientes intervalos:
8.34.210.32/2734.66.18.0/2634.66.114.64/2634.68.34.64/27
Análisis bajo demanda
Los análisis gestionados se ejecutan automáticamente según una programación establecida. Sin embargo, puedes usar la interfaz de Web Security Scanner para ejecutar análisis gestionados bajo demanda:
- Ve a la página Web Security Scanner en la Google Cloud consola.
Ve a la página Web Security Scanner - Selecciona un proyecto. Aparecerá una página con una lista de tus análisis gestionados y personalizados.
- En Configuraciones de análisis, haz clic en
managed_scan. - En la página siguiente, haz clic en Ejecutar en la parte superior de la página.
- En la pestaña Resultados, haga clic en Volver a ejecutar el análisis.
El análisis comienza y los resultados se actualizan en Security Command Center cuando finaliza. Los análisis gestionados bajo demanda son útiles cuando quieres registrar resultados de proyectos nuevos o actualizados entre análisis programados. Los análisis bajo demanda no afectan a la programación de los análisis semanales.
Puedes consultar más información sobre el análisis en la página de registros del proyecto.
Inhabilitar análisis gestionados
Te recomendamos que mantengas habilitado Web Security Scanner en todos los proyectos incluidos en el ámbito. Sin embargo, puedes inhabilitar Web Security Scanner en Security Command Center o, si Security Command Center está activado a nivel de organización, inhabilitar los análisis gestionados de Web Security Scanner en proyectos o carpetas concretos.
Inhabilitar los análisis de Web Security Scanner en un proyecto o una carpeta
Para inhabilitar los análisis gestionados de una carpeta o un proyecto, sigue estos pasos:
Ve a la página Servicios de Security Command Center.
Selecciona tu proyecto u organización.
En la tarjeta Web Security Scanner, haga clic en Gestionar configuración. Se abrirá la página Habilitación del servicio de Web Security Scanner.
En el panel Habilitación de servicios, inhabilita Web Security Scanner en el proyecto o la carpeta con uno de los siguientes métodos:
- Ve al proyecto o a la carpeta:
- En el panel Habilitación de servicios, desplázate hasta el proyecto o la carpeta y amplía las organizaciones o carpetas principales que necesites.
- En la fila del proyecto o la carpeta, en el menú de la columna Web Security Scanner, selecciona Inhabilitar.
- En el caso de proyectos y carpetas, busca el proyecto o la carpeta por nombre:
- Haz clic en Buscar carpeta o proyecto.
- En el cuadro de diálogo Buscar recursos, introduce el nombre del proyecto, la carpeta o la organización. El proyecto se muestra en el cuadro de diálogo.
- En el cuadro de diálogo, en el menú de la columna Web Security Scanner, selecciona Inhabilitar.
- Ve al proyecto o a la carpeta:
Los proyectos inhabilitados ya no se incluyen en los análisis gestionados.
Inhabilitar Web Security Scanner en Security Command Center
Para inhabilitar el servicio Web Security Scanner en Security Command Center, sigue estos pasos:
Ve a la página Servicios de Security Command Center.
Selecciona tu proyecto u organización.
En la tarjeta Web Security Scanner, haga clic en Gestionar configuración. Se abrirá la página Habilitación del servicio de Web Security Scanner.
En Habilitación de servicios, en la fila del proyecto u organización de nivel superior, selecciona Inhabilitar en el menú de la columna Web Security Scanner.
Web Security Scanner está inhabilitado en Security Command Center y los análisis gestionados ya no se ejecutarán.
Puede seguir usando Web Security Scanner como producto independiente a través de la interfaz de Web Security Scanner en la consola de Google Cloud , con los siguientes cambios:
- Debes configurar y gestionar análisis personalizados para cada uno de tus proyectos.
- Las configuraciones de análisis gestionadas se archivan y las detecciones de análisis gestionadas que ya existían se pueden seguir viendo en la Google Cloud consola.
- Los análisis gestionados solo están disponibles en Security Command Center, por lo que las configuraciones de análisis gestionados y los resultados de análisis gestionados se han eliminado de la interfaz de Web Security Scanner.
Si se vuelve a activar Web Security Scanner en Security Command Center, las configuraciones y los resultados de los análisis gestionados volverán a aparecer en la interfaz de Web Security Scanner. Por lo general, si se detectan las mismas vulnerabilidades durante los nuevos análisis, se actualizan los resultados. Si tu aplicación o sitio web ha cambiado considerablemente desde el último análisis, es posible que se creen nuevos resultados.
Siguientes pasos
- Consulta información sobre cómo corregir los resultados de Web Security Scanner.