Erkennungsdienste

Auf dieser Seite finden Sie eine Liste der Erkennungsdienste, die manchmal auch als Sicherheitsquellen bezeichnet werden und die von Security Command Center verwendet werden, um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen.

Wenn diese Dienste ein Problem erkennen, wird ein Ergebnis generiert. Das ist ein Datensatz, in dem das Sicherheitsproblem identifiziert wird und der Ihnen die Informationen liefert, die Sie benötigen, um das Problem zu priorisieren und zu beheben.

Sie können Ergebnisse in der Google Cloud Konsole ansehen und auf viele verschiedene Arten filtern, z. B. nach Ergebnistyp, Ressourcentyp oder für ein bestimmtes Asset. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse organisieren können.

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Dienste zur Erkennung von Sicherheitslücken

Dienste zur Erkennung von Sicherheitslücken umfassen integrierte Dienste, die Software-Sicherheitslücken, Fehlkonfigurationen und Verstöße gegen die Sicherheitslage in Ihren Cloud-Umgebungen erkennen. Diese Arten von Sicherheitsproblemen werden zusammen als Sicherheitslücken bezeichnet.

Prüfung auf Sicherheitslücken in Artifact Registry

Die Artifact Registry-Sicherheitslückenbewertung ist ein Erkennungsdienst, der Sie über Sicherheitslücken in Ihren bereitgestellten Container-Images informiert.

Dieser Erkennungsdienst generiert Ergebnisse zu Sicherheitslücken für Container-Images unter den folgenden Bedingungen:

  • Das Container-Image wird in Artifact Registry gespeichert.

  • Das Container-Image wird in einem der folgenden Assets bereitgestellt:

    • Google Kubernetes Engine-Cluster
    • Cloud Run-Dienst
    • Cloud Run-Job
    • App Engine

Bei der Artifact Registry-Schwachstellenanalyse werden keine Ergebnisse für Container-Images generiert, die diese Kriterien nicht erfüllen.

Nachdem die Ergebnisse der Artifact Registry-Sicherheitslückenbewertung generiert wurden, können Sie sie bis zu fünf Wochen nach dem letzten Scan des Container-Images abfragen. Weitere Informationen zur Datenaufbewahrung in Security Command Center finden Sie unter Datenaufbewahrung.

Ergebnisse der Sicherheitslückenbewertung von Artifact Registry aktivieren

Damit die Artifact Registry-Bewertung von Sicherheitslücken Ergebnisse in Security Command Center für bereitgestellte Container-Images generiert, die in Artifact Registry gespeichert sind, muss die Container Scanning API für Ihr Projekt aktiviert sein.

Wenn Sie die Container Scanning API noch nicht aktiviert haben, gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Container Scanning API auf.

    Zur Container Scanning API

  2. Wählen Sie das Projekt aus, für das Sie die Container Scanning API aktivieren möchten.

  3. Klicken Sie auf Aktivieren.

Security Command Center zeigt Ergebnisse für gescannte anfällige Container-Images an, die aktiv in den entsprechenden Laufzeit-Assets bereitgestellt werden. Der Erkennungsdienst verhält sich jedoch unterschiedlich, je nachdem, wann Sie Security Command Center und die Container Scanning API aktiviert haben.

Aktivierungsszenario Verhalten des Erkennungsdienstes

Sie haben Security Command Center nach der Aktivierung der Container Scanning API und der Bereitstellung eines Container-Images aktiviert.

Bei der Artifact Registry-Bewertung von Sicherheitslücken werden innerhalb von 24 Stunden nach der Aktivierung Ergebnisse für vorhandene Sicherheitslücken generiert, die bei früheren Artifact Registry-Scans gefunden wurden.

Sie haben Security Command Center aktiviert und ein Container-Image bereitgestellt, bevor Sie die Container Scanning API aktiviert haben.

Bei der Sicherheitslückenbewertung von Artifact Registry werden nicht automatisch Sicherheitslückenergebnisse für Container-Images generiert, die Sie vor der Aktivierung der API bereitgestellt haben, bis ein neuer Scan ausgelöst wird. Wenn Sie einen neuen Scan manuell auslösen möchten, stellen Sie das Container-Image noch einmal in derselben Laufzeitressource bereit. Bei der Sicherheitslückenbewertung von Artifact Registry werden sofort Ergebnisse generiert, wenn während des Scans Sicherheitslücken erkannt werden.

Sie haben Security Command Center und die Container Scanning API aktiviert, bevor Sie ein Container-Image bereitgestellt haben.

Das neu bereitgestellte Container-Image wird sofort in Artifact Registry gescannt. Bei der Artifact Registry-Bewertung von Sicherheitslücken werden Ergebnisse generiert, wenn beim Scan Sicherheitslücken erkannt werden.

Ergebnisse der Sicherheitslückenbewertung für Artifact Registry deaktivieren

So deaktivieren Sie Ergebnisse der Sicherheitslückenbewertung von Artifact Registry:

  1. Rufen Sie in der Google Cloud Console die Seite API-/Dienstdetails für die Container Scanning API auf.

    Zu „API-/Dienstdetails“

  2. Wählen Sie das Projekt aus, für das Sie die Container Scanning API deaktivieren möchten.

  3. Klicken Sie auf API deaktivieren.

In Security Command Center werden keine Ergebnisse für Sicherheitslücken angezeigt, die bei zukünftigen Container-Image-Scans erkannt werden. Security Command Center behält alle vorhandenen Ergebnisse der Artifact Registry-Bewertung von Sicherheitslücken mindestens 35 Tage nach dem letzten Scan des Container-Images bei. Weitere Informationen zur Datenaufbewahrung in Security Command Center finden Sie unter Datenaufbewahrung.

Sie können die Sicherheitslückenbewertung für Artifact Registry auch deaktivieren, indem Sie die Quell-ID für die Sicherheitslückenbewertung in den Security Command Center-Einstellungen deaktivieren. Wir empfehlen dies jedoch nicht. Wenn Sie die Quell-ID für die Sicherheitslückenbewertung deaktivieren, werden alle Erkennungsdienste deaktiviert, die unter der Quell-ID für die Sicherheitslückenbewertung klassifiziert sind. Daher empfehlen wir, die Container Scanning API mit der oben beschriebenen Vorgehensweise zu deaktivieren.

Ergebnisse der Artifact Registry-Bewertung von Sicherheitslücken in der Console ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

GKE-Sicherheitsstatus-Dashboard

Das GKE-Sicherheitsstatus-Dashboard ist eine Seite in derGoogle Cloud -Konsole, auf der Sie fundierte, umsetzbare Ergebnisse zu potenziellen Sicherheitsproblemen in Ihren GKE-Clustern finden.

Wenn Sie eine der folgenden Funktionen des GKE-Dashboards für den Sicherheitsstatus aktivieren, werden die Ergebnisse in der Standard- oder Premium-Stufe von Security Command Center angezeigt:

Feature des GKE-Sicherheitsstatus-Dashboards Ergebnisklasse im Security Command Center
Prüfung der Arbeitslastkonfiguration MISCONFIGURATION
VULNERABILITY

Die Ergebnisse enthalten Informationen zum Sicherheitsproblem und Empfehlungen zur Behebung in Ihren Arbeitslasten oder Clustern.

Ergebnisse des GKE-Sicherheitsstatus-Dashboards in der Console ansehen

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Wählen Sie Ihre Google Cloud Organisation aus.
  3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
  4. Wählen Sie GKE-Sicherheitsstatus aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

IAM Recommender

Der IAM Recommender generiert Empfehlungen, mit denen Sie die Sicherheit verbessern können, indem Sie IAM-Rollen von Hauptkonten entfernen oder ersetzen, wenn die Rollen IAM-Berechtigungen enthalten, die das Hauptkonto nicht benötigt.

IAM Recommender wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

IAM-Recommender-Ergebnisse aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie IAM Recommender-Ergebnisse in Security Command Center:

  1. Rufen Sie in der Google Cloud Console den Tab Integrierte Dienste auf der Seite Einstellungen des Security Command Center auf:

    Zu „Integrierte Dienste“

  2. Rufen Sie den Eintrag IAM Recommender auf.

  3. Wählen Sie rechts neben dem Eintrag Aktivieren oder Deaktivieren aus.

Ergebnisse des IAM-Recommender werden als Sicherheitslücken klassifiziert.

Um ein Ergebnis des IAM-Recommenders zu beheben, maximieren Sie den folgenden Abschnitt, um eine Tabelle mit den Ergebnissen des IAM-Recommenders aufzurufen. Die Schritte zur Fehlerbehebung für jedes Ergebnis sind im Tabelleneintrag enthalten.

IAM Recommender-Ergebnisse in der Console ansehen

Wählen Sie den Tab für Ihre Dienststufe aus.

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option IAM Recommender aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Wählen Sie Ihre Google Cloud Organisation aus.
  3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
  4. Wählen Sie IAM Recommender aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Im Premier-Tarif können Sie die Ergebnisse des IAM-Recommender auch auf der Seite Schwachstellen ansehen, indem Sie die voreingestellte Abfrage IAM-Recommender auswählen.

Mandiant Attack Surface Management

Mandiant ist weltweit führend im Bereich Frontline-Threat-Intelligence. Mandiant Attack Surface Management identifiziert Sicherheitslücken und Fehlkonfigurationen in Ihren externen Angriffsflächen, damit Sie sich vor den neuesten Cyberangriffen schützen können.

Mandiant Attack Surface Management wird automatisch aktiviert, wenn Sie die Enterprise-Stufe für Security Command Center aktivieren. Die Ergebnisse sind in der Google Cloud -Konsole verfügbar.

Informationen dazu, wie sich das eigenständige Mandiant Attack Surface Management-Produkt von der Mandiant Attack Surface Management-Integration in Security Command Center unterscheidet, finden Sie im Mandiant-Dokumentationsportal unter ASM and Security Command Center. Für diesen Link ist eine Mandiant-Authentifizierung erforderlich.

Ergebnisse von Mandiant Attack Surface Management in der Konsole ansehen

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Mandiant Attack Surface Management aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Wählen Sie Ihre Google Cloud Organisation aus.
  3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
  4. Wählen Sie Mandiant Attack Surface Management aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Weder Security Command Center noch Mandiant Attack Surface Management markieren Ergebnisse als behoben. Sobald Sie ein Problem behoben haben, können Sie es manuell als behoben markieren. Wenn es beim nächsten Mandiant Attack Surface Management-Scan nicht erkannt wird, bleibt es als behoben markiert.

Model Armor

Model Armor ist ein vollständig verwalteter Google Cloud Dienst, der die Sicherheit von KI-Anwendungen verbessert, indem er LLM-Prompts und ‑Antworten überprüft.

Ergebnisse zu Sicherheitslücken aus dem Model Armor-Dienst

Ergebnis Zusammenfassung

Kategoriename in der API: FLOOR_SETTINGS_VIOLATION

Ergebnisbeschreibung: Ein Verstoß gegen die Mindesteinstellungen, der auftritt, wenn eine Model Armor-Vorlage die Mindestsicherheitsstandards, die durch die Mindesteinstellungen der Ressourcenhierarchie definiert sind, nicht erfüllt.

Preisstufe: Premium

Dieses Ergebnis korrigieren:

Für diesen Befund müssen Sie die Model Armor-Vorlage so aktualisieren, dass sie den in der Ressourcenhierarchie definierten Mindesteinstellungen entspricht.

Policy Controller

Mit Policy Controller können Sie programmierbare Richtlinien für Ihre Kubernetes-Cluster anwenden und erzwingen. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.

Wenn Sie Policy Controller installieren und eines der Policy Controller-Bundles aktivieren, schreibt Policy Controller Clusterverstöße automatisch als Ergebnisse der Klasse Misconfiguration in Security Command Center. Die Beschreibung der Ergebnisse und die nächsten Schritte in den Security Command Center-Ergebnissen sind dieselben wie die Beschreibung der Einschränkungen und die Schritte zur Fehlerbehebung des entsprechenden Policy Controller-Bundles.

Die Policy Controller-Ergebnisse stammen aus den folgenden Policy Controller-Bundles:

Informationen zum Suchen und Beheben von Policy Controller-Ergebnissen finden Sie unter Policy Controller-Ergebnisse beheben.

Risk Engine

Die Security Command Center Risk Engine bewertet das Risiko Ihrer Cloud-Bereitstellungen, weist Sicherheitslücken und Ihren hochwertigen Ressourcen Angriffsrisikobewertungen zu und stellt Pfade dar, die ein potenzieller Angreifer nutzen könnte, um auf Ihre hochwertigen Ressourcen zuzugreifen.

In der Enterprise-Stufe von Security Command Center erkennt die Risk Engine Gruppen von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen schaffen, den ein entschlossener Angreifer potenziell nutzen könnte, um auf diese Ressourcen zuzugreifen und sie zu kompromittieren.

Wenn die Risk Engine eine dieser Kombinationen erkennt, wird ein Ergebnis der Klasse TOXIC_COMBINATION generiert. Im Ergebnis ist „Risk Engine“ als Quelle des Ergebnisses aufgeführt.

Die Risk Engine identifiziert auch gemeinsame Ressourcen oder Ressourcengruppen, in denen mehrere Angriffspfade zusammenlaufen, und generiert dann einen CHOKEPOINT-Klassenbefund.

Weitere Informationen finden Sie unter Übersicht über toxische Kombinationen und Engstellen.

Security Health Analytics

Security Health Analytics ist ein integrierter Erkennungsdienst von Security Command Center, der verwaltete Scans Ihrer Cloud-Ressourcen durchführt, um häufige Fehlkonfigurationen zu erkennen.

Wenn eine Fehlkonfiguration erkannt wird, generiert Security Health Analytics ein Ergebnis. Die meisten Ergebnisse von Security Health Analytics sind Sicherheitsstandardkontrollen zugeordnet, damit Sie die Compliance bewerten können.

Security Health Analytics scannt Ihre Ressourcen auf Google Cloud. Wenn Sie die Enterprise-Version verwenden und Verbindungen zu anderen Cloud-Plattformen herstellen, kann Security Health Analytics auch Ihre Ressourcen auf diesen Cloud-Plattformen scannen.

Je nach Security Command Center-Dienststufe, die Sie verwenden, unterscheiden sich die verfügbaren Detektoren:

  • In der Standard-Stufe umfasst Security Health Analytics nur eine einfache Gruppe von Detektoren für Sicherheitslücken mit mittlerem und hohem Schweregrad.
  • Die Premium-Stufe umfasst alle Sicherheitslücken-Detektoren für Google Cloud.
  • Die Enterprise-Stufe umfasst zusätzliche Detektoren für andere Cloud-Plattformen.

Security Health Analytics wird automatisch aktiviert, wenn Sie Security Command Center aktivieren.

Weitere Informationen finden Sie unter:

Dienst für den Sicherheitsstatus

Der Dienst für die Sicherheitskonfiguration ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Clouddefinieren, bewerten und überwachen können. Sie enthält Informationen dazu, wie Ihre Umgebung mit den Richtlinien übereinstimmt, die Sie in Ihrem Sicherheitsstatus definieren.

Der Sicherheitsstatus-Dienst steht nicht im Zusammenhang mit dem GKE-Sicherheitsstatus-Dashboard, in dem nur Ergebnisse in GKE-Clustern angezeigt werden.

Schutz sensibler Daten

Der Schutz sensibler Daten ist ein vollständig verwalteter Google Cloud Dienst, mit dem Sie sensible Daten ermitteln, klassifizieren und schützen können. Mit Sensitive Data Protection können Sie ermitteln, ob Sie sensible oder personenidentifizierbare Informationen (PII) wie die folgenden speichern:

  • Namen von Personen
  • Kreditkartennummern
  • Nationale oder staatliche Ausweisnummern
  • Krankenversicherungsnummern
  • Secrets

Im Schutz sensibler Daten wird jede Art von sensiblen Daten, nach denen Sie suchen, als infoType bezeichnet.

Wenn Sie Ihren Sensitive Data Protection-Vorgang so konfigurieren, dass Ergebnisse an Security Command Center gesendet werden, können Sie die Ergebnisse zusätzlich zum Bereich „Sensitive Data Protection“ auch direkt im Bereich „Security Command Center“ der Google Cloud -Konsole sehen.

Ergebnisse zu Sicherheitslücken aus dem Sensitive Data Protection-Erkennungsdienst

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, festzustellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Zusammenfassung

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Entfernen Sie für Google Cloud Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Daten-Assets.

Konfigurieren Sie für Amazon S3-Daten die Einstellungen zum Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Weitere Informationen finden Sie in der AWS-Dokumentation unter Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets konfigurieren und ACLs konfigurieren.

Entfernen Sie für Azure Blob Storage-Daten den öffentlichen Zugriff auf den Container und die Blobs. Weitere Informationen finden Sie in der Azure-Dokumentation unter Übersicht: Beheben des anonymen Lesezugriffs für Blob-Daten.

Compliancestandards: Nicht zugeordnet

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: Es gibt Secrets, z. B. Passwörter, Authentifizierungstokens und Google Cloud Anmeldedaten, in Umgebungsvariablen.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets:

Abhilfemaßnahmen:

Entfernen Sie bei Umgebungsvariablen für Cloud Run Functions das Secret aus der Umgebungsvariable und speichern Sie es stattdessen in Secret Manager.

Bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen müssen Sie den gesamten Traffic von der Überarbeitung weg migrieren und sie dann löschen.

Compliance standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource sind Secrets vorhanden, z. B. Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

  1. Verwenden Sie für Google Cloud -Daten Sensitive Data Protection, um einen Scan zur detaillierten Prüfung der angegebenen Ressource auszuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie einen Scan zur detaillierten Überprüfung des Buckets aus.

    Bei Daten von anderen Cloud-Anbietern müssen Sie den angegebenen Bucket oder Container manuell prüfen.

  2. Entfernen Sie die erkannten Secrets.
  3. Erwägen Sie, die Anmeldedaten zurückzusetzen.
  4. Für Google Cloud -Daten sollten Sie die erkannten Secrets stattdessen in Secret Manager speichern.

Compliancestandards: Nicht zugeordnet

Ergebnisse zu fehlerhaften Konfigurationen aus dem Sensitive Data Protection-Erkennungsdienst

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Fehlkonfigurationen zu erkennen, die sensible Daten offenlegen könnten.

Kategorie Zusammenfassung

Kategoriename in der API:

SENSITIVE_DATA_CMEK_DISABLED

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher oder mittlerer Sensibilität und verwendet keinen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Compliancestandards: Nicht zugeordnet

Ergebnisse der Beobachtung von Sensitive Data Protection

In diesem Abschnitt werden die Beobachtungsergebnisse beschrieben, die vom Schutz sensibler Daten in Security Command Center generiert werden.

Ergebnisse der Beobachtung aus dem Discovery-Dienst

Mit dem Dienst zur Erkennung sensibler Daten können Sie ermitteln, ob Ihre Daten bestimmte InfoTypes enthalten und wo sich diese in Ihrer Organisation, Ihren Ordnern und Ihren Projekten befinden. Es werden die folgenden Kategorien von Beobachtungsergebnissen in Security Command Center generiert:

Data sensitivity
Gibt die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset an. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist die Vertraulichkeitsstufe, die Sensitive Data Protection beim Generieren des Datenprofils berechnet hat.
Data risk
Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die von Sensitive Data Protection berechnete Datenrisikostufe beim Generieren des Datenprofils.

Je nach Größe Ihrer Organisation können Ergebnisse zum Schutz sensibler Daten innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten in Security Command Center angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Generierung von Ergebnissen auswirken, kann es bis zu 12 Stunden dauern, bis erste Ergebnisse in Security Command Center angezeigt werden.

Anschließend werden in Security Command Center innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Dienst zur Erkennung sensibler Daten Ergebnisse generiert.

Informationen zum Senden von Datenprofilergebnissen an Security Command Center finden Sie unter:

Ergebnisse der Beobachtung aus dem Sensitive Data Protection-Prüfdienst

Bei einem Schutz sensibler Daten-Inspektionsjob wird jede Instanz von Daten eines bestimmten infoType in einem Speichersystem wie einem Cloud Storage-Bucket oder einer BigQuery-Tabelle identifiziert. Sie können beispielsweise einen Inspektionsjob ausführen, der in einem Cloud Storage-Bucket nach allen Strings sucht, die dem CREDIT_CARD_NUMBER-infoType-Detektor entsprechen.

Für jeden infoType-Detektor, der mindestens eine Übereinstimmung aufweist, wird ein entsprechendes Security Command Center-Ergebnis generiert. Die Kategorie des Ergebnisses ist der Name des infoType-Detektors, der eine Übereinstimmung gefunden hat, z. B. Credit card number. Das Ergebnis enthält die Anzahl der übereinstimmenden Strings, die in Text oder Bildern in der Ressource erkannt wurden.

Aus Sicherheitsgründen sind die tatsächlich erkannten Strings nicht im Ergebnis enthalten. Ein Credit card number-Ergebnis zeigt beispielsweise, wie viele Kreditkartennummern gefunden wurden, aber nicht die tatsächlichen Kreditkartennummern.

Da es in Sensitive Data Protection mehr als 150 integrierte infoType-Detektoren gibt, sind hier nicht alle möglichen Security Command Center-Ergebniskategorien aufgeführt. Eine vollständige Liste der infoType-Detektoren finden Sie in der Referenz zu infoType-Detektoren.

Informationen dazu, wie Sie die Ergebnisse eines Inspektionsjobs an Security Command Center senden, finden Sie unter Ergebnisse von Sensitive Data Protection-Inspektionsjobs an Security Command Center senden.

Sensitive Data Protection-Ergebnisse in der Console ansehen

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Schutz sensibler Daten aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Wählen Sie Ihre Google Cloud Organisation aus.
  3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
  4. Wählen Sie Schutz sensibler Daten aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.

Wenn Sie VM Manager mit der Premium-Stufe von Security Command Center aktivieren, schreibt VM Manager automatisch high- und critical-Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen (OS), die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen. VM Manager unterstützt die Patchverwaltung auf der einzelnen Projektebene.

Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse beheben.

Informationen dazu, wie Sie das Schreiben von Berichten zu Sicherheitslücken in Security Command Center beenden, finden Sie unter VM Manager-Ergebnisse ausblenden.

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

Detektor Fazit Asset-Scaneinstellungen

Kategoriename in der API: OS_VULNERABILITY

Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.

Preisstufe: Premium

Unterstützte Assets

compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Die Berichte zu Sicherheitslücken von VM Manager enthalten detaillierte Informationen zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen.

Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:

  • Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, können Sie davon ausgehen, dass Informationen zu Common Vulnerabilities and Exposures (CVEs) für die VM innerhalb von zwei Stunden nach der Änderung im Security Command Center angezeigt werden.
  • Wenn neue Sicherheitshinweise für ein Betriebssystem veröffentlicht werden, sind aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach der Veröffentlichung des Hinweises durch den Betriebssystemanbieter verfügbar.

Sicherheitslückenbewertung für AWS

Der Dienst „Sicherheitslückenbewertung für Amazon Web Services (AWS)“ erkennt Software-Sicherheitslücken in Ihren Arbeitslasten, die auf EC2-VMs (virtuellen Maschinen) auf der AWS-Cloudplattform ausgeführt werden.

Für jede erkannte Sicherheitslücke wird in der Sicherheitslückenbewertung für AWS ein Ergebnis der Klasse Vulnerability in der Ergebniskategorie Software vulnerability in Security Command Center generiert.

Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Maschineninstanzen, sodass Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode wird als agentenloses Laufwerk-Scanning bezeichnet, da keine Agents auf den Scan-Zielen installiert sind.

Hier finden Sie weitere Informationen:

Sicherheitslückenbewertung für Google Cloud

Mit der Sicherheitslückenanalyse für den Google Cloud -Dienst werden Software-Sicherheitslücken in den folgenden Ressourcen auf der Google Cloud -Plattform erkannt:

  • Compute Engine-VM-Instanzen ausführen
  • Knoten in GKE Standard-Clustern
  • Container, die in GKE Standard- und GKE Autopilot-Clustern ausgeführt werden

Für jede erkannte Sicherheitslücke wird durch die Sicherheitslückenbewertung für Google Cloud ein Ergebnis der Klasse Vulnerability in der Ergebniskategorie Software vulnerability oder OS vulnerability in Security Command Center generiert.

Bei der Sicherheitslückenanalyse für Google Cloud werden Ihre Compute Engine-VM-Instanzen gescannt, indem ihre Festplatten etwa alle 12 Stunden geklont, in einer sicheren VM-Instanz bereitgestellt und mit dem SCALIBR-Scanner analysiert werden.

Weitere Informationen finden Sie unter Sicherheitslückenanalyse für Google Cloud.

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt.

Wenn Security Command Center auf Organisationsebene aktiviert ist, können Sie mit verwalteten Scans die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf der Seite Sicherheitslücken des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center-Dienste konfigurieren.

Verwaltete Scans unterstützen nur Anwendungen, die den Standardport verwenden, also Port 80 für HTTP-Verbindungen und Port 443 für HTTPS-Verbindungen. Wenn Ihre Anwendung einen nicht standardmäßigen Port verwendet, führen Sie stattdessen einen benutzerdefinierten Scan durch.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten.

Sie definieren benutzerdefinierte Scans auf Projektebene.

Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Weitere Informationen finden Sie unter Web Security Scanner – Übersicht.

Notebook Security Scanner

Notebook Security Scanner ist ein integrierter Dienst von Security Command Center zum Erkennen von Paketlücken. Nachdem Notebook Security Scanner aktiviert wurde, werden Colab Enterprise-Notebooks (Dateien mit der Dateiendung ipynb) automatisch alle 24 Stunden gescannt, um Sicherheitslücken in Python-Paketen zu erkennen. Die Ergebnisse werden auf der Seite Ergebnisse im Security Command Center veröffentlicht.

Sie können den Notebook Security Scanner für Colab Enterprise-Notebooks verwenden, die in den folgenden Regionen erstellt wurden: us-central1, us-east4, us-west1 und europe-west4.

Eine Anleitung für die ersten Schritte mit Notebook Security Scanner finden Sie unter Notebook Security Scanner aktivieren und verwenden.

Dienste zur Bedrohungserkennung

Dienste zur Bedrohungserkennung umfassen integrierte Dienste, die Ereignisse erkennen, die auf potenziell schädliche Ereignisse wie gehackte Ressourcen oder Cyberangriffe hinweisen.

Anomalieerkennung

Die Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie die Security Command Center Standard- oder Premium-Stufe aktivieren. Die Ergebnisse sind in der Google Cloud -Konsole verfügbar.

Die Ergebnisse der Anomalieerkennung umfassen Folgendes:

Anomaliename Ergebniskategorie Beschreibung
account_has_leaked_credentials

Anmeldedaten für ein Google Cloud -Dienstkonto wurden versehentlich online offengelegt oder manipuliert.

Schweregrad:Kritisch

Anmeldedaten des Kontos wurden gestohlen

GitHub hat Security Command Center darüber informiert, dass die Anmeldedaten, die für einen Commit verwendet wurden, anscheinend die Anmeldedaten für einGoogle Cloud -Dienstkonto sind.

Die Benachrichtigung enthält den Namen des Dienstkontos und die Kennung des privaten Schlüssels. Google Cloud sendet auch eine Benachrichtigung per E-Mail an den für Sicherheits- und Datenschutzprobleme zuständigen Kontakt.

Führen Sie einen oder mehrere der folgenden Schritte aus, um dieses Problem zu beheben:

  • Identifizieren Sie den rechtmäßigen Nutzer des Schlüssels.
  • Rotieren Sie den Schlüssel.
  • Entfernen Sie den Schlüssel.
  • Untersuchen Sie alle Aktionen, die mit dem Schlüssel ausgeführt wurden, nachdem er offengelegt wurde, um sicherzustellen, dass keine der Aktionen schädlich war.

JSON: Leck von Kontoanmeldedaten

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und führt eine Natural Language Processing für Code aus, um die folgenden Ereignisse zu erkennen:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (Vorschau)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (Vorschau)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (Vorschau)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Remote Command Execution Detected (Vorschau)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (Vorschau)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Reverse Shell
  • Unexpected Child Shell

Weitere Informationen zu Container Threat Detection.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream für Projekte und nutzt Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe für Security Command Center aktivieren. Die Ergebnisse sind in derGoogle Cloud -Konsole verfügbar.

In der folgenden Tabelle finden Sie Beispiele für Event Threat Detection-Ergebnisse.

Tabelle C. Event Threat Detection-Typen

Event Threat Detection erkennt die Datenvernichtung, indem Audit-Logs vom Backup and DR Service Management Server für die folgenden Szenarien analysiert werden:

  • Löschen eines Sicherungsbilds
  • Löschen aller mit einer Anwendung verknüpften Sicherungsbilder
  • Löschen einer Sicherungs-/Wiederherstellungs-Appliance

Event Threat Detection erkennt die Daten-Exfiltration in BigQuery und Cloud SQL, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Eine BigQuery-Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
  • Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
  • Eine Cloud SQL-Ressource wird vollständig oder teilweise in einen Cloud Storage-Bucket außerhalb Ihrer Organisation bzw. in einen Bucket exportiert, der Ihrer Organisation gehört und öffentlich zugänglich ist.
  • Eine Cloud SQL-Sicherung wird auf einer Cloud SQL-Instanz außerhalb Ihrer Organisation wiederhergestellt.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Cloud Storage-Bucket außerhalb Ihrer Organisation oder in einen Bucket in Ihrer Organisation, der öffentlich zugänglich ist, exportiert.
  • Eine BigQuery-Ressource, die Ihrer Organisation gehört, wird in einen Google Drive-Ordner exportiert.
  • Eine BigQuery-Ressource wird in einer öffentlichen Ressource gespeichert, die Ihrer Organisation gehört.

Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Kompromittierung eines gültigen Nutzerkontos in Cloud SQL-Instanzen hinweisen könnten:

  • Einem Datenbanknutzer werden alle Berechtigungen für eine Cloud SQL for PostgreSQL-Datenbank sowie für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt.
  • Ein Cloud SQL-Standarddatenbankkonto-Superuser („postgres“ für PostgreSQL-Instanzen oder „root“ für MySQL-Instanzen) wird verwendet, um in Nicht-Systemtabellen zu schreiben.

Event Threat Detection untersucht Audit-Logs, um die folgenden Ereignisse zu erkennen, die auf eine Kompromittierung eines gültigen Nutzerkontos in AlloyDB for PostgreSQL-Instanzen hinweisen könnten:

  • Einem Datenbanknutzer werden alle Berechtigungen für eine AlloyDB for PostgreSQL-Datenbank sowie für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt.
  • Ein AlloyDB for PostgreSQL-Standarddatenbankkonto-Superuser („postgres“) wird verwendet, um in Nicht-Systemtabellen zu schreiben.
Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains oder IP-Adressen von Mining-Pools untersucht werden.

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters.
  • Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud -Konsole.
  • Dienstkonto, das vertrauliche Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.

Event Threat Detection erkennt anormale Änderungen an Backup and DR, die sich auf die Sicherung auswirken können, einschließlich wichtiger Richtlinienänderungen und des Entfernens wichtiger Backup and DR-Komponenten.
Event Threat Detection erkennt mögliche Versuche der Ausnutzung von Log4j-Exploits sowie aktive Log4j-Sicherheitslücken.
Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen.
Event Threat Detection erkennt anomalen Zugriff, indem sie Cloud-Audit-Logs für Google Cloud Dienständerungen untersucht, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Event Threat Detection erkennt anomales IAM-Verhalten, indem Cloud-Audit-Logs für die folgenden Szenarien analysiert werden:
  • IAM-Nutzer und ‑Dienstkonten, die über anomale IP-Adressen auf Google Cloud zugreifen.
  • IAM-Dienstkonten, die über anomale User-Agents auf Google Cloud zugreifen.
  • Hauptkonten und Ressourcen, die sich als IAM-Dienstkonten ausgeben, um auf Google Cloudzuzugreifen.
Event Threat Detection erkennt, wenn Anmeldedaten eines Dienstkontos verwendet werden, um die mit diesem Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Event Threat Detection erkennt eine Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Event Threat Detection erkennt eine Änderung am Metadaten-Startskript der Compute Engine-Instanz auf einer bestehenden Instanz (älter als 1 Woche).
Event Threat Detection erkennt potenzielle Manipulationen von Google Workspace-Konten, indem Audit-Logs auf anomale Kontoaktivitäten untersucht werden, darunter gehackte Passwörter und verdächtige versuchte Anmeldungen.
Event Threat Detection untersucht Audit-Logs von Google Workspace, um festzustellen, ob von staatlichen Stellen unterstützte Angreifer möglicherweise versucht haben, das Konto oder den Computer eines Nutzers zu kompromittieren.
Event Threat Detection prüft Audit-Logs von Google Workspace, um festzustellen, ob SSO deaktiviert ist oder die Einstellungen für Google Workspace-Administratorkonten geändert wurden.
Event Threat Detection untersucht Google Workspace-Audit-Logs, um zu erkennen, ob die Bestätigung in zwei Schritten für Nutzer- und Administratorkonten deaktiviert ist.
Event Threat Detection erkennt anomales API-Verhalten, indem Cloud-Audit-Logs auf Anfragen an Google Cloud -Dienste untersucht werden, die ein Hauptkonto zuvor noch nicht gesehen hat.

Event Threat Detection erkennt Defense Evasion, indem Cloud-Audit-Logs für die folgenden Szenarien analysiert werden:

  • Änderungen an vorhandenen VPC Service Controls-Perimetern, die zu einer Reduzierung des angebotenen Schutzes führen würden.
  • Bereitstellungen oder Aktualisierungen von Arbeitslasten, bei denen das Break-Glass-Flag verwendet wird, um Einstellungen für die Binärautorisierung zu überschreiben.Vorschau
  • Deaktivieren Sie die Richtlinie „storage.secureHttpTransport“ auf Projekt-, Ordner- oder Organisationsebene.
  • Die IP-Filterkonfiguration für einen Cloud Storage-Bucket ändern

Event Threat Detection erkennt Erkennungsvorgänge, indem Audit-Logs für die folgenden Szenarien analysiert werden:

  • Ein potenziell böswilliger Akteur hat versucht, mithilfe des Befehls kubectl zu ermitteln, welche vertraulichen Objekte in GKE abgefragt werden können.
  • Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.
Event Threat Detection erkennt Vorgänge für den ersten Zugriff, indem Audit-Logs für die folgenden Szenarien analysiert werden:
  • Für ein inaktives nutzerverwaltetes Dienstkonto wurde eine Aktion ausgelöst.Vorschau
  • Ein Hauptkonto hat versucht, verschiedene Google Cloud -Methoden aufzurufen, ist aber wiederholt aufgrund von Berechtigungsfehlern fehlgeschlagen.Vorschau

Event Threat Detection erkennt die Rechteausweitung in GKE. Hierzu werden Audit-Logs für die folgenden Szenarien analysiert:

  • Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte.
  • Ein potenziell böswilliger Nutzer hat eine Anfrage für die Signierung des Zertifikats der Kubernetes-Steuerungsebene erstellt, wodurch der Zugriff auf cluster-admin gewährt wird.
  • Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
  • Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) gesendet und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
  • Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.
Cloud IDS erkennt Layer 7-Angriffe durch die Analyse gespiegelter Pakete und löst bei Erkennung eines verdächtigen Ereignisses ein Event Threat Detection-Ergebnis aus. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging. Vorschau
Die Ereignis-Bedrohungserkennung erkennt potenzielle Angriffe auf modifizierte Bootlaufwerke, indem Cloud-Audit-Logs auf häufiges Trennen und erneutes Anhängen von Bootlaufwerken auf Compute Engine-Instanzen untersucht werden.

Weitere Informationen zu Event Threat Detection.

Google Cloud Armor

Google Cloud Armor schützt Ihre Anwendung durch Layer-7-Filter. Google Cloud Armor führt Scrubbing eingehender Anfragen für häufige Webangriffe oder andere Layer 7-Attribute durch, um Traffic zu blockieren, bevor er Ihre Back-End-Dienste mit Load-Balancing oder Ihre Back-End-Buckets erreicht.

Google Cloud Armor exportiert zwei Ergebnisse in das Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center, der in den Stufen „Enterprise“ und „Premium“ verfügbar ist. Dieser Dienst scannt virtuelle Maschinen, um potenziell schädliche Anwendungen wie Software zum Mining von Kryptowährungen, Kernel-Mode-Rootkits und Malware zu erkennen, die in kompromittierten Cloud-Umgebungen ausgeführt werden.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

Bedrohungsergebnisse von VM Threat Detection

VM Threat Detection kann die folgenden Bedrohungsergebnisse generieren.

Ergebnisse zu Kryptowährungs-Mining-Bedrohungen

VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.

Bedrohungsergebnisse von VM Threat Detection für das Mining von Kryptowährungen
Kategorie Modul Beschreibung
CRYPTOMINING_HASH Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
CRYPTOMINING_YARA Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Gibt eine Bedrohung an, die sowohl vom Modul CRYPTOMINING_HASH als auch vom Modul CRYPTOMINING_YARA erkannt wurde. Weitere Informationen finden Sie unter Kombinierte Erkennungen.

Gefundene Kernelmodus-Rootkit-Bedrohungen

VM Threat Detection analysiert die Kernelintegrität zur Laufzeit, um gängige Umgehungstechniken zu erkennen, die von Malware verwendet werden.

Das Modul KERNEL_MEMORY_TAMPERING erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.

Das KERNEL_INTEGRITY_TAMPERING-Modul erkennt Bedrohungen, indem es die Integrität wichtiger Kernel-Datenstrukturen prüft.

Bedrohungsergebnisse von VM Threat Detection für Kernel-Mode-Rootkits
Kategorie Modul Beschreibung
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Es ist eine Kombination von Signalen vorhanden, die mit einem bekannten Rootkit im Kernelmodus übereinstimmt. Damit Sie Ergebnisse dieser Kategorie erhalten, müssen beide Module aktiviert sein.
Manipulation des Kernel-Arbeitsspeichers
KERNEL_MEMORY_TAMPERING Es sind unerwartete Änderungen am schreibgeschützten Datenspeicher des Kernels vorhanden.
Manipulation der Kernel-Integrität
KERNEL_INTEGRITY_TAMPERING ftrace Punkte sind vorhanden, wobei Rückrufe auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
KERNEL_INTEGRITY_TAMPERING Es sind Interrupt-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.
KERNEL_INTEGRITY_TAMPERING Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.
KERNEL_INTEGRITY_TAMPERING kprobe Punkte sind vorhanden, wobei Rückrufe auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
KERNEL_INTEGRITY_TAMPERING Es sind unerwartete Prozesse in der Ausführungswarteschlange des Schedulers vorhanden. Solche Prozesse befinden sich in der Warteschlange für die Ausführung, aber nicht in der Aufgabenliste für Prozesse.
KERNEL_INTEGRITY_TAMPERING Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.

Fehler

Mithilfe von Fehlerdetektoren können Sie Fehler in Ihrer Konfiguration erkennen, die verhindern, dass Sicherheitsquellen Ergebnisse generieren. Fehlerergebnisse werden von der Security Command Center-Sicherheitsquelle generiert und haben die Ergebnisklasse SCC errors.

Unbeabsichtigte Aktionen

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename API-Name Fazit Schweregrad
API_DISABLED

Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Kritisch
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Ergebnisbeschreibung:Für Angriffspfadsimulationen sind Konfigurationen für den Wert von Ressourcen definiert, die jedoch keiner Ressourceninstanz in Ihrer Umgebung entsprechen. Stattdessen wird der Standardsatz hochwertiger Ressourcen verwendet.

Dieser Fehler kann folgende Ursachen haben:

  • Keine der Konfigurationen für Ressourcenwerte stimmt mit einer Ressourceninstanz überein.
  • Eine oder mehrere Konfigurationen für den Wert von Ressourcen, in denen NONE angegeben ist, überschreiben alle anderen gültigen Konfigurationen.
  • In allen definierten Konfigurationen von Ressourcenwerten wird der Wert NONE angegeben.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Kritisch
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Beschreibung des Ergebnisses:Bei der letzten Angriffspfadsimulation überschritt die Anzahl der Instanzen hochwertiger Ressourcen, die durch die Konfigurationen für Ressourcenwerte identifiziert wurden, das Limit von 1.000 Ressourceninstanzen in einem Satz hochwertiger Ressourcen. Daher hat Security Command Center die überschüssige Anzahl von Instanzen aus dem Satz hochwertiger Ressourcen ausgeschlossen.

Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der aus dem Set ausgeschlossenen Instanzen werden im SCC Error-Ergebnis in der Google Cloud -Konsole angegeben.

Die Angriffsrisikobewertungen für alle Ergebnisse, die sich auf ausgeschlossene Ressourceninstanzen auswirken, spiegeln nicht die Einstufung der Ressourceninstanzen als „hochwertig“ wider.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Hoch
KTD_IMAGE_PULL_FAILURE

Ergebnis-Beschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Image-Host in Container Registry abgerufen (heruntergeladen) werden kann. Das Image ist erforderlich, um das Container Threat Detection-DaemonSet bereitzustellen, das für Container Threat Detection erforderlich ist.

Beim Versuch, das DaemonSet für Container Threat Detection bereitzustellen, ist der folgende Fehler aufgetreten:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Ergebnisbeschreibung: Container Threat Detection kann in einem Kubernetes-Cluster nicht aktiviert werden. Ein Drittanbieter-Zulassungs-Controller verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das für Container Threat Detection erforderlich ist.

Wenn die Ergebnisse in der Google Cloud -Konsole aufgerufen werden, enthalten die Ergebnisdetails die Fehlermeldung, die von Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versuchte, ein Container Threat Detection-DaemonSet-Objekt bereitzustellen.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batchscans: Jede Woche

Dieses Ergebnis korrigieren

Hoch
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
VPC_SC_RESTRICTION

Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Hoch
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

Preisstufe: Premium oder Standard

Unterstützte Assets

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch

Weitere Informationen finden Sie unter Security Command Center-Fehler.

Nächste Schritte