Servizi di rilevamento

Questa pagina contiene un elenco dei servizi di rilevamento, a volte chiamati anche origini di sicurezza, che Security Command Center utilizza per rilevare problemi di sicurezza nei tuoi ambienti cloud.

Quando questi servizi rilevano un problema, generano un risultato, ovvero un record che identifica il problema di sicurezza e fornisce le informazioni necessarie per stabilire le priorità e risolverlo.

Puoi visualizzare i risultati nella console Google Cloud e filtrarli in molti modi diversi, ad esempio per tipo di risultato, tipo di risorsa o per una risorsa specifica. Ogni origine di sicurezza potrebbe fornire più filtri per aiutarti a organizzare i risultati.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Servizi di rilevamento delle vulnerabilità

I servizi di rilevamento delle vulnerabilità includono servizi integrati che rilevano vulnerabilità software, errori di configurazione e violazioni della postura nei tuoi ambienti cloud. Questi tipi di problemi di sicurezza sono indicati collettivamente come vulnerabilità.

Valutazione delle vulnerabilità di Artifact Registry

La valutazione delle vulnerabilità di Artifact Registry è un servizio di rilevamento che ti avvisa delle vulnerabilità nelle immagini container di cui è stato eseguito il deployment.

Questo servizio di rilevamento genera risultati di vulnerabilità per le immagini container nelle seguenti condizioni:

  • L'immagine container è archiviata in Artifact Registry.

  • L'immagine container viene implementata in una delle seguenti risorse:

    • Cluster Google Kubernetes Engine
    • Servizio Cloud Run
    • Job Cloud Run
    • App Engine

La valutazione delle vulnerabilità di Artifact Registry non genera risultati per le immagini container che non soddisfano questi criteri.

Una volta generati, i risultati della valutazione delle vulnerabilità di Artifact Registry rimangono disponibili per le query fino a cinque settimane dopo l'ultima scansione dell'immagine container eseguita. Per maggiori informazioni sulla conservazione dei dati di Security Command Center, vedi Conservazione dei dati.

Abilitare i risultati della valutazione delle vulnerabilità di Artifact Registry

Affinché la valutazione delle vulnerabilità di Artifact Registry generi risultati in Security Command Center per le immagini container di cui è stato eseguito il deployment e archiviate in Artifact Registry, l'API Container Scanning deve essere abilitata per il tuo progetto.

Se non hai abilitato l'API Container Scanning, procedi nel seguente modo:

  1. Nella console Google Cloud vai alla pagina API Container Scanning.

    Vai all'API Container Scanning

  2. Seleziona il progetto per il quale vuoi abilitare l'API Container Scanning.

  3. Fai clic su Attiva.

Security Command Center mostrerà i risultati per le immagini container vulnerabili scansionate che vengono implementate attivamente negli asset di runtime applicabili. Tuttavia, il servizio di rilevamento si comporta in modo diverso a seconda di quando hai attivato Security Command Center e l'API Container Scanning.

Scenario di attivazione Comportamento del servizio di rilevamento

Hai attivato Security Command Center dopo aver attivato l'API Container Scanning e aver eseguito il deployment di un'immagine container.

La valutazione delle vulnerabilità di Artifact Registry genererà risultati per le vulnerabilità esistenti rilevate con le scansioni precedenti di Artifact Registry entro 24 ore dall'attivazione.

Hai abilitato Security Command Center e hai eseguito il deployment di un'immagine container prima di abilitare l'API Container Scanning.

La valutazione delle vulnerabilità di Artifact Registry non genererà automaticamente risultati di vulnerabilità per le immagini container di cui hai eseguito il deployment prima di abilitare l'API finché non viene attivata una nuova analisi. Per attivare manualmente una nuova scansione, esegui nuovamente il deployment dell'immagine container nella stessa risorsa di runtime. La valutazione delle vulnerabilità di Artifact Registry genererà immediatamente i risultati se vengono rilevate vulnerabilità durante la scansione.

Hai abilitato Security Command Center e l'API Container Scanning prima di eseguire il deployment di un'immagine container.

L'immagine container di cui è stato appena eseguito il deployment viene immediatamente analizzata in Artifact Registry e la valutazione delle vulnerabilità di Artifact Registry genera risultati se l'analisi rileva vulnerabilità.

Disabilita i risultati della valutazione delle vulnerabilità di Artifact Registry

Per disattivare i risultati della valutazione delle vulnerabilità di Artifact Registry:

  1. Nella Google Cloud console, vai alla pagina Dettagli API/servizio per l'API Container Scanning.

    Vai a Dettagli API/servizio

  2. Seleziona il progetto per il quale vuoi disabilitare l'API Container Scanning.

  3. Fai clic su Disabilita API.

Security Command Center non mostrerà i risultati per le vulnerabilità rilevate nelle future scansioni delle immagini container. Security Command Center conserva i risultati esistenti della valutazione delle vulnerabilità di Artifact Registry per almeno 35 giorni dopo l'ultima scansione dell'immagine container eseguita. Per ulteriori informazioni sulla conservazione dei dati di Security Command Center, vedi Conservazione dei dati.

Puoi anche disattivare il test delle vulnerabilità di Artifact Registry disattivando l'ID origine del test delle vulnerabilità nelle impostazioni di Security Command Center. Tuttavia, non è consigliabile. Se disattivi l'ID origine Vulnerability Assessment, verranno disattivati tutti i servizi di rilevamento classificati in base all'ID origine Vulnerability Assessment. Pertanto, ti consigliamo di disabilitare l'API Container Scanning con la procedura precedente.

Visualizza i risultati della valutazione delle vulnerabilità di Artifact Registry nella console

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Dashboard della postura di sicurezza di GKE

La dashboard della postura di sicurezza di GKE è una pagina della consoleGoogle Cloud che fornisce risultati attendibili e strategici sui potenziali problemi di sicurezza nei tuoi cluster GKE.

Se abiliti una delle seguenti funzionalità della dashboard della postura di sicurezza di GKE, vedrai i risultati nel livello Standard o Premium di Security Command Center:

Funzionalità della dashboard della postura di sicurezza di GKE Classe di risultati di Security Command Center
Controllo della configurazione del workload MISCONFIGURATION
VULNERABILITY

I risultati mostrano informazioni sul problema di sicurezza e forniscono consigli per risolverlo nei carichi di lavoro o nei cluster.

I

Visualizzare i risultati della dashboard della postura di sicurezza di GKE nella console

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Strategia di sicurezza di GKE. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Motore per suggerimenti IAM

IAM Recommender genera suggerimenti che puoi seguire per migliorare la sicurezza rimuovendo o sostituendo i ruoli IAM delle entità quando i ruoli contengono autorizzazioni IAM di cui l'entità non ha bisogno.

Il motore per suggerimenti IAM viene attivato automaticamente quando attivi Security Command Center.

Attivare o disattivare i risultati del motore per suggerimenti IAM

Per attivare o disattivare i risultati di IAM Recommender in Security Command Center, segui questi passaggi:

  1. Vai alla scheda Servizi integrati della pagina Impostazioni di Security Command Center nella console Google Cloud :

    Vai a Servizi integrati

  2. Vai alla voce Motore per suggerimenti IAM.

  3. A destra della voce, seleziona Attiva o Disattiva.

I risultati del motore per suggerimenti IAM sono classificati come vulnerabilità.

Per correggere un risultato del motore per suggerimenti IAM, espandi la sezione seguente per visualizzare una tabella dei risultati del motore per suggerimenti IAM. I passaggi di correzione per ogni risultato sono inclusi nella voce della tabella.

Visualizzare i risultati del motore per suggerimenti IAM nella console

Seleziona la scheda specifica per il tuo livello di servizio.

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona IAM Recommender. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Motore per suggerimenti IAM. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Nel livello Premier, puoi anche visualizzare i risultati del motore per suggerimenti IAM nella pagina Vulnerabilità selezionando il preset di query Motore per suggerimenti IAM.

Mandiant Attack Surface Management

Mandiant è leader mondiale nel campo della threat intelligence in prima linea. Mandiant Attack Surface Management identifica vulnerabilità ed errori di configurazione nelle tue superfici di attacco esterne per aiutarti a rimanere al passo con gli ultimi attacchi informatici.

Mandiant Attack Surface Management viene attivato automaticamente quando attivi il livello Security Command Center Enterprise e i risultati sono disponibili nella console Google Cloud .

Per informazioni sulle differenze tra il prodotto Mandiant Attack Surface Management autonomo e l'integrazione di Mandiant Attack Surface Management in Security Command Center, consulta ASM e Security Command Center nel portale della documentazione di Mandiant. Questo link richiede l'autenticazione Mandiant.

Esaminare i risultati di Mandiant Attack Surface Management nella console

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Mandiant Attack Surface Management. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Né Security Command Center né Mandiant Attack Surface Management contrassegnano i risultati come risolti. Una volta risolto un problema, puoi contrassegnarlo manualmente come risolto. Se non viene identificato nella successiva scansione di Mandiant Attack Surface Management, rimane risolto.

Model Armor

Model Armor è un servizio Google Cloud completamente gestito che migliora la sicurezza delle applicazioni AI esaminando i prompt e le risposte degli LLM.

Vulnerabilità rilevate dal servizio Model Armor

Risultato Riepilogo

Nome della categoria nell'API: FLOOR_SETTINGS_VIOLATION

Descrizione del problema: una violazione delle impostazioni di base che si verifica quando un modello Model Armor non soddisfa gli standard di sicurezza minimi definiti dalle impostazioni di base della gerarchia delle risorse.

Livello di prezzo: Premium

Correggi questo risultato:

Questo risultato richiede l'aggiornamento del modello Model Armor in modo che sia conforme alle impostazioni di base definite nella gerarchia delle risorse.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da sistemi di protezione e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Se installi Policy Controller e attivi uno dei bundle Policy Controller, Policy Controller scrive automaticamente le violazioni del cluster in Security Command Center come risultati della classe Misconfiguration. La descrizione del problema e i passaggi successivi nei risultati di Security Command Center sono gli stessi della descrizione del vincolo e dei passaggi di correzione del bundle Policy Controller corrispondente.

I risultati di Policy Controller provengono dai seguenti bundle di Policy Controller:

Per trovare e correggere i risultati di Policy Controller, consulta Correzione dei risultati di Policy Controller.

Risk Engine

Il motore di valutazione del rischio di Security Command Center valuta l'esposizione al rischio dei tuoi deployment cloud, assegna punteggi di esposizione agli attacchi ai risultati delle vulnerabilità e alle tue risorse di alto valore e crea diagrammi dei percorsi che un potenziale utente malintenzionato potrebbe seguire per raggiungere le tue risorse di alto valore.

Nel livello Enterprise di Security Command Center, Risk Engine rileva gruppi di problemi di sicurezza che, quando si verificano insieme in un determinato pattern, creano un percorso verso una o più risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungere e compromettere queste risorse.

Quando il motore di valutazione del rischio rileva una di queste combinazioni, genera un risultato di classe TOXIC_COMBINATION. Nel risultato, Risk Engine è elencato come origine del risultato.

Risk Engine identifica anche risorse o gruppi di risorse comuni in cui convergono più percorsi di attacco, quindi genera un risultato di classe CHOKEPOINT.

Per ulteriori informazioni, consulta la panoramica di combinazioni dannose e chokepoint.

Security Health Analytics

Security Health Analytics è un servizio di rilevamento integrato di Security Command Center che fornisce scansioni gestite delle risorse cloud per rilevare errori di configurazione comuni.

Quando viene rilevata una configurazione errata, Security Health Analytics genera un risultato. La maggior parte dei risultati di Security Health Analytics sono mappati ai controlli degli standard di sicurezza in modo da poter valutare la conformità.

Security Health Analytics esegue la scansione delle risorse il giorno Google Cloud. Se utilizzi il livello Enterprise e stabilisci connessioni ad altre piattaforme cloud, Security Health Analytics può anche analizzare le tue risorse su queste piattaforme cloud.

A seconda del livello di servizio di Security Command Center che utilizzi, i rilevatori disponibili variano:

  • Nel livello Standard, Security Health Analytics include solo un gruppo di base di rilevatori di vulnerabilità di gravità media e alta.
  • Il livello Premium include tutti i rilevatori di vulnerabilità per Google Cloud.
  • Il livello Enterprise include rilevatori aggiuntivi per altre piattaforme cloud.

Security Health Analytics viene attivato automaticamente quando attivi Security Command Center.

Per ulteriori informazioni, vedi:

Servizio di postura di sicurezza

Il servizio di postura di sicurezza è un servizio integrato per il livello Security Command Center Premium che ti consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Fornisce informazioni su come il tuo ambiente è allineato alle norme che definisci nella tua postura di sicurezza.

Il servizio di postura di sicurezza non è correlato alla dashboard della postura di sicurezza di GKE, che mostra solo i risultati nei cluster GKE.

Sensitive Data Protection

Sensitive Data Protection è un servizio completamente gestito Google Cloud che ti aiuta a scoprire, classificare e proteggere i tuoi dati sensibili. Puoi utilizzare Sensitive Data Protection per determinare se stai archiviando informazioni sensibili o che consentono l'identificazione personale (PII), come:

  • Nomi di persone
  • Numeri di carte di credito
  • Numeri di documenti di identità nazionali o statali
  • Numeri ID assicurazione sanitaria
  • Secret

In Sensitive Data Protection, ogni tipo di dato sensibile che cerchi è chiamato infoType.

Se configuri l'operazione Sensitive Data Protection in modo da inviare i risultati a Security Command Center, puoi visualizzare i risultati direttamente nella sezione Security Command Center della console Google Cloud , oltre che nella sezione Sensitive Data Protection.

Risultati delle vulnerabilità del servizio di rilevamento Sensitive Data Protection

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.

Categoria Riepilogo

Nome della categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del problema: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque su internet può accedere.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Per i dati Google Cloud , rimuovi allUsers e allAuthenticatedUsers dalla policy IAM dell'asset di dati.

Per i dati Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Per saperne di più, consulta Configurazione delle impostazioni di accesso pubblico con blocco per i bucket S3 e Configurazione delle ACL nella documentazione di AWS.

Per i dati di Azure Blob Storage, rimuovi l'accesso pubblico al container e ai blob. Per maggiori informazioni, consulta Panoramica: correzione dell'accesso in lettura anonimo per i dati blob nella documentazione di Azure.

Standard di conformità: non mappati

Nome della categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e Google Cloud credenziali, nelle variabili di ambiente.

Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati:

Correzione:

Per le variabili di ambiente di Cloud Run Functions, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager.

Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed elimina la revisione.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e credenziali cloud, nella risorsa specificata.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

  1. Per i dati Google Cloud , utilizza Sensitive Data Protection per eseguire una scansione di ispezione approfondita della risorsa specificata per identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o AVRO in un bucket Cloud Storage ed esegui una scansione di ispezione approfondita del bucket.

    Per i dati di altri cloud provider, ispeziona manualmente il bucket o il container specificato.

  2. Rimuovi i secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati, valuta la possibilità di archiviare i secret rilevati in Secret Manager. Google Cloud

Standard di conformità: non mappati

Risultati degli errori di configurazione del servizio di rilevamento Sensitive Data Protection

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se hai configurazioni errate che potrebbero esporre dati sensibili.

Categoria Riepilogo

Nome della categoria nell'API:

SENSITIVE_DATA_CMEK_DISABLED

Descrizione del risultato: la risorsa specificata contiene dati ad alta o media sensibilità e non utilizza una chiave di crittografia gestita dal cliente (CMEK).

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Standard di conformità: non mappati

Risultati dell'osservazione di Sensitive Data Protection

Questa sezione descrive i risultati delle osservazioni generati da Sensitive Data Protection in Security Command Center.

Risultati dell'osservazione dal servizio di rilevamento

Il servizio di rilevamento della protezione dei dati sensibili ti aiuta a determinare se i tuoi dati contengono infoType specifici e dove si trovano nella tua organizzazione, nelle cartelle e nei progetti. Genera le seguenti categorie di risultati di osservazione in Security Command Center:

Data sensitivity
Un'indicazione del livello di sensibilità dei dati in una determinata risorsa dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
Il rischio associato ai dati nel loro stato attuale. Quando calcola il rischio dei dati, la protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset di dati e la presenza di controlli di accesso per proteggere questi dati. La gravità del risultato è il livello di rischio dei dati che Sensitive Data Protection ha calcolato durante la generazione del profilo dati.

A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center pochi minuti dopo l'attivazione del rilevamento di dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono trascorrere fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.

Successivamente, Sensitive Data Protection genera risultati in Security Command Center pochi minuti dopo che il servizio di rilevamento ha eseguito la scansione delle risorse.

Per informazioni su come inviare i risultati del profilo dei dati a Security Command Center, consulta quanto segue:

Risultati dell'osservazione del servizio di ispezione Sensitive Data Protection

Un job di ispezione di Sensitive Data Protection identifica ogni istanza di dati di un infoType specifico in un sistema di archiviazione come un bucket Cloud Storage o una tabella BigQuery. Ad esempio, puoi eseguire un job di ispezione che cerca tutte le stringhe che corrispondono al rilevatore infoType CREDIT_CARD_NUMBER in un bucket Cloud Storage.

Per ogni rilevatore infoType che presenta una o più corrispondenze, Sensitive Data Protection genera un risultato di Security Command Center corrispondente. La categoria del risultato è il nome del rilevatore di infoType che ha trovato una corrispondenza, ad esempio Credit card number. Il risultato include il numero di stringhe corrispondenti rilevate nel testo o nelle immagini della risorsa.

Per motivi di sicurezza, le stringhe effettive rilevate non sono incluse nel risultato. Ad esempio, un risultato Credit card number mostra il numero di numeri di carte di credito trovati, ma non i numeri di carte di credito effettivi.

Poiché in Sensitive Data Protection sono presenti più di 150 rilevatori di infoType integrati, qui non sono elencate tutte le possibili categorie di risultati di Security Command Center. Per un elenco completo dei rilevatori di infoType, vedi Guida di riferimento per i rilevatori di infoType.

Per informazioni su come inviare i risultati di un job di ispezione a Security Command Center, vedi Inviare i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.

Esamina i risultati di Sensitive Data Protection nella console

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Sensitive Data Protection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Sensitive Data Protection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

VM Manager

VM Manager è una suite di strumenti che possono essere utilizzati per gestire sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.

Se abiliti VM Manager con il livello Security Command Center Premium, VM Manager scrive automaticamente i risultati high e critical dei report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo della funzionalità di conformità delle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i tuoi progetti. VM Manager supporta la gestione delle patch a livello di singolo progetto.

Per correggere i problemi riscontrati da VM Manager, consulta Correzione dei problemi riscontrati da VM Manager.

Per impedire la scrittura dei report sulle vulnerabilità in Security Command Center, vedi Disattivare i risultati di VM Manager.

Le vulnerabilità di questo tipo sono tutte correlate ai pacchetti del sistema operativo installati nelle VM Compute Engine supportate.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: OS_VULNERABILITY

Descrizione del problema: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM Compute Engine.

Livello di prezzo: Premium

Asset supportati

compute.googleapis.com/Instance

Correggi questo risultato

I report sulle vulnerabilità di VM Manager descrivono in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, incluse le vulnerabilità ed esposizioni comuni (CVE).

Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.

I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:

  • Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare informazioni sulle vulnerabilità ed esposizioni comuni (CVE) per la VM in Security Command Center entro due ore dalla modifica.
  • Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, i CVE aggiornati sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Valutazione delle vulnerabilità per AWS

Il servizio Vulnerability Assessment for Amazon Web Services (AWS) rileva le vulnerabilità del software nei tuoi workload in esecuzione su macchine virtuali (VM) EC2 sulla piattaforma cloud AWS.

Per ogni vulnerabilità rilevata, la valutazione delle vulnerabilità per AWS genera un risultato della classe Vulnerability nella categoria di risultati Software vulnerability in Security Command Center.

Il servizio Vulnerability Assessment for AWS esegue la scansione degli snapshot delle istanze di macchine EC2 in esecuzione, pertanto i carichi di lavoro di produzione non vengono interessati. Questo metodo di scansione è chiamato scansione del disco senza agenti, perché non sono installati agenti nelle destinazioni di scansione.

Per ulteriori informazioni, consulta le seguenti risorse:

Valutazione delle vulnerabilità per Google Cloud

Il servizio Vulnerability Assessment per Google Cloud rilevano le vulnerabilità del software nelle seguenti risorse sulla piattaforma Google Cloud :

  • Esecuzione di istanze VM di Compute Engine
  • Nodi nei cluster GKE Standard
  • Container in esecuzione nei cluster GKE Standard e GKE Autopilot

Per ogni vulnerabilità rilevata, Vulnerability Assessment per Google Cloud genera un risultato di classe Vulnerability nella categoria di risultati Software vulnerability o OS vulnerability in Security Command Center.

Il servizio Vulnerability Assessment per Google Cloud esegue la scansione delle istanze VM di Compute Engine clonando i relativi dischi circa ogni 12 ore, montandoli in un'istanza VM sicura e valutandoli con lo scanner SCALIBR.

Per ulteriori informazioni, consulta Vulnerability Assessment per Google Cloud.

Web Security Scanner

Web Security Scanner fornisce analisi delle vulnerabilità web gestite e personalizzate per le applicazioni web pubbliche servite da App Engine, GKE e Compute Engine.

Scansioni gestite

Le scansioni gestite di Web Security Scanner sono configurate e gestite da Security Command Center. Le scansioni gestite vengono eseguite automaticamente una volta alla settimana per rilevare e scansionare gli endpoint web pubblici. Queste scansioni non utilizzano l'autenticazione e inviano solo richieste GET, pertanto non inviano moduli sui siti web live.

Le scansioni gestite vengono eseguite separatamente dalle scansioni personalizzate.

Se Security Command Center è attivato a livello di organizzazione, puoi utilizzare le scansioni gestite per gestire centralmente il rilevamento delle vulnerabilità di base delle applicazioni web per i progetti della tua organizzazione, senza dover coinvolgere i singoli team di progetto. Quando vengono rilevati risultati, puoi collaborare con questi team per configurare scansioni personalizzate più complete.

Quando abiliti Web Security Scanner come servizio, i risultati delle scansioni gestite sono disponibili automaticamente nella pagina Vulnerabilità di Security Command Center e nei report correlati. Per informazioni su come attivare le scansioni gestite di Web Security Scanner, consulta Configurare i servizi di Security Command Center.

Le scansioni gestite supportano solo le applicazioni che utilizzano la porta predefinita, ovvero 80 per le connessioni HTTP e 443 per le connessioni HTTPS. Se la tua applicazione utilizza una porta non predefinita, esegui una scansione personalizzata.

Scansioni personalizzate

Le scansioni personalizzate di Web Security Scanner forniscono informazioni granulari sui risultati delle vulnerabilità delle applicazioni, come librerie obsolete, cross-site scripting o utilizzo di contenuti misti.

Definisci le scansioni personalizzate a livello di progetto.

I risultati delle scansioni personalizzate sono disponibili in Security Command Center dopo aver completato la guida alla configurazione delle scansioni personalizzate di Web Security Scanner.

Rilevatori e conformità

Web Security Scanner supporta le categorie della OWASP Top Ten, un documento che classifica e fornisce indicazioni per la correzione dei 10 rischi per la sicurezza delle applicazioni web più critici, come determinato dall'Open Web Application Security Project (OWASP). Per indicazioni sulla mitigazione dei rischi OWASP, consulta Opzioni di mitigazione OWASP Top 10 su Google Cloud.

La mappatura della conformità è inclusa a titolo di riferimento e non viene fornita o esaminata dalla OWASP Foundation.

Questa funzionalità è pensata solo per monitorare le violazioni dei controlli di conformità. Le mappature non vengono fornite per essere utilizzate come base o come sostituto dell'audit, della certificazione o del report di conformità dei tuoi prodotti o servizi a qualsiasi benchmark o standard normativo o di settore.

Per ulteriori informazioni, consulta la panoramica di Web Security Scanner.

Notebook Security Scanner

Notebook Security Scanner è un servizio integrato di rilevamento delle vulnerabilità dei pacchetti di Security Command Center. Una volta attivato, Notebook Security Scanner esegue automaticamente la scansione dei notebook Colab Enterprise (file con estensione ipynb) ogni 24 ore per rilevare le vulnerabilità nei pacchetti Python e pubblica questi risultati nella pagina Risultati di Security Command Center.

Puoi utilizzare Notebook Security Scanner per i notebook Colab Enterprise creati nelle seguenti regioni: us-central1, us-east4, us-west1 e europe-west4.

Per iniziare a utilizzare Notebook Security Scanner, consulta Abilitare e utilizzare Notebook Security Scanner.

Servizi di rilevamento delle minacce

I servizi di rilevamento delle minacce includono servizi integrati che rilevano eventi che potrebbero indicare eventi potenzialmente dannosi, come risorse compromesse o attacchi informatici.

Rilevamento di anomalie

Anomaly Detection è un servizio integrato che utilizza indicatori di comportamento dall'esterno del tuo sistema. Visualizza informazioni granulari sulle anomalie di sicurezza rilevate per i tuoi progetti e le tue istanze di macchine virtuali (VM), tra cui potenziali credenziali divulgate. Anomaly Detection viene attivato automaticamente quando attivi il livello Standard o Premium di Security Command Center e i risultati sono disponibili nella console Google Cloud .

I risultati del rilevamento delle anomalie includono quanto segue:

Nome dell'anomalia Categoria risultati Descrizione
account_has_leaked_credentials

Le credenziali di un service account Google Cloud vengono divulgate accidentalmente online o sono compromesse.

Gravità: critica

L'account ha credenziali divulgate

GitHub ha comunicato a Security Command Center che le credenziali utilizzate per un commit sembrano essere le credenziali di un account di servizio Identity and Access Management.Google Cloud

La notifica include il nome account di servizio e l'identificatore della chiave privata. Google Cloud Invia anche una notifica via email al tuo contatto designato per problemi di sicurezza e privacy.

Per risolvere il problema, esegui una o più delle seguenti azioni:

  • Identifica l'utente legittimo della chiave.
  • Ruota la chiave.
  • Rimuovi la chiave.
  • Esamina le azioni intraprese dalla chiave dopo la sua divulgazione per assicurarti che nessuna sia dannosa.

JSON: leaked account credentials finding

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection può rilevare gli attacchi runtime ai container più comuni e avvisarti in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, uno strumento di analisi e un'API.

La strumentazione di rilevamento di Container Threat Detection raccoglie il comportamento di basso livello nel kernel guest ed esegue l'elaborazione del linguaggio naturale sul codice per rilevare gli eventi seguenti:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (Anteprima)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (Anteprima)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (Anteprima)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Remote Command Execution Detected (Anteprima)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (Anteprima)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Reverse Shell
  • Unexpected Child Shell

Scopri di più su Container Threat Detection.

Event Threat Detection

Event Threat Detection utilizza i dati dei log all'interno dei tuoi sistemi. Monitora il flusso di Cloud Logging per i progetti e consuma i log man mano che diventano disponibili. Quando viene rilevata una minaccia, Event Threat Detection scrive un risultato in Security Command Center e in un progetto Cloud Logging. Event Threat Detection viene attivato automaticamente quando attivi il livello Premium di Security Command Center e i risultati sono disponibili nella consoleGoogle Cloud .

La tabella seguente elenca alcuni esempi di risultati di Event Threat Detection.

Tabella C Tipi di risultati di Event Threat Detection

Event Threat Detection rileva la distruzione dei dati esaminando gli audit log del server di gestione del servizio Backup e DR per i seguenti scenari:

  • Eliminazione di un'immagine di backup
  • Eliminazione di tutte le immagini di backup associate a un'applicazione
  • Eliminazione di un'appliance di backup/ripristino

Event Threat Detection rileva l'esfiltrazione di dati da BigQuery e Cloud SQL esaminando gli audit log per i seguenti scenari:

  • Una risorsa BigQuery viene salvata al di fuori della tua organizzazione oppure viene tentata un'operazione di copia bloccata dai Controlli di servizio VPC.
  • Viene effettuato un tentativo di accesso alle risorse BigQuery protette da Controlli di servizio VPC.
  • Una risorsa Cloud SQL viene esportata completamente o parzialmente in un bucket Cloud Storage al di fuori della tua organizzazione o in un bucket di proprietà della tua organizzazione e accessibile pubblicamente.
  • Un backup di Cloud SQL viene ripristinato in un'istanza Cloud SQL al di fuori della tua organizzazione.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in un bucket Cloud Storage al di fuori della tua organizzazione o in un bucket della tua organizzazione che è accessibile pubblicamente.
  • Una risorsa BigQuery di proprietà della tua organizzazione viene esportata in una cartella Google Drive.
  • Una risorsa BigQuery viene salvata in una risorsa pubblica di proprietà della tua organizzazione.

Event Threat Detection esamina gli audit log per rilevare i seguenti eventi che potrebbero indicare la compromissione di un account utente valido sulle istanze Cloud SQL:

  • A un utente del database vengono concessi tutti i privilegi per un database Cloud SQL per PostgreSQL o per tutte le tabelle, procedure o funzioni in uno schema.
  • Un superuser dell'account di database predefinito di Cloud SQL (`postgres` sulle istanze PostgreSQL o "root" sulle istanze MySQL) viene utilizzato per scrivere nelle tabelle non di sistema.

Event Threat Detection esamina i log di controllo per rilevare i seguenti eventi che potrebbero indicare la compromissione di un account utente valido sulle istanze AlloyDB per PostgreSQL:

  • A un utente del database vengono concessi tutti i privilegi per un database AlloyDB per PostgreSQL o per tutte le tabelle, procedure o funzioni in uno schema.
  • Un superuser dell'account database predefinito di AlloyDB per PostgreSQL (`postgres`) viene utilizzato per scrivere nelle tabelle non di sistema.
Event Threat Detection rileva l'attacco di tipo brute force SSH per l'autenticazione della password esaminando i log syslog per errori ripetuti seguiti da un esito positivo.
Event Threat Detection rileva i malware per il mining di criptovalute esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini o indirizzi IP noti di pool di mining.

Concessioni IAM anomale: Event Threat Detection rileva l'aggiunta di concessioni IAM che potrebbero essere considerate anomale, ad esempio:

  • Aggiunta di un utente gmail.com a un criterio con il ruolo Editor progetto.
  • Invitare un utente gmail.com come proprietario del progetto dalla console Google Cloud .
  • Service account che concede autorizzazioni sensibili.
  • Ruolo personalizzato con autorizzazioni sensibili.
  • Account di servizio aggiunto da un utente esterno all'organizzazione.

Event Threat Detection rileva modifiche anomale a Backup e RE che potrebbero influire sulla postura di backup, tra cui modifiche importanti alle policy e rimozione di componenti critici di Backup e RE.
Event Threat Detection rileva possibili tentativi di sfruttamento di Log4j e vulnerabilità Log4j attive.
Event Threat Detection rileva il malware esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini e IP command and control noti.
Event Threat Detection esamina i log di flusso VPC per rilevare il traffico di tipo denial of service in uscita.
Event Threat Detection rileva accessi anomali esaminando Cloud Audit Logsd per le modifiche al servizio Google Cloud provenienti da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Event Threat Detection rileva un comportamento anomalo di IAM esaminando Cloud Audit Logs per i seguenti scenari:
  • Utenti IAM e service account che accedono Google Cloud da indirizzi IP anomali.
  • Service account IAM che accedono a Google Cloud da user agent anomali.
  • Entità e risorse che impersonano service account IAM per accedere a Google Cloud.
Event Threat Detection rileva quando le credenziali di un account di servizio vengono utilizzate per esaminare i ruoli e le autorizzazioni associati allo stesso service account.
Event Threat Detection rileva una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di una settimana).
Event Threat Detection rileva una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di una settimana).
Event Threat Detection rileva il potenziale compromissione degli account Google Workspace esaminando i log di controllo per rilevare attività anomale degli account, incluse password trapelate e tentativi di accesso sospetti.
Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando un attacco sostenuto da un governo potrebbe aver tentato di compromettere un account utente o un computer.
Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando SSO è disattivato o le impostazioni vengono modificate per gli accounamministratore di Google Workspacece.
Event Threat Detection esamina i log di controllo di Google Workspace per rilevare quando la verifica in due passaggi viene disattivata sugli account utente e amministratore.
Event Threat Detection rileva un comportamento anomalo dell'API esaminando Cloud Audit Logs per le richieste ai servizi Google Cloud che un principal non ha mai visto prima.

Event Threat Detection rileva l'elusione della difesa esaminando Cloud Audit Logs per i seguenti scenari:

  • Modifiche ai perimetri dei Controlli di servizio VPC esistenti che comporterebbero una riduzione della protezione offerta.
  • Deployment o aggiornamenti dei workload che utilizzano il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.Anteprima
  • Disabilita il criterio storage.secureHttpTransport a livello di progetto, cartella o organizzazione.
  • Modifica la configurazione del filtro IP per un bucket Cloud Storage.

Event Threat Detection rileva le operazioni di rilevamento esaminando i log di controllo per i seguenti scenari:

  • Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando kubectl.
  • Viene utilizzata una credenziale del account di servizio per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Event Threat Detection rileva le operazioni di accesso iniziale esaminando i log di controllo per i seguenti scenari:
  • Un service account gestito dall'utente inattivo ha attivato un'azione.Anteprima
  • Un'entità ha tentato di richiamare vari metodi Google Cloud , ma non è riuscita ripetutamente a causa di errori di autorizzazione negata.Anteprima

Event Threat Detection rileva l'escalation dei privilegi in GKE esaminando gli audit log per gli scenari seguenti:

  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo dell'accesso basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
  • Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) del control plane Kubernetes, che gli concede l'accesso cluster-admin.
  • Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
  • Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
  • Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi.
Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando rileva un evento sospetto, attiva un risultato di Event Threat Detection. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni sulla registrazione di Cloud IDS. Anteprima
Event Threat Detection rileva potenziali attacchi al disco di avvio modificato esaminando Cloud Audit Logs per frequenti scollegamenti e ricollegamenti del disco di avvio nelle istanze Compute Engine.

Scopri di più su Event Threat Detection.

Google Cloud Armor

Google Cloud Armor aiuta a proteggere la tua applicazione fornendo il filtro di livello 7. Google Cloud Armor analizza le richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend con bilanciamento del carico o i bucket di backend.

Google Cloud Armor esporta due risultati in Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle macchine virtuali per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni su VM Threat Detection, consulta la panoramica di VM Threat Detection.

Risultati delle minacce di VM Threat Detection

VM Threat Detection può generare i seguenti risultati di minaccia.

Risultati della minaccia di mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza degli hash o le regole YARA.

Risultati delle minacce di mining di criptovalute di VM Threat Detection
Categoria Modulo Descrizione
CRYPTOMINING_HASH Confronta gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute.
CRYPTOMINING_YARA Corrisponde a pattern di memoria, come costanti di proof-of-work, noti per essere utilizzati da software di mining di criptovalute.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifica una minaccia rilevata dai moduli CRYPTOMINING_HASH e CRYPTOMINING_YARA. Per saperne di più, vedi Rilevamenti combinati.

Risultati delle minacce rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di runtime per rilevare le tecniche di elusione comuni utilizzate dal malware.

Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce eseguendo un confronto hash sul codice kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando l'integrità delle strutture di dati del kernel importanti.

Risultati delle minacce rootkit in modalità kernel di VM Threat Detection
Categoria Modulo Descrizione
rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 È presente una combinazione di indicatori corrispondenti a un rootkit in modalità kernel noto. Per ricevere i risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.
Manomissione della memoria del kernel
KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste alla memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
KERNEL_INTEGRITY_TAMPERING Sono presenti ftrace punti con callback che puntano a regioni non comprese nell'intervallo di codice del kernel o del modulo previsto.
KERNEL_INTEGRITY_TAMPERING Sono presenti gestori di interruzioni che non si trovano nelle regioni di codice del kernel o del modulo previste.
KERNEL_INTEGRITY_TAMPERING Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
KERNEL_INTEGRITY_TAMPERING Sono presenti kprobe punti con callback che puntano a regioni che non rientrano nell'intervallo di codice del kernel o del modulo previsto.
KERNEL_INTEGRITY_TAMPERING Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi si trovano nella coda di esecuzione, ma non nell'elenco delle attività del processo.
KERNEL_INTEGRITY_TAMPERING Sono presenti gestori chiamate di sistema che non si trovano nelle regioni di codice del kernel o del modulo previste.

Errori

I rilevatori di errori possono aiutarti a rilevare errori nella configurazione che impediscono alle origini di sicurezza di generare risultati. I risultati di errore vengono generati dalla sorgente di sicurezza Security Command Center e hanno la classe di risultati SCC errors.

Azioni involontarie

Le seguenti categorie di risultati rappresentano errori probabilmente causati da azioni involontarie.

Azioni involontarie
Nome categoria Nome API Riepilogo Gravità
API_DISABLED

Descrizione del problema:Un'API obbligatoria è disattivata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center.

Livello di prezzo:Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Scansioni batch: ogni 60 ore

Correggi questo risultato

Critico
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrizione del risultato:Le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono ad alcuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece il set di risorse di alto valore predefinito.

Questo errore può essere dovuto a uno dei seguenti motivi:

  • Nessuna delle configurazioni dei valori delle risorse corrisponde a istanze di risorse.
  • Una o più configurazioni di valori delle risorse che specificano NONE sostituiscono qualsiasi altra configurazione valida.
  • Tutte le configurazioni dei valori delle risorse definite specificano un valore di NONE.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni batch: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Critico
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrizione del risultato:Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato.

Il numero totale di istanze corrispondenti e il numero totale di istanze escluse dal set sono identificati nel risultato SCC Error nella console Google Cloud .

I punteggi di esposizione agli attacchi per i risultati che interessano le istanze di risorse escluse non riflettono la designazione di alto valore delle istanze di risorse.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organizations

Scansioni batch: prima di ogni simulazione del percorso di attacco.

Correggi questo risultato

Alta
KTD_IMAGE_PULL_FAILURE

Descrizione del problema:Container Threat Detection non può essere attivato nel cluster perché non è possibile estrarre (scaricare) un'immagine container richiesta da gcr.io, l'host dell'immagine Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection.

Il tentativo di deployment del DaemonSet di Container Threat Detection ha generato il seguente errore:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Critico
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrizione del problema: Container Threat Detection non può essere abilitato su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet richiesto da Container Threat Detection.

Se visualizzati nella console Google Cloud , i dettagli del problema includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Alta
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del risultato:A un account di servizio mancano le autorizzazioni richieste da Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché l' instrumentazione di rilevamento non può essere abilitata, aggiornata o disattivata.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Critico
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del risultato:Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché all'account di servizio predefinito GKE sul cluster mancano le autorizzazioni. In questo modo Container Threat Detection non può essere abilitato correttamente sul cluster.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Scansioni batch: ogni settimana

Correggi questo risultato

Alta
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrizione del problema:Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare risultati a Logging.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Alta
VPC_SC_RESTRICTION

Descrizione del risultato: Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro.

Livello di prezzo:Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Project

Scansioni batch: ogni 6 ore

Correggi questo risultato

Alta
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrizione del problema:L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono prodotti risultati.

Livello di prezzo:Premium o Standard

Asset supportati

Scansioni batch: ogni 30 minuti

Correggi questo risultato

Critico

Per maggiori informazioni, vedi Errori di Security Command Center.

Passaggi successivi