Mit der Sicherheitsrisikobewertung für Google Cloud können Sie kritische und schwerwiegende Softwarelücken in Ihren Compute Engine-VM-Instanzen erkennen, ohne Agenten installieren zu müssen. Dazu werden die Laufwerke Ihrer VM-Instanz ungefähr alle 12 Stunden geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit dem SCALIBR-Scanner geprüft.
Die VM-Instanz für die Suche hat die folgenden Eigenschaften:
- Sie wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Sie wird in einem Google-Projekt erstellt und verursacht daher keine zusätzlichen Kosten.
Hinweise
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ausgehenden und eingehenden Traffic.
Beschränkungen
- VM-Instanzen mit nichtflüchtigen Laufwerken, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) oder vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind, werden nicht unterstützt.
- Es werden nur VFAT-, EXT2- und EXT4-Partitionen gescannt.
- Der Security Command Center-Dienstagent benötigt Zugriff, um VM-Instanzen des Projekts aufzulisten und deren Laufwerke in Google-eigenen Projekten zu klonen. Einige Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen für Organisationsrichtlinien können diesen Zugriff beeinträchtigen und die Suche verhindern.
Dienstidentität und Berechtigungen
Die Schwachstellenbewertung für den Dienst Google Cloud verwendet Security Command Center-Dienst-Agents für Identität und Berechtigung zum Zugriff auf Google Cloud -Ressourcen.
Für die Aktivierung von Security Command Center auf Organisationsebene wird der folgende Serviceagent verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene wird der folgende Kundenservicemitarbeiter verwendet:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Sicherheitslückenbewertung für Google Cloudaktivieren oder deaktivieren
Bei Organisationen, die die Premium- oder Enterprise-Stufen des Security Command Centers nutzen, ist die Sicherheitsrisikobewertung für Google Cloud standardmäßig für alle VM-Instanzen aktiviert, sofern möglich. So ändern Sie diese Einstellung:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, für die Sie die Sicherheitslückenbewertung für Google Cloud aktivieren möchten.
Klicken Sie auf Einstellungen.
Klicken Sie auf der Karte Sicherheitsrisikobewertung auf Einstellungen verwalten.
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud in der Spalte Agentenlose Sicherheitslückenbewertung die Sicherheitslückenbewertung für Google Cloud auf Organisations-, Ordner- oder Projektebene. Untergeordnete Ebenen können auch so festgelegt werden, dass sie den Wert von übergeordneten Ebenen übernehmen.
Ergebnisse der Prüfung auf Sicherheitslücken für Google Cloud
Wenn die Sicherheitsrisikobewertung für den Dienst Google Cloud eine Softwarelücke auf einer Compute Engine-VM-Instanz erkennt, generiert der Dienst am Google Cloudeinen Befund im Security Command Center.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke spezifisch sind:
- Der vollständige Ressourcenname der betroffenen Instanz
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch das Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den wertvollen Ressourcen nehmen könnte, die durch die Sicherheitslücke offengelegt werden
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupgrades, mit dem die Sicherheitslücke geschlossen werden kann
Alle Ergebnisse der Sicherheitslückenbewertung für Google Cloud haben die folgenden Attributwerte:
- Kategorie
OS vulnerabilitySoftware vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Google Cloud- Quelle
Vulnerability Assessment
Aufbewahrung von Ergebnissen
Nach der Behebung werden die vom Sicherheitsrisikobewertungstool für Google Cloud generierten Ergebnisse sieben Tage lang aufbewahrt und dann gelöscht. Die Ergebnisse der aktiven Sicherheitslückenbewertung Google Cloudwerden unbegrenzt aufbewahrt.
Paketstandort
Der Dateispeicherort einer in den Ergebnissen gemeldeten Sicherheitslücke bezieht sich entweder auf eine Binärdatei oder auf Paketmetadatendateien. Welche Daten aufgeführt werden, hängt vom verwendeten SCALIBR-Extractor ab.
Die folgende Tabelle enthält einige Beispiele für den Standort der Sicherheitslücke, die für verschiedene SCALIBR-Extractor angezeigt wird.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Go-Binärprogramm | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console ansehen
Sie können sich die Ergebnisse der Google Cloud Google Cloud Sicherheitsrisikobewertung in der Console ansehen. Prüfen Sie vorher, ob das Hauptkonto die entsprechenden Rollen hat.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung in der Google Cloud Console: Google Cloud
Google Cloud console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Agentlose Sicherheitsrisikobewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings
Ersetzen Sie
CUSTOMER_SUBDOMAINdurch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie Sicherheitslückenbewertung ohne Agent aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.