Google Cloud 漏洞评估功能有助于发现 Compute Engine 虚拟机实例中的严重和高严重级别软件漏洞,而无需安装代理。具体方法是,大约每 12 小时克隆一次虚拟机实例磁盘,将其挂载到另一个安全的虚拟机实例中,然后使用 SCALIBR 扫描器对其进行评估。
扫描虚拟机实例具有以下属性:
- 它会在与源虚拟机实例相同的区域中创建。
- 该项目是在 Google 拥有的项目中创建的,因此不会增加您的费用。
准备工作
如果您已设置 VPC Service Controls 边界,请创建所需的出站和入站规则。
限制
- 不支持使用客户提供的加密密钥 (CSEK) 或客户管理的加密密钥 (CMEK) 加密的永久性磁盘的虚拟机实例。
- 仅扫描 VFAT、EXT2 和 EXT4 分区。
- Security Command Center 服务代理需要访问权限,才能列出项目虚拟机实例并将其磁盘克隆到 Google 自有项目。某些安全和政策配置(例如组织政策限制条件)可能会干扰此访问,导致扫描无法进行。
服务身份和权限
Google Cloud 服务的漏洞评估使用 Security Command Center 服务代理来获取访问 Google Cloud 资源的身份和权限。
对于 Security Command Center 的组织级激活,系统会使用以下服务代理:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
对于 Security Command Center 的项目级层激活,系统会使用以下服务代理:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
为 Google Cloud启用或停用漏洞评估
默认情况下,如果组织使用的是 Security Command Center 的高级或企业层级,则系统会尽可能为所有虚拟机实例自动启用漏洞评估。 Google Cloud 如需更改此设置,请完成以下操作:
在 Google Cloud 控制台中,前往风险概览页面:
选择一个组织,为其启用漏洞评估。 Google Cloud
点击设置。
在漏洞评估卡片中,点击管理设置。
在 Google Cloud 标签页中,通过无代理漏洞评估列,在组织、文件夹或项目级别为 Google Cloud 启用或停用漏洞评估。您还可以将较低级别设置为继承较高级别的值。
针对 Google Cloud生成的漏洞评估结果
当 Google Cloud 的漏洞评估服务在 Compute Engine 虚拟机实例上检测到软件漏洞时,该服务会在 Google Cloud的 Security Command Center 中生成发现结果。
每项发现结果都包含以下仅与检测到的软件漏洞相关的信息:
- 受影响实例的完整资源名称
- 漏洞的说明,包括以下信息:
- 包含漏洞的软件包及其位置
- 相关联的 CVE 记录中的信息
- Mandiant 对漏洞影响和可利用性的评估
- Security Command Center 对漏洞严重程度的评估
- 攻击风险得分,可帮助您确定修复优先级
- 直观地显示攻击者可能采取的路径,以便攻击漏洞所暴露的高价值资源
- 可用于解决问题的步骤(如果有),包括可用于解决漏洞的补丁或版本升级
所有漏洞评估 Google Cloud 结果都具有以下属性值:
- 类别
OS vulnerabilitySoftware vulnerability- 类
Vulnerability- 云服务提供商
Google Cloud- 来源
Vulnerability Assessment
发现结果保留
问题解决后, Google Cloud 漏洞评估生成的发现会保留 7 天,之后会被删除。针对 Google Cloud发现结果的有效漏洞评估会无限期保留。
软件包位置
发现报告中漏洞的文件位置是指二进制文件或软件包元数据文件。列出的内容取决于所使用的 SCALIBR 提取器。
下表显示了各种 SCALIBR 提取器显示的漏洞位置的一些示例。
| SCALIBR 提取器 | 软件包位置 |
|---|---|
Debian 软件包 (dpkg) |
/var/lib/dpkg/status |
| Go 二进制文件 | /usr/bin/google_osconfig_agent |
| Java 归档 | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
在控制台中查看发现结果
您可以在控制台 Google Cloud 中查看漏洞评估 Google Cloud 结果。在执行此操作之前,请确保您的主账号具有适当的角色。
如需在控制台中查看漏洞评估 Google Cloud 发现结果 Google Cloud ,请按以下步骤操作:
Google Cloud 控制台
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择无代理漏洞评估。发现结果的查询结果会更新为仅显示此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的发现结果修复步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
安全运维控制台
-
在 Security Operations 控制台中,前往发现结果页面。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings
将
CUSTOMER_SUBDOMAIN替换为您的客户专用标识符。 - 在汇总部分中,点击以展开来源显示名称子部分。
- 选择无代理漏洞评估。发现结果的查询结果会更新为仅显示此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的发现结果修复步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。