שירותי זיהוי

בדף הזה מופיעה רשימה של שירותי הזיהוי, שלפעמים נקראים גם מקורות אבטחה, שבהם Security Command Center משתמש כדי לזהות בעיות אבטחה בסביבות הענן שלכם.

כשהשירותים האלה מזהים בעיה, הם יוצרים ממצא – רשומה שמזהה את בעיית האבטחה ומספקת את המידע שדרוש כדי לתת עדיפות לבעיה ולפתור אותה.

אפשר לראות את הממצאים במסוף ולסנן אותם בדרכים רבות ושונות, למשל לפי סוג הממצא, סוג המשאב או נכס ספציפי. Google Cloud כל מקור אבטחה עשוי לספק מסננים נוספים שיעזרו לכם לארגן את הממצאים.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

שירותים לזיהוי נקודות חולשה

שירותים לגילוי פגיעויות כוללים שירותים מובנים ומשולבים שמזהים פגיעויות בתוכנה, הגדרות שגויות והפרות של מצב האבטחה בסביבות הענן. סוגי בעיות האבטחה האלה נקראים יחד נקודות חולשה.

הערכת נקודות חולשה ב-Artifact Registry

הערכת נקודות החולשה ב-Artifact Registry היא שירות זיהוי שמציג לכם התראות על נקודות חולשה בקובצי אימג' של קונטיינרים שפרסתם.

שירות הזיהוי הזה יוצר ממצאים של נקודות חולשה לתמונות של קונטיינרים בתנאים הבאים:

  • קובץ האימג' של הקונטיינר מאוחסן ב-Artifact Registry.

  • קובץ האימג' של הקונטיינר נפרס באחד מהנכסים הבאים:

    • אשכול Google Kubernetes Engine
    • שירות Cloud Run
    • משימה ב-Cloud Run
    • App Engine

הערכת נקודות החולשה ב-Artifact Registry מציגה ממצאים לגבי נקודות חולשה שמסווגות כחמורות ברמה HIGH או CRITICAL. הערכת הפגיעות ב-Artifact Registry לא תייצר ממצאים לגבי פגיעות ברמת חומרה נמוכה יותר.

אם מפעילים את הערכת הפגיעות של Artifact Registry באמצעות Security Command Center, הערכת הפגיעות של Artifact Registry כותבת באופן אוטומטי ממצאים ברמת חומרה גבוהה וקריטית ב-Security Command Center. אם בקובצי האימג' של הקונטיינרים יש נקודות חולשה שמסווגות כבינוניות או נמוכות, אפשר לנהל אותן בהערכת הפגיעות של Artifact Registry, אבל הן לא מוצגות ב-Security Command Center.

הערכת הפגיעות ב-Artifact Registry סורקת רק תמונות שנמשכו ב-30 הימים האחרונים. הערכת נקודות החולשה ב-Artifact Registry ממשיכה לסרוק את האימג' וליצור ממצאים חדשים עד שהאימג' לא נמשך במשך יותר מ-30 יום.

אחרי שנוצרים ממצאי הערכת הפגיעות ב-Artifact Registry, הם נשארים זמינים לשאילתות למשך 30 יום אחרי העדכון האחרון של ממצאי הפגיעות. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.

הפעלת ממצאים של הערכת נקודות חולשה ב-Artifact Registry

כדי שבדיקת נקודות החולשה ב-Artifact Registry תיצור ממצאים ב-Security Command Center לגבי קובצי אימג' של קונטיינרים שנפרסו ומאוחסנים ב-Artifact Registry, צריך להפעיל את Container Scanning API בפרויקט.

אם לא הפעלתם את Container Scanning API, אתם צריכים לבצע את הפעולות הבאות:

  1. במסוף Google Cloud , עוברים לדף Container Scanning API.

    מעבר אל Container Scanning API

  2. בוחרים את הפרויקט שעבורו רוצים להפעיל את Container Scanning API.

  3. לוחצים על Enable.

ב-Security Command Center יוצגו ממצאים לגבי תמונות של קונטיינרים פגיעים שנסרקו ונפרסו באופן פעיל בנכסי זמן הריצה הרלוונטיים. עם זאת, אופן הפעולה של שירות הזיהוי משתנה בהתאם למועד שבו הפעלתם את Security Command Center ואת Container Scanning API.

תרחיש הפעלה התנהגות שירות הזיהוי

הפעלתם את Security Command Center אחרי שהפעלתם את Container Scanning API ופרסתם קובץ אימג' של קונטיינר.

הערכת הפגיעות ב-Artifact Registry תפיק ממצאים לגבי פגיעויות קיימות שנמצאו בסריקות קודמות של Artifact Registry תוך 24 שעות מההפעלה.

הפעלתם את Security Command Center ופרסתם קובץ אימג' של קונטיינר לפני שהפעלתם את Container Scanning API.

הערכת נקודות החולשה ב-Artifact Registry לא תיצור באופן אוטומטי ממצאי נקודות חולשה לגבי קובצי אימג' של קונטיינרים שפרסתם לפני שהפעלתם את ה-API, עד שתופעל סריקה חדשה. כדי להפעיל סריקה חדשה באופן ידני, צריך לפרוס מחדש את קובץ האימג' של הקונטיינר לאותו משאב זמן ריצה. אם יזוהו נקודות חולשה במהלך הסריקה, כלי הערכת נקודות החולשה של Artifact Registry יפיק ממצאים באופן מיידי.

הפעלתם את Security Command Center ואת Container Scanning API לפני שפרסתם קובץ אימג' של קונטיינר.

קובץ האימג' של הקונטיינר שנפרס לאחרונה נסרק באופן מיידי ב-Artifact Registry, והכלי להערכת נקודות חולשה ב-Artifact Registry יוצר ממצאים אם הסריקה מזהה נקודות חולשה.

השבתת הממצאים של הערכת הפגיעות ב-Artifact Registry

כדי להשבית את הממצאים של הערכת הפגיעות ב-Artifact Registry:

  1. במסוף Google Cloud , נכנסים לדף API/Service Details של Container Scanning API.

    מעבר אל API/Service Details

  2. בוחרים את הפרויקט שבו רוצים להשבית את Container Scanning API.

  3. לוחצים על השבתת ה-API.

ב-Security Command Center לא מוצגים ממצאים של נקודות חולשה שזוהו בסריקות עתידיות של קובצי אימג' של קונטיינר. ב-Security Command Center, הממצאים של הערכת נקודות החולשה ב-Artifact Registry נשארים פעילים למשך 30 יום אחרי העדכון האחרון של ממצאי נקודות החולשה. לאחר מכן הממצאים מושבתים ונמחקים 7 ימים אחרי ההשבתה. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.

אפשר גם להשבית את הערכת הפגיעות ב-Artifact Registry על ידי השבתת מזהה המקור של הערכת הפגיעות בהגדרות של Security Command Center, אבל אנחנו לא ממליצים לעשות את זה. השבתה של מזהה המקור של הערכת נקודות חולשה תשבית את כל שירותי הזיהוי שמסווגים תחת מזהה המקור של הערכת נקודות חולשה. לכן, מומלץ להשבית את Container Scanning API באמצעות התהליך שלמעלה.

צפייה בתוצאות של הערכת נקודות חולשה ב-Artifact Registry במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות הערכת נקודות חולשה. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

ממצאים ב-Compliance Manager

כלי Compliance Manager יוצר ממצאים לגבי אמצעי הבקרה הבלשיים והמונעים בענן שאתם פורסים בסביבת Google Cloud הענן שלכם. אפשר לראות את הממצאים האלה בדף Findings ב-Security Command Center.

בכל רמת שירות, הכלי Compliance Manager מספק קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של Compliance Manager.

צפייה בממצאים של Compliance Manager במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בסעיף המשנה Source display name, בוחרים באפשרות Compliance Evaluation Service. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

Data Security Posture Management

Data Security Posture Management (DSPM) יוצר ממצאים לגבי הפרות פוטנציאליות של מסגרות אבטחת הנתונים ובקרות הענן שאתם מיישמים בסביבה שלכם. אפשר לראות את הממצאים האלה בדף Data Security & Compliance, בדף Risk Overview (בכרטיסייה Data) או בדף Findings ב-Security Command Center. כל רמת שירות כוללת קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של Data Security Posture Management (DSPM).

צפייה בממצאים של DSPM במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את Google Cloud הארגון.

  3. כדי לראות את הממצאים של DSPM, משתמשים בשאילתה הבאה:

    state="ACTIVE" AND NOT mute="MUTED" AND resource.name="//aiplatform.googleapis.com/projects/478190632149/locations/us-central1/models/1244151282898305024" AND category="DATA_SECURITY_POSTURE_ACCESS_VIOLATION" OR category="DATA_SECURITY_POSTURE_FLOW_VIOLATION" OR category="DATA_SECURITY_POSTURE_DELETION_VIOLATION" OR category="DATA_SECURITY_POSTURE_PROTECTION_KEY_GOVERNANCE" OR category="BIGQUERY_TABLE_CMEK_DISABLED" OR category="VERTEX_AI_MODEL_CMEK_DISABLED" OR category="VERTEX_AI_METADATA_STORE_CMEK_DISABLED" OR category="VERTEX_AI_DATASET_CMEK_DISABLED" OR category="VERTEX_AI_FEATURE_STORE_TABLE_CMEK_DISABLED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_MISCONFIGURED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_DELETED" OR category="DATA_SECURITY_POSTURE_CMEK_VIOLATION" OR category="SENSITIVE_DATA_PUBLIC_SQL_INSTANCE" OR category="SENSITIVE_DATA_PUBLIC_DATASET" OR category="SENSITIVE_DATA_BIGQUERY_TABLE_CMEK_DISABLED" OR category="SENSITIVE_DATA_DATASET_CMEK_DISABLED" OR category="SENSITIVE_DATA_SQL_CMEK_DISABLED" OR category="PUBLIC_DATASET" OR category="PUBLIC_SQL_INSTANCE" OR category="SQL_PUBLIC_IP" OR category="ACCESS_TRANSPARENCY_DISABLED" OR category="ORG_POLICY_LOCATION_RESTRICTION" OR category="BUCKET_POLICY_ONLY_DISABLED" OR category="DATA_EXFILTRATION_BIG_QUERY" OR category="DATA_EXFILTRATION_BIG_QUERY_EXTRACTION" OR category="DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE"

  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה Category (קטגוריה). תיפתח חלונית הפרטים של הממצא, ותוצג הכרטיסייה סיכום.

  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שאותר, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא (אם יש כאלה).

  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

לוח הבקרה של מצב האבטחה ב-GKE

לוח הבקרה של מצב האבטחה ב-Google Kubernetes Engine ‏ (GKE) הוא דף במסוףGoogle Cloud שמספק ממצאים מבוססי-דעות ופרקטיים לגבי בעיות אבטחה פוטנציאליות באשכולות GKE.

כדי לראות את הממצאים האלה, מפעילים אחת מהתכונות הבאות במרכז הבקרה של GKE בנושא מצב האבטחה:

חלונית לוח הבקרה של מצב האבטחה ב-GKE סיווג הממצאים ב-Security Command Center
ביקורת על הגדרות של עומסי עבודה1 MISCONFIGURATION
האיומים המובילים2 THREAT
VULNERABILITY
  1. האפשרות הזו זמינה רק אם מפעילים את התכונה הזו ב-GKE.
  2. זמין ברמות השירות Premium ו-Enterprise של Security Command Center.

בממצאים מוצג מידע על בעיית האבטחה והמלצות לפתרון הבעיה בעומסי העבודה או באשכולות.

צפייה בממצאים של לוח הבקרה של מצב האבטחה ב-GKE במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בקטע המשנה שם תצוגה של מקור, בוחרים באפשרות GKE Security Posture. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

שירות ההמלצות של IAM

הכלי להמלצות ב-IAM יוצר המלצות שיעזרו לכם לשפר את האבטחה על ידי הסרה או החלפה של תפקידי IAM מחשבונות משתמשים, כשהתפקידים מכילים הרשאות IAM שהחשבון לא צריך.

כשתפעילו את Security Command Center, שירות ההמלצות של IAM יופעל באופן אוטומטי.

הפעלה או השבתה של הממצאים של שירות ההמלצות בנושא IAM

כדי להפעיל או להשבית את הממצאים של IAM Recommender ב-Security Command Center, פועלים לפי השלבים הבאים:

  1. עוברים לכרטיסייה Integrated services בדף Settings במסוף Google Cloud של Security Command Center:

    כניסה לדף Integrated Services

  2. עוברים לרשומה IAM recommender.

  3. משמאל לרשומה, בוחרים באפשרות הפעלה או השבתה.

הממצאים של שירות ההמלצות בנושא IAM מסווגים כנקודות חולשה.

כדי לטפל בממצא של שירות ההמלצות ל-IAM, מרחיבים את הקטע הבא כדי לראות טבלה של הממצאים של שירות ההמלצות ל-IAM. שלבי התיקון של כל ממצא מופיעים ברשומה בטבלה.

צפייה בממצאים של IAM Recommender במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בסעיף המשנה שם תצוגה של המקור, בוחרים באפשרות IAM Recommender. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

ב-Security Command Center Premium, אפשר גם לראות את הממצאים של הכלי להמלצות בנושא IAM בדף Vulnerabilities (פגיעויות) בגרסה הקודמת, על ידי בחירה בהגדרה הקבועה מראש של השאילתה IAM recommender (הכלי להמלצות בנושא IAM).

Mandiant Attack Surface Management

חברת Mandiant היא מובילה עולמית בתחום מודיעין איומי סייבר בחזית. ‫Mandiant Attack Surface Management מזהה נקודות חולשה וטעויות בהגדרות במשטחי התקפה חיצוניים, כדי לעזור לכם להתעדכן לגבי מתקפות הסייבר האחרונות.

הכלי Mandiant Attack Surface Management מופעל אוטומטית כשמפעילים את רמת Enterprise של Security Command Center, והממצאים זמינים במסוף Google Cloud .

במאמר ASM and Security Command Center בפורטל התיעוד של Mandiant מוסבר מה ההבדלים בין המוצר העצמאי Mandiant Attack Surface Management לבין השילוב של Mandiant Attack Surface Management ב-Security Command Center. הקישור הזה מחייב אימות של Mandiant.

בדיקת הממצאים של Mandiant Attack Surface Management במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בסעיף המשנה Source display name, בוחרים באפשרות Mandiant Attack Surface Management. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

ב-Security Command Center וב-Mandiant Attack Surface Management לא מסומנים ממצאים כפתורים. אחרי שפותרים בעיה, אפשר לסמן אותה כבעיה שנפתרה. אם הבעיה לא תזוהה בסריקה הבאה של Mandiant Attack Surface Management, היא תישאר מסומנת כפתורה.

Model Armor

‫הגנה מוגברת על המודל הוא שירות שמנוהל במלואו Google Cloud . הוא משפר את האבטחה והבטיחות של אפליקציות AI על ידי סינון של הנחיות ותשובות של LLM.

ממצאי נקודות חולשה משירות הגנה מוגברת על המודל

ממצא סיכום

שם הקטגוריה ב-API: FLOOR_SETTINGS_VIOLATION

מציאת תיאור: הפרה של הגדרת אבטחה מינימלית שמתרחשת כשלא מתקיימות דרישות המינימום של תבנית הגנה מוגברת על המודל שמוגדרות בהגדרות אבטחה מינימליות של היררכיית המשאבים.

רמת התמחור: Premium

תיקון הממצא הזה:

ממצא זה מחייב לעדכן את תבנית הגנה מוגברת על המודל כך שתתאים להגדרות אבטחה מינימליות שהוגדרו בהיררכיית המשאבים.

Notebook Security Scanner

‫Notebook Security Scanner הוא שירות מובנה לזיהוי נקודות חולשה בחבילות של Security Command Center. אחרי שמפעילים את Notebook Security Scanner, הוא סורק אוטומטית מחברות Colab Enterprise (קבצים עם סיומת שם הקובץ ipynb) כל 24 שעות כדי לזהות פגיעויות בחבילות Python, ומפרסם את הממצאים האלה בדף ממצאים ב-Security Command Center.

אפשר להשתמש ב-Notebook Security Scanner עבור מחברות Colab Enterprise שנוצרו באזורים הבאים: us-central1,‏ us-east4,‏ us-west1 ו-europe-west4.

כדי להתחיל להשתמש ב-Notebook Security Scanner, אפשר לעיין במאמר בנושא הפעלה ושימוש ב-Notebook Security Scanner.

Policy Controller

Policy Controller מאפשר להחיל מדיניות שניתנת לתכנות על אשכולות Kubernetes. כללי המדיניות האלה פועלים כמגבלות ויכולים לעזור בשיטות מומלצות, באבטחה ובניהול התאימות של האשכולות והצי שלכם.

אם מתקינים את Policy Controller ומפעילים את אחד מחבילות Policy Controller,‏ Policy Controller כותב באופן אוטומטי הפרות של אשכולות ב-Security Command Center כממצאים מסוג Misconfiguration. תיאור הממצא והשלבים הבאים בממצאים של Security Command Center זהים לתיאור האילוץ ולשלבי התיקון של חבילת Policy Controller התואמת.

הממצאים של Policy Controller מגיעים מחבילות Policy Controller הבאות:

  • CIS Kubernetes Benchmark v.1.5.1, קבוצה של המלצות להגדרת Kubernetes כדי לתמוך בתשתית חזקה לאבטחה. אפשר גם לעיין במידע על החבילה הזו במאגר GitHub של cis-k8s-v1.5.1.
  • PCI-DSS v3.2.1, חבילה שמעריכה את התאימות של משאבי האשכול שלכם לחלק מההיבטים של תקן אבטחת הנתונים בתעשיית כרטיסי התשלום (PCI-DSS) v3.2.1. אפשר גם לעיין במידע על החבילה הזו במאגר GitHub של pci-dss-v3.

כדי למצוא ממצאים של Policy Controller ולתקן אותם, אפשר לעיין במאמר בנושא תיקון ממצאים של Policy Controller.

Risk Engine

מנוע הסיכונים של Security Command Center מעריך את רמת החשיפה לסיכונים של פריסות הענן שלכם, מקצה ציוני חשיפה להתקפות לממצאים של נקודות חולשה ולמשאבים בעלי ערך גבוה, ויוצר דיאגרמות של נתיבים שפורץ פוטנציאלי יכול לעבור כדי להגיע למשאבים בעלי ערך גבוה.

במהדורות Enterprise או Premium של Security Command Center, מנוע הסיכון מזהה קבוצות של בעיות אבטחה, שכשהן מתרחשות יחד בדפוס מסוים, הן יוצרות נתיב לאחד או יותר מהמשאבים בעלי הערך הגבוה שלכם, שנחוש לתקוף יכול להשתמש בו כדי להגיע למשאבים האלה ולפגוע בהם.

כשמנוע הסיכונים מזהה אחד מהשילובים האלה, הוא יוצר ממצא מסוג TOXIC_COMBINATION. בממצא, Risk Engine מופיע כמקור הממצא.

מנוע הסיכון מזהה גם משאבים נפוצים או קבוצות משאבים שבהם מתלכדים כמה נתיבי תקיפה, ואז יוצר ממצא מסוג CHOKEPOINT.

מידע נוסף זמין במאמר סקירה כללית על שילובים רעילים ונקודות חולשה.

Security Health Analytics

‫Security Health Analytics הוא שירות מובנה לזיהוי נקודות חולשה ב-Security Command Center, שמספק סריקות מנוהלות של משאבי הענן כדי לזהות טעויות נפוצות בהגדרות.

כשמזוהה הגדרה שגויה, הכלי Security Health Analytics יוצר ממצא. רוב הממצאים של Security Health Analytics ממופים לאמצעי בקרה של תקני אבטחה, כדי שתוכלו להעריך את התאימות.

‫Security Health Analytics סורק את המשאבים שלכם ב- Google Cloud. אם אתם משתמשים ברמת Enterprise ומקימים חיבורים לפלטפורמות ענן אחרות, Security Health Analytics יכול גם לסרוק את המשאבים שלכם בפלטפורמות הענן האלה.

הגלאים הזמינים משתנים בהתאם לרמת השירות של Security Command Center שבה אתם משתמשים:

  • במהדורת Standard מדור קודם, Security Health Analytics כולל רק קבוצה בסיסית של גלאי פגיעויות ברמת חומרה בינונית וגבוהה.
  • ‫Premium כולל את כל אמצעי הזיהוי של נקודות חולשה ב- Google Cloud.
  • רמת Enterprise כוללת גלאים נוספים לפלטפורמות ענן אחרות.

הכלי Security Health Analytics מופעל באופן אוטומטי כשמפעילים את Security Command Center.

למידע נוסף, קראו את המאמרים הבאים:

שירות מצב אבטחה

שירות מצב האבטחה הוא שירות מובנה במהדורת Premium של Security Command Center, שמאפשר להגדיר, להעריך ולעקוב אחר המצב הכללי של האבטחה ב- Google Cloud. הוא מספק מידע על מידת ההתאמה של הסביבה שלכם למדיניות שאתם מגדירים במצב האבטחה שלכם.

שירות בדיקת רמת האבטחה לא קשור ללוח הבקרה של רמת האבטחה ב-GKE, שבו מוצגים רק ממצאים באשכולות GKE.

Sensitive Data Protection

‫Sensitive Data Protection הוא שירות מנוהל מלא Google Cloud שעוזר לכם לגלות, לסווג ולהגן על מידע אישי רגיש. אתם יכולים להשתמש ב-Sensitive Data Protection כדי לקבוע אם אתם מאחסנים מידע רגיש או פרטים אישיים מזהים (PII), כמו:

  • שמות של אנשים
  • מספרים של כרטיסי אשראי
  • מספרי תעודת זהות או מספרים מזהים אחרים ברמת המדינה
  • מספרי זיהוי של ביטוחי בריאות
  • סודות

ב-Sensitive Data Protection, כל סוג של מידע אישי רגיש שמחפשים נקרא infoType.

אם תגדירו את הפעולה של Sensitive Data Protection כך שהתוצאות יישלחו אל Security Command Center, תוכלו לראות את הממצאים ישירות בקטע Sensitive Data Protection במסוף Google Cloud , בנוסף לקטע Sensitive Data Protection.

אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר בנושא איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות.

ממצאי פגיעות משירות הגילוי Sensitive Data Protection

שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם אתם מאחסנים מידע אישי רגיש מאוד שלא מוגן.

קטגוריה סיכום

שם הקטגוריה ב-API:

PUBLIC_SENSITIVE_DATA

תיאור: במשאב שצוין יש נתונים רגישים מאוד שכל אחד באינטרנט יכול לגשת אליהם.

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • Azure Blob Storage container

תיקון:

לגבי נתוני Google Cloud , צריך להסיר את allUsers ואת allAuthenticatedUsers ממדיניות ה-IAM של נכס הנתונים.

לגבי נתונים ב-Amazon S3, צריך להגדיר חסימה של גישה ציבורית או לעדכן את רשימת ה-ACL של האובייקט כדי למנוע גישה ציבורית לקריאה. מידע נוסף זמין במאמרים הגדרת חסימת גישה ציבורית לקטגוריות S3 והגדרת רשימות ACL במסמכי AWS.

לגבי נתונים ב-Azure Blob Storage, צריך להסיר את הגישה הציבורית למאגר ולאובייקטים הבינאריים הגדולים. מידע נוסף זמין במאמר Overview: Remediating anonymous read access for blob data במסמכי התיעוד של Azure.

תקני תאימות: לא ממופים

שם הקטגוריה ב-API:

SECRETS_IN_ENVIRONMENT_VARIABLES

מציאת תיאור: יש secrets – כמו סיסמאות, אסימוני אימות ופרטי כניסה ל- Google Cloud – במשתני סביבה.

כדי להפעיל את אמצעי הזיהוי הזה, אפשר לעיין במאמר בנושא Sensitive Data Protection בנושא דיווח על סודות במשתני סביבה ל-Security Command Center.

נכסים נתמכים:

תיקון:

במשתני הסביבה של פונקציות Cloud Run, מסירים את הסוד ממשתנה הסביבה ומאחסנים אותו ב-Secret Manager במקום זאת.

לגבי משתני סביבה של עדכון שירות ב-Cloud Run, מעבירים את כל התנועה מהעדכון ואז מוחקים אותו.

תקני תאימות:

  • CIS GCP Foundation 1.3: ‏ 1.18
  • CIS GCP Foundation 2.0: 1.18

שם הקטגוריה ב-API:

SECRETS_IN_STORAGE

מציאת תיאור: יש סודות – כמו סיסמאות, אסימוני אימות ופרטי כניסה לענן – במשאב שצוין.

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • Azure Blob Storage container

תיקון:

  1. כדי Google Cloud לבדוק נתונים, משתמשים ב-Sensitive Data Protection כדי להריץ סריקה מפורטת של המשאב שצוין כדי לזהות את כל המשאבים המושפעים. לגבי נתונים ב-Cloud SQL, מייצאים את הנתונים לקובץ CSV או AVRO בקטגוריה של Cloud Storage ומריצים סריקה מפורטת של הקטגוריה.

    לגבי נתונים מספקי ענן אחרים, צריך לבדוק באופן ידני את הקטגוריה או המאגר שצוינו.

  2. מסירים את הסודות שזוהו.
  3. כדאי לאפס את פרטי הכניסה.
  4. במקרה של נתוני Google Cloud , כדאי לשקול לאחסן את הסודות שזוהו ב-Secret Manager במקום זאת.

תקני תאימות: לא ממופים

ממצאי שגיאות בהגדרות משירות הגילוי של Sensitive Data Protection

שירות הגילוי של Sensitive Data Protection עוזר לכם לקבוע אם יש לכם הגדרות שגויות שעלולות לחשוף מידע אישי רגיש.

קטגוריה סיכום

שם הקטגוריה ב-API:

SENSITIVE_DATA_CMEK_DISABLED

תיאור הממצא: במשאב שצוין יש נתונים ברמת רגישות גבוהה או בינונית, ולא נעשה בו שימוש במפתח הצפנה בניהול הלקוח (CMEK).

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • Azure Blob Storage container

תיקון:

תקני תאימות: לא ממופים

ממצאים של תצפיות מ-Sensitive Data Protection

בקטע הזה מתוארות הממצאים של התצפיות שנוצרים על ידי Sensitive Data Protection ב-Security Command Center.

ממצאי תצפית משירות הגילוי

שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם הנתונים שלכם מכילים infoTypes ספציפיים, ואיפה הם נמצאים בארגון, בתיקיות ובפרויקטים. הוא יוצר את הקטגוריות הבאות של ממצאי תצפיות ב-Security Command Center:

Data sensitivity
אינדיקציה לרמת הרגישות של הנתונים בנכס נתונים מסוים. הנתונים נחשבים רגישים אם הם מכילים פרטים אישיים מזהים (PII) או רכיבים אחרים שעשויים לדרוש בקרה או ניהול נוספים. חומרת הממצא היא רמת הרגישות שחושבה על ידי Sensitive Data Protection כשנוצר פרופיל הנתונים.
Data risk
הסיכון שמשויך לנתונים במצבם הנוכחי. כשמחשבים את הסיכון לנתונים, Sensitive Data Protection לוקח בחשבון את רמת הרגישות של הנתונים בנכס הנתונים ואת קיומם של אמצעים לבקרת גישה כדי להגן על הנתונים האלה. רמת החומרה של הממצא היא רמת הסיכון של הנתונים שחושבה על ידי Sensitive Data Protection במהלך יצירת פרופיל הנתונים.

בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות מיון מידע אישי רגיש. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.

לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.

מידע על שליחת תוצאות של פרופיל נתונים אל Security Command Center זמין במאמר בנושא הפעלת גילוי של מידע אישי רגיש.

ממצאי תצפיות משירות הבדיקה של Sensitive Data Protection

משימת בדיקה של Sensitive Data Protection מזהה כל מופע של נתונים מסוג מידע ספציפי במערכת אחסון כמו קטגוריה של Cloud Storage או טבלה ב-BigQuery. לדוגמה, אתם יכולים להריץ עבודת בדיקה שמחפשת את כל המחרוזות שתואמות לגלאי CREDIT_CARD_NUMBER infoType בקטגוריה של Cloud Storage.

לכל גלאי infoType שיש לו התאמה אחת או יותר, Sensitive Data Protection יוצר ממצא תואם ב-Security Command Center. קטגוריית הממצא היא השם של מזהה ה-infoType שהייתה לו התאמה – לדוגמה, Credit card number. הממצא כולל את מספר המחרוזות התואמות שזוהו בטקסט או בתמונות במשאב.

מטעמי אבטחה, המחרוזות בפועל שזוהו לא נכללות בממצא. לדוגמה, ממצא Credit card number מראה כמה מספרי כרטיסי אשראי נמצאו, אבל לא מציג את מספרי כרטיסי האשראי עצמם.

ב-Sensitive Data Protection יש יותר מ-150 כלים מובנים לגילוי סוגי מידע, ולכן לא מופיעות כאן כל הקטגוריות האפשריות של ממצאים ב-Security Command Center. רשימה מלאה של מזהי infoType מופיעה במאמר חומר עזר בנושא מזהי infoType.

במאמר שליחת תוצאות של עבודת בדיקה של Sensitive Data Protection אל Security Command Center מוסבר איך לשלוח את התוצאות של עבודת בדיקה אל Security Command Center.

בדיקת הממצאים של Sensitive Data Protection במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters (מסננים מהירים), בקטע המשנה Source display name (שם התצוגה של המקור), בוחרים באפשרות Sensitive Data Protection (הגנה על מידע רגיש). תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

VM Manager

VM Manager הוא חבילת כלים שאפשר להשתמש בה כדי לנהל מערכות הפעלה למכונות וירטואליות (VM) ב-Fleets גדולים, שמריצים Windows ו-Linux ב-Compute Engine.

כדי להשתמש ב-VM Manager עם הפעלות ברמת הפרויקט של Security Command Center Premium, צריך להפעיל את רמת השירות Security Command Center Standard-legacy בארגון האב.

אם מפעילים את VM Manager במסלול Security Command Center Premium,‏ VM Manager כותב אוטומטית ממצאי high ו-critical מדוחות נקודות החולשה שלו (שנמצאים בשלב טרום-השקה) אל Security Command Center. בדוחות מזוהות פגיעויות במערכות הפעלה (OS) שמותקנות במכונות וירטואליות, כולל פגיעויות וחשיפות נפוצות (CVE).

דוחות על פגיעויות לא זמינים במסלול Standard-legacy של Security Command Center.

התוצאות מפשטות את תהליך השימוש בתכונה Patch Compliance (תצוגה מקדימה) של VM Manager. כשמשלבים את התכונה עם רמת הפרימיום של Security Command Center, אפשר לראות את כל הפרויקטים בארגון ולנהל את התיקונים שלהם (patch management). למרות שהגדרתם את משימות הטלאי הבודדות ב-VM Manager ברמת הפרויקט, ב-Security Command Center מוצגת תצוגה מאוחדת שעוזרת לכם לנהל את משימות הטלאי בארגון.

הוראות לתיקון הממצאים של VM Manager זמינות במאמר תיקון הממצאים של VM Manager.

כדי להפסיק את הכתיבה של דוחות נקודות חולשה ב-Security Command Center, אפשר לעיין במאמר בנושא השתקת ממצאים של VM Manager.

כל נקודות החולשה מהסוג הזה קשורות לחבילות של מערכת ההפעלה המותקנת במכונות וירטואליות נתמכות של Compute Engine.

גלאי סיכום הגדרות סריקת נכסים

שם הקטגוריה ב-API: OS_VULNERABILITY

ממצא: VM Manager זיהה נקודת חולשה בחבילת מערכת ההפעלה (OS) המותקנת במכונה וירטואלית של Compute Engine.

רמת התמחור: Premium

נכסים נתמכים

compute.googleapis.com/Instance

פתרון הממצא

דוחות הפגיעות של VM Manager מפרטים את נקודות החולשה בחבילות של מערכת ההפעלה המותקנת במכונות וירטואליות (VM) של Compute Engine, כולל Common Vulnerabilities and Exposures (CVEs).

רשימה מלאה של מערכות ההפעלה הנתמכות זמינה במאמר פרטים על מערכות הפעלה.

הממצאים מופיעים ב-Security Command Center זמן קצר אחרי זיהוי נקודות החולשה. דוחות על נקודות חולשה ב-VM Manager נוצרים באופן הבא:

  • כשחבילה מותקנת או מתעדכנת במערכת ההפעלה של מכונה וירטואלית, אפשר לראות את המידע על Common Vulnerabilities and Exposures (CVEs) לגבי המכונה הווירטואלית ב-Security Command Center תוך שעתיים אחרי השינוי.
  • כשמתפרסמים עדכונים חדשים בנושא אבטחה למערכת הפעלה, בדרך כלל אפשר למצוא עדכונים של CVE תוך 24 שעות אחרי שספק מערכת ההפעלה מפרסם את העדכון.

הערכת נקודות חולשה ב-AWS

שירות הערכת נקודות חולשה ל-Amazon Web Services ‏ (AWS) מזהה נקודות חולשה בתוכנה בעומסי העבודה שפועלים במכונות וירטואליות (VM) של EC2 בפלטפורמת הענן של AWS.

לכל נקודת חולשה שזוהתה, הכלי להערכת נקודות חולשה ב-AWS יוצר ממצא מסוג Vulnerability בכיתה בקטגוריית הממצאים Software vulnerability ב-Security Command Center.

שירות הערכת נקודות החולשה ב-AWS סורק תמונות מצב של מופעי מכונות EC2 שפועלים, כך שעומסי העבודה של הייצור לא מושפעים. שיטת הסריקה הזו נקראת סריקת דיסק ללא סוכן, כי לא מותקנים סוכנים ביעדי הסריקה.

למידע נוסף, קראו את המאמרים הבאים:

הערכת נקודות חולשה ב- Google Cloud

השירות הערכת נקודות חולשה ל Google Cloud מזהה נקודות חולשה בתוכנה במשאבים הבאים בפלטפורמת Google Cloud :

  • מכונות וירטואליות של Compute Engine שפועלות
  • צמתים באשכולות GKE Standard
  • קונטיינרים שפועלים באשכולות GKE Standard ו-GKE Autopilot

לכל נקודת חולשה שזוהתה, הכלי Vulnerability Assessment for Google Cloud יוצר ממצא מסוג Vulnerability class בקטגוריית הממצאים Software vulnerability או OS vulnerability ב-Security Command Center.

השירות הערכת נקודות חולשה for Google Cloud סורק את המכונות הווירטואליות ב-Compute Engine על ידי שיבוט הדיסקים שלהן בערך כל 12 שעות, טעינתם במכונה וירטואלית מאובטחת והערכתם באמצעות הסורק SCALIBR.

מידע נוסף זמין במאמר בנושא הערכת נקודות חולשה ב- Google Cloud.

Web Security Scanner

Web Security Scanner מספק סריקה מנוהלת ומותאמת אישית של נקודות חולשה באינטרנט עבור אפליקציות אינטרנט ציבוריות של App Engine,‏ GKE ו-Compute Engine.

סריקות מנוהלות

סריקות מנוהלות של Web Security Scanner מוגדרות ומנוהלות על ידי Security Command Center. סריקות מנוהלות מופעלות באופן אוטומטי פעם בשבוע כדי לזהות ולסרוק נקודות קצה ציבוריות באינטרנט. הסריקות האלה לא משתמשות באימות והן שולחות בקשות GET בלבד, כך שהן לא שולחות טפסים באתרים פעילים.

סריקות מנוהלות מופעלות בנפרד מסריקות בהתאמה אישית.

אם Security Command Center מופעל ברמת הארגון, אפשר להשתמש בסריקות מנוהלות כדי לנהל באופן מרכזי את זיהוי נקודות החולשה הבסיסיות באפליקציות אינטרנט בפרויקטים בארגון, בלי לערב צוותים של פרויקטים ספציפיים. כשמתגלים ממצאים, אפשר לעבוד עם הצוותים האלה כדי להגדיר סריקות מותאמות אישית מקיפות יותר.

כשמפעילים את Web Security Scanner כשירות, ממצאי הסריקה המנוהלים זמינים באופן אוטומטי בדף Vulnerabilities (נקודות חולשה) ב-Security Command Center ובדוחות שקשורים אליהם. מידע על הפעלת סריקות מנוהלות של Web Security Scanner זמין במאמר הגדרת שירותים של Security Command Center.

סריקות מנוהלות תומכות רק באפליקציות שמשתמשות ביציאה שמוגדרת כברירת מחדל, שהיא 80 לחיבורי HTTP ו-443 לחיבורי HTTPS. אם האפליקציה שלכם משתמשת ביציאה שאינה ברירת מחדל, צריך לבצע סריקה בהתאמה אישית במקום זאת.

סריקות בהתאמה אישית

סריקות מותאמות אישית של Web Security Scanner מספקות מידע מפורט על ממצאי פגיעות באפליקציה, כמו ספריות מיושנות, סקריפטינג חוצה אתרים או שימוש בתוכן מעורב.

סריקות בהתאמה אישית מוגדרות ברמת הפרויקט.

ממצאי סריקה בהתאמה אישית זמינים ב-Security Command Center אחרי שמסיימים את המדריך בנושא הגדרת סריקות בהתאמה אישית ב-Web Security Scanner.

מזהים ותאימות

Web Security Scanner תומך בקטגוריות בOWASP Top Ten, מסמך שמדרג את 10 סיכוני האבטחה הקריטיים ביותר באפליקציות אינטרנט ומספק הנחיות לתיקון שלהם, כפי שנקבע על ידי Open Web Application Security Project‏ (OWASP). במאמר OWASP Top 10 mitigation options on Google Cloud (אפשרויות לצמצום הסיכונים של OWASP ב-Google Cloud) מפורטות הנחיות לצמצום הסיכונים של OWASP.

מיפוי התאימות כלול לעיון בלבד, והוא לא מסופק או נבדק על ידי OWASP Foundation.

הפונקציונליות הזו מיועדת רק למעקב אחרי הפרות של אמצעי בקרה לצורך עמידה בדרישות. המיפויים לא מסופקים לשימוש כבסיס לביקורת, לאישור או לדוח תאימות של המוצרים או השירותים שלכם לכל תקנה או לכל אמות מידה או סטנדרטים בתחום. הם גם לא מסופקים כתחליף לביקורת, לאישור או לדוח תאימות.

מידע נוסף זמין במאמר סקירה כללית של Web Security Scanner.

שירותים לזיהוי איומים

שירותי זיהוי איומים כוללים שירותים מובנים ומשולבים שמזהים אירועים שעשויים להצביע על אירועים מזיקים פוטנציאליים, כמו משאבים שנפרצו או מתקפות סייבר.

זיהוי אנומליות

זיהוי אנומליות הוא שירות מובנה שמשתמש באותות התנהגותיים מחוץ למערכת שלכם. מוצג בו מידע מפורט על אנומליות באבטחה שזוהו בחשבונות השירות, כמו פרטי כניסה שדלפו. התכונה 'זיהוי אנומליות' מופעלת באופן אוטומטי כשמפעילים את Security Command Center Standard-legacy או את רמת Premium, והממצאים זמינים במסוף Google Cloud .

הממצאים של זיהוי האנומליות כוללים את הפרטים הבאים:

שם החריגה קטגוריית התוצאות תיאור
account_has_leaked_credentials

פרטי הכניסה של חשבון שירות Google Cloud נחשפו בטעות באינטרנט או שנפרצו.

רמת החומרה: קריטית

פרטי הכניסה לחשבון נחשפו

‫GitHub הודיע ל-Security Command Center שפרטי הכניסה ששימשו לביצוע קומיט נראים כמו פרטי הכניסה של חשבון שירות שלGoogle Cloud Identity and Access Management.

ההתראה כוללת את שם חשבון השירות ואת המזהה של המפתח הפרטי. Google Cloud בנוסף, נשלחת התראה באימייל אל איש הקשר שמוגדר לטיפול בבעיות אבטחה ופרטיות.

כדי לפתור את הבעיה, אתם יכולים לבצע אחת או יותר מהפעולות הבאות:

  • זיהוי המשתמש הלגיטימי במפתח.
  • מסובבים את המפתח.
  • מסירים את המפתח.
  • בודקים את כל הפעולות שבוצעו באמצעות המפתח אחרי שהמפתח הודלף, כדי לוודא שאף אחת מהפעולות לא הייתה זדונית.

‫JSON: ממצא של פרטי כניסה לחשבון שנחשפו

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

זיהוי איומים בקונטיינר

השירות זיהוי איומים בקונטיינר יכול לזהות את המתקפות הנפוצות ביותר בזמן הריצה של קונטיינרים, ולשלוח לכם התראות ב-Security Command Center וב-Cloud Logging (אם תבחרו בכך). התכונה Container Threat Detection (זיהוי איומים בקונטיינר) כוללת כמה יכולות זיהוי, כלי ניתוח ו-API.

האינסטרומנטציה של זיהוי איומים בקונטיינרים אוספת התנהגות ברמה נמוכה בקרנל של האורח ומבצעת עיבוד שפה טבעית בקוד כדי לזהות את האירועים הבאים:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (תצוגה מקדימה)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (תצוגה מקדימה)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (תצוגה מקדימה)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177)
  • Execution: Possible Remote Command Execution Detected (תצוגה מקדימה)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Socat Reverse Shell Detected
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (תצוגה מקדימה)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
  • Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
  • Reverse Shell
  • Unexpected Child Shell

מידע נוסף על זיהוי איומים בקונטיינר

Event Threat Detection

הכלי Event Threat Detection משתמש בנתוני יומן מתוך המערכות שלכם. הוא עוקב אחרי הזרם של Cloud Logging בפרויקטים וצורך את היומנים כשהם זמינים. כשמזוהה איום, Event Threat Detection כותב ממצא ב-Security Command Center ובפרויקט Cloud Logging. התכונה Event Threat Detection מופעלת באופן אוטומטי כשמפעילים את מהדורת Security Command Center Premium, והממצאים זמינים במסוףGoogle Cloud .

בטבלה הבאה מפורטות דוגמאות לממצאים של Event Threat Detection.

טבלה ג' סוגי הממצאים של Event Threat Detection

הכלי Event Threat Detection מזהה השמדת נתונים על ידי בדיקת יומני ביקורת משרת ניהול השירות Backup and DR בתרחישים הבאים:

  • מחיקה של תמונת גיבוי
  • מחיקה של כל תמונות הגיבוי שמשויכות לאפליקציה
  • מחיקה של מכשיר לגיבוי או לשחזור

הכלי Event Threat Detection מזהה חילוץ נתונים מ-BigQuery ומ-Cloud SQL על ידי בדיקת יומני ביקורת בתרחישים הבאים:

  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine יזמה זליגת נתונים מ-BigQuery על ידי שמירת משאבים מחוץ לארגון שלכם. הממצא מסווג כחומרה ברמה גבוהה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine ניסתה לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls. הממצא מסווג כבעל חומרה נמוכה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine יזמה חילוץ נתונים מ-BigQuery לקטגוריה מחוץ לארגון או לקטגוריה ציבורית ב-Cloud Storage.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine יזמה זליגת נתונים מ-Cloud SQL לקטגוריה של Cloud Storage מחוץ לארגון שלכם או לקטגוריה שבבעלות הארגון שלכם ונגישה לציבור.תצוגה מקדימה
  • משאב BigQuery נשמר מחוץ לארגון, או שמנסים לבצע פעולת העתקה שנחסמת על ידי VPC Service Controls.
  • מתבצע ניסיון לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls.
  • משאב Cloud SQL מיוצא באופן מלא או חלקי לקטגוריה של Cloud Storage מחוץ לארגון שלכם, או לקטגוריה שבבעלות הארגון שלכם ונגישה באופן ציבורי.
  • גיבוי של Cloud SQL משוחזר למכונה של Cloud SQL מחוץ לארגון.
  • משאב BigQuery שבבעלות הארגון שלכם מיוצא לקטגוריה של Cloud Storage מחוץ לארגון, או לקטגוריה בארגון שלכם שנגישה באופן ציבורי.
  • משאב BigQuery שנמצא בבעלות הארגון מיוצא לתיקייה ב-Google Drive.
  • משאב BigQuery נשמר במשאב ציבורי שנמצא בבעלות הארגון.

הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים, שעשויים להעיד על פריצה לחשבון משתמש תקף במופעי Cloud SQL:

  • למשתמש במסד נתונים מוקצות כל ההרשאות למסד נתונים של Cloud SQL ל-PostgreSQL, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה.
  • משתמשים בחשבון סופר-משתמש של מסד נתונים שמוגדר כברירת מחדל ב-Cloud SQL ‏ (`postgres` במכונות PostgreSQL או `root` במכונות MySQL) כדי לכתוב לטבלאות שאינן מערכתיות.

הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים, שעשויים להעיד על פריצה לחשבון משתמש תקף במכונות AlloyDB ל-PostgreSQL:

  • למשתמש במסד נתונים מוקצות כל ההרשאות למסד נתונים של AlloyDB ל-PostgreSQL, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה.
  • משתמשים במשתמש סופר בחשבון ברירת המחדל של מסד הנתונים ב-AlloyDB ל-PostgreSQL ‏(`postgres`) כדי לכתוב לטבלאות שאינן מערכתיות.
התכונה Event Threat Detection מזהה ניסיון לפריצה של אימות סיסמה ב-SSH על ידי בדיקת יומני syslog לזיהוי כשלים חוזרים ואחריהם הצלחה.
הכלי Event Threat Detection מזהה תוכנות זדוניות לכריית מטבעות קריפטוגרפיים על ידי בדיקה של יומני תעבורה של VPC ויומני Cloud DNS לחיבורים לדומיינים או לכתובות IP ידועים של מאגרי כרייה.

מתן הרשאות חריגות ב-IAM: Event Threat Detection מזהה הוספה של הרשאות ב-IAM שאפשר להגדיר כחריגות, כמו:

  • הוספת משתמש ב-gmail.com למדיניות עם התפקיד 'עורך הפרויקט'.
  • הזמנת משתמש עם כתובת gmail.com כבעלים של פרויקט מתוך Google Cloud המסוף.
  • חשבון שירות שמעניק הרשאות רגישות.
  • תפקיד בהתאמה אישית שקיבל הרשאות רגישות.
  • חשבון שירות שנוסף מחוץ לארגון.

Event Threat Detection מזהה שינויים חריגים ב-Backup and DR שעשויים להשפיע על מצב הגיבוי, כולל שינויים משמעותיים במדיניות והסרה של רכיבים קריטיים ב-Backup and DR.
הכלי Event Threat Detection מזהה ניסיונות אפשריים לניצול Log4j ונקודות חולשה פעילות ב-Log4j.
הכלי Event Threat Detection מזהה תוכנות זדוניות על ידי בדיקה של VPC Flow Logs ויומנים של Cloud DNS כדי למצוא חיבורים לדומיינים ולכתובות IP ידועים של שרתים להשגת שליטה.
‫Event Threat Detection בודק את יומני הזרימה של VPC כדי לזהות תנועה יוצאת של מניעת שירות.
התכונה 'זיהוי איומים באירועים' מזהה גישה חריגה על ידי בדיקת יומני ביקורת של Cloud לגבי שינויים בשירות שמקורם בכתובות IP אנונימיות של שרתי proxy, כמו כתובות IP של Tor. Google Cloud
הכלי Event Threat Detection מזהה התנהגות חריגה ב-IAM על ידי בדיקת יומני הביקורת של Cloud בתרחישים הבאים:
  • משתמשים וחשבונות שירות ב-IAM ניגשים Google Cloud מכתובות IP חריגות.
  • חשבונות שירות ב-IAM ניגשים מ-user agents חריגים. Google Cloud
  • משתמשים ומשאבים שמתחזים לחשבונות שירות ב-IAM כדי לגשת אל Google Cloud.
‫Event Threat Detection מזהה מתי נעשה שימוש בפרטי כניסה של חשבון שירות כדי לחקור את התפקידים וההרשאות שמשויכים לאותו חשבון שירות.
Event Threat Detection מזהה שינוי בערך של מפתח ה-SSH במטא-נתונים של מופע Compute Engine במופע קיים (בן יותר משבוע).
Event Threat Detection מזהה שינוי בערך של סקריפט לטעינה בזמן ההפעלה של המטא-נתונים של מופע Compute Engine במופע קיים (בן יותר משבוע).
Event Threat Detection מזהה פריצות פוטנציאליות לחשבונות Google Workspace על ידי בדיקת יומני ביקורת לפעילויות חריגות בחשבון, כולל סיסמאות שנחשפו וניסיונות התחברות חשודים.
‫Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם תוקפים בגיבוי גורם ממשלתי ניסו לפרוץ לחשבון או למחשב של משתמש.
Event Threat Detection בודקת את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם הושבתה כניסה יחידה (SSO) או שבוצעו שינויים בהגדרות של חשבונות אדמין ב-Google Workspace.
‫Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם אימות דו-שלבי מושבת בחשבונות משתמשים ובחשבונות אדמינים.
הכלי Event Threat Detection מזהה התנהגות חריגה של API על ידי בדיקת יומני הביקורת של Cloud לגבי בקשות לשירותים שגורם ראשי לא נתקל בהם בעבר. Google Cloud

הכלי Event Threat Detection מזהה ניסיונות להתחמקות מהגנה על ידי בדיקת יומני הביקורת של Cloud בתרחישים הבאים:

  • שינויים בהיקפים קיימים של VPC Service Controls שיובילו לצמצום ההגנה.
  • פריסות או עדכונים של עומסי עבודה שמשתמשים בדגל break-glass כדי לעקוף את אמצעי הבקרה של Binary Authorization.גרסת Preview
  • השבתה של המדיניות storage.secureHttpTransport ברמת הפרויקט, התיקייה או הארגון.
  • שינוי ההגדרה של סינון לפי כתובת IP בקטגוריה של Cloud Storage.

הכלי Event Threat Detection מזהה פעולות גילוי על ידי בדיקת יומני הביקורת בתרחישים הבאים:

  • גורם זדוני פוטנציאלי ניסה לקבוע אילו אובייקטים רגישים ב-GKE הוא יכול לשלוח להם שאילתות, באמצעות הפקודה kubectl.
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine השתמשה בהרשאה של חשבון שירות כדי לבדוק את התפקידים וההרשאות שמשויכים לאותו חשבון שירות.תצוגה מקדימה
  • פרטי כניסה של חשבון שירות משמשים לבדיקת התפקידים וההרשאות שמשויכים לאותו חשבון שירות.
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine ביצעה קריאה לא מורשית ל-API בפרויקט חיצוני.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine הציגה התנהגות של סריקת יציאות.תצוגה מקדימה
התכונה Event Threat Detection מזהה פעולות של גישה לפרטי כניסה על ידי בדיקת יומנים של Vertex AI Agent Engine בתרחישים הבאים:
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine אחזרה אסימון של חשבון שירות משרת המטא-נתונים.תצוגה מקדימה
הכלי Event Threat Detection מזהה פעולות של גישה ראשונית על ידי בדיקת יומני ביקורת בתרחישים הבאים:
  • חשבון שירות שמנוהל על ידי משתמש לא פעיל הפעיל פעולה.תצוגה מקדימה
  • גורם מרכזי ניסה להפעיל שיטות שונות של Google Cloud , אבל הניסיון נכשל שוב ושוב בגלל שגיאות של permission denied.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine הפעילה שוב ושוב שגיאות מסוג permission denied על ידי הפעלה של שיטות שונות של Google Cloud .תצוגה מקדימה

התכונה Event Threat Detection מזהה העלאת הרשאות ב-GKE על ידי בדיקת יומני ביקורת לתרחישים הבאים:

  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine יצרה טוקן על ידי ניצול לרעה של ההרשאה signJwt, שאפשר להשתמש בה להעלאת רמת ההרשאה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine יצרה טוקן שאפשר להשתמש בו להעלאת רמת ההרשאות.תצוגה מקדימה
  • כדי להרחיב את ההרשאות, גורם זדוני פוטנציאלי ניסה לשנות אובייקט של בקרת גישה מבוססת-תפקידים (RBAC) מסוג ClusterRole, RoleBinding או ClusterRoleBinding של התפקיד הרגיש cluster-admin באמצעות בקשת PUT או PATCH.
  • גורם זדוני פוטנציאלי יצר בקשת חתימה על אישור (CSR) של מישור הבקרה ב-Kubernetes, וכך קיבל גישה cluster-admin.
  • כדי להרחיב את ההרשאות, גורם זדוני פוטנציאלי ניסה ליצור אובייקט חדש מסוג RoleBinding או ClusterRoleBinding לתפקיד cluster-admin.
  • גורם זדוני פוטנציאלי שלח שאילתה לגבי בקשה לחתימת אישור (CSR) באמצעות הפקודה kubectl, תוך שימוש בפרטי כניסה שנפרצו.
  • גורם זדוני פוטנציאלי יצר Pod שמכיל קונטיינרים עם הרשאות או קונטיינרים עם יכולות להסלמת הרשאות.
‫Cloud IDS מזהה מתקפות בשכבה 7 על ידי ניתוח של מנות משוכפלות, וכשמזוהה אירוע חשוד, הוא מפעיל ממצא של Event Threat Detection. למידע נוסף על זיהויים ב-Cloud IDS תצוגה מקדימה
הכלי Event Threat Detection מזהה מתקפות פוטנציאליות של שינוי דיסק אתחול על ידי בדיקת יומני הביקורת של Cloud כדי למצוא ניתוקים וחיבורים מחדש של דיסק אתחול בתדירות גבוהה במופעים של Compute Engine.

מידע נוסף על Event Threat Detection

Google Cloud Armor

Cloud Armor עוזר להגן על האפליקציה שלכם באמצעות סינון בשכבה 7. ‫Cloud Armor מנקה בקשות נכנסות מהתקפות נפוצות באינטרנט או ממאפיינים אחרים בשכבה 7 כדי לחסום תנועה לפני שהיא מגיעה לשירותי הקצה העורפי או לדליים של הקצה העורפי עם איזון עומסים.

מערכת Cloud Armor מייצאת שני ממצאים ל-Security Command Center:

זיהוי איומים במכונות וירטואליות

זיהוי איומים במכונות וירטואליות הוא שירות מובנה של Security Command Center. השירות הזה סורק מכונות וירטואליות כדי לזהות אפליקציות זדוניות פוטנציאליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוט במצב ליבה ותוכנות זדוניות שפועלות בסביבות ענן שנפרצו.

התכונה 'זיהוי איומים במכונות וירטואליות' היא חלק מחבילת התכונות לזיהוי איומים ב-Security Command Center, והיא נועדה להשלים את היכולות הקיימות של Event Threat Detection ושל זיהוי איומים בקונטיינר.

מידע נוסף על זיהוי איומים במכונות וירטואליות זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.

ממצאים של איומים ב-VM Threat Detection

התכונה 'זיהוי איומים במכונות וירטואליות' יכולה ליצור את ממצאי האיומים הבאים.

ממצאים בנושא איומים של כריית מטבעות וירטואליים

התכונה 'זיהוי איומים ב-VM' מזהה את קטגוריות הממצאים הבאות באמצעות התאמת גיבוב או כללי YARA.

ממצאים של זיהוי איומים במכונות וירטואליות בנושא איומים של כריית מטבעות וירטואליים
קטגוריה יחידת לימוד תיאור
CRYPTOMINING_HASH התאמה בין גיבובים של זיכרון של תוכניות שפועלות לבין גיבובים ידועים של זיכרון של תוכנות לכריית מטבעות וירטואליים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
CRYPTOMINING_YARA התאמה לדפוסי זיכרון, כמו קבועים של הוכחת עבודה, שידוע שהם בשימוש בתוכנות לכריית מטבעות קריפטוגרפיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 מזהה איום שזוהה על ידי המודולים CRYPTOMINING_HASH ו-CRYPTOMINING_YARA. מידע נוסף זמין במאמר Combined detections. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

ממצאים לגבי איומים של ערכת כלים להשגת הרשאות אדמין (rootkit) במצב ליבה

התכונה 'זיהוי איומים במכונה וירטואלית' מנתחת את תקינות הליבה בזמן הריצה כדי לזהות טכניקות התחמקות נפוצות שמשמשות תוכנות זדוניות.

מודול KERNEL_MEMORY_TAMPERING מזהה איומים על ידי השוואת הגיבוב של קוד הליבה ושל זיכרון הנתונים לקריאה בלבד של הליבה במכונה וירטואלית.

מודול KERNEL_INTEGRITY_TAMPERING מזהה איומים על ידי בדיקת השלמות של מבני נתונים חשובים בקרנל.

ממצאים של איומים מסוג rootkit במצב ליבה של מכונה וירטואלית
קטגוריה יחידת לימוד תיאור
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 קיימים שילוב של אותות שתואמים ל-rootkit ידוע במצב ליבה. כדי לקבל ממצאים מהקטגוריה הזו, צריך לוודא ששני המודולים מופעלים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
שיבוש של זיכרון הליבה
KERNEL_MEMORY_TAMPERING קיימים שינויים לא צפויים בזיכרון נתונים לקריאה בלבד של ליבת המערכת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
שיבוש של תקינות הליבה
KERNEL_INTEGRITY_TAMPERING ftrace נקודות קיימות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים handlers של הפרעות שלא נמצאים באזורי הקוד של הליבה או המודול הצפויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים דפי קוד של ליבת מערכת ההפעלה שלא נמצאים באזורי הקוד הצפויים של הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING יש kprobe נקודות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים תהליכים לא צפויים בתור ההמתנה של מנהל התזמון. תהליכים כאלה נמצאים בתור להרצה, אבל לא ברשימת משימות התהליך. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים מטפלים בשיחות של המערכת שלא נמצאים באזורים הצפויים של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

שגיאות

גלאי שגיאות יכולים לעזור לכם לזהות שגיאות בהגדרה שמונעות ממקורות אבטחה ליצור ממצאים. ממצאי השגיאות נוצרים על ידי מקור האבטחה Security Command Center ויש להם את סיווג הממצאים SCC errors.

פעולות לא מכוונות

קטגוריות הממצאים הבאות מייצגות שגיאות שאולי נגרמו כתוצאה מפעולות לא מכוונות.

פעולות לא מכוונות
שם הקטגוריה שם ה-API סיכום חוּמרה
API_DISABLED

תיאור הבעיה: ממשק API שנדרש מושבת בפרויקט. השירות המושבת לא יכול לשלוח ממצאים אל Security Command Center.

רמת המחיר: Premium או Standard

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות אצווה: כל 60 שעות

פתרון הממצא

קריטית
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

תיאור הממצא: הגדרות ערכי המשאבים מוגדרות לסימולציות של נתיבי תקיפה, אבל הן לא תואמות למופעי משאבים בסביבה שלכם. הסימולציות משתמשות במקום זאת בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

השגיאה הזו יכולה להופיע מהסיבות הבאות:

  • אף אחת מההגדרות של ערכי המשאבים לא תואמת לאף מופע של משאב.
  • הגדרה אחת או יותר של ערכי משאבים שבהם מצוין NONE מבטלת כל הגדרה תקפה אחרת.
  • כל ההגדרות של ערכי המשאבים המוגדרים מציינות ערך של NONE.

מסלול תמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organizations

סריקות אצווה: לפני כל סימולציה של נתיב תקיפה.

פתרון הממצא

קריטית
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

תיאור הממצא: בסימולציית נתיב ההתקפה האחרונה, מספר המופעים של משאבים בעלי ערך גבוה, כפי שזוהו על ידי הגדרות ערך המשאבים, חורג מהמגבלה של 1,000 מופעים של משאבים בקבוצת משאבים בעלי ערך גבוה. כתוצאה מכך, Security Command Center לא כלל את מספר המקרים העודף בקבוצת המשאבים בעלי הערך הגבוה.

המספר הכולל של מקרים תואמים והמספר הכולל של מקרים שהוחרגו מהקבוצה מופיעים בSCC Errorממצאים ב Google Cloud מסוף.

ציוני החשיפה להתקפות בכל הממצאים שמשפיעים על מקרים של משאבים שהוחרגו לא משקפים את הייעוד של מקרים של משאבים כבעלי ערך גבוה.

מסלול תמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organizations

סריקות אצווה: לפני כל סימולציה של נתיב תקיפה.

פתרון הממצא

גבוהה
KTD_IMAGE_PULL_FAILURE

תיאור הממצא: אי אפשר להפעיל את התכונה'זיהוי איומים בקונטיינר' באשכול כי אי אפשר למשוך (להוריד) קובץ אימג' של קונטיינר נדרש מ-gcr.io, מארח התמונות של Container Registry. התמונה נדרשת כדי לפרוס את Container Threat Detection DaemonSet שנדרש לזיהוי איומים בקונטיינר.

הניסיון לפרוס את זיהוי איומים בקונטיינר DaemonSet הסתיים בשגיאה הבאה:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

מסלול תמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

תיאור הממצא: אי אפשר להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול Kubernetes. בקר קבלה מצד שלישי מונע את הפריסה של אובייקט Kubernetes DaemonSet שנדרש לזיהוי איומים בקונטיינר.

כשצופים בפרטי הממצאים במסוף Google Cloud , הם כוללים את הודעת השגיאה שהוחזרה על ידי Google Kubernetes Engine כשזיהוי איומים בקונטיינר ניסה לפרוס אובייקט DaemonSet של זיהוי איומים בקונטיינר.

מסלול תמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל 30 דקות

פתרון הממצא

גבוהה
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא: לחשבון שירות חסרות הרשאות שנדרשות לזיהוי איומים בקונטיינרים. יכול להיות ש-זיהוי איומים בקונטיינר יפסיק לפעול כמו שצריך כי אי אפשר להפעיל, לשדרג או להשבית את האינסטרומנטציה לזיהוי.

מסלול תמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא:לא ניתן ליצור ממצאים לגבי אשכול Google Kubernetes Engine, כי חשבון השירות שמוגדר כברירת מחדל ב-GKE באשכול לא כולל הרשאות. כך לא ניתן להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול.

מסלול תמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל שבוע

פתרון הממצא

גבוהה
MISCONFIGURED_CLOUD_LOGGING_EXPORT

תיאור הממצא: הפרויקט שהוגדר ל ייצוא רציף ל-Cloud Logging לא זמין. לא ניתן לשלוח ממצאים ל-Logging מ-Security Command Center.

מסלול תמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organization

סריקות אצווה: כל 30 דקות

פתרון הממצא

גבוהה
VPC_SC_RESTRICTION

התיאור של הממצא: לא ניתן ליצור ממצאים מסוימים עבור פרויקט ב-Security Health Analytics. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולחשבון השירות של Security Command Center אין גישה לגבולות הגזרה.

רמת המחיר: Premium או Standard

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות באצווה: כל 6 שעות

פתרון הממצא

גבוהה
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא: לחשבון השירות של Security Command Center חסרות הרשאות שנדרשות כדי שהשירות יפעל כמו שצריך. לא נוצרו ממצאים.

רמת המחיר: Premium או Standard

נכסים נתמכים

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית

מידע נוסף זמין במאמר שגיאות ב-Security Command Center.

App Hub

ב-Security Command Center וב-Compliance Manager אפשר לראות ממצאים, בעיות ומידע על תאימות למשאבים באפליקציה ספציפית ב-App Hub. אפשר לסנן את התצוגות המפורטות של כלי החקירה כדי להציג נתונים רק לגבי משאבים שנרשמו באפליקציה ב-App Hub.

אפשר לסנן בתצוגות החקירה הבאות:

  • סקירת סיכונים > מרכז הבקרה כל הסיכונים
  • סקירת סיכונים > לוח הבקרה נתונים
  • הדף ממצאים
  • הדף בעיות
  • Compliance > Monitor (New) tab
  • תאימות > מעקב (חדש) > הדף פרטי מסגרת

המסנן 'אפליקציה' זמין כשמציגים נתונים של ארגון, והוא מציג רשימה של אפליקציות שנוצרו ב-App Hub ונפרסו באותו ארגון שבו הופעל Security Command Center. המידע במסנן האפליקציות מאוחזר ממאגר משאבי ענן ומ-App Hub.

מסנן האפליקציות לא זמין כשמציגים נתונים של פרויקט או תיקייה יחידים.

המאמרים הבאים