במסמך הזה מפורטת רשימה של שירותי הזיהוי, שלפעמים נקראים גם מקורות אבטחה, שבהם Security Command Center משתמש כדי לזהות בעיות אבטחה בסביבות הענן שלכם.
כששירותים כאלה מזהים בעיה, הם יוצרים ממצא – רשומה שמזהה את בעיית האבטחה ומספקת את המידע שדרוש כדי לתעדף את הבעיה ולפתור אותה.
אפשר לראות את הממצאים במסוף ולסנן אותם בדרכים רבות ושונות, למשל לפי סוג הממצא, סוג המשאב או נכס ספציפי. Google Cloud כל מקור אבטחה עשוי לספק מסננים נוספים שיעזרו לכם לארגן את הממצאים.
אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.
שירותים לזיהוי נקודות חולשה
שירותים לגילוי פרצות כוללים שירותים מובנים ומשולבים שמזהים פרצות בתוכנה, הגדרות שגויות והפרות של מצב האבטחה בסביבות הענן. סוגי בעיות האבטחה האלה נקראים יחד נקודות חולשה.
AI Protection
AI Protection עוזר לכם לנהל את מצב האבטחה של עומסי העבודה של ה-AI, על ידי זיהוי איומים ועזרה בצמצום הסיכונים למלאי נכסי ה-AI.
AI Protection מספק את יכולות הזיהוי הבאות:
- הערכת מלאי נכסי ה-AI: מספקת תובנות לגבי מערכות ונכסי ה-AI שלכם, כמו מודלים, מקורות נתונים, נקודות קצה וסוכני AI.
- זיהוי נקודות חולשה: זיהוי נקודות חולשה בתוכנה (CVE) בעומסי עבודה מבוססי-סוכן שנפרסו באמצעות Agent Runtime.
- זיהוי סיכונים: משתמש בהדמיית נתיב התקפה ובכללים של תרשים אבטחה כדי לזהות סיכונים שקשורים לסוכנים ואת ההשפעה הפוטנציאלית שלהם על הסביבה.
- זיהוי סוכנים עם הרשאות עודפות: זיהוי סוכני AI שקיבלו הרשאות עודפות.
- זיהוי איומים וניהול שלהם: זיהוי איומים פוטנציאליים שמכוונים למערכות ולנכסי ה-AI שלכם ותגובה לאיומים האלה באמצעות כללים משולבים משירותים אחרים של Security Command Center, כמו Event Threat Detection ו-Agent Platform Threat Detection.
מידע נוסף מופיע במאמר סקירה כללית על AI Protection.
הערכת נקודות חולשה ב-Artifact Registry
הערכת נקודות חולשה ב-Artifact Registry היא שירות זיהוי שמציג לכם התראות על נקודות חולשה בקובצי אימג' של קונטיינרים שפרסתם.
שירות הזיהוי הזה יוצר ממצאים של נקודות חולשה לתמונות של קונטיינרים בתנאים הבאים:
- קובץ האימג' של הקונטיינר מאוחסן ב-Artifact Registry.
קובץ האימג' של הקונטיינר נפרס באחד מהנכסים הבאים:
- אשכול Google Kubernetes Engine
- שירות Cloud Run
- משימה ב-Cloud Run
- App Engine
הערכת נקודות החולשה ב-Artifact Registry מציגה ממצאים לגבי נקודות חולשה שמסווגות כחמורות ברמה HIGH או CRITICAL. הערכת הפגיעות ב-Artifact Registry לא תייצר ממצאים לגבי פגיעות ברמת חומרה נמוכה יותר.
אם מפעילים את הערכת הפגיעות של Artifact Registry באמצעות Security Command Center, הערכת הפגיעות של Artifact Registry כותבת באופן אוטומטי ממצאים ברמת חומרה גבוהה וקריטית אל Security Command Center. אם בקובצי האימג' של הקונטיינרים יש נקודות חולשה שמסווגות כבינוניות או נמוכות, אפשר לנהל אותן בהערכת הפגיעות של Artifact Registry, אבל הן לא מוצגות ב-Security Command Center.
הערכת הפגיעות ב-Artifact Registry סורקת רק תמונות שנמשכו ב-30 הימים האחרונים. הערכת נקודות החולשה ב-Artifact Registry ממשיכה לסרוק את האימג' וליצור ממצאים חדשים עד שהאימג' לא נמשך במשך יותר מ-30 יום.
אחרי שנוצרים ממצאי הערכת הפגיעות ב-Artifact Registry, הם נשארים זמינים לשאילתות עד 30 יום אחרי העדכון האחרון של ממצאי הפגיעות. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.
הפעלת ממצאים של הערכת נקודות חולשה ב-Artifact Registry
כדי שבדיקת נקודות החולשה ב-Artifact Registry תיצור ממצאים ב-Security Command Center לגבי קובצי אימג' של קונטיינרים שנפרסו ומאוחסנים ב-Artifact Registry, צריך להפעיל את Container Scanning API בפרויקט.
אם לא הפעלתם את Container Scanning API, אתם צריכים לבצע את הפעולות הבאות:
במסוף Google Cloud , עוברים לדף Container Scanning API.
בוחרים את הפרויקט שבו רוצים להפעיל את Container Scanning API.
לוחצים על Enable.
ב-Security Command Center יוצגו ממצאים לגבי תמונות של קונטיינרים פגיעים שנסרקו, שמוצבים באופן פעיל בנכסי זמן הריצה הרלוונטיים. עם זאת, אופן הפעולה של שירות הזיהוי משתנה בהתאם למועד שבו הפעלתם את Security Command Center ואת Container Scanning API.
| תרחיש הפעלה | התנהגות שירות הזיהוי |
|---|---|
|
הפעלתם את Security Command Center אחרי שהפעלתם את Container Scanning API ופרסתם קובץ אימג' של קונטיינר. |
הערכת הפגיעות ב-Artifact Registry תייצר ממצאים לגבי פגיעויות קיימות שנמצאו בסריקות קודמות של Artifact Registry תוך 24 שעות מהפעלת התכונה. |
|
הפעלתם את Security Command Center ופרסתם תמונה של קונטיינר לפני שהפעלתם את Container Scanning API. |
הערכת נקודות החולשה ב-Artifact Registry לא תיצור באופן אוטומטי ממצאי נקודות חולשה עבור קובצי אימג' של קונטיינרים שפרסתם לפני הפעלת ה-API, עד שתופעל סריקה חדשה. כדי להפעיל סריקה חדשה באופן ידני, צריך לפרוס מחדש את אימג' הקונטיינר לאותו משאב זמן ריצה. אם יזוהו פגיעויות במהלך הסריקה, כלי הערכת הפגיעויות של Artifact Registry יפיק ממצאים באופן מיידי. |
|
הפעלתם את Security Command Center ואת Container Scanning API לפני שפרסתם תמונה של קונטיינר. |
קובץ האימג' של הקונטיינר שנפרס זה עתה נסרק באופן מיידי ב-Artifact Registry, והכלי להערכת נקודות חולשה ב-Artifact Registry יוצר ממצאים אם הסריקה מזהה נקודות חולשה. |
השבתת הממצאים של הערכת הפגיעות ב-Artifact Registry
כדי להשבית את הממצאים של הערכת הפגיעות ב-Artifact Registry:
במסוף Google Cloud , נכנסים לדף API/Service Details של Container Scanning API.
בוחרים את הפרויקט שבו רוצים להשבית את Container Scanning API.
לוחצים על השבתת ה-API.
ב-Security Command Center לא מוצגות ממצאים לגבי נקודות חולשה שזוהו בסריקות עתידיות של תמונות קונטיינר. ב-Security Command Center, הממצאים של הערכת הפגיעות ב-Artifact Registry נשארים פעילים למשך 30 יום אחרי העדכון האחרון של ממצאי הפגיעות. לאחר מכן הממצאים מושבתים ונמחקים 7 ימים אחרי ההשבתה. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.
אפשר גם להשבית את הערכת הפגיעות ב-Artifact Registry על ידי השבתת מזהה המקור של הערכת הפגיעות בהגדרות של Security Command Center. עם זאת, אנחנו לא ממליצים על כך. השבתה של מזהה המקור של הערכת הפגיעות תשבית את כל שירותי הזיהוי שמסווגים תחת מזהה המקור של הערכת הפגיעות. לכן מומלץ להשבית את Container Scanning API באמצעות התהליך שלמעלה.
צפייה בתוצאות של הערכת נקודות חולשה ב-Artifact Registry במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Vulnerability Assessment. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
הערכת נקודות חולשה ב-Agent Platform
הכלי Agent Platform Vulnerability Assessment מזהה פגיעויות בתוכנה (CVE) בעומסי עבודה של סוכנים שנפרסו באמצעות Agent Platform של Gemini Enterprise.
הסורק הזה מעריך באופן אוטומטי קוד מותאם אישית ותלות בתוך המופע התפעולי במהלך הפריסה או העדכון.
הפעלת ממצאים של הערכת פגיעויות ב-Agent Platform
הערכת הפגיעות של פלטפורמת הסוכן מופעלת אוטומטית בהפעלות חדשות של AI Protection.
לקוחות קיימים יכולים להפעיל את הסורק בדף הגדרות ההגנה באמצעות AI. מידע נוסף זמין במאמר בנושא הגדרה של הערכת פגיעות בפלטפורמת סוכנים.
צפייה בתוצאות של הערכת פגיעות בפלטפורמת הסוכן במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Vulnerability Assessment for Agent Platform. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
הגנה על ארטיפקטים
Artifact guard (גרסת Preview) הוא שירות שעוזר למנוע פריסה של חבילות פגיעות במהלך תהליך הבנייה. הוא תומך בשלושה היקפי מדיניות: פלטפורמת CI/CD, רישום וזמן ריצה. השילוב של CI/CD מאפשר לכם להגדיר מחברים לפלטפורמות CI/CD. אתם יכולים להשתמש במחברים האלה כדי להגדיר מדיניות של Artifact Guard לזיהוי פגיעויות בצינורות CI/CD.
ממצאים ב-Compliance Manager
הכלי Compliance Manager יוצר ממצאים לגבי אמצעי הבקרה הבלשיים והמונעים בענן שאתם פורסים בסביבת Google Cloud שלכם. אפשר לראות את הממצאים האלה בדף Findings ב-Security Command Center.
בכל רמת שירות, הכלי Compliance Manager מספק קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של Compliance Manager.
צפייה בממצאים של Compliance Manager במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Compliance Evaluation Service. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
Data Security Posture Management
Data Security Posture Management (DSPM) יוצר ממצאים לגבי הפרות פוטנציאליות של מסגרות אבטחת הנתונים ואמצעי הבקרה בענן שאתם מיישמים בסביבה שלכם. אפשר לראות את הממצאים האלה בדף Data Security & Compliance, בדף Risk Overview (בכרטיסייה Data) או בדף Findings ב-Security Command Center. לכל רמת שירות יש קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של ניהול מצב אבטחת הנתונים (DSPM).
צפייה בממצאים של DSPM במסוף
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
בוחרים את Google Cloud הארגון.
כדי לראות את הממצאים של DSPM, משתמשים בשאילתה הבאה:
state="ACTIVE" AND NOT mute="MUTED" AND resource.name="//aiplatform.googleapis.com/projects/478190632149/locations/us-central1/models/1244151282898305024" AND category="DATA_SECURITY_POSTURE_ACCESS_VIOLATION" OR category="DATA_SECURITY_POSTURE_FLOW_VIOLATION" OR category="DATA_SECURITY_POSTURE_DELETION_VIOLATION" OR category="DATA_SECURITY_POSTURE_PROTECTION_KEY_GOVERNANCE" OR category="BIGQUERY_TABLE_CMEK_DISABLED" OR category="VERTEX_AI_MODEL_CMEK_DISABLED" OR category="VERTEX_AI_METADATA_STORE_CMEK_DISABLED" OR category="VERTEX_AI_DATASET_CMEK_DISABLED" OR category="VERTEX_AI_FEATURE_STORE_TABLE_CMEK_DISABLED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_MISCONFIGURED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_DELETED" OR category="DATA_SECURITY_POSTURE_CMEK_VIOLATION" OR category="SENSITIVE_DATA_PUBLIC_SQL_INSTANCE" OR category="SENSITIVE_DATA_PUBLIC_DATASET" OR category="SENSITIVE_DATA_BIGQUERY_TABLE_CMEK_DISABLED" OR category="SENSITIVE_DATA_DATASET_CMEK_DISABLED" OR category="SENSITIVE_DATA_SQL_CMEK_DISABLED" OR category="PUBLIC_DATASET" OR category="PUBLIC_SQL_INSTANCE" OR category="SQL_PUBLIC_IP" OR category="ACCESS_TRANSPARENCY_DISABLED" OR category="ORG_POLICY_LOCATION_RESTRICTION" OR category="BUCKET_POLICY_ONLY_DISABLED" OR category="DATA_EXFILTRATION_BIG_QUERY" OR category="DATA_EXFILTRATION_BIG_QUERY_EXTRACTION" OR category="DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE"כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה Category (קטגוריה). חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שאותר, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא (אם יש כאלה).
אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
External Exposure
Security Command Center External Exposure הוא שירות שעוזר לכם לנהל ולצמצם את השטח החשוף להתקפה חיצונית באמצעות גילוי אוטומטי ואימות סיכונים. Google Cloud
מכיוון שסורקים אוטומטיים יכולים לזהות נכסים שחשופים לאינטרנט תוך דקות, התכונה 'חשיפה חיצונית' חושפת באופן יזום חשיפות מקריות ומשאבי צל לפני שתוקפים יוכלו לגלות אותם ולנצל אותם.
השירות מנתח את הסביבה שלכם מנקודת מבט חיצונית, ומנסה לאשר מה באמת נגיש מהאינטרנט ומזהה אילו חשיפות ניתנות לניצול.
התכונה 'חשיפה חיצונית' סורקת באופן רציף כתובות IP, שמות מארחים, שמות דומיינים וכתובות URL שפונות כלפי חוץ בסביבה שלכם. Google Cloudהתכונה הזו משתמשת בסריקת רשת כדי לאשר אילו משאבים ואילו אפליקציות נגישים מהאינטרנט הציבורי.
לכל חשיפה מאומתת, התכונה 'חשיפה חיצונית' מבצעת את הפעולות הבאות:
הכלי עוקב אחרי Google Cloud נתיב הרשת של מאזני עומסים חיצוניים, מדיניות Google Cloud Armor, כללי חומת אש, Private Service Connect, Cloud Interconnect ושירותי קצה עורפיים עד למשאב שנחשף, ומציג את הנתיב.
המשאב הזה יכול להיות מופע של Compute Engine או Pod של Google Kubernetes Engine (GKE), כולל שירות או אפליקציה שנחשפים.
השילוב העמוק הזה עם רשת Google עוזר לספק הקשר שמאפשר לכם לפעול באופן מיידי כדי למנוע בעיות, למשל על ידי נעילה של כלל חומת אש ספציפי או הגדרה של Google Cloud Armor.
מבצעת טביעת אצבע כדי לנסות לזהות את אפליקציית האינטרנט הספציפית או את תוכנת השרת שפועלת בכל נכס חשוף.
אם הוא מצליח לזהות את השירות או התוכנה שנחשפו, הוא מזהה את כל נקודות החולשה שידועות כמשפיעות עליהם.
הכלי משתמש בגלאים מתקדמים פסיביים ואקטיביים כדי לבדוק את מידת הפגיעות לניצול לרעה בעולם האמיתי. הוא עושה זאת על ידי אימות נקודות חולשה, הגדרות שגויות ושימוש בפרטי כניסה חלשים או בפרטי כניסה שמוגדרים כברירת מחדל.
בדיקת הממצאים בנושא חשיפה חיצונית במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות External Exposure. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
לוח הבקרה של מצב האבטחה ב-GKE
לוח הבקרה של מצב האבטחה ב-Google Kubernetes Engine (GKE) הוא דף במסוףGoogle Cloud שבו מוצגים ממצאים מפורטים ופרקטיים לגבי בעיות אבטחה פוטנציאליות באשכולות GKE.
לוח הבקרה של מצב האבטחה ב-GKE משולב עם Security Command Center, ומספק את היתרונות הבאים:
- תצוגה מאוחדת: במסוף Security Command Center אפשר לראות את ממצאי האבטחה של אשכולות GKE לצד ממצאים משירותים אחרים של Security Command Center.
- ציוני חשיפה להתקפות: כדי לתעדף את הממצאים, אפשר לראות את ההשפעה הפוטנציאלית שלהם על הסביבה שלכם באמצעות ציוני חשיפה להתקפות.
- דיווח על תאימות: יצירת דוחות תאימות על סמך הממצאים.
כדי לראות את הממצאים האלה, צריך להפעיל את אחת מהתכונות הבאות במרכז הבקרה של GKE בנושא אבטחה:
| חלונית לוח הבקרה של מצב האבטחה ב-GKE | סיווג הממצאים ב-Security Command Center |
|---|---|
| ביקורת על הגדרות של עומסי עבודה1 | MISCONFIGURATION |
| האיומים המובילים2 | THREAT |
| סריקת נקודות חולשה במערכת ההפעלה של קונטיינרים1 | VULNERABILITY |
| בדיקת נקודות חולשה בחבילת שפה1 | VULNERABILITY |
| עדכוני אבטחה דחופים1 (תצוגה מקדימה) | VULNERABILITY |
| הפגיעויות העיקריות בתוכנה2 | VULNERABILITY |
- האפשרות הזו זמינה רק אם מפעילים את התכונה הזו ב-GKE.
- זמין במסלולי השירות Security Command Center Premium ו-Enterprise.
בממצאים מוצג מידע על בעיית האבטחה והמלצות לפתרון הבעיות בעומסי העבודה או באשכולות.
צפייה בממצאים של לוח הבקרה של מצב האבטחה ב-GKE ב-Console
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות GKE Security Posture. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
שירות ההמלצות של IAM
הכלי להמלצות ב-IAM יוצר המלצות שיעזרו לכם לשפר את האבטחה על ידי הסרה או החלפה של תפקידי IAM מחשבונות משתמשים, אם התפקידים מכילים הרשאות IAM שהחשבון לא צריך.
כשתפעילו את Security Command Center, הכלי IAM Recommender יופעל באופן אוטומטי.
הפעלה או השבתה של הממצאים של הכלי להמלצות בנושא IAM
כדי להפעיל או להשבית את הממצאים של IAM Recommender ב-Security Command Center, פועלים לפי השלבים הבאים:
עוברים לכרטיסייה Integrated services בדף Settings של Security Command Center במסוף Google Cloud :
עוברים אל הערך IAM recommender.
משמאל לרשומה, לוחצים על הפעלה או על השבתה.
הממצאים של הכלי להמלצות בנושא IAM מסווגים כנקודות חולשה.
כדי לטפל בממצא של שירות ההמלצות ל-IAM, מרחיבים את הקטע הבא כדי לראות טבלה של הממצאים של שירות ההמלצות ל-IAM. שלבי התיקון לכל ממצא כלולים ברשומה בטבלה.
צפייה בממצאים של IAM Recommender במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות IAM Recommender. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
ב-Security Command Center Premium, אפשר גם לראות את הממצאים של הכלי להמלצות בנושא IAM בדף Vulnerabilities (פגיעויות) בגרסה הקודמת, על ידי בחירה בהגדרה הקבועה מראש של השאילתה IAM recommender (הכלי להמלצות בנושא IAM).
Mandiant Attack Surface Management
חברת Mandiant היא מובילה עולמית במודיעין איומים מהחזית. Mandiant Attack Surface Management מזהה נקודות חולשה וטעויות בהגדרות של משטחי התקפה חיצוניים, כדי לעזור לכם להתעדכן לגבי מתקפות הסייבר האחרונות.
הכלי Mandiant Attack Surface Management מופעל אוטומטית כשמפעילים את רמת Enterprise של Security Command Center, והממצאים זמינים במסוף Google Cloud .
במאמר ASM and Security Command Center בפורטל התיעוד של Mandiant מוסבר מה ההבדל בין מוצר Mandiant Attack Surface Management עצמאי לבין השילוב של Mandiant Attack Surface Management ב-Security Command Center. הקישור הזה מחייב אימות של Mandiant.
בדיקת הממצאים של Mandiant Attack Surface Management במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters (מסננים מהירים), בקטע המשנה Source display name (שם התצוגה של המקור), בוחרים באפשרות Mandiant Attack Surface Management. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
ב-Security Command Center וב-Mandiant Attack Surface Management לא מסומנים ממצאים כפתורים. אחרי שפותרים בעיה, אפשר לסמן אותה כפתורה באופן ידני. אם הבעיה לא תזוהה בסריקה הבאה של Mandiant Attack Surface Management, היא תישאר מסומנת כפתורה.
הגנה מוגברת על המודל
Model Armor הוא שירות שמנוהל במלואו Google Cloud , שמשפר את האבטחה והבטיחות של אפליקציות AI על ידי סינון של הנחיות ותשובות של מודלים גדולים של שפה (LLM).
ממצאים של נקודות חולשה משירות Model Armor
| ממצא | סיכום |
|---|---|
|
מציאת תיאור: הפרה של הגדרת רמת הבסיס שמתרחשת כשמודל Model Armor לא עומד בתקני האבטחה המינימליים שהוגדרו בהגדרות רמת הבסיס של היררכיית המשאבים. רמת התמחור: Premium כדי לפתור את הבעיה הזו, צריך לעדכן את תבנית Model Armor כך שתתאים להגדרות המינימום שהוגדרו בהיררכיית המשאבים. |
|
תיאור הממצא: מודל בסיסי של Gemini שזוהה ב-Gemini Enterprise Agent Platform לא מוגן על ידי Model Armor. רמת התמחור: Premium כדי לפתור את הבעיה, צריך להגדיר את Model Armor למודל שזוהה. מידע נוסף זמין במאמר בנושא יצירה וניהול של תבניות. |
ממצאי התצפיות משירות Model Armor
ההגנה על ה-AI יוצרת ממצאי תצפית למודלים בסיסיים שמוגנים על ידי הגנה מוגברת על המודל.
| ממצא | סיכום |
|---|---|
|
מציאת תיאור: זוהה מודל בסיסי ב-Gemini Enterprise Agent Platform והוא מוגן על ידי Model Armor. רמת התמחור: Premium |
Notebook Security Scanner
Notebook Security Scanner הוא שירות מובנה לזיהוי נקודות חולשה בחבילות של Security Command Center. אחרי שמפעילים את Notebook Security Scanner, הוא סורק אוטומטית מחברות Colab Enterprise (קבצים עם סיומת שם הקובץ ipynb) כל 24 שעות כדי לזהות פגיעויות בחבילות Python, ומפרסם את הממצאים האלה בדף ממצאים ב-Security Command Center.
אפשר להשתמש ב-Notebook Security Scanner עבור מחברות Colab Enterprise שנוצרו באזורים הבאים: us-central1, us-east4, us-west1 ו-europe-west4.
כדי להתחיל להשתמש ב-Notebook Security Scanner, אפשר לעיין במאמר בנושא הפעלה ושימוש ב-Notebook Security Scanner.
Policy Controller
Policy Controller מאפשר להחיל ולאכוף מדיניות שניתנת לתכנות בקטרי Kubernetes. כללי המדיניות האלה פועלים כמגבלות ויכולים לעזור בשיטות מומלצות, באבטחה ובניהול התאימות של האשכולות והצי שלכם.
אם מתקינים את Policy Controller ומפעילים את אחד מחבילות Policy Controller, Policy Controller כותב באופן אוטומטי הפרות של אשכולות ב-Security Command Center כממצאים מסוג Misconfiguration. תיאור הממצא והשלבים הבאים בממצאים של Security Command Center זהים לתיאור האילוץ ולשלבי התיקון של חבילת Policy Controller התואמת.
הממצאים של Policy Controller מגיעים מחבילות Policy Controller הבאות:
- CIS Kubernetes Benchmark v.1.5.1, קבוצה של המלצות להגדרת Kubernetes כדי לתמוך בתשתית חזקה לאבטחה. אפשר גם לעיין במידע על החבילה הזו במאגר GitHub של
cis-k8s-v1.5.1. - PCI-DSS v3.2.1, חבילה שמעריכה את התאימות של משאבי האשכול שלכם לחלק מההיבטים של תקן אבטחת המידע בתחום כרטיסי התשלום (PCI-DSS) v3.2.1.
אפשר גם לעיין במידע על החבילה הזו במאגר GitHub של
pci-dss-v3.
כדי למצוא ממצאים של Policy Controller ולתקן אותם, אפשר לעיין במאמר בנושא תיקון ממצאים של Policy Controller.
Risk Engine
מנוע הסיכונים של Security Command Center מעריך את החשיפה לסיכונים של פריסות הענן, מקצה ציוני חשיפה להתקפות לממצאים של נקודות חולשה ולמשאבים בעלי ערך גבוה, ויוצר דיאגרמות של נתיבים שבהם תוקף פוטנציאלי יכול להשתמש כדי להגיע למשאבים בעלי ערך גבוה.
במהדורות Enterprise או Premium של Security Command Center, מנוע הסיכון מזהה קבוצות של בעיות אבטחה, שאם הן מתרחשות יחד בדפוס מסוים, הן יוצרות נתיב לאחד או יותר מהמשאבים בעלי הערך הגבוה שלכם, שנחוש לתקוף יכול להשתמש בו כדי להגיע למשאבים האלה ולפגוע בהם.
כשמנוע הסיכונים מזהה אחד מהשילובים האלה, הוא יוצר ממצא מסוג TOXIC_COMBINATION. בממצא, Risk Engine
מופיע כמקור הממצא.
מנוע הסיכון מזהה גם משאבים נפוצים או קבוצות משאבים שבהם מתלכדים כמה נתיבי תקיפה, ואז יוצר ממצא מסוג CHOKEPOINT.
מידע נוסף זמין במאמר סקירה כללית על שילובים רעילים ונקודות חולשה.
Security Health Analytics
Security Health Analytics הוא שירות מובנה לזיהוי ב-Security Command Center, שמספק סריקות מנוהלות של משאבי הענן כדי לזהות טעויות נפוצות בהגדרות.
כשמזוהה הגדרה שגויה, הכלי Security Health Analytics יוצר ממצא. רוב הממצאים של ניתוח מצב האבטחה ממופים לאמצעי בקרה של תקני אבטחה, כדי שתוכלו להעריך את התאימות.
Security Health Analytics סורק את המשאבים שלכם ב- Google Cloud. אם אתם משתמשים ברמת Enterprise ומקימים חיבורים לפלטפורמות ענן אחרות, Security Health Analytics יכול גם לסרוק את המשאבים שלכם בפלטפורמות הענן האלה.
הגלאים הזמינים שונים בהתאם לרמת השירות של Security Command Center שבה אתם משתמשים:
- במהדורת Standard-legacy, הכלי Security Health Analytics כולל רק קבוצה בסיסית של גלאי פגיעויות ברמת חומרה בינונית וגבוהה.
- Premium כולל את כל כלי האיתור של נקודות החולשה Google Cloud.
- רמת Enterprise כוללת גלאים נוספים לפלטפורמות ענן אחרות.
הכלי Security Health Analytics מופעל באופן אוטומטי כשמפעילים את Security Command Center.
למידע נוסף, קראו את המאמרים הבאים:
- סקירה כללית על Security Health Analytics
- איך משתמשים ב-Security Health Analytics
- תיקון ממצאים של Security Health Analytics
- הפניות לתוצאות של Security Health Analytics
שירות מצב אבטחה
שירות מצב האבטחה הוא שירות מובנה במהדורת Premium של Security Command Center, שמאפשר להגדיר, להעריך ולעקוב אחרי המצב הכללי של האבטחה ב- Google Cloud. הוא מספק מידע על מידת ההתאמה של הסביבה שלכם למדיניות שאתם מגדירים במצב האבטחה.
שירות מצב האבטחה לא קשור ללוח הבקרה של מצב האבטחה ב-GKE, שבו מוצגים רק ממצאים באשכולות GKE.
Sensitive Data Protection
Sensitive Data Protection הוא שירות מנוהל מלא Google Cloud שעוזר לכם לגלות, לסווג ולהגן על הנתונים הרגישים שלכם. אתם יכולים להשתמש ב-Sensitive Data Protection כדי לקבוע אם אתם מאחסנים מידע רגיש או פרטים אישיים מזהים (PII), כמו:
- שמות של אנשים
- מספרים של כרטיסי אשראי
- מספרי תעודת זהות ארצית או מדינתית
- מספרי זיהוי של ביטוח רפואי
- סודות
ב-Sensitive Data Protection, כל סוג של מידע אישי רגיש שמחפשים נקרא infoType.
אם תגדירו את הפעולה של Sensitive Data Protection כך שהתוצאות יישלחו אל Security Command Center, תוכלו לראות את הממצאים ישירות בקטע Security Command Center במסוף Google Cloud , בנוסף לקטע Sensitive Data Protection.
אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות. אם לא תבצעו את המשימה הזו, יכול להיות שתקבלו אזהרות.
ממצאי פגיעות משירות הגילוי Sensitive Data Protection
שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם אתם מאחסנים נתונים רגישים מאוד שלא מוגנים.
| קטגוריה | סיכום |
|---|---|
|
תיאור: במשאב שצוין יש נתונים רגישים מאוד שאפשר לגשת אליהם מכל מקום באינטרנט. נכסים נתמכים:
תיקון: לגבי נתוני Google Cloud , צריך להסיר את לגבי נתונים ב-Amazon S3, צריך להגדיר חסימה של גישה ציבורית או לעדכן את רשימת ה-ACL של האובייקט כדי למנוע גישה ציבורית לקריאה. מידע נוסף זמין במאמרים הגדרת חסימת גישה ציבורית לקטגוריות S3 והגדרת רשימות ACL במסמכי AWS. לגבי נתונים ב-Azure Blob Storage, צריך להסיר את הגישה הציבורית למאגר ולאובייקטים הבינאריים הגדולים. מידע נוסף זמין במאמר Overview: Remediating anonymous read access for blob data במסמכי התיעוד של Azure. תקני תאימות: לא ממופים |
|
מציאת תיאור: יש secrets – כמו סיסמאות, אסימוני אימות ופרטי כניסה ל- Google Cloud – במשתני הסביבה. כדי להפעיל את אמצעי הגילוי הזה, אפשר לעיין במאמר בנושא Sensitive Data Protection בנושא דיווח על סודות במשתני סביבה ל-Security Command Center. נכסים נתמכים: תיקון: במשתני סביבה של פונקציות Cloud Run, מסירים את הסוד ממשתנה הסביבה ומאחסנים אותו ב-Secret Manager במקום זאת. במשתני סביבה של גרסת שירות ב-Cloud Run, מעבירים את כל התנועה מהגרסה ואז מוחקים אותה. תקני תאימות:
|
|
Finding description: יש secrets—such as passwords, authentication tokens, and cloud credentials—in the specified resource. נכסים נתמכים:
תיקון:
תקני תאימות: לא ממופים |
ממצאים של שגיאות בהגדרות משירות הגילוי של Sensitive Data Protection
שירות הגילוי של Sensitive Data Protection עוזר לכם לקבוע אם יש לכם הגדרות שגויות שעשויות לחשוף מידע אישי רגיש.
| קטגוריה | סיכום |
|---|---|
|
תיאור הממצא: במשאב שצוין יש נתונים ברמת רגישות גבוהה או בינונית, ולא נעשה בו שימוש במפתח הצפנה בניהול הלקוח (CMEK). נכסים נתמכים:
תיקון:
תקני תאימות: לא ממופים |
ממצאים של תצפיות מ-Sensitive Data Protection
בקטע הזה מתוארות הממצאים של התצפיות שנוצרים על ידי Sensitive Data Protection ב-Security Command Center.
ממצאי התצפיות משירות הגילוי
שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם הנתונים שלכם מכילים סוגי מידע ספציפיים, ואיפה הם נמצאים בארגון, בתיקיות ובפרויקטים. הוא יוצר את הקטגוריות הבאות של ממצאי תצפיות ב-Security Command Center:
Data sensitivity- אינדיקציה לרמת הרגישות של הנתונים בנכס נתונים מסוים. נתונים נחשבים רגישים אם הם מכילים פרטים אישיים מזהים (PII) או רכיבים אחרים שעשויים לדרוש בקרה או ניהול נוספים. חומרת הממצא היא רמת הרגישות שחושבה על ידי Sensitive Data Protection כשנוצר פרופיל הנתונים.
Data risk- הסיכון שמשויך לנתונים במצבם הנוכחי. כשמחשבים את הסיכון לנתונים, Sensitive Data Protection לוקח בחשבון את רמת הרגישות של הנתונים בנכס הנתונים ואת קיומם של אמצעים לבקרת גישה כדי להגן על הנתונים האלה. רמת החומרה של הממצא היא רמת הסיכון לנתונים שחושבה על ידי ההגנה על מידע אישי רגיש במהלך יצירת פרופיל הנתונים.
בהתאם לגודל הארגון, הממצאים של 'הגנה על נתונים רגישים' יכולים להתחיל להופיע במרכז השליטה לאבטחה תוך כמה דקות אחרי שמפעילים את האפשרות 'גילוי נתונים רגישים'. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.
לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.
מידע על שליחת תוצאות של פרופיל נתונים אל Security Command Center זמין במאמר הפעלת גילוי של נתונים רגישים.
ממצאי תצפיות משירות הבדיקה של Sensitive Data Protection
משימת בדיקה של Sensitive Data Protection מזהה כל מופע של נתונים מסוג מידע ספציפי במערכת אחסון כמו קטגוריה ב-Cloud Storage או טבלה ב-BigQuery. לדוגמה, אתם יכולים להריץ משימת בדיקה שמחפשת את כל המחרוזות שתואמות לגלאי CREDIT_CARD_NUMBER infoType בקטגוריה של Cloud Storage.
לכל גלאי infoType שיש לו התאמה אחת או יותר, Sensitive Data Protection יוצר ממצא תואם ב-Security Command Center. קטגוריית הממצא היא השם של גלאי ה-infoType שהייתה לו התאמה – לדוגמה, Credit
card number. הממצא כולל את מספר המחרוזות התואמות שזוהו בטקסט או בתמונות במשאב.
מטעמי אבטחה, המחרוזות בפועל שזוהו לא נכללות בממצא. לדוגמה, ממצא Credit card number מראה כמה מספרי כרטיסי אשראי נמצאו, אבל לא מציג את מספרי כרטיסי האשראי עצמם.
ב-Sensitive Data Protection יש יותר מ-150 גלאי Infotype מובנים, ולכן לא מופיעות כאן כל הקטגוריות האפשריות של ממצאים ב-Security Command Center. רשימה מלאה של מזהי InfoType מופיעה במאמר חומר עזר בנושא מזהי InfoType.
במאמר שליחת תוצאות של עבודת בדיקה של Sensitive Data Protection אל Security Command Center מוסבר איך לשלוח את התוצאות של עבודת בדיקה אל Security Command Center.
בדיקת הממצאים של Sensitive Data Protection במסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters (מסננים מהירים), בקטע המשנה Source display name (שם התצוגה של המקור), בוחרים באפשרות Sensitive Data Protection (הגנה על מידע רגיש). תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
VM Manager
VM Manager הוא חבילת כלים שאפשר להשתמש בה כדי לנהל מערכות הפעלה למכונות וירטואליות (VM) ב-Fleets גדולים, שמריצים Windows ו-Linux ב-Compute Engine.
כדי להשתמש ב-VM Manager עם הפעלות ברמת הפרויקט של Security Command Center Premium, צריך להפעיל את רמת השירות Security Command Center Standard-legacy בארגון האב.
אם מפעילים את VM Manager במסלול Security Command Center Premium, VM Manager כותב אוטומטית ממצאי high ו-critical מדוחות נקודות החולשה שלו (שנמצאים בשלב טרום-השקה) אל Security Command Center. בדוחות מזוהות נקודות חולשה במערכות הפעלה (OS) שמותקנות במכונות וירטואליות, כולל נקודות חולשה נפוצות (CVE).
דוחות על פגיעויות לא זמינים במסלול Standard-legacy של Security Command Center.
התוצאות מפשטות את תהליך השימוש בתכונה Patch Compliance (תצוגה מקדימה) של VM Manager. כשמשלבים את התכונה עם רמת הפרימיום של Security Command Center, אפשר לראות את כל הפרויקטים בארגון ולנהל את התיקונים שלהם. למרות שהגדרתם את משימות הטלאים הבודדות ב-VM Manager ברמת הפרויקט, ב-Security Command Center תוכלו לראות את כל משימות הטלאים בצורה מאוחדת, וכך לנהל אותן בכל הארגון.
כדי לתקן את הממצאים של VM Manager, אפשר לעיין במאמר בנושא תיקון הממצאים של VM Manager.
כדי להפסיק את כתיבת דוחות נקודות החולשה ב-Security Command Center, אפשר לעיין במאמר בנושא השתקת ממצאים של VM Manager.
כל נקודות החולשה מהסוג הזה קשורות לחבילות של מערכת ההפעלה המותקנות במכונות וירטואליות נתמכות של Compute Engine.
| גלאי | סיכום | הגדרות סריקת נכסים |
|---|---|---|
|
תיאור הממצא: VM Manager זיהה פגיעות בחבילת מערכת ההפעלה (OS) שהותקנה במכונה וירטואלית של Compute Engine. רמת התמחור: Premium נכסים נתמכים |
דוחות הפגיעות של VM Manager מפרטים את נקודות החולשה בחבילות של מערכת ההפעלה המותקנת במכונות וירטואליות של Compute Engine, כולל נקודות חולשה וחשיפות נפוצות (CVE). רשימה מלאה של מערכות הפעלה נתמכות זמינה במאמר בנושא פרטים על מערכות הפעלה. הממצאים מופיעים ב-Security Command Center זמן קצר אחרי שמתגלים נקודות חולשה. דוחות על נקודות חולשה ב-VM Manager נוצרים באופן הבא:
|
הערכת נקודות חולשה ב-AWS
שירות הערכת נקודות חולשה ב-Amazon Web Services (AWS) מזהה נקודות חולשה בתוכנה בעומסי העבודה שפועלים במכונות וירטואליות (VM) של EC2 בפלטפורמת הענן של AWS.
לכל נקודת חולשה שזוהתה, הכלי להערכת נקודות חולשה ב-AWS יוצר ממצא מסוג Vulnerability בכיתה בקטגוריית הממצאים Software vulnerability ב-Security Command Center.
שירות הערכת נקודות החולשה ב-AWS סורק תמונות מצב של מופעי מכונות EC2 שפועלים, כך שעומסי העבודה של הייצור לא מושפעים. שיטת הסריקה הזו נקראת סריקת דיסק ללא סוכן, כי לא מותקנים סוכנים ביעדי הסריקה.
למידע נוסף, קראו את המאמרים הבאים:
הערכת נקודות חולשה ב- Google Cloud
השירות Vulnerability Assessment for Google Cloud מזהה נקודות חולשה בתוכנה במשאבים הבאים בפלטפורמה Google Cloud :
- הפעלת מכונות וירטואליות של Compute Engine
- צמתים באשכולות GKE Standard
- קונטיינרים שפועלים באשכולות GKE Standard ו-GKE Autopilot
לכל נקודת חולשה שזוהתה, הכלי Vulnerability Assessment for Google Cloud יוצר ממצא מסוג Vulnerability
class בקטגוריית הממצאים Software vulnerability או OS vulnerability ב-Security Command Center.
השירות 'הערכת נקודות חולשה' (Vulnerability Assessment) של Google Cloud סורק את המכונות הווירטואליות ב-Compute Engine על ידי שיבוט הדיסקים שלהן בערך כל 12 שעות, הרכבת הדיסקים במכונה וירטואלית מאובטחת והערכתם באמצעות הסורק SCALIBR.
מידע נוסף זמין במאמר בנושא הערכת פגיעות ב- Google Cloud.
Web Security Scanner
Web Security Scanner מספק סריקה מנוהלת ומותאמת אישית של נקודות חולשה באינטרנט עבור אפליקציות אינטרנט ציבוריות של App Engine, GKE ו-Compute Engine.
סריקות מנוהלות
סריקות מנוהלות של Web Security Scanner מוגדרות ומנוהלות על ידי Security Command Center. סריקות מנוהלות מופעלות באופן אוטומטי פעם בשבוע כדי לזהות ולסרוק נקודות קצה ציבוריות באינטרנט. הסריקות האלה לא משתמשות באימות והן שולחות בקשות GET בלבד, כך שהן לא שולחות טפסים באתרים פעילים.
סריקות מנוהלות מופעלות בנפרד מסריקות בהתאמה אישית.
אם Security Command Center מופעל ברמת הארגון, אפשר להשתמש בסריקות מנוהלות כדי לנהל באופן מרכזי את זיהוי נקודות החולשה הבסיסיות באפליקציות אינטרנט בפרויקטים בארגון, בלי לערב צוותים של פרויקטים ספציפיים. כשמתגלים ממצאים, אפשר לעבוד עם הצוותים האלה כדי להגדיר סריקות מותאמות אישית מקיפות יותר.
כשמפעילים את Web Security Scanner כשירות, ממצאי הסריקה המנוהלים זמינים באופן אוטומטי בדף Vulnerabilities (נקודות חולשה) ב-Security Command Center ובדוחות שקשורים אליהם. מידע על הפעלת סריקות מנוהלות של Web Security Scanner זמין במאמר הגדרת שירותים של Security Command Center.
סריקות מנוהלות תומכות רק באפליקציות שמשתמשות ביציאה שמוגדרת כברירת מחדל, שהיא 80 לחיבורי HTTP ו-443 לחיבורי HTTPS. אם האפליקציה שלכם משתמשת ביציאה שאינה ברירת המחדל, צריך לבצע סריקה בהתאמה אישית.
סריקות בהתאמה אישית
סריקות מותאמות אישית של Web Security Scanner מספקות מידע מפורט על ממצאי פגיעות באפליקציה, כמו ספריות מיושנות, סקריפטים חוצי אתרים או שימוש בתוכן מעורב.
סריקות בהתאמה אישית מוגדרות ברמת הפרויקט.
אחרי שתשלימו את המדריך בנושא הגדרת סריקות בהתאמה אישית ב-Web Security Scanner, תוכלו לראות את הממצאים של הסריקות בהתאמה אישית ב-Security Command Center.
מזהים ותאימות
Web Security Scanner תומך בקטגוריות בOWASP Top Ten, מסמך שמדרג את 10 סיכוני האבטחה הכי קריטיים באפליקציות אינטרנט, כפי שנקבע על ידי Open Web Application Security Project (OWASP), ומספק הנחיות לתיקון שלהם. במאמר OWASP Top 10 mitigation options on Google Cloud (אפשרויות לצמצום הסיכונים של OWASP ב-Google Cloud) מפורטות הנחיות לצמצום הסיכונים של OWASP.
מיפוי התאימות כלול לעיון בלבד, והוא לא מסופק או נבדק על ידי OWASP Foundation.
הפונקציונליות הזו מיועדת רק למעקב אחרי הפרות של כללי בקרת התאימות. המיפויים לא מסופקים לשימוש כבסיס לביקורת, לאישור או לדוח תאימות של המוצרים או השירותים שלכם לכל אמות מידה או תקנים רגולטוריים או תעשייתיים, או כתחליף להם.
מידע נוסף זמין במאמר סקירה כללית של סורק אבטחת אתרים.
שירותים לזיהוי איומים
שירותי זיהוי איומים כוללים שירותים מובנים ומשולבים שמזהים אירועים שעשויים להצביע על אירועים מזיקים פוטנציאליים, כמו משאבים שנפרצו או מתקפות סייבר.
זיהוי איומים ב-Agent Platform
התכונה Agent Platform Threat Detection מספקת זיהוי איומים בזמן ריצה לסוכנים שנפרסו ב-Agent Runtime. הוא עוקב אחרי סוכנים פעילים כדי לזהות מתקפות פוטנציאליות ומפיק ממצאים ב-Security Command Center.
התכונה 'זיהוי איומים בפלטפורמת הסוכן' יכולה ליצור ממצאים לגבי Agent Runtime, כולל הקטגוריות הבאות:
- Command and Control: Steganography Tool Detected
- גישה לפרטי כניסה: מציאת Google Cloud פרטי כניסה
- Credential Access: GPG Key Reconnaissance
- גישה לפרטי כניסה: חיפוש מפתחות פרטיים או סיסמאות
- התחמקות מהגנה: שורת פקודה של קובץ ELF בפורמט Base64
- התחמקות מהגנה: סקריפט Python בקידוד Base64 הופעל
- התחמקות מהגנה: הפעלה של סקריפט מעטפת בקידוד Base64
- התחמקות מהגנה: הפעלת הכלי Code Compiler במאגר
- ביצוע: הרצת קוד מרחוק של Netcat במאגר
- הרצה: הרצה אפשרית של פקודות שרירותיות דרך CUPS (CVE-2024-47177)
- הפעלה: זוהתה הפעלה אפשרית של פקודה מרחוק
- ביצוע: הפעלת תוכנית עם סביבת שרת proxy ל-HTTP שאסורה
- ביצוע: זוהה Socat Reverse Shell
- ביצוע: נטען אובייקט משותף חשוד של OpenSSL
- העברת נתונים: הפעלת כלי להעתקת קבצים מרחוק במאגר
- השפעה: זיהוי שורות פקודה זדוניות
- השפעה: הסרת נתונים בכמות גדולה מהדיסק
- השפעה: פעילות חשודה של כריית קריפטו באמצעות פרוטוקול Stratum
- הסלמת הרשאות: ניצול לרעה של Sudo להסלמת הרשאות (CVE-2019-14287)
- הסלמת הרשאות: נקודת חולשה בהסלמת הרשאות מקומיות ב-Polkit (CVE-2021-4034)
- הסלמת הרשאות: הסלמת הרשאות פוטנציאלית ב-Sudo (CVE-2021-3156)
- ביצוע: בוצע Python זדוני
- ביצוע: פירצה בקונטיינר
- ביצוע: ביצוע של כלי לתקיפת Kubernetes
- ביצוע: ביצוע של כלי לזיהוי מקומי
- השפעה: סקריפט זדוני הופעל
- השפעה: זוהתה כתובת URL זדונית
- ביצוע: מעטפת צאצא לא צפויה
מידע נוסף על זיהוי איומים ב-Agent Platform
זיהוי אנומליות
זיהוי אנומליות הוא שירות מובנה שמשתמש באותות התנהגותיים מחוץ למערכת שלכם. מוצג בו מידע מפורט על אנומליות אבטחה שזוהו בחשבונות השירות, כמו פרטי כניסה שדלפו. התכונה 'זיהוי אנומליות' מופעלת באופן אוטומטי כשמפעילים את Security Command Center Standard-legacy או את רמת Premium, והממצאים זמינים במסוף Google Cloud .
הממצאים של זיהוי האנומליות כוללים את הפרטים הבאים:
| שם החריגה | קטגוריית התוצאות | תיאור |
|---|---|---|
|
account_has_leaked_credentials |
פרטי הכניסה של חשבון שירות Google Cloud נחשפו בטעות באינטרנט או שנפרצו. מידת החומרה: קריטית |
פרטי הכניסה לחשבון נחשפו
GitHub הודיע ל-Security Command Center שפרטי הכניסה ששימשו לביצוע קומיט נראים כמו פרטי הכניסה של חשבון שירות שלGoogle Cloud Identity and Access Management.
ההודעה כוללת את שם חשבון השירות ואת מזהה המפתח הפרטי. Google Cloud שולחת גם הודעה באימייל אל איש הקשר שמוגדר לטיפול בבעיות אבטחה ופרטיות.
כדי לפתור את הבעיה, אתם יכולים לבצע אחת או יותר מהפעולות הבאות:
- זיהוי המשתמש הלגיטימי במפתח.
- מבצעים רוטציה למפתח.
- מסירים את המפתח.
- בודקים את כל הפעולות שבוצעו באמצעות המפתח אחרי שהוא הודלף, כדי לוודא שאף אחת מהפעולות לא הייתה זדונית.
JSON: ממצא של פרטי כניסה לחשבון שנחשפו
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
התכונה Container Threat Detection יכולה לזהות את המתקפות הנפוצות ביותר על זמן הריצה של קונטיינרים, ולשלוח לכם התראות ב-Security Command Center, ואם תרצו, גם ב-Cloud Logging. התכונה Container Threat Detection (זיהוי איומים בקונטיינר) כוללת כמה יכולות זיהוי, כלי ניתוח ו-API.
הכלי Container Threat Detection אוסף נתונים על התנהגות ברמה נמוכה בקרנל של מערכת ההפעלה האורחת, ומבצע עיבוד שפה טבעית על הקוד כדי לזהות את האירועים הבאים:
Added Binary ExecutedAdded Library LoadedCommand and Control: Steganography Tool Detected(תצוגה מקדימה)Credential Access: Find Google Cloud CredentialsCredential Access: GPG Key ReconnaissanceCredential Access: Search Private Keys or PasswordsDefense Evasion: Base64 ELF File Command LineDefense Evasion: Base64 Encoded Python Script ExecutedDefense Evasion: Base64 Encoded Shell Script ExecutedDefense Evasion: Launch Code Compiler Tool In Container(תצוגה מקדימה)Execution: Added Malicious Binary ExecutedExecution: Added Malicious Library LoadedExecution: Built in Malicious Binary ExecutedExecution: Container EscapeExecution: Fileless Execution in /memfd:Execution: Ingress Nightmare Vulnerability Execution(תצוגה מקדימה)Execution: Kubernetes Attack Tool ExecutionExecution: Local Reconnaissance Tool ExecutionExecution: Malicious Python executedExecution: Modified Malicious Binary ExecutedExecution: Modified Malicious Library LoadedExecution: Netcat Remote Code Execution In ContainerExecution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47076)Execution: Possible Remote Command Execution Detected(תצוגה מקדימה)Execution: Program Run with Disallowed HTTP Proxy EnvExecution: Socat Reverse Shell DetectedExecution: Suspicious OpenSSL Shared Object LoadedExfiltration: Launch Remote File Copy Tools in ContainerImpact: Detect Malicious Cmdlines(תצוגה מקדימה)Impact: Remove Bulk Data From DiskImpact: Suspicious crypto mining activity using the Stratum ProtocolMalicious Script ExecutedMalicious URL ObservedPrivilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)Privilege Escalation: Fileless Execution in /dev/shmPrivilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)Reverse ShellUnexpected Child Shell
מידע נוסף על זיהוי איומים במאגרי מידע
Event Threat Detection
הכלי Event Threat Detection משתמש בנתוני יומן מתוך המערכות שלכם. הוא עוקב אחרי הזרם של Cloud Logging בפרויקטים, וצורך את היומנים כשהם זמינים. כשמזוהה איום, Event Threat Detection כותב ממצא ב-Security Command Center ובפרויקט Cloud Logging. התכונה Event Threat Detection מופעלת באופן אוטומטי כשמפעילים את מהדורת Security Command Center Premium, והממצאים זמינים במסוףGoogle Cloud .
בטבלה הבאה מפורטות דוגמאות לממצאים של Event Threat Detection.
השמדת נתונים |
הכלי Event Threat Detection מזהה השמדת נתונים על ידי בדיקת יומני ביקורת משרת ניהול השירות Backup and DR בתרחישים הבאים:
|
זליגת נתונים |
הכלי Event Threat Detection מזהה העברה לא מורשית של נתונים מ-BigQuery ומ-Cloud SQL על ידי בדיקת יומני ביקורת בתרחישים הבאים:
|
פעילות חשודה ב-Cloud SQL |
הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים, שעשויים להעיד על פריצה לחשבון משתמש תקף במכונות Cloud SQL:
|
פעילות חשודה ב-AlloyDB ל-PostgreSQL |
הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים שעשויים להעיד על פריצה לחשבון משתמש תקף במכונות AlloyDB ל-PostgreSQL:
|
מתקפת Brute Force על SSH |
התכונה Event Threat Detection מזהה ניסיון לפריצה של אימות סיסמה ב-SSH על ידי בדיקת יומני syslog לחיפוש של כשלים חוזרים ואחריהם הצלחה. |
כריית מטבעות וירטואליים |
הכלי Event Threat Detection מזהה תוכנות זדוניות לכריית מטבעות קריפטוגרפיים על ידי בדיקת יומני תעבורה של VPC ויומני Cloud DNS לחיבורים לדומיינים או לכתובות IP ידועים של מאגרי כרייה. |
שימוש לרעה ב-IAM |
מתן הרשאות חריגות ב-IAM: Event Threat Detection מזהה הוספה של הרשאות ב-IAM שאפשר להגדיר כחריגות, כמו:
|
מניעת שחזור המערכת |
התכונה 'זיהוי איומים על אירועים' מזהה שינויים חריגים ב-Backup and DR שעשויים להשפיע על מצב הגיבוי, כולל שינויים משמעותיים במדיניות והסרה של רכיבים קריטיים ב-Backup and DR. |
Log4j |
הכלי Event Threat Detection מזהה ניסיונות אפשריים לניצול Log4j ונקודות חולשה פעילות ב-Log4j. |
תוכנה זדונית |
הכלי Event Threat Detection מזהה תוכנות זדוניות על ידי בדיקת VPC Flow Logs ויומנים של Cloud DNS כדי למצוא חיבורים לדומיינים ולכתובות IP ידועים של שרתים להשגת שליטה. |
גישה חריגה |
התכונה 'זיהוי איומים באירועים' מזהה גישה חריגה על ידי בדיקת יומני ביקורת של Cloud לגבי שינויים בשירות שמקורם בכתובות IP אנונימיות של שרתי proxy, כמו כתובות IP של Tor. Google Cloud |
התנהגות חריגה ב-IAM |
הכלי Event Threat Detection מזהה התנהגות חריגה ב-IAM על ידי בדיקת יומני הביקורת של Cloud בתרחישים הבאים:
|
חקירה עצמית של חשבון שירות |
Event Threat Detection מזהה מתי נעשה שימוש בפרטי כניסה של חשבון שירות כדי לחקור את התפקידים וההרשאות שמשויכים לאותו חשבון שירות. |
מפתח SSH שנוסף על ידי אדמין ב-Compute Engine |
התכונה 'זיהוי איומים על אירועים' מזהה שינוי במטא-נתונים של מכונת Compute Engine, בערך של מפתח SSH במכונה קיימת (בת יותר משבוע). |
אדמין של Compute Engine הוסיף סקריפט הפעלה |
התכונה 'זיהוי איומים על אירועים' מזהה שינוי בערך של סקריפט ההפעלה של המטא-נתונים של מופע Compute Engine במופע קיים (בן יותר משבוע). |
פעילות חשודה בחשבון |
התכונה 'זיהוי איומים על אירועים' מזהה פריצות פוטנציאליות לחשבונות Google Workspace על ידי בדיקת יומני ביקורת לפעילויות חריגות בחשבון, כולל סיסמאות שנחשפו וניסיונות כניסה חשודים. |
תקיפה בגיבוי גורם ממשלתי |
Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם תוקפים בגיבוי גורם ממשלתי ניסו לפרוץ לחשבון או למחשב של משתמש. |
שינויים בכניסה יחידה (SSO) |
התכונה 'זיהוי איומים באירועים' בודקת את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם הושבתה כניסה יחידה (SSO) או שבוצעו שינויים בהגדרות של חשבונות אדמין ב-Google Workspace. |
אימות דו-שלבי |
Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם אימות דו-שלבי מושבת בחשבונות של משתמשים ואדמינים. |
התנהגות חריגה של API |
הכלי Event Threat Detection מזהה התנהגות חריגה של API על ידי בדיקת יומני הביקורת של Cloud לגבי בקשות ל Google Cloud שירותים שגורם מרכזי לא נתקל בהם בעבר. |
Defense Evasion |
הכלי Event Threat Detection מזהה ניסיונות להתחמקות מהגנה על ידי בדיקה של יומני הביקורת של Cloud בתרחישים הבאים:
|
Discovery |
הכלי Event Threat Detection מזהה פעולות גילוי על ידי בדיקת יומני ביקורת לתרחישים הבאים:
|
גישה לפרטי כניסה |
התכונה Event Threat Detection מזהה פעולות של גישה לפרטי כניסה על ידי בדיקה של יומני Agent Runtime בתרחישים הבאים:
|
Initial Access |
הכלי Event Threat Detection מזהה פעולות של גישה ראשונית על ידי בדיקת יומני ביקורת בתרחישים הבאים:
|
התמדה |
Event Threat Detection מזהה פעולות של התמדה בנכסים של Gemini Enterprise Agent Platform, כולל התרחישים הבאים:
|
הסלמת הרשאות (privilege escalation) |
התכונה Event Threat Detection (זיהוי איומים על אירועים) מזהה העלאת הרשאות ב-GKE על ידי בדיקת יומני ביקורת לתרחישים הבאים:
|
זיהויים ב-Cloud IDS |
Cloud IDS מזהה מתקפות בשכבה 7 על ידי ניתוח של חבילות נתונים שעברו רפליקציה, וכשמזוהה אירוע חשוד, הוא מפעיל ממצא של Event Threat Detection. למידע נוסף על זיהויים ב-Cloud IDS תצוגה מקדימה |
תנועה רוחבית |
הכלי Event Threat Detection מזהה מתקפות פוטנציאליות של שינוי דיסק אתחול על ידי בדיקת יומני הביקורת של Cloud כדי לזהות ניתוקים וחיבורים מחדש של דיסק אתחול בתדירות גבוהה במופעים של Compute Engine. |
מידע נוסף על זיהוי איומים באירועים
Google Cloud Armor
Cloud Armor עוזר להגן על האפליקציה שלכם באמצעות סינון בשכבה 7. Cloud Armor מנקה בקשות נכנסות מהתקפות אינטרנט נפוצות או ממאפיינים אחרים בשכבה 7 כדי לחסום תנועה באופן פוטנציאלי לפני שהיא מגיעה לשירותי הקצה העורפי או לדליים של הקצה העורפי עם איזון עומסים.
Cloud Armor מייצא שתי תוצאות ל-Security Command Center:
זיהוי איומים במכונות וירטואליות
זיהוי איומים במכונות וירטואליות הוא שירות מובנה של Security Command Center. השירות הזה סורק מכונות וירטואליות כדי לזהות אפליקציות שעלולות להיות זדוניות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוט במצב ליבה ותוכנות זדוניות שפועלות בסביבות ענן שנפרצו.
זיהוי איומים במכונות וירטואליות הוא חלק מחבילת זיהוי האיומים של Security Command Center, והוא נועד להשלים את היכולות הקיימות של Event Threat Detection ושל Container Threat Detection.
מידע נוסף על זיהוי איומים במכונות וירטואליות זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.
ממצאים של איומים ב-VM Threat Detection
התכונה 'זיהוי איומים במכונות וירטואליות' יכולה ליצור את ממצאי האיומים הבאים.
ממצאים של איומים שקשורים לכריית מטבעות וירטואליים
התכונה 'זיהוי איומים במכונות וירטואליות' מזהה את קטגוריות הממצאים הבאות באמצעות התאמת hash או כללי YARA.
| קטגוריה | יחידת לימוד | תיאור |
|---|---|---|
|
CRYPTOMINING_HASH
|
התאמה בין גיבובים של זיכרון של תוכניות שפועלות לבין גיבובים ידועים של זיכרון של תוכנות לכריית מטבעות וירטואליים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
CRYPTOMINING_YARA
|
התאמה לדפוסי זיכרון, כמו קבועים של הוכחת עבודה, שידוע שהם בשימוש בתוכנות לכריית מטבעות קריפטוגרפיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
|
מזהה איום שזוהה על ידי המודולים CRYPTOMINING_HASH ו-CRYPTOMINING_YARA.
מידע נוסף זמין במאמר
Combined detections. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
ממצאים לגבי איומים של ערכות Rootkit במצב ליבה
התכונה 'זיהוי איומים במכונה וירטואלית' מנתחת את תקינות הליבה בזמן הריצה כדי לזהות טכניקות התחמקות נפוצות שמשמשות תוכנות זדוניות.
מודול KERNEL_MEMORY_TAMPERING
מזהה איומים באמצעות השוואת גיבוב בקוד הליבה ובזיכרון הנתונים לקריאה בלבד של הליבה במכונה וירטואלית.
מודול KERNEL_INTEGRITY_TAMPERING מזהה איומים על ידי בדיקת התקינות של מבני נתונים חשובים בקרנל.
| קטגוריה | יחידת לימוד | תיאור |
|---|---|---|
| Rootkit | ||
|
|
קיימת קומבינציה של אותות שתואמת לרוטקיט ידוע במצב ליבה. כדי לקבל ממצאים מהקטגוריה הזו, צריך לוודא ששני המודולים מופעלים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
| שיבוש של זיכרון הליבה | ||
|
KERNEL_MEMORY_TAMPERING
|
קיימים שינויים לא צפויים בזיכרון הנתונים לקריאה בלבד של ליבת המערכת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
| שיבוש תקינות הליבה | ||
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace points are present with callbacks pointing to regions that are not in
the expected kernel or module code range. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים רכיבי handler של הפרעות שלא נמצאים באזורי הקוד של הליבה או המודול הצפויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים דפי קוד של ליבת המערכת שלא נמצאים באזורי הקוד של ליבת המערכת או המודול הצפויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe points are present with callbacks pointing to regions that are not in
the expected kernel or module code range. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים תהליכים לא צפויים בתור ההמתנה של מתזמן הפעולות. תהליכים כאלה נמצאים בתור להרצה, אבל לא ברשימת משימות התהליך. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים מטפלים בשיחות במערכת שלא נמצאים באזורים הצפויים של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
שגיאות
גלאי שגיאות יכולים לעזור לכם לזהות שגיאות בהגדרה שמונעות ממקורות אבטחה ליצור ממצאים. ממצאי השגיאות נוצרים על ידי מקור האבטחה Security Command Center ויש להם את סיווג הממצאים SCC errors.
פעולות לא מכוונות
קטגוריות הממצאים הבאות מייצגות שגיאות שאולי נגרמו כתוצאה מפעולות לא מכוונות.
| שם הקטגוריה | שם ה-API | סיכום | חוּמרה |
|---|---|---|---|
|
API_DISABLED |
תיאור הממצא: ממשק API נדרש מושבת בפרויקט. השירות המושבת לא יכול לשלוח ממצאים ל-Security Command Center. רמת המחיר: Premium או Standard
נכסים נתמכים סריקות אצווה: כל 60 שעות |
קריטית |
|
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
תיאור הממצא: הגדרות ערכי המשאבים מוגדרות לסימולציות של נתיבי תקיפה, אבל הן לא תואמות למופעי משאבים בסביבה שלכם. הסימולציות משתמשות במקום זאת בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה. השגיאה הזו יכולה להופיע מהסיבות הבאות:
רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. |
קריטית |
|
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
תיאור הממצא: בסימולציית נתיב ההתקפה האחרונה, מספר המופעים של משאבים בעלי ערך גבוה, כפי שזוהו על ידי הגדרות ערך המשאבים, חורג מהמגבלה של 1,000 מופעים של משאבים בקבוצת משאבים בעלי ערך גבוה. כתוצאה מכך, Security Command Center לא כלל את מספר המופעים העודף בקבוצת המשאבים בעלי הערך הגבוה. המספר הכולל של מקרים תואמים והמספר הכולל של מקרים שלא נכללים בקבוצה מופיעים ב ציוני החשיפה להתקפות בכל הממצאים שמשפיעים על מופעי משאבים שהוחרגו לא משקפים את הייעוד של מופעי המשאבים כבעלי ערך גבוה. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. |
גבוהה |
|
KTD_IMAGE_PULL_FAILURE |
תיאור הממצא:
אי אפשר להפעיל את Container Threat Detection באשכול כי אי אפשר למשוך (להוריד) תמונת קונטיינר נדרשת מ- הניסיון לפרוס את Container Threat Detection DaemonSet הסתיים בשגיאה הבאה:
רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל 30 דקות |
קריטית |
|
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
תיאור הממצא: אי אפשר להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול Kubernetes. בקר קבלה של צד שלישי מונע את הפריסה של אובייקט Kubernetes DaemonSet שנדרש לזיהוי איומים במאגרי מידע. כשצופים בפרטי הממצאים במסוף Google Cloud , הם כוללים את הודעת השגיאה שהוחזרה על ידי Google Kubernetes Engine כש-Container Threat Detection ניסה לפרוס אובייקט DaemonSet של Container Threat Detection. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל 30 דקות |
גבוהה |
|
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
תיאור הממצא: לחשבון שירות חסרות הרשאות שנדרשות לזיהוי איומים בקונטיינרים. יכול להיות שזיהוי איומים בקונטיינרים יפסיק לפעול כמו שצריך כי אי אפשר להפעיל, לשדרג או להשבית את הכלים לזיהוי. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל 30 דקות |
קריטית |
|
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
תיאור הממצא: הממצאים של Container Threat Detection לא נוצרים עבור אשכול Google Kubernetes Engine, כי חסרות הרשאות בחשבון השירות שמוגדר כברירת מחדל ב-GKE באשכול. כך לא ניתן להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל שבוע |
גבוהה |
|
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
תיאור הממצא: הפרויקט שהוגדר ל ייצוא רציף ל-Cloud Logging לא זמין. לא ניתן לשלוח ממצאים מ-Security Command Center אל Logging. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל 30 דקות |
גבוהה |
|
VPC_SC_RESTRICTION |
ממצאים: לא ניתן ליצור ממצאים מסוימים עבור פרויקט ב-Security Health Analytics. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולחשבון השירות של Security Command Center אין גישה לגבולות הגזרה. רמת המחיר: Premium או Standard
נכסים נתמכים סריקות אצווה: כל 6 שעות |
גבוהה |
|
EXTERNAL_EXPOSURE_VPC_SC_RESTRICTION |
תיאור הממצא: הכלי External Exposure לא יכול לבצע סריקות או ליצור ממצאים עבור פרויקט. הפרויקט מוגן על ידי גבול גזרה לשירות, ולסוכן השירות External Exposure אין גישה לגבול הגזרה. רמת התמחור: Premium
נכסים נתמכים סריקות אצווה: כל 12 שעות |
גבוהה |
|
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
תיאור הממצא: לחשבון השירות של Security Command Center חסרות הרשאות שנדרשות כדי שהשירות יפעל כמו שצריך. לא נוצרות תוצאות. רמת המחיר: Premium או Standard
נכסים נתמכים סריקות אצווה: כל 30 דקות |
קריטית |
מידע נוסף זמין במאמר שגיאות במרכז האבטחה.
הערכות אבטחה של מחזור החיים של אפליקציות
אתם יכולים לשלב הערכות אבטחה יזומות ישירות במחזור החיים של פיתוח האפליקציה באמצעות Application Design Center (מרכז עיצוב האפליקציות) עם Security Command Center.
השילוב הזה מתמקד במושגים העיקריים הבאים.
ממצאים בזמן העיצוב ובזמן הריצה
- ממצאים בזמן העיצוב: מקורם בסריקות של תבניות ותוכן של תשתית כקוד (IaC) בתוך מרכז עיצוב האפליקציות לפני פריסת המשאבים.
- ממצאים בזמן ריצה: נובעים ממשאבים שנפרסו בסביבת הענן שלכם.
ב-Security Command Center מוצגים שני סוגי הממצאים כדי לספק תצוגה מאוחדת של מצב האבטחה של האפליקציה.
אפליקציות מנוהלות ואפליקציות לא מנוהלות
ב-Security Command Center נעשה שימוש במונחים הבאים כדי להבחין בין אפליקציות על סמך אופן הפריסה שלהן:
- אפליקציות מנוהלות
- אפליקציות שעיצבתם באמצעות App Design Center. האפליקציות האלה תומכות בהערכות בזמן העיצוב.
- אפליקציות לא מנוהלות
- אפליקציות שרשומות ב-App Hub אבל לא מנוהלות על ידי App Design Center. האפליקציות האלה תומכות בניטור בזמן ריצה ובתיעדוף סיכונים ב-Security Command Center, אבל לא תומכות בהערכות בזמן עיצוב.
נקודות הערכה לפני הפריסה
במרכז עיצוב האפליקציות אפשר לבצע הערכות אבטחה בכמה שלבים במחזור החיים של האפליקציה:
- שלב העיצוב: הערכות על פי דרישה כשעורכים תבנית או אפליקציה.
- שלב הפרסום: הערכות אוטומטיות כשמפרסמים תבניות בקטלוג השירותים.
- שלב הפריסה: בדיקה סופית לפני הקצאת משאבים.
App Hub
ב-Security Command Center וב-Compliance Manager אפשר לראות ממצאים, בעיות ומידע על תאימות למשאבים באפליקציה ספציפית ב-App Hub. אפשר לסנן את התצוגות המפורטות של כלי החקירה כדי לראות נתונים רק לגבי משאבים שנרשמו לאפליקציה ב-App Hub.
אפשר לסנן בתצוגות החקירה הבאות:
- סקירת סיכונים > לוח הבקרה כל הסיכונים
- סקירת סיכונים > לוח הבקרה נתונים
- הדף ממצאים
- הדף בעיות
- Compliance > Monitor (New) tab
- תאימות > מעקב (חדש) > הדף פרטי מסגרת
כשמציגים נתונים ברמת הארגון, אפשר להשתמש בתפריט בחירת אפליקציה כדי לסנן את התצוגה. בתפריט הזה מופיעות אפליקציות שנוצרו ב-App Hub ונפרסו באותו ארגון שבו Cloud Security Command Center פעיל. המידע בתפריט Select app מאוחזר מ-Cloud Asset Inventory ומ-App Hub.
התפריט בחירת אפליקציה לא זמין כשצופים בנתונים של פרויקט או תיקייה יחידים.
המאמרים הבאים
- מידע נוסף על Security Command Center זמין בסקירה הכללית של Security Command Center.
- כך מגדירים שירותים של Security Command Center כדי להוסיף מקורות אבטחה חדשים.