偵測服務

本頁面列出 Security Command Center 用於偵測雲端環境安全性問題的偵測服務 (有時也稱為「安全來源」)。

這些服務偵測到問題時，會產生發現項目，也就是識別安全性問題的記錄，並提供您優先處理及解決問題所需的資訊。

您可以在 Google Cloud 控制台中查看發現項目，並以多種不同方式篩選，例如依發現項目類型、資源類型或特定資產篩選。每個安全性來源可能會提供更多篩選器，協助您整理發現的結果。

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源，取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色，請參閱存取控管。

安全漏洞偵測服務

安全漏洞偵測服務包括內建和整合式服務，可偵測雲端環境中的軟體安全漏洞、設定錯誤和狀態違規情形。這些類型的安全問題統稱為「安全漏洞」。

AI Protection

AI Protection 可偵測威脅，並協助您降低 AI 資產清單的風險，進而管理 AI 工作負載的安全防護機制。

AI Protection 提供下列偵測功能：

• 評估 AI 資產清單：清楚掌握 AI 系統和資產，例如模型、資料來源、端點和 AI 代理程式。
• 找出安全漏洞：偵測透過 Agent Runtime 部署的代理式工作負載中的軟體安全漏洞 (CVE)。
• 找出風險：使用攻擊路徑模擬和安全圖譜規則，找出代理功能風險及其對環境的潛在影響。
• 偵測權限過高的代理：找出獲授權限過高的 AI 代理。
• 偵測及管理威脅：透過其他 Security Command Center 服務 (例如 Event Threat Detection 和 Agent Platform Threat Detection) 的整合式規則，偵測及因應鎖定 AI 系統和資產的潛在威脅。

詳情請參閱「AI Protection 總覽」。

Artifact Registry 安全漏洞評估

Artifact Registry 安全漏洞評估是一項偵測服務，可提醒您已部署的容器映像檔中存在安全漏洞。

在下列情況下，這項偵測服務會產生容器映像檔的安全漏洞發現結果：

• 容器映像檔會儲存在 Artifact Registry 中。

• 容器映像檔會部署至下列其中一項資產：

  • Google Kubernetes Engine 叢集
  • Cloud Run 服務
  • Cloud Run 工作
  • App Engine

Artifact Registry 安全漏洞評估功能會顯示分類為HIGH或CRITICAL嚴重程度的安全漏洞。Artifact Registry 安全漏洞評估不會針對嚴重性較低的安全漏洞產生發現項目。

如果您透過 Security Command Center 啟用 Artifact Registry 安全漏洞評估功能，Artifact Registry 安全漏洞評估功能會自動將高嚴重性和重大發現項目寫入 Security Command Center。如果容器映像檔有中或低嚴重程度的安全漏洞，您可以在 Artifact Registry 安全漏洞評估中管理這些漏洞，但 Security Command Center 不會顯示這些漏洞。

Artifact Registry 安全漏洞評估只會掃描過去 30 天內提取的映像檔。只要映像檔超過 30 天未遭提取，Artifact Registry 安全漏洞評估就會持續掃描映像檔並建立新的發現項目。

Artifact Registry 安全漏洞評估發現項目產生後，您可以在最後一次更新安全漏洞發現項目的 30 天內查詢。如要進一步瞭解 Security Command Center 資料保留機制，請參閱「資料保留」。

啟用 Artifact Registry 安全漏洞評估結果

如要讓 Artifact Registry 安全漏洞評估功能在 Security Command Center 中，針對儲存在 Artifact Registry 的已部署容器映像檔產生發現項目，您必須為專案啟用 Container Scanning API。

如果您尚未啟用 Container Scanning API，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Container Scanning API」頁面。

   前往 Container Scanning API

2. 選取要啟用 Container Scanning API 的專案。

3. 按一下「啟用」。

Security Command Center 會顯示掃描到的易受攻擊容器映像檔發現項目，這些映像檔會主動部署至適用的執行階段資產。不過，偵測服務的運作方式會因啟用 Security Command Center 和 Container Scanning API 的時間而異。

停用 Artifact Registry 安全漏洞評估結果

如要停用 Artifact Registry 安全漏洞評估結果，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往 Container Scanning API 的「API/Service Details」(API/服務詳細資料) 頁面。

   前往「API/服務詳細資料」

2. 選取要停用 Container Scanning API 的專案。

3. 點選「停用 API」。

Security Command Center 不會顯示日後容器映像檔掃描偵測到的安全漏洞發現項目。在最後一次更新安全漏洞發現項目後，Security Command Center 會將 Artifact Registry 安全漏洞評估發現項目保留 30 天。隨後調查結果會停用，並在停用 7 天後刪除。 如要進一步瞭解 Security Command Center 資料保留機制，請參閱「資料保留」。

您也可以在 Security Command Center 設定中停用安全漏洞評估來源 ID，藉此停用 Artifact Registry 安全漏洞評估功能，但我們不建議這麼做。停用安全漏洞評估來源 ID 後，系統會停用所有歸類在安全漏洞評估來源 ID 下的偵測服務。因此，建議您按照上述程序停用 Container Scanning API。

在控制台中查看 Artifact Registry 安全漏洞評估結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分，選取「安全漏洞評估」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

Agent Platform 安全漏洞評估

Agent Platform Vulnerability Assessment 會找出以 Gemini Enterprise Agent Platform 部署的代理功能工作負載中的軟體安全漏洞 (CVE)。

部署或更新期間，這個掃描器會自動評估作業執行個體中的自訂程式碼和依附元件。

啟用 Agent Platform 安全漏洞評估結果

如果新啟用 AI Protection，系統會自動啟用 Agent Platform 安全漏洞評估。

如果您是現有客戶，可以在「AI 保護設定」頁面啟用掃描器。詳情請參閱「設定代理程式平台安全漏洞評估」。

在控制台中查看 Agent Platform 安全漏洞評估結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分，選取「Agent Platform 的安全漏洞評估」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

Compliance Manager 發現項目

Compliance Manager 會針對您在 Google Cloud 環境中部署的偵測性和預防性雲端控管措施，建立發現項目。您可以在 Security Command Center 的「發現項目」頁面查看這些發現項目。

Compliance Manager 會為每個服務層級提供不同的功能。詳情請參閱「Compliance Manager 總覽」。

在控制台中查看 Compliance Manager 的調查結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分，選取「法規遵循評估服務」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

Data Security Posture Management

Data Security Posture Management (DSPM) 會針對您在環境中套用的資料安全性架構和雲端控管措施，產生潛在違規事項的發現項目。您可以在「資料安全與法規遵循」頁面、「風險總覽」頁面 (位於「資料」分頁下方)，或 Security Command Center 的「發現項目」頁面查看這些發現項目。DSPM 會為每個服務層級提供不同的功能。詳情請參閱「Data Security Posture Management (DSPM) 總覽」。

在控制台中查看 DSPM 發現項目

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 機構。

3. 使用下列查詢查看 DSPM 的發現項目：

   state="ACTIVE" AND NOT mute="MUTED" AND resource.name="//aiplatform.googleapis.com/projects/478190632149/locations/us-central1/models/1244151282898305024" AND category="DATA_SECURITY_POSTURE_ACCESS_VIOLATION" OR category="DATA_SECURITY_POSTURE_FLOW_VIOLATION" OR category="DATA_SECURITY_POSTURE_DELETION_VIOLATION" OR category="DATA_SECURITY_POSTURE_PROTECTION_KEY_GOVERNANCE" OR category="BIGQUERY_TABLE_CMEK_DISABLED" OR category="VERTEX_AI_MODEL_CMEK_DISABLED" OR category="VERTEX_AI_METADATA_STORE_CMEK_DISABLED" OR category="VERTEX_AI_DATASET_CMEK_DISABLED" OR category="VERTEX_AI_FEATURE_STORE_TABLE_CMEK_DISABLED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_MISCONFIGURED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_DELETED" OR category="DATA_SECURITY_POSTURE_CMEK_VIOLATION" OR category="SENSITIVE_DATA_PUBLIC_SQL_INSTANCE" OR category="SENSITIVE_DATA_PUBLIC_DATASET" OR category="SENSITIVE_DATA_BIGQUERY_TABLE_CMEK_DISABLED" OR category="SENSITIVE_DATA_DATASET_CMEK_DISABLED" OR category="SENSITIVE_DATA_SQL_CMEK_DISABLED" OR category="PUBLIC_DATASET" OR category="PUBLIC_SQL_INSTANCE" OR category="SQL_PUBLIC_IP" OR category="ACCESS_TRANSPARENCY_DISABLED" OR category="ORG_POLICY_LOCATION_RESTRICTION" OR category="BUCKET_POLICY_ONLY_DISABLED" OR category="DATA_EXFILTRATION_BIG_QUERY" OR category="DATA_EXFILTRATION_BIG_QUERY_EXTRACTION" OR category="DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE"
   

4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如有) 可採取哪些步驟來修正發現項目。

6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

GKE 安全防護機制資訊主頁

Google Kubernetes Engine (GKE) 安全防護機制資訊主頁是Google Cloud 控制台中的頁面，可提供具體可行的發現，協助您瞭解 GKE 叢集中的潛在安全性問題。

如要查看這些調查結果，請啟用下列任一項 GKE 安全防護機制資訊主頁功能：

發現項目會顯示安全性問題的相關資訊，並提供建議，協助您解決工作負載或叢集中的問題。

在控制台中查看 GKE 安全防護機制資訊主頁的調查結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」專區的「來源顯示名稱」子專區中，選取「GKE 安全防護機制」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

IAM 推薦功能

IAM 建議工具會產生建議，供您移除或替換主體的 IAM 角色，藉此提升安全性。如果主體不需要某些 IAM 權限，但角色中包含這些權限，您就可以按照建議進行操作。

啟用 Security Command Center 時，系統會自動啟用 IAM 建議工具。

啟用或停用 IAM 建議工具發現項目

如要在 Security Command Center 中啟用或停用 IAM 建議工具發現項目，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的 Security Command Center「設定」頁面，然後點選「整合式服務」分頁標籤：

   前往「整合服務」

2. 前往「IAM 推薦功能」項目。

3. 在項目右側選取「啟用」或「停用」。

身分與存取權管理建議工具發現的項目會歸類為安全漏洞。

如要修復 IAM 建議工具發現項目，請展開下列章節，查看 IAM 建議工具發現項目表格。表格項目中會列出每項發現的補救步驟。

在控制台中查看 IAM 推薦功能結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分，選取「IAM Recommender」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

在 Security Command Center Premium 中，您也可以選取「IAM 建議工具」查詢預設集，在舊版「安全漏洞」頁面查看 IAM 建議工具發現項目。

Mandiant Attack Surface Management

Mandiant 是全球第一線威脅情報的領導者。Mandiant Attack Surface Management 會找出外部攻擊面中的安全漏洞和錯誤設定，協助您防範最新的網路攻擊。

啟用 Security Command Center Enterprise 方案後，系統會自動啟用 Mandiant Attack Surface Management，您可以在 Google Cloud 控制台中查看發現項目。

如要瞭解獨立的 Mandiant Attack Surface Management 產品與 Security Command Center 整合的 Mandiant Attack Surface Management 有何不同，請參閱 Mandiant 文件入口網站上的「ASM and Security Command Center」。這個連結需要 Mandiant 驗證。

在控制台中查看 Mandiant Attack Surface Management 發現的結果

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分中，選取「Mandiant Attack Surface Management」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

Security Command Center 和 Mandiant Attack Surface Management 都不會將發現項目標示為已解決。解決問題後，您可以手動將問題標示為已解決。如果下次 Mandiant Attack Surface Management 掃描未發現該問題，就會維持解決狀態。

Model Armor

Model Armor 是一項全代管 Google Cloud 服務，可篩選 LLM 提示詞和回覆，提升 AI 應用程式的安全性。

Model Armor 服務發現的安全漏洞

Notebook Security Scanner

Notebook Security Scanner 是 Security Command Center 的內建套件安全漏洞偵測服務。啟用 Notebook Security Scanner 後，系統會每 24 小時自動掃描 Colab Enterprise 筆記本 (副檔名為 ipynb 的檔案)，偵測 Python 套件中的安全漏洞，並將這些發現結果發布至 Security Command Center 的「發現」頁面。

您可以使用 Notebook Security Scanner，掃描在下列區域建立的 Colab Enterprise 筆記本：us-central1、us-east4、us-west1 和 europe-west4。

如要開始使用 Notebook Security Scanner，請參閱「啟用及使用 Notebook Security Scanner」。

Policy Controller

Policy Controller 可對 Kubernetes 叢集套用並強制執行可設定的政策。這些政策可以做為防護機制，協助您管理叢集和機群的最佳做法、安全性與法規遵循事宜。

如果您安裝 Policy Controller，並啟用任何Policy Controller 套裝組合，Policy Controller 會自動將叢集違規事項寫入 Security Command Center，做為 Misconfiguration 類別的發現項目。Security Command Center 發現項目的說明和後續步驟，與對應 Policy Controller 套件的限制說明和修正步驟相同。

Policy Controller 發現項目來自下列 Policy Controller 套裝組合：

• CIS Kubernetes 基準 v.1.5.1，這是一組建議，可協助您設定 Kubernetes 來支援功能強大的安全防護措施。您也可以在 cis-k8s-v1.5.1 的 GitHub 存放區中查看這個套件組合的相關資訊。
• PCI-DSS v3.2.1：這個套裝組合會評估叢集資源是否符合付款卡產業資料安全標準 (PCI-DSS) v3.2.1 的某些部分。您也可以在 pci-dss-v3 的 GitHub 存放區中查看這個套件組合的相關資訊。

如要找出並修正 Policy Controller 發現的問題，請參閱「修正 Policy Controller 發現的問題」。

風險引擎

Security Command Center 風險引擎會評估雲端部署作業的風險暴露程度，為安全漏洞發現項目和高價值資源指派受攻擊風險分數，並繪製潛在攻擊者可能採取的路徑，以取得高價值資源。

在 Security Command Center 的 Enterprise 或 Premium 級別中，風險引擎會偵測到多個安全性問題，這些問題若以特定模式同時發生，就會形成一或多個高價值資源的路徑，而有心人士可能會利用這些路徑存取及入侵資源。

風險引擎偵測到其中一種組合時，會產生 TOXIC_COMBINATION 類別的發現項目。在發現項目中，「風險引擎」會列為發現項目的來源。

風險引擎也會找出多個攻擊路徑匯聚的常見資源或資源群組，然後產生 CHOKEPOINT 類別的發現項目。

詳情請參閱「有害組合和瓶頸總覽」。

安全性狀態分析

安全狀態分析是 Security Command Center 的內建偵測服務，可對雲端資源執行代管掃描，偵測常見的錯誤設定。

偵測到錯誤設定時，安全狀態分析會產生發現項目。 大多數的「安全狀態分析」發現項目都會對應至安全標準控制項，方便您評估法規遵循情形。

安全狀態分析會掃描 Google Cloud資源。如果您使用 Enterprise 方案並建立與其他雲端平台的連線，安全狀態分析也能掃描這些雲端平台上的資源。

可用的偵測器會因您使用的 Security Command Center 服務層級而異：

• 在 Standard-legacy 級中，安全狀態分析只包含一組基本的中等嚴重性和高嚴重性安全漏洞偵測工具。
• Premium 級方案包含 Google Cloud的所有安全漏洞偵測工具。
• Enterprise 級別提供其他雲端平台的額外偵測器。

啟用 Security Command Center 時，系統會自動啟用安全狀態分析。

如要瞭解詳情，請參考下列資源：

• 安全狀態分析總覽
• 如何使用安全狀態分析
• 修正 安全狀態分析 發現項目
• 安全狀態分析發現項目參考資料

安全防護機制服務

安全狀況服務是 Security Command Center Premium 的內建服務，可讓您定義、評估及監控 Google Cloud的整體安全狀態。這項功能會提供資訊，說明您的環境是否符合您在安全防護機制中定義的政策。

安全防護機制服務與 GKE 安全防護機制資訊主頁無關，後者只會顯示 GKE 叢集中的發現項目。

Sensitive Data Protection

Sensitive Data Protection 是一項全代管 Google Cloud 服務 ，可協助您找出、分類及保護機密資料。您可以透過 Sensitive Data Protection 判斷是否儲存機密或個人識別資訊 (PII)，例如：

• 人名
• 信用卡號碼
• 國民身分證字號或州/省身分證字號
• 健康保險 ID 號碼
• 密鑰

在 Sensitive Data Protection 中，您搜尋的每種機密資料都稱為 infoType。

如果您將 Sensitive Data Protection 作業設為將結果傳送至 Security Command Center，除了 Sensitive Data Protection 專區外，您也可以直接在 Google Cloud 控制台的 Security Command Center 專區中查看發現項目。

如果您使用 VPC Service Controls 服務範圍，並想在這些範圍內探索機密資料，請參閱「允許在服務範圍內探索機密資料」。

Sensitive Data Protection 探索服務發現的安全性漏洞發現項目

Sensitive Data Protection 探索服務可協助您判斷是否儲存未受保護的高度機密資料。

Sensitive Data Protection 探索服務的錯誤設定發現項目

Sensitive Data Protection 探索服務可協助您判斷是否有可能導致機密資料外洩的設定錯誤。

Sensitive Data Protection 的觀察結果

本節說明 Sensitive Data Protection 在 Security Command Center 中產生的觀察結果。

探索服務的觀察結果

Sensitive Data Protection 探索服務可協助您判斷資料是否含有特定資訊類型，以及這些資訊類型在貴機構、資料夾和專案中的存放位置。並在 Security Command Center 中產生下列觀察發現項目類別：

Data sensitivity

特定資料資產中資料的機密程度指標。如果資料中包含個人識別資訊或其他可能需要進一步控管或管理的元素，就會將其視為機密資料。發現項目的嚴重程度是 Sensitive Data Protection 在生成資料剖析檔時計算出的機密程度。

Data risk

資料在目前狀態下的風險。計算資料風險時，Sensitive Data Protection 會考量資料資產中資料的機密程度，以及是否有保護該資料的存取控管機制。發現項目的嚴重程度是 Sensitive Data Protection 在生成資料剖析檔時計算出的資料風險等級。

視貴機構規模而定，啟用機密資料探索功能後，Security Command Center 可能會在幾分鐘內開始顯示 Sensitive Data Protection 發現項目。如果組織規模較大，或有影響發現項目生成的特定設定，Security Command Center 最多可能需要 12 小時，才會顯示初始發現項目。

隨後，Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內，在 Security Command Center 中產生發現項目。

如要瞭解如何將資料剖析檔結果傳送至 Security Command Center，請參閱「啟用機密資料探索功能」。

Sensitive Data Protection 檢查服務的觀察結果

Sensitive Data Protection 檢查工作會找出儲存系統 (例如 Cloud Storage bucket 或 BigQuery 資料表) 中，特定 infoType 的每個資料例項。舉例來說，您可以執行檢查工作，在 Cloud Storage 值區中搜尋符合 CREDIT_CARD_NUMBER infoType 偵測工具的所有字串。

如果每個 infoType 偵測工具都有一或多個相符項目，Sensitive Data Protection 就會產生對應的 Security Command Center 發現項目。發現項目類別是比對成功的 infoType 偵測工具名稱，例如 Credit card number。這項發現項目包括在資源的文字或圖片中偵測到的相符字串數量。

基於安全考量，系統不會在發現項目中列出偵測到的實際字串。舉例來說，Credit card number 發現項目會顯示找到的信用卡號碼數量，但不會顯示實際的信用卡號碼。

由於 Sensitive Data Protection 內建超過 150 種 infoType 偵測工具，因此這裡不會列出所有可能的 Security Command Center 發現項目類別。如需 infoType 偵測工具的完整清單，請參閱 InfoType 偵測工具參考資料。

如要瞭解如何將檢查作業結果傳送至 Security Command Center，請參閱「將 Sensitive Data Protection 檢查作業結果傳送至 Security Command Center」。

在主控台中查看 Sensitive Data Protection 發現項目

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分中，選取「Sensitive Data Protection」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。

VM 管理員

VM 管理員是一套作業系統管理工具，適合用於 Compute Engine 中的 Windows 和 Linux 大型虛擬機器 (VM) 機群。

如要搭配專案層級啟用的 Security Command Center Premium 使用 VM 管理員，請在父項機構中啟用 Security Command Center Standard 舊版方案。

如果您使用 Security Command Center Premium 方案啟用 VM 管理員，VM 管理員會自動透過安全漏洞報表 (預先發布版) 將 high 和 critical 發現項目寫入 Security Command Center。這些報告會找出安裝在 VM 的作業系統安全漏洞，包括常見安全漏洞與弱點 (CVE)。

安全漏洞報告不適用於 Security Command Center Standard 舊版方案。

發現項目可簡化使用 VM 管理員修補程式合規性功能 (預先發布版) 的程序。與 Security Command Center Premium 級別整合後，這項功能可讓您在機構層級查看所有專案，並進行修補程式管理。雖然個別修補程式工作是在 VM 管理員的專案層級設定，但 Security Command Center 提供整合檢視畫面，可協助您管理整個機構的修補程式工作。

如要修正 VM 管理員發現項目，請參閱「修正 VM 管理員發現項目」。

如要停止將安全漏洞報表寫入 Security Command Center，請參閱「略過 VM 管理員發現項目」。

這類安全漏洞都與受支援 Compute Engine VM 中安裝的作業系統套件有關。

AWS 安全漏洞評估

Amazon Web Services (AWS) 的安全漏洞評估服務會偵測在 AWS 雲端平台 EC2 虛擬機器 (VM) 上執行的工作負載中，是否有軟體安全漏洞。

針對偵測到的每個安全漏洞，AWS 適用的安全漏洞評估功能會在 Security Command Center 的「發現項目」Software vulnerability類別中，產生 Vulnerability 類別的發現項目。

AWS 安全漏洞評估服務會掃描執行中 EC2 機器執行個體的快照，因此不會影響生產工作負載。這種掃描方法稱為「無代理程式磁碟掃描」，因為掃描目標上未安裝任何代理程式。

如要瞭解詳情，請參考下列資源：

• AWS 安全漏洞評估總覽
• 啟用及使用 AWS 安全漏洞評估

代理安全漏洞評估 Google Cloud

Google Cloud 服務的安全漏洞評估功能會偵測 Google Cloud 平台下列資源中的軟體安全漏洞：

• 執行 Compute Engine VM 執行個體
• GKE Standard 叢集中的節點
• 在 GKE Standard 和 GKE Autopilot 叢集中執行的容器

針對偵測到的每個安全漏洞，安全漏洞評估功能會產生 Vulnerability 類別的發現項目，並顯示在 Security Command Center 的 Software vulnerability 或 OS vulnerability 發現項目類別中。 Google Cloud

Vulnerability Assessment for Google Cloud 服務會掃描 Compute Engine VM 執行個體，方法是每隔約 12 小時複製一次磁碟，然後將磁碟掛接至安全 VM 執行個體，並使用 SCALIBR 掃描器評估磁碟。

詳情請參閱「安全漏洞評估 for Google Cloud」。

Web Security Scanner

Web Security Scanner 可對公開的 App Engine、GKE 和 Compute Engine 服務網頁應用程式，執行代管和自訂的網路安全漏洞掃描。

代管掃描

Web Security Scanner 代管掃描作業由 Security Command Center 設定及管理。系統每週會自動執行一次受管理掃描，偵測及掃描公開網路端點。這些掃描作業不會使用驗證，且只會傳送 GET 要求，因此不會在實際運作的網站上提交任何表單。

系統會分開執行代管掃描和自訂掃描。

如果 Security Command Center 是在機構層級啟用，您可以使用受管理掃描功能，集中管理機構中專案的基本網頁應用程式安全漏洞偵測，不必個別與專案團隊合作。發現結果後，您可以與這些團隊合作，設定更全面的自訂掃描。

啟用 Web Security Scanner 服務後，您就能在 Security Command Center 的「安全漏洞」頁面和相關報表中，自動查看代管掃描的發現項目。如要瞭解如何啟用 Web Security Scanner 受管理掃描，請參閱「設定 Security Command Center 服務」。

受管理掃描僅支援使用預設通訊埠的應用程式，也就是 HTTP 連線的通訊埠 80，以及 HTTPS 連線的通訊埠 443。如果應用程式使用非預設通訊埠，請改為執行自訂掃描。

自訂掃描

Web Security Scanner 自訂掃描功能可提供應用程式安全漏洞發現項目的詳細資訊，例如過時的程式庫、跨網站指令碼攻擊或複合型內容的使用情形。

您可以在專案層級定義自訂掃描。

完成設定 Web Security Scanner 自訂掃描的指南後，即可在 Security Command Center 中查看自訂掃描結果。

偵測工具和法規遵循

Web Security Scanner 支援 OWASP Top Ten 中的類別。OWASP Top Ten 是由 Open Web Application Security Project (OWASP) 制定，列出前 10 大網頁應用程式安全風險並提供修復指南的文件。如需防範 OWASP 風險的指引，請參閱 Google Cloud 的 OWASP 前 10 名緩解選項。

合規對應表僅供參考，並非由 OWASP 基金會提供或審查。

這項功能僅供您監控是否違反法規控管規定。這些對應表不得做為您產品或服務是否符合任何法規或產業基準/標準的稽核、認證或報告依據，也不得取代上述項目。

詳情請參閱「Web Security Scanner 總覽」。

威脅偵測服務

威脅偵測服務包括內建和整合式服務，可偵測可能有害的事件，例如資源遭入侵或網路攻擊。

Agent Platform Threat Detection

Agent Platform Threat Detection 可偵測部署至 Agent Runtime 的代理程式在執行階段受到的威脅。這項服務會監控執行中的代理程式，找出潛在攻擊並在 Security Command Center 中產生發現項目。

Agent Platform Threat Detection 可為 Agent Runtime 生成發現項目，包括下列類別：

• 惡意中繼站：偵測到隱寫術工具
• 憑證存取：尋找「憑證」 Google Cloud
• 憑證存取：偵察 GPG 金鑰
• 憑證存取權：搜尋私密金鑰或密碼
• 規避防禦機制：Base64 ELF 檔案指令列
• 規避防禦措施：已執行 Base64 編碼的 Python 指令碼
• 規避防禦機制：已執行 Base64 編碼的殼層指令碼
• 規避防禦機制：在容器中啟動程式碼編譯器工具
• 執行：容器中的 Netcat 遠端程式碼執行作業
• 執行：可能透過 CUPS 執行任意指令 (CVE-2024-47177)
• 執行：偵測到可能的遠端指令執行作業
• 執行：在禁止使用 HTTP Proxy 的環境中執行程式
• 執行作業：偵測到 Socat 反向殼層
• 執行作業：載入了可疑的 OpenSSL 共用物件
• 外洩：在容器中啟動遠端檔案複製工具
• 影響：偵測惡意指令列
• 影響：從磁碟移除大量資料
• 影響：使用 Stratum 通訊協定的可疑加密貨幣挖礦活動
• 權限提升：濫用 Sudo 來提權 (CVE-2019-14287)
• 權限提升：Polkit 本機提權安全漏洞 (CVE-2021-4034)
• 提權：Sudo 存在提權風險 (CVE-2021-3156)
• 執行：已執行惡意 Python
• 執行：容器跳脫
• 執行：Kubernetes 攻擊工具執行作業
• 執行：本機偵查工具執行作業
• 影響：已執行惡意指令碼
• 影響：偵測到惡意網址
• 執行：非預期的子殼層

進一步瞭解 Agent Platform Threat Detection。

異常偵測

異常偵測是內建服務，會利用您系統以外的行為信號來運作。如果偵測到服務帳戶出現安全性異常狀況，例如憑證可能遭到外洩，這項服務就會提供詳細資訊。啟用 Security Command Center Standard 舊版或 Premium 級時，系統會自動啟用異常偵測功能，您可以在 Google Cloud 控制台中查看結果。

異常偵測結果包括：

帳戶憑證外洩

GitHub 通知 Security Command Center，用於提交的憑證似乎是Google Cloud Identity and Access Management 服務帳戶的憑證。

通知會包含服務帳戶名稱和私密金鑰 ID。 Google Cloud 也會透過電子郵件，將通知傳送給指定的安全性和隱私權問題聯絡人。

如要解決這個問題，請採取下列一或多項做法：

• 確認金鑰的合法使用者。
• 輪替金鑰。
• 取下鑰匙。
• 調查金鑰洩漏後，金鑰執行的所有動作，確保沒有惡意動作。

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection 可偵測最常見的容器執行階段攻擊，並在 Security Command Center 中發出警報，您也可以選擇在 Cloud Logging 中發出警報。Container Threat Detection 包含多項偵測功能、分析工具和 API。

Container Threat Detection 偵測檢測會收集客層核心中的低階行為，並對程式碼執行自然語言處理，以偵測下列事件：

• Added Binary Executed
• Added Library Loaded
• Command and Control: Steganography Tool Detected (預先發布版)
• Credential Access: Find Google Cloud Credentials
• Credential Access: GPG Key Reconnaissance
• Credential Access: Search Private Keys or Passwords
• Defense Evasion: Base64 ELF File Command Line
• Defense Evasion: Base64 Encoded Python Script Executed
• Defense Evasion: Base64 Encoded Shell Script Executed
• Defense Evasion: Launch Code Compiler Tool In Container (預先發布版)
• Execution: Added Malicious Binary Executed
• Execution: Added Malicious Library Loaded
• Execution: Built in Malicious Binary Executed
• Execution: Container Escape
• Execution: Fileless Execution in /memfd:
• Execution: Ingress Nightmare Vulnerability Execution (預先發布版)
• Execution: Kubernetes Attack Tool Execution
• Execution: Local Reconnaissance Tool Execution
• Execution: Malicious Python executed
• Execution: Modified Malicious Binary Executed
• Execution: Modified Malicious Library Loaded
• Execution: Netcat Remote Code Execution In Container
• Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47076)
• Execution: Possible Remote Command Execution Detected (預先發布版)
• Execution: Program Run with Disallowed HTTP Proxy Env
• Execution: Socat Reverse Shell Detected
• Execution: Suspicious OpenSSL Shared Object Loaded
• Exfiltration: Launch Remote File Copy Tools in Container
• Impact: Detect Malicious Cmdlines (預先發布版)
• Impact: Remove Bulk Data From Disk
• Impact: Suspicious crypto mining activity using the Stratum Protocol
• Malicious Script Executed
• Malicious URL Observed
• Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
• Privilege Escalation: Fileless Execution in /dev/shm
• Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
• Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
• Reverse Shell
• Unexpected Child Shell

進一步瞭解 Container Threat Detection。

Event Threat Detection

Event Threat Detection 會使用系統內部的記錄資料。這項服務會監控專案的 Cloud Logging 串流，並在記錄檔可用時使用。偵測到威脅時，Event Threat Detection 會將發現項目寫入 Security Command Center 和 Cloud Logging 專案。啟用 Security Command Center Premium 方案後，系統會自動啟用 Event Threat Detection，您可以在Google Cloud 控制台中查看發現項目。

下表列出 Event Threat Detection 發現項目的範例。

進一步瞭解 Event Threat Detection。

Google Cloud Armor

Cloud Armor 提供第 7 層篩選功能，協助保護應用程式。Cloud Armor 會清除常見的網路攻擊或其他第 7 層屬性，以防流量抵達負載平衡的後端服務或後端儲存空間。

Cloud Armor 會將兩項發現項目匯出至 Security Command Center：

• 允許的流量暴增

• 拒絕率提高

Virtual Machine Threat Detection

虛擬機器威脅偵測是 Security Command Center 的內建服務。這項服務會掃描虛擬機器，偵測潛在的惡意應用程式，例如加密貨幣挖礦軟體、核心模式 Rootkit，以及在遭入侵的雲端環境中執行的惡意軟體。

VM 威脅偵測是 Security Command Center 威脅偵測套件的一部分，旨在輔助 Event Threat Detection 和 Container Threat Detection 的現有功能。

如要進一步瞭解 VM 威脅偵測，請參閱 VM 威脅偵測總覽。

VM 威脅偵測發現的威脅

VM 威脅偵測功能可產生下列威脅發現項目。

加密貨幣挖礦威脅調查結果

VM 威脅偵測會透過雜湊比對或 YARA 規則，偵測下列發現項目類別。

核心模式 Rootkit 威脅發現項目

VM 威脅偵測功能會在執行階段分析核心完整性，偵測惡意軟體常用的規避技術。

KERNEL_MEMORY_TAMPERING模組會比較虛擬機器的核心程式碼和核心唯讀資料記憶體的雜湊值，藉此偵測威脅。

KERNEL_INTEGRITY_TAMPERING 模組會檢查重要核心資料結構的完整性，藉此偵測威脅。

錯誤

錯誤偵測器可協助您偵測設定中的錯誤，避免安全來源產生調查結果。錯誤發現項目是由 Security Command Center 安全性來源產生，且發現項目類別為 SCC errors。

誤觸

下列發現項目類別代表可能因無意間的動作而導致的錯誤。

詳情請參閱「Security Command Center 錯誤」。

應用程式生命週期安全評估

您可以搭配使用 Security Command Center 和 Application Design Center (App Design Center)，直接將主動式安全評估整合到應用程式開發生命週期。

這項整合作業著重於下列主要概念。

設計階段和執行階段的發現項目

• 設計階段發現的問題：來自 App Design Center 內基礎架構即程式碼 (IaC) 範本和應用程式的掃描結果，這些問題會在資源部署前發現。
• 執行階段發現項目：源自部署在雲端環境中的資源。

Security Command Center 會顯示這兩種發現項目，協助您提供應用程式的整合式資安態勢資料檢視。

代管和非代管應用程式

Security Command Center 會根據應用程式的部署方式，使用下列術語區分應用程式：

受管理的應用程式

使用 App Design Center 設計的應用程式。這些應用程式支援設計階段評估。

非受管應用程式

在 App Hub 註冊但未由 App Design Center 管理的應用程式。這些應用程式支援 Security Command Center 中的執行階段監控和風險優先順序設定，但不支援設計階段評估。

部署前評估重點

您可以在 App Design Center 的應用程式生命週期中，於下列階段執行安全評估：

1. 設計階段：編輯範本或應用程式時，可按需求進行評估。
2. 發布階段：將範本發布至 Service Catalog 時，系統會自動評估。
3. 部署階段：在佈建資源前進行最終評估檢查。

App Hub

透過 Security Command Center 和 Compliance Manager，您可以查看特定 App Hub 應用程式中資源的發現項目、問題和法規遵循資訊。您可以篩選調查檢視畫面，只查看已向 App Hub 應用程式註冊的資源資料。

您可以在下列調查檢視畫面中篩選：

• 「風險總覽」>「所有風險」資訊主頁
• 依序點選「風險總覽」>「資料」資訊主頁
• 「發現項目」頁面
• 「問題」頁面
• 依序點選「法規遵循」>「監控 (新版)」分頁標籤。
• 依序點選「法規遵循」「監控 (新版)」「架構詳細資料」頁面

查看機構層級的資料時，可以使用「選取應用程式」選單篩選檢視畫面。這個選單會列出在應用程式中心建立，並部署在 Security Command Center 啟用的相同機構中的應用程式。「選取應用程式」選單中的資訊是從 Cloud Asset Inventory 和 App Hub 擷取而來。

查看單一專案或資料夾的資料時，無法使用「選取應用程式」選單。

後續步驟

• 如要瞭解 Security Command Center，請參閱「Security Command Center 總覽」。
• 瞭解如何設定 Security Command Center 服務，新增安全來源。