Esta página mostra-lhe como usar as funcionalidades de análise gerida do Web Security Scanner e rever as conclusões na Google Cloud consola. Também são apresentados exemplos de resultados do Web Security Scanner.
O Web Security Scanner é um serviço incorporado para o Security Command Center que identifica vulnerabilidades de segurança comuns nas suas aplicações Web do App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Para ver as conclusões do Web Security Scanner, tem de o ativar nas definições dos Serviços do Security Command Center.
Saiba mais sobre como funciona o verificador de segurança Web.
Rever conclusões
A funcionalidade de análise gerida do Web Security Scanner configura e agenda automaticamente análises para cada um dos seus projetos no âmbito. As análises do Web Security Scanner podem demorar até 24 horas a começar após a ativação do serviço e são executadas semanalmente após a primeira análise. As conclusões são vistas no Security Command Center.
As análises geridas são separadas das análises personalizadas do Web Security Scanner. As análises personalizadas são mais exaustivas do que as análises geridas predefinidas e fornecem informações detalhadas sobre as conclusões de vulnerabilidades das aplicações. Para obter informações sobre as análises personalizadas, consulte o guia de análise personalizada do Web Security Scanner.
Reveja as conclusões na consola
As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.
Para rever as conclusões do Web Security Scanner no Security Command Center, siga estes passos:
-
Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
- Selecione o seu Google Cloud projeto ou organização.
- Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Scanner de segurança Web. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
- Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
- No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
- Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.
Veja todas as conclusões associadas a um URL específico
Uma análise pode produzir resultados de vários URLs de base. Para apresentar todos os resultados associados a um determinado URL numa análise, siga estes passos:
- Abra a deteção e veja a respetiva definição de JSON.
- Copie o URL junto a
externalUri. - Feche o painel de detalhes da descoberta.
No editor de consultas, introduza a seguinte consulta:
externalUri:"AFFECTED_URI"Substitua AFFECTED_URI pelo URL que copiou anteriormente.
O Security Command Center apresenta todas as conclusões associadas ao URL.
Exemplos de conclusões
Seguem-se alguns exemplos de resultados de análises geridas do Web Security Scanner:
| Vulnerabilidade | Descrição |
|---|---|
| Conteúdo misto | Uma página publicada através de HTTPS também publica recursos através de HTTP. Um atacante de man-in-the-middle pode adulterar o recurso HTTP e obter acesso total ao Website que carrega o recurso ou monitorizar as ações dos utilizadores. |
| Limpar palavra-passe de texto |
Uma aplicação devolve conteúdo sensível com um tipo de conteúdo inválido ou
sem um cabeçalho X-Content-Type-Options: nosniff.
|
| Biblioteca desatualizada |
Sabe-se que a versão de uma biblioteca incluída contém um problema de segurança. O scanner verifica a versão da biblioteca em utilização em relação a uma lista conhecida de bibliotecas vulneráveis. São possíveis falsos positivos se a deteção de versão falhar ou se a biblioteca tiver sido corrigida manualmente. O Web Security Scanner identifica algumas versões vulneráveis das seguintes bibliotecas populares:
Esta lista é atualizada periodicamente com novas bibliotecas e vulnerabilidades atualizadas, conforme aplicável. |
Saiba como usar o Security Command Center na Google Cloud consola.
Filtrar resultados na Google Cloud consola
Uma organização grande pode ter muitas conclusões de vulnerabilidades na respetiva implementação para rever, classificar e acompanhar. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Descobertas do Security Command Center na Google Cloud consola, pode focar-se nas vulnerabilidades de gravidade mais elevada na sua organização e rever as vulnerabilidades por tipo de recurso, projeto e muito mais.
Para mais informações sobre a filtragem de resultados de vulnerabilidades, consulte o artigo Filtre resultados de vulnerabilidades no Security Command Center.
Desative o som dos resultados
Para controlar o volume de resultados no Security Command Center, pode desativar manualmente ou por programação resultados individuais, ou criar regras de desativação que desativem automaticamente os resultados atuais e futuros com base nos filtros que definir.
As conclusões com o som desativado são ocultadas e silenciadas, mas continuam a ser registadas para fins de auditoria e conformidade. Pode ver as descobertas desativadas ou reativá-las em qualquer altura. Para saber mais, consulte o artigo Desative as descobertas no Security Command Center.
Configurações de análise
Se o Web Security Scanner receber credenciais de acesso, executa todas as ações com esse nível de acesso. Para reduzir o risco para os seus recursos de produção e detetar vulnerabilidades antes de chegarem à produção, recomendamos que execute análises em ambientes de desenvolvimento, testes, preparação ou controlo de qualidade.
A análise dos recursos de produção é útil porque mesmo pequenas alterações aos recursos entre os testes e a produção podem introduzir vulnerabilidades. No entanto, pode querer usar o acesso limitado durante as análises de produção. Consulte as práticas recomendadas para mais informações.
Para rever as configurações de análise geridas e iniciar manualmente as análises, use a Google Cloud consola.
Para ver a configuração de análise gerida de um projeto:
- Aceda à página do verificador de segurança Web na Google Cloud consola.
Aceda à página Web Security Scanner - Selecione um projeto. É apresentada uma página com uma lista das suas análises geridas e personalizadas.
- Em Analisar configurações, clique em
managed_scan. A página apresentada mostra os resultados da análise gerida mais recente, incluindo o estado da análise, os URLs analisados e as vulnerabilidades encontradas. Use a lista pendente para ver os resultados de análises anteriores.
O Web Security Scanner administra e mantém as análises geridas, pelo que não pode modificar as configurações de análise. As análises geridas só podem ser editadas ou eliminadas no Security Command Center, conforme abordado no artigo Desativar análises geridas.
Intervalos de endereços IP estáticos para análises geridas
Quando o Web Security Scanner está ativado no Security Command Center, as análises geridas são iniciadas automaticamente através de endereços IP estáticos nos seguintes intervalos:
8.34.210.32/2734.66.18.0/2634.66.114.64/2634.68.34.64/27
Análises a pedido
As análises geridas são executadas automaticamente de acordo com um horário definido. No entanto, pode usar a página Web Security Scanner para executar análises geridas a pedido:
- Aceda à página do verificador de segurança Web na Google Cloud consola.
Aceda à página Web Security Scanner - Selecione um projeto. É apresentada uma página com uma lista das suas análises geridas e personalizadas.
- Em Analisar configurações, clique em
managed_scan. - Na página seguinte, clique em Executar na parte superior da página; ou
- Clique em Executar análise novamente no separador Resultados.
A análise começa e as conclusões são atualizadas no Security Command Center quando estiver concluída. As análises geridas a pedido são úteis quando quer capturar resultados para projetos novos ou atualizados entre análises agendadas. As análises a pedido não afetam o momento das análises semanais agendadas.
Pode encontrar mais informações sobre a análise na página de registos do projeto.
Desative as análises geridas
Para desativar as análises geridas para uma organização, uma pasta ou um projeto, desative o serviço Web Security Scanner no Security Command Center. Para ver instruções, consulte o artigo Ative ou desative um serviço incorporado.
Pode continuar a usar o Web Security Scanner como um produto autónomo para fazer verificações personalizadas. Considere o seguinte:
- Tem de configurar e gerir as análises personalizadas para cada projeto que quer analisar.
- As configurações de procura geridas são arquivadas. Os resultados da análise gerida existentes permanecem visíveis na Google Cloud consola.
- As análises geridas só estão disponíveis no Security Command Center, pelo que as configurações de análise gerida e os resultados de análise gerida existentes são removidos da página autónoma do Web Security Scanner.
Se reativar o Web Security Scanner no Security Command Center, as configurações e os resultados da análise gerida voltam a aparecer na página do Web Security Scanner. Geralmente, se as novas análises encontrarem as mesmas vulnerabilidades, as conclusões existentes são atualizadas. Se a sua aplicação ou Website tiverem sofrido alterações substanciais desde a última análise, podem ser criadas novas conclusões.
O que se segue?
- Saiba como corrigir as conclusões do Web Security Scanner.