Vordefinierte Erkennungsregeln

Security Command Center bietet integrierte Erkennungsregeln, mit denen Sie Bedrohungen, Sicherheitslücken und Fehlkonfigurationen in Ihrer Cloud-Umgebung identifizieren können. In diesem Dokument werden die vordefinierten Regeln für den Sicherheitsgraph und die korrelierten Bedrohungen beschrieben.

Informationen zu Regeln und Ergebnissen anderer integrierter Dienste finden Sie unter Event Threat Detection-Regeln und VM Threat Detection-Ergebnisse.

Vordefinierte Regeln für Sicherheitsdiagramme

Im Sicherheitsdiagramm werden Knoten verwendet, um Cloud-Ressourcen wie Assets, Identitäten, Anwendungen und Daten zu identifizieren. Kanten im Diagramm stellen Risikobeziehungen zwischen diesen Ressourcen gemäß den Erkennungsregeln dar. Wenn ein Beziehungsrisiko erkannt wird, generiert der Sicherheitsgraph ein Problem.

Security Command Center verwendet vordefinierte Regeln für den Sicherheitsgraphen, um Probleme zu identifizieren, die Ihre Ressourcen potenziell gefährden könnten.

In der folgenden Tabelle werden diese Regeln definiert. Sie untersuchen die erstellten Probleme im Dashboard Risiko > Probleme.

Regel Beschreibung
GCE-Instanz: CVE mit hohem Risiko, Zugriff auf wertvolle Ressource über die Identitätsübernahme des Dienstkontos Auf einer Compute Engine-Instanz wurde ein CVE mit hohem Risiko erkannt, das die Identität eines Dienstkontos mit Zugriff auf eine kritische Ressource annehmen kann. Diese Sicherheitslücke erhöht das Risiko einer Ausweitung von Berechtigungen und des unbefugten Zugriffs auf vertrauliche Daten oder Systeme.
GCE-Instanz: CVE mit hohem Risiko, Zugriff auf Ressource mit sensiblen Daten über SA-Identitätsübernahme Eine Compute Engine-Instanz mit einem hochriskanten CVE hat über die Identitätsübernahme eines Dienstkontos Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unberechtigtem Datenzugriff, Rechteausweitung und potenziellen Datenpannen.
GCE-Instanz: CVE mit hohem Risiko, direkter Zugriff auf Ressource mit hohem Wert Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkten Zugriff auf eine wertvolle Ressource, was die Wahrscheinlichkeit von Exploitation, unbefugtem Zugriff und Datenkompromittierung erhöht.
GCE-Instanz: CVE mit hohem Risiko, direkter Zugriff auf Ressource mit sensiblen Daten Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkten Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unberechtigtem Zugriff, Datenpannen und Rechteausweitungen.
Extern zugängliche GCE-Instanz: CVE mit hohem Risiko, Exploit verfügbar Eine Compute Engine-Instanz ist extern verfügbar und von einer CVE mit hohem Risiko und einem bekannten Exploit betroffen. Dadurch steigt das Risiko von Remoteangriffen, unbefugtem Zugriff und Systemkompromittierungen erheblich.
GCE-Instanz: CVE mit hohem Risiko, Möglichkeit zum Identitätsdiebstahl von Dienstkonten Eine Compute Engine-Instanz ist von einem CVE mit hohem Risiko betroffen und kann die Identität eines anderen Dienstkontos annehmen. Dadurch steigt das Risiko von Rechteausweitungen, unbefugtem Zugriff und potenziellen Gefährdungen kritischer Cloud-Ressourcen erheblich.
GCE-Instanz: CVE mit hohem Risiko, übermäßige direkte Berechtigungen Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkte, nicht erforderliche Berechtigungen für eine andere Ressource, was das Risiko von unbefugtem Zugriff, Rechteausweitung und Kompromittierung von Ressourcen erhöht.
GCE-Instanz: CVE mit hohem Risiko, zu viele Berechtigungen über die Identitätsübernahme des Dienstkontos Eine Compute Engine-Instanz mit einem hochriskanten CVE hat über die Identitätsübernahme des Dienstkontos (Service Account, SA) übermäßige Berechtigungen für eine andere Ressource, was das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs erhöht.
Extern zugängliche GKE-Arbeitslast: CVE mit hohem Risiko, Exploit verfügbar Eine GKE-Arbeitslast ist extern zugänglich und von einer CVE mit hohem Risiko und einem bekannten Exploit betroffen. Dadurch steigt das Risiko von Remoteangriffen, unbefugtem Zugriff und Systemkompromittierungen erheblich.
GKE-Knotenpool: Bulletin mit hohem Risiko, Zugriff auf wertvolle Ressource über Identitätswechsel des Dienstkontos Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine wertvolle Ressource gewährt. Dadurch steigt das Risiko von Rechteausweitungen, unberechtigtem Zugriff und Datenmissbrauch.
GKE-Knotenpool: Bulletin mit hohem Risiko, Zugriff auf Ressource mit vertraulichen Daten über die Identitätsübernahme von Dienstkonten Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine Ressource mit vertraulichen Daten gewährt. Dadurch erhöht sich das Risiko von unbefugtem Zugriff, Datenpannen und Rechteausweitungen.
GKE-Knotenpool: Bulletin mit hohem Risiko, direkter Zugriff auf wertvolle Ressource Ein GKE-Knotenpool hat direkten Zugriff auf eine wertvolle Ressource, was das Risiko von unbefugtem Zugriff, Berechtigungseskalierung und potenziellen Datenkompromittierungen erhöht.
GKE-Knotenpool: Bulletin mit hohem Risiko, direkter Zugriff auf Ressource mit sensiblen Daten Ein GKE-Knotenpool hat direkten Zugriff auf eine Ressource mit sensiblen Daten, was das Risiko von unbefugtem Zugriff, Datenpannen und Rechteausweitung erhöht.
Extern zugänglicher GKE-Knotenpool: Bulletin mit hohem Risiko Ein GKE-Knotenpool ist extern verfügbar und von einem CVE mit hohem Risiko betroffen. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich.
GKE-Knotenpool: Bulletin mit hohem Risiko, Möglichkeit zum Identitätsdiebstahl von Dienstkonten Es gibt ein Bulletin mit hohem Risiko für einen GKE-Knotenpool, der Berechtigungen zum Identitätswechsel eines anderen Dienstkontos hat. Dadurch erhöht sich das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs auf kritische Ressourcen.
GKE-Knotenpool: Bulletin mit hohem Risiko, übermäßige direkte Berechtigungen Für einen GKE-Knotenpool mit nicht erforderlichen Berechtigungen für eine andere Ressource, die ihm unbeabsichtigten Zugriff gewähren, liegt ein Bulletin mit hohem Risiko vor. Dadurch erhöht sich das Risiko von Rechteausweitungen, unberechtigtem Zugriff und Datenoffenlegung.
GKE-Knotenpool: Bulletin mit hohem Risiko, übermäßige Berechtigungen durch SA-Identitätswechsel Für einen GKE-Knotenpool mit nicht erforderlichen Berechtigungen für eine andere Ressource über die Identitätsübernahme des Dienstkontos (Service Account, SA) liegt ein Bulletin mit hohem Risiko vor. Dadurch steigt das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs.
Dienstkonto mit nicht rotiertem Schlüssel hat nicht erforderliche Berechtigungen Ein Dienstkonto verwendet einen langlebigen, nicht rotierten Schlüssel mit übermäßigen Berechtigungen, was das Risiko von kompromittierten Anmeldedaten, unbefugtem Zugriff und Rechteausweitung erhöht.
Dienstkonto mit vom Nutzer verwaltetem Schlüssel hat nicht erforderliche Berechtigungen Ein Dienstkonto mit vom Nutzer verwalteten Schlüsseln und nicht erforderlichen Berechtigungen, was das Risiko von Offenlegung von Anmeldedaten und Berechtigungseskalierung erhöht.
Extern zugängliche GKE-Arbeitslast, die für CVE-2025-49844 anfällig ist (Exploit verfügbar, kritische Codeausführung per Fernzugriff in Redis) Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Redis ausgeführt wird und die anfällig für CVE-2025-49844 sind, eine kritische Sicherheitslücke für die Codeausführung per Fernzugriff mit einem bekannten Exploit.
Extern offengelegte GCE-Instanz, die für CVE-2025-49844 anfällig ist (Exploit verfügbar, kritische Remote-Codeausführung in Redis) Identifiziert extern zugängliche GCE-Instanzen, auf denen Redis ausgeführt wird und die für CVE-2025-49844 anfällig sind. Dies ist eine kritische Sicherheitslücke bei der Remote-Codeausführung mit einem bekannten Exploit.
Extern zugängliche GKE-Arbeitslast, die für CVE-2025-32433 anfällig ist (kritische RCE in Erlang SSH) Identifiziert extern zugängliche GKE-Arbeitslasten, die Erlang SSH ausführen und anfällig für CVE-2025-32433 sind, eine kritische Sicherheitslücke für die Ausführung von Remote-Code, die aktiv von Angreifern ausgenutzt wird.
Extern zugängliche GCE-Instanz, die für CVE-2025-32433 (kritische RCE in Erlang SSH) anfällig ist Identifiziert extern zugängliche GCE-Instanzen, auf denen Erlang SSH ausgeführt wird und die anfällig für CVE-2025-32433 sind, eine kritische Sicherheitslücke für die Remote-Codeausführung, die aktiv von Angreifern ausgenutzt wird.
Extern zugängliche GKE-Arbeitslast, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, die in freier Wildbahn ausgenutzt wird) Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Apache ActiveMQ ausgeführt wird, das anfällig für CVE-2023-46604 ist. Dies ist eine kritische Sicherheitslücke für die Ausführung von Remote-Code im OpenWire-Protokoll, die von Angreifern aktiv ausgenutzt wird.
Extern zugängliche GCE-Instanz, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, die in freier Wildbahn ausgenutzt wird) Identifiziert extern zugängliche GCE-Instanzen, auf denen Apache ActiveMQ ausgeführt wird und die anfällig für CVE-2023-46604 sind. Dies ist eine kritische Sicherheitslücke zur Remotecodeausführung im OpenWire-Protokoll, die von Angreifern aktiv ausgenutzt wird.
GCE-Instanz, die für CVE-2025-32463 (Sudo) anfällig ist mit bekanntem Exploit Identifiziert GCE-Instanzen, die anfällig für CVE-2025-32463 sind, eine lokale Rechteausweitungslücke in Sudo mit einem bekannten Exploit.
GCE-Instanz ist anfällig für kritische CVE im Nvidia Container Toolkit (CVE-2025-23266) Identifiziert GCE-Instanzen mit GPU-Arbeitslasten, die anfällig für CVE-2025-23266 sind, eine kritische Sicherheitslücke zur Rechteausweitung im NVIDIA Container Toolkit.
Extern offengelegte GCE-Instanz, die anfällig für CVE-2025-59287 mit hohem Risiko ist (in freier Wildbahn ausgenutzt, kritische Remote-Codeausführung in WSUS) Identifiziert extern offengelegte GCE-Instanzen, auf denen Windows WSUS ausgeführt wird und die anfällig für CVE-2025-59287 sind, eine kritische Sicherheitslücke für die Ausführung von Remote-Code, die aktiv von Angreifern ausgenutzt wird.
Vertex AI Workbench: CVE mit hohem Risiko Auf einer Gemini Enterprise Agent Platform Workbench-Instanz wurde eine CVE mit hohem Risiko erkannt. Diese Sicherheitslücke erhöht das Risiko eines unbefugten Zugriffs auf die Entwicklungsumgebung, wodurch Trainingsdaten und Modellquellcode möglicherweise ausgelesen werden können.
Vertex AI Workbench: CVE mit hohem Risiko, übermäßige Berechtigungen Eine Vertex AI Workbench-Instanz mit einem hochriskanten CVE verwendet ein Dienstkonto mit zu vielen Berechtigungen. Durch diese Kombination können Angreifer die Sicherheitslücke ausnutzen, um Berechtigungen zu eskalieren und andere Cloud-Ressourcen zu manipulieren.
Agent-Laufzeit: CVE mit hohem Risiko, SA-Identität mit Zugriff auf wertvolle Ressource über SA-Identitätswechsel Auf einem KI-Agenten, der in der Agent Runtime bereitgestellt wird, wurde eine CVE mit hohem Risiko erkannt, die ein Dienstkonto mit Zugriff auf eine kritische Ressource imitieren kann. Diese Sicherheitslücke erhöht das Risiko einer Rechteausweitung und des unbefugten Zugriffs auf vertrauliche Daten oder Systeme.
Agent-Laufzeit: CVE mit hohem Risiko, SA-Identität mit Zugriff auf Ressource mit vertraulichen Daten über SA-Identitätsübernahme Ein KI-Agent, der in der Agent Runtime mit einem CVE mit hohem Risiko bereitgestellt wird, hat über die Identitätsübernahme des Dienstkontos Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unbefugtem Datenzugriff, Rechteausweitung und potenziellen Datenpannen.
Agent Runtime: CVE mit hohem Risiko, SA-Identität mit direktem Zugriff auf Ressource mit hohem Wert Ein KI-Agent, der mit einem CVE mit hohem Risiko in der Agent Runtime bereitgestellt wird, hat direkten Zugriff auf eine wertvolle Ressource, was die Wahrscheinlichkeit von Exploitation, unbefugtem Zugriff und Datenkompromittierung erhöht.
Agent-Laufzeit: CVE mit hohem Risiko, SA-Identität mit direktem Zugriff auf Ressource mit sensiblen Daten Ein KI-Agent, der in der Agent Runtime mit einem CVE mit hohem Risiko bereitgestellt wird, hat direkten Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unberechtigtem Zugriff, Datenpannen und Rechteausweitungen.
Agent-Laufzeit: CVE mit hohem Risiko, SA-Identität mit nicht erforderlichen direkten Berechtigungen Ein KI-Agent, der mit einem CVE mit hohem Risiko in der Agent Runtime bereitgestellt wird, hat direkte, übermäßige Berechtigungen für eine andere Ressource, was das Risiko von unbefugtem Zugriff, Rechteausweitung und Kompromittierung von Ressourcen erhöht.
Agent-Laufzeit: CVE mit hohem Risiko, SA-Identität mit nicht erforderlichen Berechtigungen über SA-Identitätsdiebstahl Ein KI-Agent, der in der Agent Runtime mit einem CVE mit hohem Risiko bereitgestellt wird, hat über die Identitätsübernahme des Dienstkontos (Service Account, SA) nicht erforderliche Berechtigungen für eine andere Ressource, was das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs erhöht.
Agent Runtime: High-risk CVE, SA identity with ability to impersonate SA Ein KI-Agent, der mit einem hochriskanten CVE in der Agent Runtime bereitgestellt wird, kann sich als ein anderes Dienstkonto ausgeben. Dadurch erhöht sich das Risiko von Rechteausweitung, unautorisiertem Zugriff und potenzieller Kompromittierung kritischer Cloud-Ressourcen erheblich.
Cloud Storage-Bucket: Öffentlich zugänglicher Bucket, der für die Bereitstellung der Agent-Laufzeit verwendet wird Ein öffentlich zugänglicher Cloud Storage-Bucket wurde verwendet, um den KI-Agent in der Agent Runtime bereitzustellen. Dadurch erhöht sich das Risiko, dass Agent-Code durchsickert und Agenten manipuliert werden.

Regeln für korrelierte Bedrohungen

Mithilfe von korrelierten Bedrohungen lassen sich verschiedene mehrstufige Angriffsmuster für Cloud-Ressourcen erkennen. In der folgenden Tabelle werden die verfügbaren Regeln für korrelierte Bedrohungen definiert.

Regel Beschreibung
Mehrere korrelierte Bedrohungssignale von Kryptowährung-Mining-Software Suchen Sie nach mehreren unterschiedlichen Signalen für schädliche Software, die von Google Cloud -VMs stammen, einschließlich Compute Engine-VMs und Google Kubernetes Engine-Knoten (und deren Pods).

Beispiele:

  • VM Threat Detection erkennt ein Kryptowährungsprogramm und Event Threat Detection erkennt Verbindungen zu Kryptowährungs-IP-Adressen oder ‑Domains von derselben VM.
  • Container Threat Detection erkennt ein Programm, das das Stratum-Protokoll für das Mining von Kryptowährungen verwendet, und Event Threat Detection erkennt eine Verbindung zu einer IP-Adresse für das Mining von Kryptowährungen vom selben Google Kubernetes Engine-Knoten.
Mehrere korrelierte Bedrohungssignale für Malware Suchen Sie nach mehreren unterschiedlichen Signalen für schädliche Software, die von Google Cloud-VMs stammen, einschließlich Compute Engine-VMs und GKE-Knoten (und deren Pods) oder Agent Runtime.

Beispiele:

  • Container Threat Detection erkennt, ob sowohl eine schädliche Binärdatei als auch ein schädliches Python-Skript im selben Pod ausgeführt werden.
  • Event Threat Detection erkennt eine VM, die eine Verbindung zu einer Malware-IP-Adresse herstellt, und VM Threat Detection erkennt Malware auf dem Laufwerk in derselben VM.
  • Die Bedrohungserkennung für Agent Platform erkennt eine schädliche URL und eine Reverse Shell vom selben KI-Agenten.
Potenziell manipuliertes GCP-Konto, das sich seitwärts zu einer manipulierten Rechenressource bewegt Suchen Sie nach Hinweisen auf verdächtige Aufrufe von Compute APIs (Compute Engine oder GKE), die eine VM oder einen Pod ändern. Die Regel setzt diese Aktivität dann in Beziehung zu schädlichen Aktivitäten, die innerhalb kurzer Zeit von der Computeressource ausgehen. Angreifer verwenden dieses Muster für Lateral Movement häufig. Diese Regel weist darauf hin, dass die VM oder der Pod wahrscheinlich manipuliert wurde. Diese Regel weist auch darauf hin, dass das Google Cloud -Konto (Nutzer- oder Dienstkonto) möglicherweise die Ursache der schädlichen Aktivität ist.

Beispiele:

  • Event Threat Detection erkennt, dass ein Nutzer einen neuen SSH-Schlüssel zu einer Compute Engine-Instanz hinzugefügt hat, und VM Threat Detection erkennt einen Kryptowährung-Miner, der auf derselben Instanz ausgeführt wird.
  • Event Threat Detection erkennt, dass ein Dienstkonto über das Tor-Netzwerk mit der Compute Engine API auf eine Instanz zugegriffen hat, und erkennt Verbindungen zu einer schädlichen IP-Adresse von derselben Instanz.
  • Event Threat Detection erkennt, dass ein Nutzer einen privilegierten Container erstellt hat, und Container Threat Detection erkennt, dass der Container über denselben Pod auf sensible Dateien auf dem GKE-Knoten zugegriffen hat.

Nächste Schritte