Règles de détection prédéfinies

Security Command Center fournit des règles de détection intégrées pour identifier les menaces, les failles et les erreurs de configuration dans votre environnement cloud. Ce document décrit les règles prédéfinies pour le graphe de sécurité et les menaces corrélées.

Pour en savoir plus sur les règles et les résultats d'autres services intégrés, consultez les sections Règles d'Event Threat Detection et Résultats de VM Threat Detection.

Règles prédéfinies du graphe de sécurité

Le graphe de sécurité utilise des nœuds pour identifier les ressources cloud telles que les composants, les identités, les applications et les données. Les arêtes du graphe représentent les relations de risque entre ces ressources en fonction des règles de détection. Lorsqu'une relation de risque est détectée, le graphe de sécurité génère un problème.

Security Command Center utilise des règles de graphe de sécurité prédéfinies pour identifier les problèmes qui sont susceptibles de compromettre vos ressources.

Le tableau suivant définit ces règles. Vous examinez les problèmes créés à l'aide du tableau de bord Risque > Problèmes.

Règle Description
Instance GCE : faille CVE à risque élevé, accès à une ressource de forte valeur via l'emprunt de l'identité d'un compte de service Une faille CVE à risque élevé a été détectée sur une instance Compute Engine qui peut emprunter l'identité d'un compte de service ayant accès à une ressource critique. Cette faille augmente le risque d'élévation des privilèges et d'accès non autorisé à des données ou systèmes sensibles.
Instance GCE : faille CVE à risque élevé, accès à une ressource contenant des données sensibles via l'emprunt de l'identité d'un compte de service Une instance Compute Engine présentant une faille CVE à risque élevé peut accéder à une ressource contenant des données sensibles en usurpant l'identité d'un compte de service. Cette faille augmente le risque d'accès non autorisé aux données ou d'élévation des privilèges, et peut entraîner des violations de données.
Instance GCE : faille CVE à risque élevé, accès direct à une ressource de forte valeur Une instance Compute Engine présentant une faille CVE à risque élevé a un accès direct à une ressource de forte valeur, ce qui augmente la probabilité d'exploitation, d'accès non autorisé et de compromission des données.
Instance GCE : faille CVE à risque élevé, accès direct à une ressource contenant des données sensibles Une instance Compute Engine présentant une faille CVE à risque élevé a un accès direct à une ressource contenant des données sensibles. Cette faille augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges.
Instance GCE exposée en externe : faille CVE à risque élevé, code d'exploitation disponible Une instance Compute Engine est exposée en externe et affectée par une faille CVE à risque élevé avec un code d'exploitation connu. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système.
Instance GCE : faille CVE à risque élevé, possibilité d'empriunter l'identité d'un compte de service Une instance Compute Engine est affectée par une faille CVE à risque élevé et peut emprunter l'identité d'un autre compte de service. Cela augmente considérablement le risque d'élévation des privilèges, d'accès non autorisé et de compromission potentielle de ressources cloud critiques.
Instance GCE : faille CVE à risque élevé, autorisations directes excessives Une instance Compute Engine présentant une faille CVE à risque élevé dispose d'autorisations excessives directes sur une autre ressource, ce qui augmente le risque d'accès non autorisé, d'élévation des privilèges et de compromission des ressources.
Instance GCE : faille CVE à risque élevé, autorisations excessives via l'emprunt de l'identité d'un compte de service Une instance Compute Engine présentant une faille CVE à risque élevé dispose d'autorisations excessives sur une autre ressource via l'emprunt de l'identité d'un compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé.
Charge de travail GKE exposée en externe : faille CVE à risque élevé, code d'exploitation disponible Une charge de travail GKE est exposée en externe et affectée par une faille CVE à risque élevé avec un exploit connu. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système.
Pool de nœuds GKE : bulletin à risque élevé, accès à une ressource de forte valeur via l'emprunt de l'identité d'un compte de service Un pool de nœuds GKE est en mesure d'emprunter l'identité d'un compte de service qui accorde l'accès à une ressource de forte valeur. Cela augmente le risque d'élévation des privilèges, d'accès non autorisé et de compromission des données.
Pool de nœuds GKE : bulletin à risque élevé, accès à une ressource contenant des données sensibles via l'emprunt de l'identité d'un compte de service Un pool de nœuds GKE est en mesure d'emprunter l'identité d'un compte de service qui accorde l'accès à une ressource contenant des données sensibles. Cela augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges.
Pool de nœuds GKE : bulletin à risque élevé, accès direct à une ressource de forte valeur Un pool de nœuds GKE a un accès direct à une ressource de forte valeur, ce qui augmente le risque d'accès non autorisé, d'élévation des privilèges et de compromission des données.
Pool de nœuds GKE : bulletin à risque élevé, accès direct à une ressource contenant des données sensibles Un pool de nœuds GKE a un accès direct à une ressource contenant des données sensibles, ce qui augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges.
Pool de nœuds GKE exposé en externe : bulletin à risque élevé Un pool de nœuds GKE est exposé en externe et affecté par une faille CVE à risque élevé. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système.
Pool de nœuds GKE : bulletin à risque élevé, possibilité d'emprunter l'identité d'un compte de service Un bulletin à risque élevé concerne un pool de nœuds GKE qui est autorisé à emprunter l'identité d'un autre compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé à des ressources critiques.
Pool de nœuds GKE : bulletin à risque élevé, autorisations directes excessives Un bulletin à risque élevé concerne un pool de nœuds GKE qui dispose d'autorisations excessives sur une autre ressource, ce qui lui accorde un accès non souhaitable. Cela augmente le risque d'élévation des privilèges, d'accès non autorisé et d'exposition des données.
Pool de nœuds GKE : bulletin à risque élevé, autorisations excessives via l'emprunt de l'identité d'un compte de service Un bulletin à risque élevé concerne un pool de nœuds GKE qui peut disposer d'autorisations excessives sur une autre ressource via l'emprunt de l'identité d'un compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé.
Un compte de service avec une clé non renouvelée dispose d'autorisations excessives Un compte de service utilise une clé de longue durée non renouvelée avec des autorisations excessives, ce qui augmente le risque de compromission des identifiants, d'accès non autorisé et d'élévation des privilèges.
Un compte de service avec une clé gérée par l'utilisateur dispose d'autorisations excessives Un compte de service utilise des clés gérées par l'utilisateur et des autorisations excessives, ce qui augmente le risque de fuite d'identifiants et d'élévation des privilèges.
Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2025-49844 (code d'exploitation disponible, exécution de code à distance critique dans Redis) Identifie les charges de travail GKE exposées en externe et exécutant Redis qui sont vulnérables à CVE-2025-49844, une faille permettant l'exécution de code à distance critique avec un code d'exploitation connu.
Instance GCE exposée en externe et vulnérable à la faille CVE-2025-49844 (code d'exploitation disponible, exécution de code à distance critique dans Redis) Identifie les instances GCE exposées en externe et exécutant Redis qui sont vulnérables à CVE-2025-49844, une faille permettant l'exécution de code à distance critique avec un code d'exploitation connu.
Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2025-32433 (exécution de code à distance critique dans Erlang SSH) Identifie les charges de travail GKE exposées en externe et exécutant Erlang SSH qui sont vulnérables à CVE-2025-32433, une faille permettant l'exécution de code à distance critique activement exploitée par les pirates informatiques.
Instance GCE exposée en externe et vulnérable à la faille CVE-2025-32433 (exécution de code à distance critique dans Erlang SSH) Identifie les instances GCE exposées en externe et exécutant Erlang SSH qui sont vulnérables à CVE-2025-32433, une faille critique permettant l'exécution de code à distance activement exploitée par les pirates informatiques.
Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2023-46604 (exécution de code à distance critique dans Apache ActiveMQ, exploitée activement en conditions réelles) Identifie les charges de travail GKE exposées en externe et exécutant Apache ActiveMQ qui sont vulnérables à CVE-2023-46604, une faille permettant l'exécution de code à distance critique dans le protocole OpenWire, activement exploitée par les pirates informatiques.
Instance GCE exposée en externe et vulnérable à la faille CVE-2023-46604 (exécution de code à distance critique dans Apache ActiveMQ, exploitée activement en conditions réelles) Identifie les instances GCE exposées en externe et exécutant Apache ActiveMQ qui sont vulnérables à CVE-2023-46604, une faille permettant l'exécution de code à distance critique dans le protocole OpenWire, activement exploitée par les pirates informatiques.
Instance GCE vulnérable à CVE-2025-32463 (Sudo), avec un code d'exploitation connu Identifie les instances GCE vulnérables à la faille CVE-2025-32463, une faille permettant l'élévation des privilèges locaux dans Sudo avec un code d'exploitation connu.
Instance GCE vulnérable à la faille CVE critique affectant Nvidia Container Toolkit (CVE-2025-23266) Identifie les instances GCE utilisant des charges de travail GPU vulnérables à CVE-2025-23266, une faille critique permettant une élévation des privilèges dans NVIDIA Container Toolkit.
Instance GCE exposée en externe et vulnérable à la faille à risque élevé CVE-2025-59287 (exécution de code à distance critique dans WSUS, activement exploitée en conditions réelles) Identifie les instances GCE exposées en externe et exécutant Windows WSUS qui sont vulnérables à CVE-2025-59287, une faille critique d'exécution de code à distance activement exploitée par les pirates informatiques.
Vertex AI Workbench : CVE à haut risque Une CVE à risque élevé a été détectée sur une instance Gemini Enterprise Agent Platform Workbench. Cette faille augmente le risque d'accès non autorisé à l'environnement de développement, ce qui peut potentiellement exposer les données d'entraînement et le code source du modèle à l'exfiltration.
Vertex AI Workbench : faille CVE à risque élevé, autorisations excessives Une instance Vertex AI Workbench présentant une faille CVE à risque élevé utilise un compte de service disposant de trop d'autorisations. Cette combinaison permet aux pirates informatiques d'exploiter la faille pour élever leurs privilèges et compromettre d'autres ressources cloud.
Agent Runtime : faille CVE à risque élevé, identité de compte de service avec accès à une ressource de forte valeur via l'emprunt de l'identité d'un compte de service Une faille CVE à risque élevé a été détectée sur un agent d'IA déployé sur Agent Runtime, qui peut emprunter l'identité d'un compte de service ayant accès à une ressource critique. Cette faille augmente le risque d'élévation des privilèges et d'accès non autorisé à des données ou systèmes sensibles.
Runtime de l'agent : faille CVE à risque élevé, identité de compte de service avec accès à une ressource contenant des données sensibles via l'emprunt de l'identité d'un compte de service Un agent d'IA déployé dans Agent Runtime avec une faille CVE à risque élevé a accès à une ressource contenant des données sensibles en usurpant l'identité d'un compte de service. Cette faille augmente le risque d'accès non autorisé aux données ou d'élévation des privilèges, et peut entraîner des violations de données.
Agent Runtime : faille CVE à risque élevé, identité de compte de service avec accès direct à une ressource de forte valeur Un agent IA déployé dans Agent Runtime avec une faille CVE à risque élevé a un accès direct à une ressource de forte valeur, ce qui augmente la probabilité d'exploitation, d'accès non autorisé et de compromission des données.
Runtime de l'agent : faille CVE à risque élevé, identité de compte de service avec accès direct à une ressource contenant des données sensibles Un agent IA déployé dans Agent Runtime avec une faille CVE à risque élevé a un accès direct à une ressource contenant des données sensibles. Cette faille augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges.
Exécution de l'agent : faille CVE à risque élevé, identité de compte de service avec autorisations directes excessives Un agent d'IA déployé dans Agent Runtime avec une faille CVE à risque élevé dispose d'autorisations excessives directes sur une autre ressource, ce qui augmente le risque d'accès non autorisé, d'élévation des privilèges et de compromission des ressources.
Environnement d'exécution de l'agent : faille CVE à risque élevé, identité de compte de service avec autorisations excessives via l'emprunt de l'identité d'un compte de service Un agent d'IA déployé dans Agent Runtime avec une faille CVE à risque élevé dispose d'autorisations excessives sur une autre ressource via l'emprunt de l'identité d'un compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé.
Agent Runtime : faille CVE à risque élevé, identité de compte de service avec possibilité d'emprunter l'identité d'un compte de service Un agent d'IA déployé sur Agent Runtime avec une faille CVE à risque élevé peut emprunter l'identité d'un autre compte de service. Cela augmente considérablement le risque d'élévation des privilèges, d'accès non autorisé et de compromission potentielle de ressources cloud critiques.
Bucket Cloud Storage : bucket exposé publiquement utilisé pour le déploiement d'Agent Runtime Un bucket Cloud Storage exposé publiquement a été utilisé pour déployer le runtime d'agent d'IA à agent. Cela augmente le risque de fuite du code de l'agent et d'empoisonnement de l'agent.

Règles sur les menaces corrélées

Les menaces corrélées permettent d'identifier différents schémas d'attaque en plusieurs étapes dans les ressources cloud. Le tableau suivant définit les règles de menaces corrélées disponibles.

Règle Description
Plusieurs signaux de menace corrélés de logiciels de minage de cryptomonnaie Recherchez plusieurs signaux distincts de logiciels malveillants provenant de machines virtuelles Google Cloud , y compris des VM Compute Engine et des nœuds Google Kubernetes Engine (GKE) (ainsi que leurs pods).

Voici quelques exemples :

  • VM Threat Detection détecte un programme de cryptomonnaie et Event Threat Detection détecte les connexions à des adresses IP ou des domaines de cryptomonnaie à partir de la même VM.
  • Container Threat Detection détecte un programme qui utilise le protocole stratum de minage de cryptomonnaie, et Event Threat Detection détecte une connexion à une adresse IP de minage de cryptomonnaie à partir du même nœud Google Kubernetes Engine.
Plusieurs signaux de menace corrélés de logiciels malveillants Recherchez plusieurs signaux distincts de logiciels malveillants provenant de machines virtuelles Google Cloud, y compris des VM Compute Engine et des nœuds GKE (ainsi que leurs pods) ou de l'environnement d'exécution de l'agent.

Voici quelques exemples :

  • Container Threat Detection détecte si un fichier binaire malveillant et un script Python malveillant s'exécutent dans le même pod.
  • Event Threat Detection détecte une VM qui se connecte à une adresse IP de logiciel malveillant, et VM Threat Detection détecte un logiciel malveillant sur le disque de la même VM.
  • Agent Platform Threat Detection détecte une URL malveillante et une interface système inversée provenant du même agent d'IA.
Mouvement latéral d'un compte GCP potentiellement compromis vers une ressource de calcul compromise Recherchez des preuves d'appels suspects aux API de calcul (Compute Engine ou GKE) qui modifient une VM ou un pod. La règle met ensuite en corrélation cette activité avec une activité malveillante provenant de la ressource de calcul dans un court laps de temps. Les pirates informatiques utilisent souvent ce modèle de mouvement latéral. Cette règle indique que la VM ou le pod sont probablement compromis. Cette règle indique également que le compte Google Cloud (compte utilisateur ou compte de service) peut être à l'origine de l'activité malveillante.

Voici quelques exemples :

  • Event Threat Detection détecte qu'un utilisateur a ajouté une clé SSH à une instance Compute Engine, et VM Threat Detection détecte un mineur de cryptomonnaie en cours d'exécution sur la même instance.
  • Event Threat Detection détecte qu'un compte de service a accédé à une instance à l'aide de l'API Compute Engine depuis le réseau Tor, et détecte les connexions à une adresse IP malveillante depuis la même instance.
  • Event Threat Detection détecte qu'un utilisateur a créé un conteneur privilégié, tandis que Container Threat Detection détecte que le conteneur a accédé à des fichiers sensibles sur le nœud GKE à partir du même pod.

Étapes suivantes