כללי זיהוי מוגדרים מראש

ב-Security Command Center יש כללי זיהוי מובנים לזיהוי איומים, נקודות חולשה וטעויות בהגדרות בסביבת הענן. במסמך הזה מתוארים הכללים המוגדרים מראש ל-Security Graph ולאיומים שקשורים זה לזה.

מידע על כללים וממצאים משירותים מובנים אחרים זמין במאמרים בנושא כללים של Event Threat Detection וממצאים של VM Threat Detection.

כללים מוגדרים מראש של גרף האבטחה

ה-Security Graph משתמש בצמתים כדי לזהות משאבי ענן כמו נכסים, זהויות, אפליקציות ונתונים. הקצוות בתרשים מייצגים קשרי סיכון בין המשאבים האלה בהתאם לכללי הזיהוי. כשמתגלה סיכון לקשר, ה-Security Graph יוצר בעיה.

‫Security Command Center משתמש בכללים מוגדרים מראש של Security Graph כדי לזהות בעיות שעלולות לסכן את המשאבים שלכם.

הטבלה הבאה מגדירה את הכללים האלה. אפשר לבדוק את הבעיות שנוצרו באמצעות מרכז הבקרה סיכון > בעיות.

כלל תיאור
מופע GCE: CVE בסיכון גבוה, גישה למשאב בעל ערך גבוה באמצעות התחזות לחשבון SA זוהה CVE בסיכון גבוה במכונה של Compute Engine שיכולה להתחזות לחשבון שירות (SA) עם גישה למשאב קריטי. הפגיעות הזו מגדילה את הסיכון להרחבת הרשאות ולגישה לא מורשית לנתונים או למערכות רגישים.
מופע GCE: CVE בסיכון גבוה, גישה למשאב עם מידע אישי רגיש באמצעות התחזות לחשבון שירות מופע של Compute Engine עם CVE בסיכון גבוה מקבל גישה למשאב שמכיל מידע אישי רגיש באמצעות התחזות לחשבון שירות (SA). הפגיעות הזו מגבירה את הסיכון לגישה לא מורשית לנתונים, להסלמת הרשאות ולפוטנציאל של פרצות אבטחה.
מופע GCE: CVE ברמת סיכון גבוהה, גישה ישירה למשאב בעל ערך גבוה למכונה וירטואלית ב-Compute Engine עם CVE בסיכון גבוה יש גישה ישירה למשאב בעל ערך גבוה, מה שמגדיל את הסיכוי לניצול לרעה, לגישה לא מורשית ולפגיעה בנתונים.
GCE Instance: High-risk CVE, direct access to resource with sensitive data מכונת Compute Engine וירטואלית עם CVE בסיכון גבוה מקבלת גישה ישירה למשאב שמכיל מידע אישי רגיש. נקודת החולשה הזו מגבירה את הסיכון לגישה לא מורשית, לפרצות באבטחת מידע ולהסלמת הרשאות (privilege escalation).
מופע GCE שחשוף חיצונית: CVE ברמת סיכון גבוהה, ניצול לרעה זמין מופע של Compute Engine נחשף חיצונית ומושפע מ-CVE בסיכון גבוה עם ניצול ידוע. הדבר מעלה משמעותית את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת.
מופע GCE: נקודת חולשה או חשיפה נפוצה (CVE) ברמת סיכון גבוהה, אפשרות להתחזות לחשבון SA מופע של Compute Engine מושפע מ-CVE בסיכון גבוה ויש לו אפשרות להתחזות לחשבון שירות (SA) אחר. הדבר מגדיל באופן משמעותי את הסיכון להעלאת רמת ההרשאה, לגישה לא מורשית ולפגיעה פוטנציאלית במשאבי ענן קריטיים.
GCE Instance: High-risk CVE, excessive direct permissions למכונת Compute Engine עם CVE בסיכון גבוה יש הרשאות ישירות מוגזמות במשאב אחר, מה שמגדיל את הסיכון לגישה לא מורשית, להעלאת רמת ההרשאות ולפגיעה במשאב.
מופע GCE: CVE בסיכון גבוה, הרשאות מוגזמות דרך התחזות ל-SA למכונה וירטואלית ב-Compute Engine עם CVE בסיכון גבוה יש הרשאות מוגזמות למשאב אחר דרך התחזות לחשבון שירות (SA), מה שמגדיל את הסיכון להסלמת הרשאות ולגישה לא מורשית.
עומס עבודה (workload) של GKE שחשוף חיצונית: CVE בסיכון גבוה, ניצול זמין עומס עבודה ב-GKE חשוף חיצונית ומושפע מ-CVE בסיכון גבוה עם ניצול ידוע. הדבר מעלה משמעותית את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת.
מאגר צמתים של GKE: עדכון אבטחה דחוף, גישה למשאב בעל ערך גבוה באמצעות התחזות לחשבון שירות למאגר צמתים של GKE יש אפשרות להתחזות לחשבון שירות (SA) שמעניק גישה למשאב בעל ערך גבוה. הדבר הזה מגדיל את הסיכון להרחבת הרשאות, לגישה לא מורשית ולפגיעה בנתונים.
GKE Node Pool: High-risk Bulletin, access to resource with sensitive data via SA impersonation למאגר צמתים של GKE יש אפשרות להתחזות לחשבון שירות (SA) שמעניק גישה למשאב שמכיל נתונים רגישים. כך גדל הסיכון לגישה לא מורשית, לפרצות אבטחה ולהסלמת הרשאות.
GKE Node Pool: High-risk Bulletin, direct access to high value resource למאגר צמתים של GKE יש גישה ישירה למשאב בעל ערך גבוה, ולכן גדל הסיכון לגישה לא מורשית, להעברת הרשאות ברמות גבוהות יותר ולפגיעה אפשרית בנתונים.
GKE Node Pool: High-risk Bulletin, direct access to resource with sensitive data למאגר צמתים של GKE יש גישה ישירה למשאב שמכיל מידע אישי רגיש, מה שמגביר את הסיכון לגישה לא מורשית, לפרצות באבטחת מידע ולהסלמת הרשאות.
מאגר צמתים ב-GKE שחשוף חיצונית: עדכון אבטחה דחוף מאגר צמתים של GKE חשוף חיצונית ומושפע מ-CVE בסיכון גבוה. הדבר מעלה משמעותית את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת.
מאגר צמתים של GKE: עדכון אבטחה דחוף, אפשרות להתחזות לחשבון SA יש עלון מידע על סיכון גבוה במאגר צמתים של GKE שיש לו הרשאות להתחזות לחשבון שירות (SA) אחר, מה שמגדיל את הסיכון להרחבת הרשאות ולגישה לא מורשית למשאבים קריטיים.
מאגר צמתים של GKE: עלון מידע על סיכון גבוה, הרשאות ישירות מוגזמות יש עלון מידע על סיכון גבוה במאגר צמתים של GKE, שבו יש הרשאות מוגזמות למשאב אחר, שמאפשרות גישה לא מכוונת. כך גדל הסיכון להרחבת הרשאות, לגישה לא מורשית ולחשיפת נתונים.
GKE Node Pool: High-risk Bulletin, excessive permissions via SA impersonation יש עלון מידע על סיכון גבוה במאגר צמתים של GKE, שבו יש הרשאות מוגזמות למשאב אחר דרך התחזות לחשבון שירות (SA), מה שמגדיל את הסיכון להסלמת הרשאות ולגישה לא מורשית.
לחשבון שירות עם מפתח שלא בוצעה לו רוטציה יש הרשאות מוגזמות חשבון שירות משתמש במפתח לטווח ארוך שלא מתבצעת בו רוטציה, עם הרשאות מוגזמות. כך גדל הסיכון לפריצה של פרטי הכניסה, לגישה לא מורשית ולהסלמת הרשאות.
לחשבון שירות עם מפתח בניהול המשתמשים יש הרשאות מוגזמות חשבון שירות עם מפתחות בניהול המשתמש והרשאות מוגזמות, מה שמגדיל את הסיכון לדליפת פרטי כניסה ולהסלמת הרשאות.
עומס עבודה של GKE שחשוף חיצונית ופגיע ל-CVE-2025-49844 (יש ניצול לרשות התוקף, הרצת קוד מרחוק קריטית ב-Redis) מזהה עומסי עבודה של GKE שחשופים חיצונית ומריצים Redis, שפגיעים ל-CVE-2025-49844, פגם קריטי בהרצת קוד מרחוק עם ניצול ידוע.
מופע GCE שחשוף חיצונית ופגיע ל-CVE-2025-49844 (יש ניצול לרעה, הרצת קוד מרחוק קריטית ב-Redis) מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ומריצות Redis, שפגיעות ל-CVE-2025-49844, פגם קריטי בהרצת קוד מרחוק עם ניצול ידוע.
עומס עבודה ב-GKE שנחשף חיצונית פגיע ל-CVE-2025-32433 (RCE קריטי ב-Erlang SSH) מזהה עומסי עבודה ב-GKE שחשופים חיצונית ומריצים Erlang SSH, שפגיעים ל-CVE-2025-32433, פגם קריטי בהרצת קוד מרחוק שמנוצל באופן פעיל על ידי תוקפים.
‫GCE Instance שחשוף חיצונית ופגיע ל-CVE-2025-32433 (RCE קריטי ב-Erlang SSH) מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ופועל בהן Erlang SSH, שפגיעות ל-CVE-2025-32433, פגם קריטי בהרצת קוד מרחוק שמנוצל באופן פעיל על ידי תוקפים.
עומס עבודה ב-GKE שחשוף חיצונית ופגיע ל-CVE-2023-46604 (RCE קריטי ב-Apache ActiveMQ, שנוצל בטבע) מזהה עומסי עבודה ב-GKE שחשופים חיצונית ומריצים Apache ActiveMQ שפגיע ל-CVE-2023-46604, פגם קריטי בהרצת קוד מרחוק בפרוטוקול OpenWire שמנוצל באופן פעיל על ידי תוקפים.
מכונת GCE חשופה חיצונית שפגיעה ל-CVE-2023-46604 (ביצוע קוד מרחוק (RCE) קריטי ב-Apache ActiveMQ, שנוצל באופן פעיל) מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ומריצות Apache ActiveMQ, שפגיעה ב-CVE-2023-46604, פגם קריטי בביצוע קוד מרחוק בפרוטוקול OpenWire, שמנוצל באופן פעיל על ידי תוקפים.
מופע GCE פגיע ל-CVE-2025-32463‏ (Sudo) עם ניצול ידוע מזהה מקרים של מכונות וירטואליות ב-GCE שפגיעות ל-CVE-2025-32463, פגם בהסלמת הרשאות מקומית ב-Sudo עם ניצול ידוע.
מופע GCE חשוף ל-CVE קריטי של Nvidia Container Toolkit‏ (CVE-2025-23266) מזהה מקרים של מכונות וירטואליות ב-GCE עם עומסי עבודה של GPU שחשופים ל-CVE-2025-23266, פגם קריטי בהסלמת הרשאות בערכת הכלים של NVIDIA לקונטיינרים.
מופע GCE שחשוף חיצונית ופגיע ל-CVE-2025-59287 בסיכון גבוה (ניצול בטבע, ביצוע קוד מרחוק קריטי ב-WSUS) מזהה מקרים של מכונות GCE שחשופות חיצונית ומריצות Windows WSUS, שפגיעות ל-CVE-2025-59287, פגם קריטי בהרצת קוד מרחוק שנוצל באופן פעיל על ידי תוקפים.
Vertex AI Workbench: CVE בסיכון גבוה זוהה CVE בסיכון גבוה במופע של סביבת עבודה של Gemini Enterprise Agent Platform. נקודת התורפה הזו מגבירה את הסיכון לגישה לא מורשית לסביבת הפיתוח, ועלולה לחשוף נתוני אימון וקוד מקור של מודלים לזליגה.
‫Vertex AI Workbench: CVE בסיכון גבוה, הרשאות מוגזמות מכונה של Vertex AI Workbench עם CVE בסיכון גבוה משתמשת בחשבון שירות עם הרשאות יתר. השילוב הזה מאפשר לתוקפים לנצל את הפגיעות כדי להרחיב את ההרשאות ולפגוע במשאבי ענן אחרים.
Agent Runtime: High-risk CVE, SA identity with access to high value resource via SA impersonation זוהה CVE בסיכון גבוה בסוכן AI שנפרס ב-Agent Runtime, שיכול להתחזות לחשבון שירות עם גישה למשאב קריטי. הפגיעות הזו מגדילה את הסיכון להעלאת רמת ההרשאות ולגישה לא מורשית למידע אישי רגיש או למערכות.
Agent Runtime: High-risk CVE, SA identity with access to resource with sensitive data via SA impersonation סוכן AI שנפרס ב-Agent Runtime עם CVE בסיכון גבוה מקבל גישה למשאב שמכיל מידע אישי רגיש באמצעות התחזות לחשבון שירות (SA). נקודת החולשה הזו מגבירה את הסיכון לגישה לנתונים לא מורשית, להסלמת הרשאות (privilege escalation) ולפוטנציאל של פרצה באבטחת מידע.
זמן ריצה של סוכן: CVE בסיכון גבוה, זהות SA עם גישה ישירה למשאב בעל ערך גבוה סוכן AI שנפרס בסביבת זמן ריצה של סוכנים עם CVE בסיכון גבוה, יש לו גישה ישירה למשאב בעל ערך גבוה, מה שמגדיל את הסבירות לניצול לרעה, לגישה לא מורשית ולפגיעה בנתונים.
Agent Runtime: CVE בסיכון גבוה, זהות SA עם גישה ישירה למשאב עם מידע אישי רגיש סוכן AI שנפרס ב-Agent Runtime עם CVE בסיכון גבוה, יש לו גישה ישירה למשאב שמכיל מידע אישי ורגיש. הפגיעות הזו מגדילה את הסיכון לגישה לא מורשית, לפרצות אבטחה ולהסלמת הרשאות.
Agent Runtime: High-risk CVE, SA identity with excessive direct permissions סוכן AI שנפרס ב-Agent Runtime עם CVE בסיכון גבוה, יש לו הרשאות ישירות מוגזמות למשאב אחר, מה שמגביר את הסיכון לגישה לא מורשית, להרחבת הרשאות ולפגיעה במשאב.
Agent Runtime: High-risk CVE, SA identity with excessive permissions via SA impersonation סוכן AI שנפרס ב-Agent Runtime עם CVE בסיכון גבוה, מקבל הרשאות מוגזמות למשאב אחר באמצעות התחזות לחשבון שירות (SA), מה שמגדיל את הסיכון להסלמת הרשאות ולגישה לא מורשית.
זמן ריצה של סוכן: CVE בסיכון גבוה, זהות SA עם יכולת התחזות ל-SA סוכן AI שנפרס ב-Agent Runtime עם CVE בסיכון גבוה יכול להתחזות לחשבון שירות אחר. הדבר מגדיל באופן משמעותי את הסיכון להעלאת רמת ההרשאה, לגישה לא מורשית ולפגיעה פוטנציאלית במשאבי ענן קריטיים.
קטגוריה של Cloud Storage: קטגוריה שנחשפת לציבור ומשמשת לפריסת Agent Runtime נעשה שימוש בקטגוריה של Cloud Storage שנחשפה לציבור כדי לפרוס סוכן AI ל-Agent Runtime. כך גדל הסיכון לדליפת קוד של סוכן ולהרעלת סוכן.

כללים של איומים מתואמים

התכונה 'איומים מתואמים' עוזרת לזהות דפוסי תקיפה שונים בכמה שלבים במשאבי הענן. בטבלה הבאה מוגדרים הכללים הזמינים של Correlated Threats.

כלל תיאור
אותות רבים של איומים שקשורים לתוכנה לכריית מטבעות וירטואליים חיפוש אותות שונים של תוכנות זדוניות שמגיעות מ Google Cloud מכונות וירטואליות, כולל מכונות וירטואליות של Compute Engine וצמתים של Google Kubernetes Engine‏ (GKE) (וה-Pods שלהם).

דוגמאות:

  • ‫VM Threat Detection מזהה תוכנית של מטבע קריפטוגרפי, ו-Event Threat Detection מזהה חיבורים לכתובות IP או לדומיינים של מטבעות קריפטוגרפיים מאותו VM.
  • הכלי זיהוי איומים בקונטיינר מזהה תוכנית שמשתמשת בפרוטוקול stratum של כריית מטבעות קריפטוגרפיים, והכלי Event Threat Detection מזהה חיבור לכתובת IP של כריית מטבעות קריפטוגרפיים מאותו צומת של Google Kubernetes Engine.
אותות רבים של איומים מתואמים של תוכנה זדונית חיפוש של כמה אותות נפרדים של תוכנה זדונית שמגיעה מ Google Cloud מכונות וירטואליות, כולל מכונות וירטואליות של Compute Engine וצמתים של GKE (וה-Pods שלהם) או Agent Runtime.

דוגמאות:

  • התכונה 'זיהוי איומים בקונטיינר' מזהה אם קובץ בינארי זדוני וסקריפט Python זדוני פועלים באותו Pod.
  • ‫Event Threat Detection מזהה מכונה וירטואלית שמתחברת לכתובת IP של תוכנה זדונית, ו-VM Threat Detection מזהה תוכנה זדונית בדיסק באותה מכונה וירטואלית.
  • זיהוי איומים ב-Agent Platform מזהה כתובת URL זדונית ו-Reverse Shell מאותו סוכן AI.
תנועה לרוחב של חשבון GCP שנפרץ למשאב מחשוב שנפרץ מחפשים הוכחות לקריאות חשודות ל-API של מחשוב (Compute Engine או GKE) שמשנות מכונה וירטואלית או Pod. לאחר מכן, הכלל מבצע קורלציה בין הפעילות הזו לבין פעילות זדונית שמקורה במשאב המחשוב בתוך פרק זמן קצר. תוקפים משתמשים בדרך כלל בדפוס התנועה הרוחבית הזה. הכלל הזה מציין שהמכונה הווירטואלית או ה-Pod כנראה נפרצו. הכלל הזה מציין גם ש Google Cloud החשבון (משתמש או חשבון שירות) עשוי להיות הגורם לפעילות הזדונית.

דוגמאות:

  • התכונה Event Threat Detection מזהה שמשתמש הוסיף מפתח SSH חדש למכונת Compute Engine, והתכונה VM Threat Detection מזהה כריית מטבעות קריפטוגרפיים שפועלת באותה מכונה.
  • ‫Event Threat Detection מזהה שחשבון שירות ניגש למופע באמצעות Compute Engine API מרשת Tor, ו-Event Threat Detection מזהה חיבורים לכתובת IP זדונית מאותו מופע.
  • התכונה Event Threat Detection מזהה שמשתמש יצר קונטיינר עם הרשאות מיוחדות, והתכונה 'זיהוי איומים בקונטיינר' מזהה שהקונטיינר ניגש לקבצים רגישים בצומת GKE מאותו Pod.

המאמרים הבאים