Security Command Center fornisce regole di rilevamento integrate per identificare minacce, vulnerabilità ed errori di configurazione nel tuo ambiente cloud. Questo documento descrive le regole predefinite per il grafo di sicurezza e le minacce correlate.
Per informazioni sulle regole e sui risultati di altri servizi integrati, vedi Regole di Event Threat Detection e Risultati di VM Threat Detection.
Regole predefinite del grafico di sicurezza
Il grafo di sicurezza utilizza i nodi per identificare le risorse cloud come asset, identità, applicazioni e dati. Gli archi nel grafo rappresentano le relazioni di rischio tra queste risorse in base alle regole di rilevamento. Quando viene rilevato un rischio di relazione, il grafo di sicurezza genera un problema.
Security Command Center utilizza regole del grafico di sicurezza predefinite per identificare i problemi che potrebbero compromettere le tue risorse.
La tabella seguente definisce queste regole. Esamina i problemi creati utilizzando la dashboard Problemi >relativi al rischio.
| Regola | Descrizione |
|---|---|
| Istanza GCE: CVE ad alto rischio, accesso a risorse di alto valore tramite rappresentazione dell'account di servizio | È stata rilevata una CVE ad alto rischio su un'istanza Compute Engine che può rappresentare un account di servizio (SA) con accesso a una risorsa critica. Questa vulnerabilità aumenta il rischio di escalation dei privilegi e di accesso non autorizzato a dati o sistemi sensibili. |
| Istanza GCE: CVE ad alto rischio, accesso alla risorsa con dati sensibili tramite la simulazione dell'identità del service account | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso a una risorsa contenente dati sensibili utilizzando la rappresentazione account di servizio (SA). Questa vulnerabilità aumenta il rischio di accesso non autorizzato ai dati, escalation dei privilegi e potenziali violazioni dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto a risorse di alto valore | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa di alto valore, aumentando la probabilità di sfruttamento, accesso non autorizzato e compromissione dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto alla risorsa con dati sensibili | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa contenente dati sensibili. Questa vulnerabilità aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Istanza GCE esposta esternamente: CVE ad alto rischio, exploit disponibile | Un'istanza Compute Engine è esposta esternamente e interessata da una CVE ad alto rischio con un exploit noto. Ciò aumenta in modo significativo il rischio di attacchi remoti, accessi non autorizzati e compromissione del sistema. |
| Istanza GCE: CVE ad alto rischio, possibilità di rappresentare un SA | Un'istanza Compute Engine è interessata da una CVE ad alto rischio e ha la possibilità di rappresentare un altro account di servizio (SA). Ciò aumenta notevolmente il rischio di escalation dei privilegi, accesso non autorizzato e potenziale compromissione di risorse cloud critiche. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni dirette eccessive | Un'istanza Compute Engine con una CVE ad alto rischio dispone di autorizzazioni eccessive dirette su un'altra risorsa, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e compromissione delle risorse. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni eccessive tramite rappresentazione dell'account di servizio | Un'istanza Compute Engine con una CVE ad alto rischio ha autorizzazioni eccessive su un'altra risorsa tramite l'impersonificazione del account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Workload GKE esposto esternamente: CVE ad alto rischio, exploit disponibile | Un workload GKE è esposto esternamente e interessato da una CVE ad alto rischio con un exploit noto. Ciò aumenta in modo significativo il rischio di attacchi remoti, accessi non autorizzati e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, accesso a risorse di alto valore tramite l'imitazione dell'account di servizio | Un pool di nodi GKE ha la possibilità di assumere l'identità di un account di servizio (SA) che concede l'accesso a una risorsa di alto valore. Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato e compromissione dei dati. |
| Node pool GKE: bollettino ad alto rischio, accesso alla risorsa con dati sensibili tramite la simulazione dell'identità del service account | Un pool di nodi GKE ha la possibilità di simulare l'identità di un account di servizio (SA) che concede l'accesso a una risorsa contenente dati sensibili. Ciò aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Node pool GKE: bollettino ad alto rischio, accesso diretto a risorse di alto valore | Un pool di nodi GKE ha accesso diretto a una risorsa di alto valore, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e potenziale compromissione dei dati. |
| Pool di nodi GKE: bollettino ad alto rischio, accesso diretto alla risorsa con dati sensibili | Un pool di nodi GKE ha accesso diretto a una risorsa contenente dati sensibili, aumentando il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Node pool GKE esposto esternamente: bollettino ad alto rischio | Un pool di nodi GKE è esposto esternamente e interessato da una CVE ad alto rischio. Ciò aumenta in modo significativo il rischio di attacchi da remoto, accessi non autorizzati e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, possibilità di rappresentare un service account | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone delle autorizzazioni per rappresentare un altroaccount di serviziot (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato a risorse critiche. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni dirette eccessive | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa, concedendogli un accesso non intenzionale. Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato ed esposizione dei dati. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni eccessive tramite l'impersonificazione dell'account di servizio | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa tramite l'impersonificazione del account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Il service account con chiave non ruotata dispone di autorizzazioni eccessive | Un account di servizio utilizza una chiave a lunga durata e non sottoposta a rotazione con autorizzazioni eccessive, aumentando il rischio di compromissione delle credenziali, accesso non autorizzato ed escalation dei privilegi. |
| Il service account con chiave gestita dall'utente dispone di autorizzazioni eccessive | Un account di servizio con chiavi gestite dall'utente e autorizzazioni eccessive, il che aumenta il rischio di compromissione delle credenziali e escalation dei privilegi. |
| Workload GKE esposto esternamente vulnerabile alla CVE-2025-49844 (exploit disponibile, esecuzione di codice remoto critica in Redis) | Identifica i workload GKE esposti esternamente che eseguono Redis vulnerabile alla CVE-2025-49844, un difetto di esecuzione di codice remoto critico con un exploit noto. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-49844 (exploit disponibile, esecuzione di codice da remoto critica in Redis) | Identifica le istanze GCE esposte esternamente che eseguono Redis e sono vulnerabili alla CVE-2025-49844, un difetto di esecuzione di codice remoto critico con un exploit noto. |
| Workload GKE esposto esternamente vulnerabile a CVE-2025-32433 (RCE critica in Erlang SSH) | Identifica i carichi di lavoro GKE esposti esternamente che eseguono Erlang SSH e che sono vulnerabili alla CVE-2025-32433, un difetto critico di esecuzione di codice remoto sfruttato attivamente dagli autori degli attacchi. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-32433 (RCE critica in Erlang SSH) | Identifica le istanze GCE esposte esternamente che eseguono Erlang SSH e sono vulnerabili a CVE-2025-32433, un difetto di esecuzione di codice remoto critico sfruttato attivamente dagli autori degli attacchi. |
| Workload GKE esposto esternamente vulnerabile alla CVE-2023-46604 (RCE critica in Apache ActiveMQ, sfruttata in natura) | Identifica i carichi di lavoro GKE esposti esternamente che eseguono Apache ActiveMQ vulnerabile alla CVE-2023-46604, un difetto di esecuzione di codice da remoto critico nel protocollo OpenWire sfruttato attivamente dagli aggressori. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2023-46604 (RCE critica in Apache ActiveMQ, sfruttata in natura selvaggia) | Identifica le istanze GCE esposte esternamente che eseguono Apache ActiveMQ vulnerabile alla CVE-2023-46604, un difetto di esecuzione di codice remoto critico nel protocollo OpenWire sfruttato attivamente dagli autori degli attacchi. |
| Istanza GCE vulnerabile a CVE-2025-32463 (Sudo) con exploit noto | Identifica le istanze GCE vulnerabili a CVE-2025-32463, un difetto di escalation dei privilegi locali in Sudo con un exploit noto. |
| Istanza GCE vulnerabile alla CVE critica del toolkit del container Nvidia (CVE-2025-23266) | Identifica le istanze GCE che utilizzano carichi di lavoro GPU vulnerabili alla CVE-2025-23266, un difetto critico di escalation dei privilegi nel toolkit del container NVIDIA. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-59287 ad alto rischio (sfruttata in natura, esecuzione di codice remoto critica in WSUS) | Identifica le istanze GCE esposte esternamente che eseguono Windows WSUS vulnerabili a CVE-2025-59287, un difetto di esecuzione di codice remoto critico sfruttato attivamente dagli autori degli attacchi. |
| Vertex AI Workbench: CVE ad alto rischio | È stata rilevata una CVE ad alto rischio in un'istanza Gemini Enterprise Agent Platform Workbench. Questa vulnerabilità aumenta il rischio di accesso non autorizzato all'ambiente di sviluppo, esponendo potenzialmente i dati di addestramento e il codice sorgente del modello all'esfiltrazione. |
| Vertex AI Workbench: CVE ad alto rischio, autorizzazioni eccessive | Un'istanza di Vertex AI Workbench con una CVE ad alto rischio utilizza un account di serviziot con privilegi eccessivi. Questa combinazione consente agli autori degli attacchi di sfruttare la vulnerabilità per aumentare i privilegi e compromettere altre risorse cloud. |
| Agent Runtime: CVE ad alto rischio, identità SA con accesso a risorse di alto valore tramite l'imitazione di SA | È stata rilevata una CVE ad alto rischio in un AI Agent di cui è stato eseguito il deployment in Agent Runtime che può rappresentare un service account con accesso a una risorsa critica. Questa vulnerabilità aumenta il rischio di escalation dei privilegi e di accesso non autorizzato a dati o sistemi sensibili. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con accesso alla risorsa con dati sensibili tramite la simulazione dell'identità SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso a una risorsa contenente dati sensibili tramite l'impersonificazione del account di servizio (SA). Questa vulnerabilità aumenta il rischio di accesso ai dati non autorizzato, escalation dei privilegi e potenziali violazioni dei dati. |
| Agent Runtime: CVE ad alto rischio, identità SA con accesso diretto a risorse di alto valore | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso diretto a una risorsa di alto valore, aumentando la probabilità di sfruttamento, accesso non autorizzato e compromissione dei dati. |
| Agent Runtime: CVE ad alto rischio, identità SA con accesso diretto alla risorsa con dati sensibili | Un AI Agent di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso diretto a una risorsa contenente dati sensibili. Questa vulnerabilità aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con autorizzazioni dirette eccessive | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio dispone di autorizzazioni eccessive dirette su un'altra risorsa, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e compromissione delle risorse. |
| Agent Runtime: CVE ad alto rischio, identità SA con autorizzazioni eccessive tramite rappresentazione SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio dispone di autorizzazioni eccessive su un'altra risorsa tramite l'impersonificazione del service account (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Agent Runtime: High-risk CVE, SA identity with ability to impersonate SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha la possibilità di simulare l'identità di un altroaccount di serviziot. Ciò aumenta notevolmente il rischio di escalation dei privilegi, accesso non autorizzato e potenziale compromissione di risorse cloud critiche. |
| Bucket Cloud Storage: bucket esposto pubblicamente utilizzato per il deployment di Agent Runtime | È stato utilizzato un bucket Cloud Storage esposto pubblicamente per il deployment di AI Agent to Agent Runtime. In questo modo aumenta il rischio di perdita del codice dell'agente e di avvelenamento dell'agente. |
Regole relative alle minacce correlate
Le minacce correlate aiutano a identificare vari pattern di attacco multifase nelle risorse cloud. La tabella seguente definisce le regole per le minacce correlate disponibili.
| Regola | Descrizione |
|---|---|
| Più indicatori di minaccia correlati del software di mining di criptovalute |
Cerca più segnali distinti di software dannoso provenienti da
macchine virtuali Google Cloud , tra cui VM di Compute Engine e
nodi Google Kubernetes Engine (GKE) (e i relativi pod).
Alcuni esempi sono:
|
| Più indicatori di minacce correlate di software dannoso |
Cerca più segnali distinti di software dannoso provenienti da macchine virtuali, incluse le VM Compute Engine e i nodi GKE (e i relativi pod) o Agent Runtime. Google Cloud
Alcuni esempi sono:
|
| Movimento laterale dell'account GCP potenzialmente compromesso alla risorsa di computing compromessa |
Cerca prove di chiamate sospette alle API Compute (Compute Engine o
GKE) che modificano una VM o un pod. La regola correla quindi questa attività con
attività dannose che hanno origine dalla risorsa di calcolo in un breve periodo.
Gli autori degli attacchi utilizzano spesso questo pattern di movimento laterale. Questa regola indica che la VM o
il pod è probabilmente compromesso. Questa regola indica anche che l'account Google Cloud
(utente o account di servizio) potrebbe essere la causa dell'attività dannosa.
Alcuni esempi sono:
|
Passaggi successivi
- Gestire e risolvere i problemi
- Esamina le minacce correlate
- Regole di Event Threat Detection
- Risultati di VM Threat Detection