Regras de detecção predefinidas

O Security Command Center oferece regras de detecção integradas para identificar ameaças, vulnerabilidades e configurações incorretas em todo o ambiente de nuvem. Este documento descreve as regras predefinidas para o gráfico de segurança e as ameaças correlacionadas.

Para informações sobre regras e descobertas de outros serviços integrados, consulte Regras do Event Threat Detection e Descobertas da VM Threat Detection.

Regras predefinidas do gráfico de segurança

O gráfico de segurança usa nós para identificar recursos de nuvem, como ativos, identidades, aplicativos e dados. As arestas no gráfico representam relações de risco entre esses recursos de acordo com as regras de detecção. Quando um risco de relacionamento é descoberto, o gráfico de segurança gera um problema.

O Security Command Center usa regras predefinidas do gráfico de segurança para identificar problemas que podem comprometer seus recursos.

A tabela a seguir define essas regras. Você investiga os problemas criados usando o painel Risco > Problemas.

Regra Descrição
Instância do GCE: CVE de alto risco, acesso a recursos de alto valor via representação de SA Um CVE de alto risco foi detectado em uma instância do Compute Engine que pode se passar por uma conta de serviço (SA) com acesso a um recurso crítico. Essa vulnerabilidade aumenta o risco de escalonamento de privilégios e acesso não autorizado a dados ou sistemas sensíveis.
Instância do GCE: CVE de alto risco, acesso a recursos com dados sensíveis por falsificação de identidade da SA Uma instância do Compute Engine com um CVE de alto risco tem acesso a um recurso que contém dados sensíveis usando a representação da conta de serviço (SA). Essa vulnerabilidade aumenta o risco de acesso não autorizado aos dados, escalonamento de privilégios e possíveis violações de dados.
Instância do GCE: CVE de alto risco, acesso direto a recursos de alto valor Uma instância do Compute Engine com um CVE de alto risco tem acesso direto a um recurso de alto valor, aumentando a probabilidade de exploração, acesso não autorizado e comprometimento de dados.
Instância do GCE: CVE de alto risco, acesso direto ao recurso com dados sensíveis Uma instância do Compute Engine com um CVE de alto risco tem acesso direto a um recurso que contém dados sensíveis. Essa vulnerabilidade aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Instância do GCE exposta externamente: CVE de alto risco, exploit disponível Uma instância do Compute Engine está exposta externamente e é afetada por uma CVE de alto risco com uma exploração conhecida. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Instância do GCE: CVE de alto risco, capacidade de representar uma SA Uma instância do Compute Engine é afetada por um CVE de alto risco e pode personificar outra conta de serviço (SA). Isso aumenta significativamente o risco de escalonamento de privilégios, acesso não autorizado e possível comprometimento de recursos essenciais da nuvem.
Instância do GCE: CVE de alto risco, permissões diretas excessivas Uma instância do Compute Engine com um CVE de alto risco tem permissões diretas e excessivas em outro recurso, aumentando o risco de acesso não autorizado, escalonamento de privilégios e comprometimento de recursos.
Instância do GCE: CVE de alto risco, permissões excessivas por representação de SA Uma instância do Compute Engine com um CVE de alto risco tem permissões excessivas em outro recurso por meio da personificação de conta de serviço (SA, na sigla em inglês), aumentando o risco de escalonamento de privilégios e acesso não autorizado.
Carga de trabalho do GKE exposta externamente: CVE de alto risco, exploração disponível Uma carga de trabalho do GKE está exposta externamente e é afetada por um CVE de alto risco com um exploit conhecido. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Boletim de alto risco do pool de nós do GKE: acesso a recursos de alto valor por representação de conta de serviço Um pool de nós do GKE pode personificar uma conta de serviço (SA, na sigla em inglês) que concede acesso a um recurso de alto valor. Isso aumenta o risco de escalonamento de privilégios, acesso não autorizado e comprometimento de dados.
Pool de nós do GKE: boletim de alto risco, acesso a recursos com dados sensíveis via falsificação de identidade de SA Um pool de nós do GKE pode representar uma conta de serviço (SA, na sigla em inglês) que concede acesso a um recurso com dados sensíveis. Isso aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Boletim de alto risco do pool de nós do GKE: acesso direto a recursos de alto valor Um pool de nós do GKE tem acesso direto a um recurso de alto valor, aumentando o risco de acesso não autorizado, escalonamento de privilégios e possível comprometimento de dados.
Pool de nós do GKE: boletim de alto risco, acesso direto a recursos com dados sensíveis Um pool de nós do GKE tem acesso direto a um recurso que contém dados sensíveis, aumentando o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Boletim de alto risco: pool de nós do GKE exposto externamente Um pool de nós do GKE está exposto externamente e é afetado por uma CVE de alto risco. Isso aumenta muito o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Pool de nós do GKE: boletim de alto risco, capacidade de representar uma SA Há um boletim de alto risco em um pool de nós do GKE que tem permissões para simular outra conta de serviço (SA), aumentando o risco de escalonamento de privilégios e acesso não autorizado a recursos críticos.
Boletim de alto risco do pool de nós do GKE: permissões diretas excessivas Há um boletim de alto risco em um pool de nós do GKE com permissões excessivas em outro recurso, concedendo acesso indevido. Isso aumenta o risco de escalonamento de privilégios, acesso não autorizado e exposição de dados.
Boletim de alto risco do pool de nós do GKE: permissões excessivas por representação de SA Há um boletim de alto risco em um pool de nós do GKE que tem permissões excessivas em outro recurso por meio da representação de conta de serviço (SA, na sigla em inglês), aumentando o risco de escalonamento de privilégios e acesso não autorizado.
A conta de serviço com chave não rotacionada tem permissões excessivas Uma conta de serviço está usando uma chave de longa duração e não rotacionada com permissões excessivas, aumentando o risco de comprometimento de credenciais, acesso não autorizado e escalonamento de privilégios.
A conta de serviço com chave gerenciada pelo usuário tem permissões excessivas Uma conta de serviço com chaves gerenciadas pelo usuário e permissões excessivas, o que aumenta o risco de vazamento de credenciais e escalonamento de privilégios.
Carga de trabalho do GKE exposta externamente vulnerável a CVE-2025-49844 (exploit disponível, execução de código remoto crítico no Redis) Identifica cargas de trabalho do GKE expostas externamente que executam o Redis e estão vulneráveis ao CVE-2025-49844, uma falha crítica de execução remota de código com uma exploração conhecida.
Instância do GCE exposta externamente vulnerável a CVE-2025-49844 (exploit disponível, execução remota de código crítica no Redis) Identifica instâncias do GCE expostas externamente que executam o Redis e estão vulneráveis ao CVE-2025-49844, uma falha crítica de execução remota de código com uma exploração conhecida.
Carga de trabalho do GKE exposta externamente vulnerável a CVE-2025-32433 (RCE crítico em Erlang SSH) Identifica cargas de trabalho do GKE expostas externamente que executam Erlang SSH e estão vulneráveis à CVE-2025-32433, uma falha crítica de execução de código remoto explorada ativamente por invasores.
Instância do GCE exposta externamente vulnerável a CVE-2025-32433 (RCE crítica em Erlang SSH) Identifica instâncias do GCE expostas externamente que executam o Erlang SSH e estão vulneráveis ao CVE-2025-32433, uma falha crítica de execução remota de código explorada ativamente por invasores.
Carga de trabalho do GKE exposta externamente vulnerável à CVE-2023-46604 (RCE crítica no Apache ActiveMQ, explorada em ambiente de produção) Identifica cargas de trabalho do GKE expostas externamente que executam o Apache ActiveMQ vulnerável à CVE-2023-46604, uma falha crítica de execução de código remoto no protocolo OpenWire que é explorada ativamente por invasores.
Instância do GCE exposta externamente vulnerável à CVE-2023-46604 (RCE crítica no Apache ActiveMQ, explorada em ambiente de produção) Identifica instâncias do GCE expostas externamente que executam o Apache ActiveMQ vulnerável à CVE-2023-46604, uma falha crítica de execução remota de código no protocolo OpenWire que é explorada ativamente por invasores.
Instância do GCE vulnerável à CVE-2025-32463 (Sudo) com exploit conhecido Identifica instâncias do GCE vulneráveis à CVE-2025-32463, uma falha de escalonamento de privilégios locais no Sudo com um exploit conhecido.
Instância do GCE vulnerável a CVE crítico do kit de ferramentas de contêineres da Nvidia (CVE-2025-23266) Identifica instâncias do GCE que usam cargas de trabalho de GPU vulneráveis ao CVE-2025-23266, uma falha crítica de escalonamento de privilégios no NVIDIA Container Toolkit.
Instância do GCE exposta externamente e vulnerável a CVE-2025-59287 de alto risco (explorado em ambiente real, execução de código remoto crítica no WSUS) Identifica instâncias do GCE expostas externamente que executam o WSUS do Windows e estão vulneráveis ao CVE-2025-59287, uma falha crítica de execução remota de código explorada ativamente por invasores.
Vertex AI Workbench: CVE de alto risco Um CVE de alto risco foi detectado em uma instância do Workbench da Gemini Enterprise Agent Platform. Essa vulnerabilidade aumenta o risco de acesso não autorizado ao ambiente de desenvolvimento, expondo potencialmente dados de treinamento e código-fonte do modelo à exfiltração.
Vertex AI Workbench: CVE de alto risco, permissões excessivas Uma instância do Vertex AI Workbench com um CVE de alto risco está usando uma conta de serviço com privilégios excessivos. Essa combinação permite que os invasores explorem a vulnerabilidade para aumentar os privilégios e comprometer outros recursos da nuvem.
Agent Runtime: CVE de alto risco, identidade de SA com acesso a recursos de alto valor por representação de SA Um CVE de alto risco foi detectado em um agente de IA implantado no Agent Runtime que pode se passar por uma conta de serviço com acesso a um recurso crítico. Essa vulnerabilidade aumenta o risco de escalonamento de privilégios e acesso não autorizado a dados ou sistemas sensíveis.
Agent Runtime: CVE de alto risco, identidade de SA com acesso a recursos com dados sensíveis por falsificação de identidade de SA Um agente de IA implantado no tempo de execução do agente com um CVE de alto risco tem acesso a um recurso que contém dados sensíveis por meio da representação de uma conta de serviço (SA). Essa vulnerabilidade aumenta o risco de acesso aos dados não autorizado, escalonamento de privilégios e possíveis violações de dados.
Agent Runtime: CVE de alto risco, identidade de SA com acesso direto a recursos de alto valor Um agente de IA implantado no Agent Runtime com um CVE de alto risco tem acesso direto a um recurso de alto valor, aumentando a probabilidade de exploração, acesso não autorizado e comprometimento de dados.
Agent Runtime: CVE de alto risco, identidade de SA com acesso direto a recursos com dados sensíveis Um agente de IA implantado no Agent Runtime com uma CVE de alto risco tem acesso direto a um recurso que contém dados sensíveis. Essa vulnerabilidade aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Tempo de execução do agente: CVE de alto risco, identidade de SA com permissões diretas excessivas Um agente de IA implantado no tempo de execução do agente com um CVE de alto risco tem permissões diretas excessivas em outro recurso, aumentando o risco de acesso não autorizado, escalonamento de privilégios e comprometimento de recursos.
Agent Runtime: CVE de alto risco, identidade de SA com permissões excessivas por representação de SA Um agente de IA implantado no tempo de execução do agente com um CVE de alto risco tem permissões excessivas em outro recurso por meio da personificação de conta de serviço (SA, na sigla em inglês), aumentando o risco de escalonamento de privilégios e acesso não autorizado.
Agent Runtime: CVE de alto risco, identidade de SA com capacidade de simular SA Um agente de IA implantado no ambiente de execução do agente com um CVE de alto risco pode representar outra conta de serviço. Isso aumenta significativamente o risco de escalonamento de privilégios, acesso não autorizado e possível comprometimento de recursos essenciais da nuvem.
Bucket do Cloud Storage: bucket exposto publicamente usado para implantação do tempo de execução do agente Um bucket do Cloud Storage exposto publicamente foi usado para implantar o agente de IA no tempo de execução do agente. Isso aumenta o risco de vazamento e envenenamento do código do agente.

Regras de ameaças correlacionadas

As ameaças correlacionadas ajudam a identificar vários padrões de ataque de vários estágios em recursos da nuvem. A tabela a seguir define as regras de ameaças correlacionadas disponíveis.

Regra Descrição
Vários indicadores de ameaças correlacionados de software de mineração de criptomoedas Procure vários indicadores distintos de software malicioso provenientes de máquinas virtuais Google Cloud , incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os pods deles).

Os exemplos incluem:

  • A VM Threat Detection detecta um programa de criptomoedas, e a Event Threat Detection detecta conexões com endereços IP ou domínios de criptomoedas da mesma VM.
  • O Detecção de Ameaças em Contêiner detecta um programa que está usando o protocolo stratum de mineração de criptomoedas e o Event Threat Detection detecta uma conexão com um endereço IP de mineração de criptomoedas do mesmo nó do Google Kubernetes Engine.
Vários indicadores de ameaças correlacionados de software malicioso Procure vários sinais distintos de software malicioso provenientes de máquinas virtuais do Google Cloud, incluindo VMs do Compute Engine e nós do GKE (e os pods deles) ou o Agent Runtime.

Os exemplos incluem:

  • A Detecção de Ameaças em Contêiner detecta se um binário mal-intencionado e um script Python mal-intencionado estão sendo executados no mesmo pod.
  • O Event Threat Detection detecta uma VM que está se conectando a um endereço IP de malware, e o VM Threat Detection detecta malware no disco na mesma VM.
  • A detecção de ameaças da Agent Platform detecta um URL malicioso e um shell reverso do mesmo agente de IA.
Movimentação lateral de uma conta do GCP potencialmente comprometida para um recurso de computação comprometido Procure evidências de chamadas suspeitas para APIs de computação (Compute Engine ou GKE) que modificam uma VM ou um pod. Em seguida, a regra correlaciona essa atividade com atividades maliciosas originadas do recurso de computação em um curto período. Os invasores costumam usar esse padrão de movimentação lateral. Essa regra indica que a VM ou o pod provavelmente está comprometido. Essa regra também indica que a conta Google Cloud (de usuário ou de conta de serviço) pode ser a causa da atividade maliciosa.

Por exemplo:

  • O Event Threat Detection detecta que um usuário adicionou uma nova chave SSH a uma instância do Compute Engine, e a VM Threat Detection detecta um minerador de criptomoedas em execução na mesma instância.
  • O Event Threat Detection detecta que uma conta de serviço acessou uma instância usando a API Compute Engine na rede Tor, e o Event Threat Detection detecta conexões com um endereço IP malicioso da mesma instância.
  • O Event Threat Detection detecta que um usuário criou um contêiner privilegiado e a Detecção de Ameaças em Contêiner detecta que o contêiner acessou arquivos sensíveis no nó do GKE do mesmo pod.

A seguir