预定义检测规则

Security Command Center 提供内置的检测规则,用于识别云环境中的威胁、漏洞和错误配置。本文档介绍了安全图谱和相关威胁的预定义规则。

如需了解其他内置服务的规则和发现结果,请参阅 Event Threat Detection 规则VM Threat Detection 发现结果

预定义的安全图谱规则

安全图谱使用节点来识别云资源,例如资产、身份、应用和数据。图谱中的边表示这些资源之间的风险关系(根据检测规则)。发现关系风险时,安全图谱会生成一个问题。

Security Command Center 使用预定义的安全图谱规则来识别可能危及您的资源的问题。

下表定义了这些规则。您可以使用风险>问题信息中心调查创建的问题。

规则 说明
GCE 实例:高风险 CVE,通过服务账号模拟访问高价值资源 Compute Engine 实例上检测到高风险 CVE,该实例可以模拟一个能够访问关键资源的服务账号 (SA)。此漏洞会增加提权和未经授权访问敏感数据或系统的风险。
GCE 实例:高风险 CVE,通过服务账号模拟访问包含敏感数据的资源 存在高风险 CVE 的 Compute Engine 实例可以使用服务账号 (SA) 模拟访问包含敏感数据的资源。此漏洞会增加未经授权的数据访问、提权和潜在数据泄露的风险。
GCE 实例:高风险 CVE,直接访问高价值资源 存在高风险 CVE 的 Compute Engine 实例可直接访问高价值资源,从而增加被利用、未经授权访问和数据泄露的可能性。
GCE 实例:高风险 CVE,直接访问包含敏感数据的资源 存在高风险 CVE 的 Compute Engine 实例可以直接访问包含敏感数据的资源。此漏洞会增加未经授权的访问、数据泄露和提权的风险。
外部公开的 GCE 实例:高风险 CVE,存在可用的漏洞利用程序 一个 Compute Engine 实例已向外部公开,并受到一个存在已知漏洞利用程序的高风险 CVE 的影响。这会显著增加远程攻击、未经授权的访问和系统失陷的风险。
GCE 实例:高风险 CVE,能够模拟服务账号 一个 Compute Engine 实例受到高风险 CVE 的影响,并且能够模拟其他服务账号 (SA)。这会显著增加提权、未经授权的访问以及关键云资源遭到破坏的风险。
GCE 实例:高风险 CVE、过度的直接权限 具有高风险 CVE 的 Compute Engine 实例对其他资源具有直接的过度权限,从而增加了未经授权的访问、提权和资源泄露的风险。
GCE 实例:高风险 CVE,通过服务账号模拟获得过多权限 存在高风险 CVE 的 Compute Engine 实例通过服务账号 (SA) 模拟对另一资源具有过多权限,增加了提权和未经授权访问的风险。
外部公开的 GKE 工作负载:高风险 CVE,存在可用的漏洞利用程序 一个 GKE 工作负载已向外部公开,并受到一个存在已知漏洞利用程序的高风险 CVE 的影响。这会显著增加远程攻击、未经授权的访问和系统失陷的风险。
GKE 节点池:高风险公告,通过服务账号模拟访问高价值资源 一个 GKE 节点池能够模拟可授予高价值资源访问权限的服务账号 (SA)。这会增加提权、未经授权的访问和数据泄露的风险。
GKE 节点池:高风险公告,通过服务账号模拟访问包含敏感数据的资源 一个 GKE 节点池能够模拟可授予对包含敏感数据的资源访问权限的服务账号 (SA)。这会增加未经授权的访问、数据泄露和提权的风险。
GKE 节点池:高风险公告,直接访问高价值资源 一个 GKE 节点池可以直接访问高价值资源,从而增加未经授权的访问、提权和潜在数据泄露的风险。
GKE 节点池:高风险公告:直接访问包含敏感数据的资源 一个 GKE 节点池可以直接访问包含敏感数据的资源,从而增加未经授权的访问、数据泄露和提权的风险。
外部公开的 GKE 节点池:高风险公告 某个 GKE 节点池对外公开,且受高风险 CVE 影响。这会显著增加远程攻击、未经授权的访问和系统失陷的风险。
GKE 节点池:高风险公告,能够模拟服务账号 一个 GKE 节点池存在高风险公告,该节点池具有模拟其他服务账号 (SA) 的权限,从而增加了提权和未经授权访问关键资源的风险。
GKE 节点池:高风险公告,过度的直接权限 一个 GKE 节点池存在高风险公告,该节点池对另一资源拥有过多权限,从而向其授予了非预期的访问权限。这会增加提权、未经授权的访问和数据泄露的风险。
GKE 节点池:高风险公告,通过服务账号模拟获得过多权限 一个 GKE 节点池存在高风险公告,该节点池通过服务账号 (SA) 模拟对另一资源拥有过多权限,从而增加了提权和未经授权的访问风险。
具有未轮替密钥的服务账号拥有过多权限 一个服务账号正在使用具有过多权限的长期未轮替密钥,增加了凭证泄露、未经授权访问和提权的风险。
具有用户管理的密钥的服务账号拥有过多权限 具有用户管理的密钥和过多权限的服务账号会增加凭证泄露和提权的风险。
容易受到 CVE-2025-49844(Redis 中存在可用的漏洞利用程序,可执行关键远程代码)攻击的外部公开 GKE 工作负载 识别运行 Redis 且容易受到 CVE-2025-49844(一种存在已知漏洞利用程序的关键远程代码执行缺陷)攻击的外部公开 GKE 工作负载。
容易受到 CVE-2025-49844(Redis 中存在可用的漏洞利用程序,可执行关键远程代码)攻击的外部公开 GCE 实例 识别运行 Redis 且容易受到 CVE-2025-49844(一种存在已知漏洞利用程序的关键远程代码执行缺陷)攻击的外部公开 GCE 实例。
容易受到 CVE-2025-32433(Erlang SSH 中的严重 RCE)攻击的外部公开 GKE 工作负载 识别运行 Erlang SSH 且容易受到 CVE-2025-32433(一种被攻击者积极利用的关键远程代码执行缺陷)攻击的外部公开 GKE 工作负载。
容易受到 CVE-2025-32433(Erlang SSH 中的严重 RCE)攻击的外部公开 GCE 实例 识别运行 Erlang SSH 且容易受到 CVE-2025-32433(一种被攻击者积极利用的关键远程代码执行缺陷)攻击的外部公开 GCE 实例。
容易受到 CVE-2023-46604(Apache ActiveMQ 中存在严重的 RCE,已在真实环境中被利用)攻击的外部公开 GKE 工作负载 识别运行 Apache ActiveMQ 且容易受到 CVE-2023-46604(OpenWire 协议中的一种被攻击者积极利用的关键远程代码执行缺陷)攻击的外部公开 GKE 工作负载。
容易受到 CVE-2023-46604(Apache ActiveMQ 中的严重 RCE,已在真实环境中被利用)攻击的外部公开 GCE 实例 识别运行 Apache ActiveMQ 且容易受到 CVE-2023-46604(OpenWire 协议中的一种被攻击者积极利用的关键远程代码执行缺陷)攻击的外部公开 GCE 实例。
容易受到 CVE-2025-32463 (Sudo) 的攻击且存在已知漏洞利用程序的 GCE 实例 识别容易受到 CVE-2025-32463(Sudo 中一种存在已知漏洞利用程序的本地提权缺陷)攻击的 GCE 实例。
容易受到严重的 Nvidia 容器工具包 CVE (CVE-2025-23266) 攻击的 GCE 实例 识别使用 GPU 工作负载且容易受到 CVE-2025-23266(NVIDIA 容器工具包中一种严重提权缺陷)攻击的 GCE 实例。
容易受到高风险 CVE-2025-59287(已在真实环境中利用,可在 WSUS 中执行关键远程代码)攻击的外部公开 GCE 实例 识别运行 Windows WSUS 且容易受到 CVE-2025-59287 (一种被攻击者积极利用的关键远程代码执行缺陷)攻击的外部公开 GCE 实例。
Vertex AI Workbench:高风险 CVE 在 Gemini Enterprise Agent Platform Workbench 实例上检测到高风险 CVE。此漏洞会增加未经授权访问开发环境的风险,可能会导致训练数据和模型源代码被渗漏。
Vertex AI Workbench:高风险 CVE,权限过高 存在高风险 CVE 的 Vertex AI Workbench 实例正在使用权限过高的服务账号。这种组合使攻击者能够利用该漏洞来提升权限并入侵其他云资源。
代理运行时:高风险 CVE,通过服务账号模拟访问高价值资源的服务账号身份 在部署到 Agent Runtime 的 AI 代理上检测到高风险 CVE,该代理可以模拟一个能够访问关键资源的服务账号。此漏洞会增加提权和未经授权访问敏感数据或系统的风险。
代理运行时:高风险 CVE,通过服务账号模拟访问包含敏感数据的资源的服务账号身份 部署到代理运行时且存在高风险 CVE 的 AI 智能体可以通过服务账号 (SA) 模拟访问包含敏感数据的资源。此漏洞会增加未经授权的数据访问权限、提升权限和潜在数据泄露的风险。
代理运行时:高风险 CVE,服务账号身份可以直接访问高价值资源 部署到 Agent Runtime 且存在高风险 CVE 的 AI 智能体可以直接访问高价值资源,从而增加被利用、未经授权访问和数据泄露的可能性。
代理运行时:高风险 CVE,服务账号身份可以直接访问包含敏感数据的资源 部署到 Agent Runtime 且存在高风险 CVE 的 AI 智能体可以直接访问包含敏感数据的资源。此漏洞会增加未经授权的访问、数据泄露和提权的风险。
代理运行时:高风险 CVE,服务账号身份具有过多的直接权限 部署到代理运行时且存在高风险 CVE 的 AI 代理对其他资源具有直接的过度权限,从而增加了未经授权的访问、提权和资源泄露的风险。
代理运行时:高风险 CVE,通过服务账号模拟获得过多权限的服务账号身份 部署到代理运行时且存在高风险 CVE 的 AI 代理通过服务账号 (SA) 模拟对另一资源具有过多权限,增加了提权和未经授权访问的风险。
代理运行时:高风险 CVE,能够模拟服务账号的服务账号身份 部署到 Agent Runtime 且存在高风险 CVE 的 AI 代理能够模拟其他服务账号。这会显著增加提权、未经授权的访问以及关键云资源遭到破坏的风险。
Cloud Storage 存储桶:用于代理运行时部署的公开存储桶 公开暴露的 Cloud Storage 存储分区用于将 AI 代理部署到代理运行时。这会增加代理代码泄露和代理中毒的风险。

关联威胁规则

关联威胁功能有助于识别云资源中的各种多阶段攻击模式。下表定义了可用的关联威胁规则。

规则 说明
加密货币挖矿软件的多个关联威胁信号 查找来自 Google Cloud 虚拟机的恶意软件的多个不同信号,这些虚拟机包括 Compute Engine 虚拟机和 Google Kubernetes Engine (GKE) 节点(及其 Pod)。

示例如下:

  • VM Threat Detection 检测到加密货币程序,而 Event Threat Detection 检测到同一虚拟机与加密货币 IP 地址或网域的连接。
  • Container Threat Detection 检测到某个程序正在使用加密货币挖矿 stratum 协议,而 Event Threat Detection 检测到同一 Google Kubernetes Engine 节点与加密货币挖矿 IP 地址的连接。
恶意软件的多个关联威胁信号 查找来自 Google Cloud虚拟机的多个不同恶意软件信号,这些虚拟机包括 Compute Engine 虚拟机和 GKE 节点(及其 Pod)或 Agent Runtime。

示例如下:

  • Container Threat Detection 会检测同一 Pod 中是否同时运行了恶意二进制文件和恶意 Python 脚本。
  • Event Threat Detection 检测到某个虚拟机正在连接恶意软件 IP 地址,而 VM Threat Detection 在同一虚拟机的磁盘上检测到恶意软件。
  • Agent Platform Threat Detection 检测到同一 AI Agent 中的恶意网址和反向 Shell。
可能遭入侵的 GCP 账号横向移动到遭入侵的计算资源 查找对计算 API(Compute Engine 或 GKE)进行了可疑调用以修改虚拟机或 Pod 的相关证据。然后,该规则会将该活动与计算资源在短期内发生的恶意活动相关联。 攻击者通常会使用这种横向移动模式。此规则表明虚拟机或 Pod 可能已遭入侵。此规则还表明, Google Cloud 账号(用户账号或服务账号)可能是恶意活动的根源。

示例如下:

  • Event Threat Detection 检测到用户向 Compute Engine 实例添加了新的 SSH 密钥,而 VM Threat Detection 检测到同一实例上运行着加密货币挖矿程序。
  • Event Threat Detection 检测到服务账号通过 Compute Engine API 从 Tor 网络访问了某个实例,并且 Event Threat Detection 检测到同一实例与恶意 IP 地址建立了连接。
  • Event Threat Detection 检测到用户创建了一个特权容器,而 Container Threat Detection 从同一 Pod 中检测到该容器访问了 GKE 节点上的敏感文件。

后续步骤