Security Command Center 提供內建的偵測規則,可找出雲端環境中的威脅、安全漏洞和錯誤設定。本文說明安全圖譜的預先定義規則和相關威脅。
如要瞭解其他內建服務的規則和發現項目,請參閱「Event Threat Detection 規則」和「VM Threat Detection 發現項目」。
預先定義的安全圖譜規則
安全圖譜會使用節點識別雲端資源,例如資產、身分識別、應用程式和資料。圖中的邊緣代表這些資源之間的風險關係 (根據偵測規則)。發現關係風險時,安全圖譜會產生問題。
Security Command Center 會使用預先定義的安全圖表規則,找出可能危害資源的問題。
下表定義這些規則。您可以使用「風險」> 問題資訊主頁,調查建立的問題。
| 規則 | 說明 |
|---|---|
| GCE 執行個體:高風險 CVE,透過 SA 模擬存取高價值資源 | 系統在 Compute Engine 執行個體上偵測到高風險 CVE,該執行個體可以模擬有權存取重要資源的服務帳戶 (SA)。這項安全漏洞會增加權限提升的風險,以及未經授權存取機密資料或系統的風險。 |
| GCE 執行個體:高風險 CVE,可透過 SA 模擬功能存取含有敏感資料的資源 | 有高風險 CVE 的 Compute Engine 執行個體可透過服務帳戶 (SA) 模擬,存取含有機密資料的資源。這項安全漏洞會增加未經授權存取資料、提權和資料侵害的風險。 |
| GCE 執行個體:高風險 CVE,可直接存取高價值資源 | 如果 Compute Engine 執行個體有高風險 CVE,就能直接存取高價值資源,因此遭到濫用、未經授權存取及資料遭盜用的可能性會增加。 |
| GCE 執行個體:高風險 CVE,可直接存取含有敏感資料的資源 | 如果 Compute Engine 執行個體有高風險 CVE,就能直接存取含有機密資料的資源。這項安全漏洞會增加未經授權存取、資料外洩和權限提升的風險。 |
| 對外公開的 GCE 執行個體:高風險 CVE,有可用的攻擊程式 | Compute Engine 執行個體暴露於外部,且受到已知有漏洞的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GCE 執行個體:高風險 CVE,可模擬 SA | Compute Engine 執行個體受到高風險 CVE 影響,且能夠模擬其他服務帳戶 (SA)。這會大幅增加提權、未經授權存取,以及重要雲端資源遭到入侵的風險。 |
| GCE 執行個體:高風險 CVE、直接權限過多 | 如果 Compute Engine 執行個體有高風險 CVE,且對其他資源有直接的過多權限,未經授權的存取、提權和資源遭入侵的風險就會增加。 |
| GCE 執行個體:高風險 CVE,透過 SA 模擬取得過多權限 | 有高風險 CVE 的 Compute Engine 執行個體透過服務帳戶 (SA) 模擬,對其他資源擁有過多權限,因此提權和未經授權存取的風險增加。 |
| 對外公開的 GKE 工作負載:高風險 CVE,可供利用 | GKE 工作負載暴露於外部,且受到已知漏洞攻擊的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取高價值資源 | GKE 節點集區可以模擬服務帳戶 (SA),藉此授予高價值資源的存取權。這會增加提權、未經授權存取和資料遭盜用的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取含有敏感資料的資源 | GKE 節點集區可以模擬服務帳戶 (SA),藉此授予存取權給含有機密資料的資源。這會增加未經授權存取、資料外洩和提權的風險。 |
| GKE 節點集區:高風險公告,可直接存取高價值資源 | GKE 節點集區可直接存取高價值資源,因此未經授權存取、權限提升和資料遭盜用的風險會增加。 |
| GKE 節點集區:高風險公告,可直接存取含有敏感資料的資源 | GKE 節點集區可直接存取含有機密資料的資源,因此未經授權存取、資料侵害和提權的風險會增加。 |
| 暴露於外部的 GKE 節點集區:高風險公告 | GKE 節點集區暴露於外部,且受到高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,可模擬服務帳戶 | GKE 節點集區有高風險公告,該節點集區有權模擬其他服務帳戶 (SA),因此提權和未經授權存取重要資源的風險會增加。 |
| GKE 節點集區:高風險公告,直接權限過多 | GKE 節點集區有高風險公告,該集區對其他資源擁有過多權限,因此可取得非預期的存取權。這會增加提權、未經授權存取和資料暴露的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬取得過多權限 | GKE 節點集區有高風險公告,該節點集區透過服務帳戶 (SA) 模擬對其他資源擁有過多權限,因此提權和未經授權存取的風險會增加。 |
| 未輪替金鑰的服務帳戶具備超額權限 | 服務帳戶使用長期未輪替的金鑰,且權限過多,導致憑證遭盜用、未經授權存取和權限提升的風險增加。 |
| 服務帳戶擁有使用者自行管理的金鑰,且權限過多 | 服務帳戶使用使用者管理的金鑰,且權限過多,這會增加憑證外洩和權限提升的風險。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2025-49844 攻擊 (可供利用,Redis 中存在重大遠端程式碼執行安全漏洞) | 找出執行 Redis 且暴露於外部的 GKE 工作負載,這些工作負載容易受到 CVE-2025-49844 影響。這項重大遠端程式碼執行缺陷已知的攻擊手法。 |
| 外部公開的 GCE 執行個體容易受到 CVE-2025-49844 攻擊 (有可用的攻擊手法,Redis 中有重大遠端程式碼執行漏洞) | 找出執行 Redis 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2025-49844 影響。這項重大遠端程式碼執行弱點已知的利用方式。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2025-32433 攻擊 (Erlang SSH 中存在重大 RCE) | 找出執行 Erlang SSH 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2025-32433 影響。這項重大遠端程式碼執行缺陷已遭攻擊者利用。 |
| 暴露於外部的 GCE 執行個體容易受到 CVE-2025-32433 (Erlang SSH 中的重大 RCE) 攻擊 | 找出符合下列條件的 GCE 執行個體:對外公開,執行 Erlang SSH,而且容易受到 CVE-2025-32433 影響。這項重大遠端程式碼執行安全漏洞已遭攻擊者利用。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭利用的重大 RCE) | 找出執行 Apache ActiveMQ 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2023-46604 攻擊。這是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| 暴露於外部的 GCE 執行個體容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭人利用的重大 RCE,已在實際環境中遭到利用) | 找出執行 Apache ActiveMQ 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2023-46604 攻擊。CVE-2023-46604 是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| GCE 執行個體容易受到 CVE-2025-32463 (Sudo) 攻擊 且已知有漏洞攻擊 | 找出容易受到 CVE-2025-32463 影響的 GCE 執行個體。CVE-2025-32463 是 Sudo 中的本機提權瑕疵,已知有漏洞攻擊。 |
| GCE 執行個體容易受到重大 Nvidia Container Toolkit CVE (CVE-2025-23266) 影響 | 找出使用 GPU 工作負載的 GCE 執行個體,這些執行個體容易受到 CVE-2025-23266 影響。這是 NVIDIA Container Toolkit 中的重大權限提升缺陷。 |
| 外部公開的 GCE 執行個體容易受到高風險 CVE-2025-59287 攻擊 (已在野外遭到入侵,WSUS 中存在重大遠端程式碼執行漏洞) | 找出可從外部連上的 GCE 執行個體,這些執行個體執行 Windows WSUS,且容易受到 CVE-2025-59287 影響。CVE-2025-59287 是重大的遠端程式碼執行安全漏洞,攻擊者正積極利用這個漏洞。 |
| Vertex AI Workbench:高風險 CVE | 系統在 Gemini Enterprise Agent Platform Workbench 執行個體中偵測到高風險 CVE。這項安全漏洞會增加未經授權存取開發環境的風險,可能導致訓練資料和模型原始碼外洩。 |
| Vertex AI Workbench:高風險 CVE、權限過多 | 有高風險 CVE 的 Vertex AI Workbench 執行個體使用權限過高的服務帳戶。攻擊者可利用這項組合,透過安全漏洞提升權限,並入侵其他雲端資源。 |
| Agent Runtime:高風險 CVE、SA 身分,透過 SA 模擬存取高價值資源 | 部署至 Agent Runtime 的 AI 代理程式偵測到高風險 CVE,可能冒用有權存取重要資源的服務帳戶。這項安全漏洞會增加提權的風險,以及未經授權存取機密資料或系統的風險。 |
| Agent Runtime:高風險 CVE、SA 身分,可透過 SA 模擬存取含有敏感資料的資源 | 部署至 Agent Runtime 的 AI 代理程式具有高風險 CVE,可透過服務帳戶 (SA) 模擬存取含有機密資料的資源。這項安全漏洞會增加未經授權的資料存取權、提權和潛在資料侵害的風險。 |
| Agent Runtime:高風險 CVE、SA 身分直接存取高價值資源 | 如果 AI 代理程式部署至 Agent Runtime 時,存在高風險 CVE,就會直接存取高價值資源,提高遭到濫用、未經授權存取和資料遭盜用的可能性。 |
| 代理程式執行階段:高風險 CVE、SA 身分直接存取含有敏感資料的資源 | 如果部署至 Agent Runtime 的 AI 代理程式含有高風險 CVE,就能直接存取含有機密資料的資源。這項安全漏洞會增加未經授權存取、資料外洩和提權的風險。 |
| Agent Runtime:高風險 CVE、SA 身分權限過高 | 部署至 Agent Runtime 的 AI 代理程式含有高風險 CVE,對其他資源具有直接的超額權限,因此未經授權存取、提權和資源遭入侵的風險會增加。 |
| Agent Runtime:高風險 CVE、SA 身分透過 SA 模擬功能取得過多權限 | 部署至 Agent Runtime 的 AI 代理程式具有高風險 CVE,透過服務帳戶 (SA) 模擬對其他資源擁有過多權限,因此提權和未經授權存取的風險增加。 |
| 代理程式執行階段:高風險 CVE、SA 身分,可模擬 SA | 如果部署至 Agent Runtime 的 AI 代理程式具有高風險 CVE,就能模擬其他服務帳戶。這會大幅增加提權、未經授權存取,以及重要雲端資源遭入侵的風險。 |
| Cloud Storage Bucket:公開顯示的 bucket,用於 Agent Runtime 部署作業 | 公開的 Cloud Storage bucket 用於將 AI 代理程式部署至代理程式執行階段。這會增加代理程式程式碼外洩和代理程式中毒的風險。 |
關聯威脅規則
關聯威脅有助於識別雲端資源中各種多階段攻擊模式。下表定義了可用的關聯威脅規則。
| 規則 | 說明 |
|---|---|
| 加密貨幣挖礦軟體的多個相關威脅信號 |
尋找來自 Google Cloud 虛擬機器的多個惡意軟體信號,包括 Compute Engine VM 和 Google Kubernetes Engine (GKE) 節點 (及其 Pod)。 相關示例包括:
|
| 多個惡意軟體相關威脅信號 |
從 Google Cloud虛擬機器 (包括 Compute Engine VM 和 GKE 節點 (及其 Pod) 或 Agent Runtime) 尋找多個不同的惡意軟體信號。 相關示例包括:
|
| 遭盜用的 GCP 帳戶可能橫向移動至遭盜用的運算資源 |
尋找可疑的運算 API (Compute Engine 或 GKE) 呼叫證據,這些呼叫會修改 VM 或 Pod。然後,規則會將該活動與短時間內源自運算資源的惡意活動建立關聯。攻擊者通常會使用這種橫向移動模式。這項規則表示 VM 或 Pod 可能遭到入侵。這項規則也表示 Google Cloud 帳戶 (使用者或服務帳戶) 可能就是惡意活動的來源。 範例包括:
|