Der Sicherheitsgraph ist eine Graphdatenbank, in der Knoten verwendet werden, um Cloud-Ressourcen wie Assets, Identitäten, Anwendungen und Daten zu identifizieren. Die Kanten des Graphen bestimmen die Risikobeziehung zwischen diesen Ressourcen gemäß den Erkennungsregeln. Wenn ein Risikoverhältnis erkannt wird, generiert der Sicherheitsgraph ein Problem.
Security Command Center verwendet vordefinierte Sicherheitsgraphregeln, um Probleme zu identifizieren, die Ihre Ressourcen potenziell gefährden könnten.
In der folgenden Tabelle werden diese Regeln definiert.
| Regel | Beschreibung |
|---|---|
| GCE-Instanz: Hochriskante CVE, Zugriff auf wertvolle Ressource über Identitätswechsel für Dienstkonto | Auf einer Compute Engine Instanz wurde eine hochriskante CVE erkannt, die die Identität eines Dienstkontos mit Zugriff auf eine kritische Ressource übernehmen kann. Diese Sicherheitslücke erhöht das Risiko einer Rechteausweitung und eines unbefugten Zugriffs auf vertrauliche Daten oder Systeme. |
| GCE-Instanz: Hochriskante CVE, Zugriff auf Ressource mit sensiblen Daten über Identitätswechsel für Dienstkonto | Eine Compute Engine-Instanz mit einer hochriskanten CVE hat Zugriff auf eine Ressource mit sensiblen Daten über den Identitätswechsel für ein Dienstkonto (SA) . Diese Sicherheitslücke erhöht das Risiko eines unbefugten Daten zugriffs, einer Rechteausweitung und potenzieller Datenpannen. |
| GCE-Instanz: Hochriskante CVE, direkter Zugriff auf wertvolle Ressource | Eine Compute Engine-Instanz mit einer hochriskanten CVE hat direkten Zugriff auf eine wertvolle Ressource, wodurch die Wahrscheinlichkeit von Ausnutzung, unbefugtem Zugriff und Datenkompromittierung steigt. |
| GCE-Instanz: Hochriskante CVE, direkter Zugriff auf Ressource mit sensiblen Daten | Eine Compute Engine-Instanz mit einer hochriskanten CVE hat direkten Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko eines unbefugten Zugriffs, von Datenpannen und einer Rechteausweitung. |
| Extern zugängliche GCE-Instanz: Hochriskante CVE, Exploit verfügbar | Eine Compute Engine-Instanz ist extern zugänglich und betroffen von einer hochriskanten CVE mit einem bekannten Exploit. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GCE-Instanz: Hochriskante CVE, Möglichkeit zur Identitätsübernahme für Dienstkonto | Eine Compute Engine-Instanz ist von einer hochriskanten CVE betroffen und kann die Identität eines anderen Dienstkontos übernehmen. Dadurch steigt das Risiko einer Rechteausweitung, eines unbefugten Zugriffs und einer potenziellen Kompromittierung kritischer Cloud-Ressourcen erheblich. |
| GCE-Instanz: Hochriskante CVE, nicht erforderliche direkte Berechtigungen | Eine Compute Engine-Instanz mit einer hochriskanten CVE hat nicht erforderliche direkte Berechtigungen für eine andere Ressource, wodurch das Risiko eines unbefugten Zugriffs, einer Rechteausweitung und einer Ressourcenkompromittierung steigt. |
| GCE-Instanz: Hochriskante CVE, nicht erforderliche Berechtigungen über Identitätswechsel für Dienstkonto | Eine Compute Engine-Instanz mit einer hochriskanten CVE hat über den Identitätswechsel für ein Dienstkonto nicht erforderliche Berechtigungen für eine andere Ressource, wodurch das Risiko einer Rechteausweitung und eines unbefugten Zugriffs steigt. |
| Extern zugängliche GKE-Arbeitslast: Hochriskante CVE, Exploit verfügbar | Eine GKE-Arbeitslast ist extern zugänglich und betroffen von einer hochriskanten CVE mit einem bekannten Exploit. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GKE-Knotenpool: Hochriskantes Bulletin, Zugriff auf wertvolle Ressource über Identitätswechsel für Dienstkonto | Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine wertvolle Ressource gewährt. Dadurch steigt das Risiko einer Rechteausweitung, eines unbefugten Zugriffs und einer Daten kompromittierung. |
| GKE-Knotenpool: Hochriskantes Bulletin, Zugriff auf Ressource mit sensiblen Daten über Identitätswechsel für Dienstkonto | Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine Ressource mit sensiblen Daten gewährt. Dadurch steigt das Risiko eines unbefugten Zugriffs, von Datenpannen und Rechteausweitung. |
| GKE-Knotenpool: Hochriskantes Bulletin, direkter Zugriff auf wertvolle Ressource | Ein GKE-Knotenpool hat direkten Zugriff auf eine wertvolle Ressource, wodurch das Risiko eines unbefugten Zugriffs, einer Rechte ausweitung und einer potenziellen Datenkompromittierung steigt. |
| GKE-Knotenpool: Hochriskantes Bulletin, direkter Zugriff auf Ressource mit sensiblen Daten | Ein GKE-Knotenpool hat direkten Zugriff auf eine Ressource mit sensiblen Daten, wodurch das Risiko eines unbefugten Zugriffs, von Datenpannen und einer Rechteausweitung steigt. |
| Extern zugänglicher GKE-Knotenpool: Hochriskantes Bulletin | Ein GKE-Knotenpool ist extern zugänglich und betroffen von einer hochriskanten CVE. Dadurch steigt das Risiko von Remote Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GKE-Knotenpool: Hochriskantes Bulletin, Möglichkeit zur Identitätsübernahme für Dienstkonto | Für einen GKE-Knotenpool liegt ein hochriskantes Bulletin vor, das Berechtigungen zur Identitätsübernahme für ein anderes Dienstkonto hat, wodurch das Risiko einer Rechteausweitung und eines unbefugten Zugriffs auf kritische Ressourcen steigt. |
| GKE-Knotenpool: Hochriskantes Bulletin, nicht erforderliche direkte Berechtigungen | Für einen GKE-Knotenpool liegt ein hochriskantes Bulletin vor , das nicht erforderliche Berechtigungen für eine andere Ressource hat, wodurch ein unbeabsichtigter Zugriff gewährt wird. Dadurch steigt das Risiko einer Rechteausweitung, eines unbefugten Zugriffs und einer Datenpanne. |
| GKE-Knotenpool: Hochriskantes Bulletin, nicht erforderliche Berechtigungen über Identitätswechsel für Dienstkonto | Für einen GKE-Knotenpool liegt ein hochriskantes Bulletin vor das über den Identitätswechsel für ein Dienstkonto nicht erforderliche Berechtigungen für eine andere Ressource hat wodurch das Risiko einer Rechteausweitung und eines unbefugten Zugriffs steigt. |
| Dienstkonto mit nicht rotiertem Schlüssel hat nicht erforderliche Berechtigungen | Ein Dienstkonto verwendet einen nicht rotierten Schlüssel mit langer Lebensdauer und nicht erforderlichen Berechtigungen, wodurch das Risiko einer Kompromittierung von Anmeldedaten, eines unbefugten Zugriffs und einer Rechteausweitung steigt. |
| Dienstkonto mit vom Nutzer verwaltetem Schlüssel hat nicht erforderliche Berechtigungen | Ein Dienstkonto mit vom Nutzer verwalteten Schlüsseln und nicht erforderlichen Berechtigungen, wodurch das Risiko von Anmeldedatenlecks und Rechteausweitungen steigt. |
| Extern zugängliche GKE-Arbeitslast, die für CVE-2025-49844 anfällig ist (Exploit verfügbar, kritische Remote-Codeausführung in Redis) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Redis ausgeführt wird und die für CVE-2025-49844 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Code ausführung mit einem bekannten Exploit. |
| Extern zugängliche GCE-Instanz, die für CVE-2025-49844 anfällig ist (Exploit verfügbar, kritische Remote-Codeausführung in Redis) | Identifiziert extern zugängliche GCE-Instanzen auf denen Redis ausgeführt wird und die für CVE-2025-49844 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Codeausführung mit einem bekannten Exploit. |
| Extern zugängliche GKE-Arbeitslast, die für CVE-2025-32433 anfällig ist (kritische RCE in Erlang SSH) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Erlang SSH ausgeführt wird und die für CVE-2025-32433 anfällig sind, eine kritische Sicherheitslücke bei der Remote -Codeausführung, die aktiv von Angreifern ausgenutzt wird. |
| Extern zugängliche GCE-Instanz, die für CVE-2025-32433 anfällig ist (kritische RCE in Erlang SSH) | Identifiziert extern zugängliche GCE-Instanzen auf denen Erlang SSH ausgeführt wird und die für CVE-2025-32433 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Codeausführung, die aktiv von Angreifern ausgenutzt wird. |
| Extern zugängliche GKE-Arbeitslast, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, in freier Wildbahn ausgenutzt) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Apache ActiveMQ ausgeführt wird und die für CVE-2023-46604 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Code-Ausführung im OpenWire-Protokoll, die aktiv von Angreifern ausgenutzt wird. |
| Extern zugängliche GCE-Instanz, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, in freier Wildbahn ausgenutzt) | Identifiziert extern zugängliche GCE-Instanzen, auf denen Apache ActiveMQ ausgeführt wird und die für CVE-2023-46604 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Code-Ausführung im OpenWire-Protokoll, die aktiv von Angreifern ausgenutzt wird. |
| GCE-Instanz, die für CVE-2025-32463 (Sudo) mit bekanntem Exploit anfällig ist | Identifiziert GCE-Instanzen, die für CVE-2025-32463 anfällig sind, eine Sicherheitslücke bei der lokalen Rechteausweitung in Sudo mit einem bekannten Exploit. |
| GCE-Instanz, die für kritische Nvidia Container Toolkit CVE (CVE-2025-23266) anfällig ist | Identifiziert GCE-Instanzen, die GPU-Arbeitslasten verwenden und für CVE-2025-23266 anfällig sind, eine kritische Sicherheitslücke bei der Rechteausweitung im NVIDIA Container Toolkit. |
| Extern zugängliche GCE-Instanz, die für die hochriskante CVE-2025-59287 anfällig ist (in freier Wildbahn ausgenutzt, kritische Remote Codeausführung in WSUS) | Identifiziert extern zugängliche GCE-Instanzen auf denen Windows WSUS ausgeführt wird und die für CVE-2025-59287 anfällig sind, eine kritische Sicherheitslücke bei der Remote-Codeausführung, die aktiv von Angreifern ausgenutzt wird. |
| Agent Platform Workbench: Hochriskante CVE | Auf einer Gemini Enterprise Agent Platform Workbench-Instanz wurde eine hochriskante CVE erkannt. Diese Sicherheitslücke erhöht das Risiko eines unbefugten Zugriffs auf die Entwicklungsumgebung, was zu einer potenziellen Exfiltration von Trainingsdaten und Modellquellcode führen kann. |
| Agent Platform Workbench: Hochriskante CVE, nicht erforderliche Berechtigungen | Eine Agent Platform Workbench-Instanz mit einer hochriskanten CVE verwendet ein Dienstkonto mit zu vielen Berechtigungen. Durch diese Kombination können Angreifer die Sicherheitslücke ausnutzen, um Berechtigungen zu erweitern und andere Cloud-Ressourcen zu kompromittieren. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit Zugriff auf wertvolle Ressource über Identitätswechsel für Dienstkonto | Auf einem KI-Agenten, der in Agent Runtime bereitgestellt wurde, wurde eine hochriskante CVE erkannt, die die Identität eines Dienstkontos mit Zugriff auf eine kritische Ressource übernehmen kann. Diese Sicherheitslücke erhöht das Risiko einer Rechteausweitung und eines unbefugten Zugriffs auf vertrauliche Daten oder Systeme. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit Zugriff auf Ressource mit sensiblen Daten über Identitätswechsel für Dienstkonto | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, hat über den Identitätswechsel für ein Dienstkonto Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko eines unbefugten Datenzugriffs, einer Rechteausweitung und potenzieller Datenpannen. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit direktem Zugriff auf wertvolle Ressource | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, hat direkten Zugriff auf eine wertvolle Ressource, wodurch die Wahrscheinlichkeit von Ausnutzung, unbefugtem Zugriff und Datenkompromittierung steigt. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit direktem Zugriff auf Ressource mit sensiblen Daten | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, hat direkten Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko eines unbefugten Zugriffs, von Datenpannen, und einer Rechteausweitung. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit nicht erforderlichen direkten Berechtigungen | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, hat nicht erforderliche direkte Berechtigungen für eine andere Ressource, wodurch das Risiko eines unbefugten Zugriffs, einer Rechteausweitung und einer Ressourcenkompromittierung steigt. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit nicht erforderlichen Berechtigungen über Identitätswechsel für Dienstkonto | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, hat über den Identitätswechsel für ein Dienstkonto nicht erforderliche Berechtigungen für eine andere Ressource, wodurch das Risiko einer Rechteausweitung und eines unbefugten Zugriffs steigt. |
| Agent Runtime: Hochriskante CVE, Dienstkontoidentität mit Möglichkeit zur Identitätsübernahme für Dienstkonto | Ein KI-Agent, der in Agent Runtime bereitgestellt wurde und eine hochriskante CVE aufweist, kann die Identität eines anderen Dienstkontos übernehmen. Dadurch steigt das Risiko einer Rechteausweitung, eines unbefugten Zugriffs und einer potenziellen Kompromittierung kritischer Cloud-Ressourcen erheblich. |
| Cloud Storage-Bucket: Öffentlich zugänglicher Bucket, der für die Bereitstellung von Agent Runtime verwendet wird | Ein öffentlich zugänglicher Cloud Storage-Bucket wurde verwendet, um den KI Agenten in Agent Runtime bereitzustellen. Dadurch steigt das Risiko von Agent-Codelecks und Agent-Poisoning. |
Nächste Schritte
Probleme verwalten und beheben