O gráfico de segurança é um banco de dados de gráficos que usa nós para identificar recursos de nuvem, como ativos, identidades, aplicativos e dados. As arestas do gráfico determinam a relação de risco entre esses recursos seguindo regras de detecção. Quando um risco de relacionamento é descoberto, o gráfico de segurança gera um problema.
O Security Command Center usa regras predefinidas do gráfico de segurança para identificar problemas que podem comprometer seus recursos.
A tabela a seguir define essas regras. Investigue os problemas criados usando o Risco > Problemas painel.
| Regra | Descrição |
|---|---|
| Instância do GCE: CVE de alto risco, acesso a recursos de alto valor por representação de SA | Uma CVE de alto risco foi detectada em uma instância do Compute Engine que pode representar uma conta de serviço (SA) com acesso a um recurso crítico. Essa vulnerabilidade aumenta o risco de escalonamento de privilégios e acesso não autorizado a dados ou sistemas sensíveis. |
| Instância do GCE: CVE de alto risco, acesso a recursos com dados sensíveis por representação de SA | Uma instância do Compute Engine com uma CVE de alto risco tem acesso a um recurso que contém dados sensíveis usando a representação de conta de serviço (SA) representação. Essa vulnerabilidade aumenta o risco de acesso não autorizado a dados acesso, escalonamento de privilégios e possíveis violações de dados. |
| Instância do GCE: CVE de alto risco, acesso direto a recursos de alto valor | Uma instância do Compute Engine com uma CVE de alto risco tem acesso direto a um recurso de alto valor, aumentando a probabilidade de exploração, acesso não autorizado e comprometimento de dados. |
| Instância do GCE: CVE de alto risco, acesso direto a recursos com dados sensíveis | Uma instância do Compute Engine com uma CVE de alto risco tem acesso direto a um recurso que contém dados sensíveis. Essa vulnerabilidade aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios. |
| Instância do GCE exposta externamente: CVE de alto risco, exploit disponível | Uma instância do Compute Engine está exposta externamente e afetada por uma CVE de alto risco com um exploit conhecido. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema. |
| Instância do GCE: CVE de alto risco, capacidade de representar SA | Uma instância do Compute Engine é afetada por uma CVE de alto risco e tem a capacidade de representar outra conta de serviço (SA). Isso aumenta significativamente o risco de escalonamento de privilégios, acesso não autorizado e possível comprometimento de recursos críticos da nuvem. |
| Instância do GCE: CVE de alto risco, permissões diretas excessivas | Uma instância do Compute Engine com uma CVE de alto risco tem permissões diretas excessivas em outro recurso, aumentando o risco de acesso não autorizado, escalonamento de privilégios e comprometimento de recursos. |
| Instância do GCE: CVE de alto risco, permissões excessivas por representação de SA | Uma instância do Compute Engine com uma CVE de alto risco tem permissões excessivas em outro recurso por representação de conta de serviço (SA) aumentando o risco de escalonamento de privilégios e acesso não autorizado. |
| Carga de trabalho do GKE exposta externamente: CVE de alto risco, exploit disponível | Uma carga de trabalho do GKE está exposta externamente e afetada por uma CVE de alto risco com um exploit conhecido. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema. |
| Pool de nós do GKE: boletim de alto risco, acesso a recursos de alto valor por representação de SA | Um pool de nós do GKE tem a capacidade de representar uma conta de serviço (SA) que concede acesso a um recurso de alto valor. Isso aumenta o risco de escalonamento de privilégios, acesso não autorizado e comprometimento de dados |
| Pool de nós do GKE: boletim de alto risco, acesso a recursos com dados sensíveis por representação de SA | Um pool de nós do GKE tem a capacidade de representar uma conta de serviço (SA) que concede acesso a um recurso que contém dados sensíveis data. Isso aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios. |
| Pool de nós do GKE: boletim de alto risco, acesso direto a recursos de alto valor | Um pool de nós do GKE tem acesso direto a um recurso de alto valor , aumentando o risco de acesso não autorizado, escalonamento de privilégios e possível comprometimento de dados. |
| Pool de nós do GKE: boletim de alto risco, acesso direto a recursos com dados sensíveis | Um pool de nós do GKE tem acesso direto a um recurso que contém dados sensíveis, aumentando o risco de acesso não autorizado, violações de dados e escalonamento de privilégios. |
| Pool de nós do GKE exposto externamente: boletim de alto risco | Um pool de nós do GKE está exposto externamente e afetado por uma CVE de alto risco. Isso aumenta significativamente o risco de ataques remotos , acesso não autorizado e comprometimento do sistema. |
| Pool de nós do GKE: boletim de alto risco, capacidade de representar SA | Há um boletim de alto risco em um pool de nós do GKE que tem permissões para representar outra conta de serviço (SA), aumentando o risco de escalonamento de privilégios e acesso não autorizado a recursos críticos. |
| Pool de nós do GKE: boletim de alto risco, permissões diretas excessivas | Há um boletim de alto risco em um pool de nós do GKE que tem permissões excessivas em outro recurso, concedendo acesso não intencional Isso aumenta o risco de escalonamento de privilégios, acesso não autorizado acesso e exposição de dados. |
| Pool de nós do GKE: boletim de alto risco, permissões excessivas por representação de SA | Há um boletim de alto risco em um pool de nós do GKE que tem permissões excessivas em outro recurso por representação de conta de serviço (SA), aumentando o risco de escalonamento de privilégios e acesso não autorizado. |
| A conta de serviço com chave não rotacionada tem permissões excessivas | Uma conta de serviço está usando uma chave não rotacionada de longa duração com permissões excessivas aumentando o risco de comprometimento de credenciais, acesso não autorizado acesso e escalonamento de privilégios. |
| A conta de serviço com chave gerenciada pelo usuário tem permissões excessivas | Uma conta de serviço com chaves gerenciadas pelo usuário e permissões excessivas, o que aumenta o risco de vazamento de credenciais e escalonamento de privilégios. |
| Carga de trabalho do GKE exposta externamente vulnerável à CVE-2025-49844 (exploit disponível, execução remota de código crítica no Redis) | Identifica cargas de trabalho do GKE expostas externamente que executam o Redis e são vulneráveis à CVE-2025-49844, uma falha crítica de execução remota de código com um exploit conhecido. |
| Instância do GCE exposta externamente vulnerável à CVE-2025-49844 (exploit disponível, execução remota de código crítica no Redis) | Identifica instâncias do GCE expostas externamente que executam o Redis e são vulneráveis à CVE-2025-49844, uma falha crítica de execução remota de código com um exploit conhecido. |
| Carga de trabalho do GKE exposta externamente vulnerável à CVE-2025-32433 (RCE crítica no Erlang SSH) | Identifica cargas de trabalho do GKE expostas externamente que executam o Erlang SSH e são vulneráveis à CVE-2025-32433, uma falha crítica de execução remota de código ativamente explorada por invasores. |
| Instância do GCE exposta externamente vulnerável à CVE-2025-32433 (RCE crítica no Erlang SSH) | Identifica instâncias do GCE expostas externamente que executam o Erlang SSH e são vulneráveis à CVE-2025-32433, uma falha crítica de execução remota de código ativamente explorada por invasores. |
| Carga de trabalho do GKE exposta externamente vulnerável à CVE-2023-46604 (RCE crítica no Apache ActiveMQ, explorada na prática) | Identifica cargas de trabalho do GKE expostas externamente que executam Apache ActiveMQ vulnerável à CVE-2023-46604, uma falha crítica de execução remota de código no protocolo OpenWire ativamente explorada por invasores. |
| Instância do GCE exposta externamente vulnerável à CVE-2023-46604 (RCE crítica no Apache ActiveMQ, explorada na prática) | Identifica instâncias do GCE expostas externamente que executam o Apache ActiveMQ vulnerável à CVE-2023-46604, uma falha crítica de execução remota de código no protocolo OpenWire ativamente explorada por invasores. |
| Instância do GCE vulnerável à CVE-2025-32463 (Sudo) com exploit conhecido | Identifica instâncias do GCE vulneráveis à CVE-2025-32463, uma falha de escalonamento de privilégios local no Sudo com um exploit conhecido. |
| Instância do GCE vulnerável à CVE crítica do kit de ferramentas do contêiner da Nvidia (CVE-2025-23266) | Identifica instâncias do GCE que usam cargas de trabalho de GPU vulneráveis à CVE-2025-23266, uma falha crítica de escalonamento de privilégios no kit de ferramentas do contêiner da NVIDIA. |
| Instância do GCE exposta externamente vulnerável à CVE-2025-59287 de alto risco (explorada na prática, execução remota de código crítica no WSUS) | Identifica instâncias do GCE expostas externamente que executam o Windows WSUS e são vulneráveis à CVE-2025-59287, uma falha crítica de execução remota de código ativamente explorada por invasores. |
| Vertex AI Workbench: CVE de alto risco | Uma CVE de alto risco foi detectada em uma instância do Vertex AI Workbench da plataforma de agentes do Gemini Enterprise. Essa vulnerabilidade aumenta o risco de acesso não autorizado ao ambiente de desenvolvimento, levando à possível exfiltração de dados de treinamento e código-fonte do modelo. |
| Vertex AI Workbench: CVE de alto risco, permissões excessivas | Uma instância do Vertex AI Workbench com uma CVE de alto risco está usando uma conta de serviço com privilégios excessivos. Essa combinação permite que invasores explorem a vulnerabilidade para escalonar privilégios e comprometer outros recursos da nuvem. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com acesso a recursos de alto valor por representação de SA | Uma CVE de alto risco foi detectada em um agente de IA implantado no tempo de execução do agente que pode representar uma conta de serviço com acesso a um recurso crítico. Essa vulnerabilidade aumenta o risco de escalonamento de privilégios e acesso não autorizado a dados ou sistemas sensíveis. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com acesso a recursos com dados sensíveis por representação de SA | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem acesso a um recurso que contém dados sensíveis por representação de conta de serviço (SA). Essa vulnerabilidade aumenta o risco de acesso aos dados não autorizado, escalonamento de privilégios e possíveis violações de dados. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com acesso direto a recursos de alto valor | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem acesso direto a um recurso de alto valor, aumentando a probabilidade de exploração, acesso não autorizado e comprometimento de dados. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com acesso direto a recursos com dados sensíveis | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem acesso direto a um recurso que contém dados sensíveis. Essa vulnerabilidade aumenta o risco de acesso não autorizado, violações de dados, e escalonamento de privilégios. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com permissões diretas excessivas | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem permissões diretas excessivas em outro recurso, aumentando o risco de acesso não autorizado, escalonamento de privilégios e comprometimento de recursos. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com permissões excessivas por representação de SA | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem permissões excessivas em outro recurso por representação de conta de serviço (SA), aumentando o risco de escalonamento de privilégios e acesso não autorizado. |
| Tempo de execução do agente: CVE de alto risco, identidade de SA com capacidade de representar SA | Um agente de IA implantado no tempo de execução do agente com uma CVE de alto risco tem a capacidade de representar outra conta de serviço. Isso aumenta significativamente o risco de escalonamento de privilégios, acesso não autorizado e possível comprometimento de recursos críticos da nuvem. |
| Bucket do Cloud Storage: bucket exposto publicamente usado para implantação do tempo de execução do agente | Um bucket do Cloud Storage exposto publicamente foi usado para implantar o agente de IA no tempo de execução do agente. Isso aumenta o risco de vazamento e envenenamento do código do agente. |
A seguir
Gerenciar e corrigir problemas