Le graphe de sécurité est une base de données de graphes qui utilise des nœuds pour identifier les ressources cloud telles que les assets, les identités, les applications et les données. Les arêtes du graphe déterminent la relation de risque entre ces ressources en suivant les règles de détection. Lorsqu'une relation de risque est détectée, le graphe de sécurité génère un problème.
Security Command Center utilise des règles de graphe de sécurité prédéfinies pour identifier les problèmes qui sont susceptibles de compromettre vos ressources.
Le tableau suivant définit ces règles.
| Règle | Description |
|---|---|
| Instance GCE : faille CVE à risque élevé, accès à une ressource de forte valeur via l'emprunt de l'identité d'un compte de service | Une faille CVE à risque élevé a été détectée sur une instance Compute Engine qui peut emprunter l'identité d'un compte de service ayant accès à une ressource critique. Cette faille augmente le risque d'élévation des privilèges et d'accès non autorisé à des données ou systèmes sensibles. |
| Instance GCE : faille CVE à risque élevé, accès à une ressource contenant des données sensibles via l'emprunt de l'identité d'un compte de service | Une instance Compute Engine présentant une faille CVE à risque élevé peut accéder à une ressource contenant des données sensibles en usurpant l'identité d'un compte de service. Cette faille augmente le risque d'accès non autorisé aux données ou d'élévation des privilèges, et peut entraîner des violations de données. |
| Instance GCE : faille CVE à risque élevé, accès direct à une ressource de forte valeur | Une instance Compute Engine présentant une faille CVE à risque élevé a un accès direct à une ressource de forte valeur, ce qui augmente la probabilité d'exploitation, d'accès non autorisé et de compromission des données. |
| Instance GCE : faille CVE à risque élevé, accès direct à une ressource contenant des données sensibles | Une instance Compute Engine présentant une faille CVE à risque élevé a un accès direct à une ressource contenant des données sensibles. Cette faille augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges. |
| Instance GCE exposée en externe : faille CVE à risque élevé, code d'exploitation disponible | Une instance Compute Engine est exposée en externe et affectée par une faille CVE à risque élevé avec un code d'exploitation connu. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système. |
| Instance GCE : faille CVE à risque élevé, possibilité d'empriunter l'identité d'un compte de service | Une instance Compute Engine est affectée par une faille CVE à risque élevé et peut emprunter l'identité d'un autre compte de service. Cela augmente considérablement le risque d'élévation des privilèges, d'accès non autorisé et de compromission potentielle de ressources cloud critiques. |
| Instance GCE : faille CVE à risque élevé, autorisations directes excessives | Une instance Compute Engine présentant une faille CVE à risque élevé dispose d'autorisations excessives directes sur une autre ressource, ce qui augmente le risque d'accès non autorisé, d'élévation des privilèges et de compromission des ressources. |
| Instance GCE : faille CVE à risque élevé, autorisations excessives via l'emprunt de l'identité d'un compte de service | Une instance Compute Engine présentant une faille CVE à risque élevé dispose d'autorisations excessives sur une autre ressource via l'emprunt de l'identité d'un compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé. |
| Charge de travail GKE exposée en externe : faille CVE à risque élevé, code d'exploitation disponible | Une charge de travail Google Kubernetes Engine (GKE) est exposée en externe et affectée par une faille CVE à risque élevé avec un exploit connu. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système. |
| Pool de nœuds GKE : bulletin à risque élevé, accès à une ressource de forte valeur via l'emprunt de l'identité d'un compte de service | Un pool de nœuds GKE est en mesure d'emprunter l'identité d'un compte de service qui accorde l'accès à une ressource de forte valeur. Cela augmente le risque d'élévation des privilèges, d'accès non autorisé et de compromission des données. |
| Pool de nœuds GKE : bulletin à risque élevé, accès à une ressource contenant des données sensibles via l'emprunt de l'identité d'un compte de service | Un pool de nœuds GKE est en mesure d'emprunter l'identité d'un compte de service qui accorde l'accès à une ressource contenant des données sensibles. Cela augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges. |
| Pool de nœuds GKE : bulletin à risque élevé, accès direct à une ressource de forte valeur | Un pool de nœuds GKE a un accès direct à une ressource de forte valeur, ce qui augmente le risque d'accès non autorisé, d'élévation des privilèges et de compromission des données. |
| Pool de nœuds GKE : bulletin à risque élevé, accès direct à une ressource contenant des données sensibles | Un pool de nœuds GKE a un accès direct à une ressource contenant des données sensibles, ce qui augmente le risque d'accès non autorisé, de violation de données et d'élévation des privilèges. |
| Pool de nœuds GKE exposé en externe : bulletin à risque élevé | Un pool de nœuds GKE est exposé en externe et affecté par une faille CVE à risque élevé. Cela augmente considérablement le risque d'attaque à distance, d'accès non autorisé et de compromission du système. |
| Pool de nœuds GKE : bulletin à risque élevé, possibilité d'emprunter l'identité d'un compte de service | Un bulletin à risque élevé concerne un pool de nœuds GKE qui est autorisé à emprunter l'identité d'un autre compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé à des ressources critiques. |
| Pool de nœuds GKE : bulletin à risque élevé, autorisations directes excessives | Un bulletin à risque élevé concerne un pool de nœuds GKE qui dispose d'autorisations excessives sur une autre ressource, ce qui lui accorde un accès non souhaitable. Cela augmente le risque d'élévation des privilèges, d'accès non autorisé et d'exposition des données. |
| Pool de nœuds GKE : bulletin à risque élevé, autorisations excessives via l'emprunt de l'identité d'un compte de service | Un bulletin à risque élevé concerne un pool de nœuds GKE qui peut disposer d'autorisations excessives sur une autre ressource via l'emprunt de l'identité d'un compte de service, ce qui augmente le risque d'élévation des privilèges et d'accès non autorisé. |
| Un compte de service avec une clé non renouvelée dispose d'autorisations excessives | Un compte de service utilise une clé de longue durée non renouvelée avec des autorisations excessives, ce qui augmente le risque de compromission des identifiants, d'accès non autorisé et d'élévation des privilèges. |
| Un compte de service avec une clé gérée par l'utilisateur dispose d'autorisations excessives | Un compte de service utilise des clés gérées par l'utilisateur et des autorisations excessives, ce qui augmente le risque de fuite d'identifiants et d'élévation des privilèges. |
| Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2025-49844 (code d'exploitation disponible, exécution de code à distance critique dans Redis) | Identifie les charges de travail GKE exposées en externe et exécutant Redis qui sont vulnérables à CVE-2025-49844, une faille permettant l'exécution de code à distance critique avec un code d'exploitation connu. |
| Instance GCE exposée en externe et vulnérable à la faille CVE-2025-49844 (code d'exploitation disponible, exécution de code à distance critique dans Redis) | Identifie les instances GCE exposées en externe et exécutant Redis qui sont vulnérables à CVE-2025-49844, une faille permettant l'exécution de code à distance critique avec un code d'exploitation connu. |
| Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2025-32433 (exécution de code à distance critique dans Erlang SSH) | Identifie les charges de travail GKE exposées en externe et exécutant Erlang SSH qui sont vulnérables à CVE-2025-32433, une faille permettant l'exécution de code à distance critique activement exploitée par les pirates informatiques. |
| Instance GCE exposée en externe et vulnérable à la faille CVE-2025-32433 (exécution de code à distance critique dans Erlang SSH) | Identifie les instances GCE exposées en externe et exécutant Erlang SSH qui sont vulnérables à CVE-2025-32433, une faille critique permettant l'exécution de code à distance activement exploitée par les pirates informatiques. |
| Charge de travail GKE exposée en externe et vulnérable à la faille CVE-2023-46604 (exécution de code à distance critique dans Apache ActiveMQ, exploitée activement en conditions réelles) | Identifie les charges de travail GKE exposées en externe et exécutant Apache ActiveMQ qui sont vulnérables à CVE-2023-46604, une faille permettant l'exécution de code à distance critique dans le protocole OpenWire, activement exploitée par les pirates informatiques. |
| Instance GCE exposée en externe et vulnérable à la faille CVE-2023-46604 (exécution de code à distance critique dans Apache ActiveMQ, exploitée activement en conditions réelles) | Identifie les instances GCE exposées en externe et exécutant Apache ActiveMQ qui sont vulnérables à CVE-2023-46604, une faille permettant l'exécution de code à distance critique dans le protocole OpenWire, activement exploitée par les pirates informatiques. |
| Instance GCE vulnérable à CVE-2025-32463 (Sudo), avec un code d'exploitation connu | Identifie les instances GCE vulnérables à la faille CVE-2025-32463, une faille permettant l'élévation des privilèges locaux dans Sudo avec un code d'exploitation connu. |
| Instance GCE vulnérable à la faille CVE critique affectant Nvidia Container Toolkit (CVE-2025-23266) | Identifie les instances GCE utilisant des charges de travail GPU vulnérables à CVE-2025-23266, une faille critique permettant une élévation des privilèges dans NVIDIA Container Toolkit. |
| Instance GCE exposée en externe et vulnérable à la faille à risque élevé CVE-2025-59287 (exécution de code à distance critique dans WSUS, activement exploitée en conditions réelles) | Identifie les instances GCE exposées en externe et exécutant Windows WSUS qui sont vulnérables à CVE-2025-59287, une faille critique d'exécution de code à distance activement exploitée par les pirates informatiques. |
Étape suivante
Gérer et résoudre les problèmes