Security Graph הוא מסד נתונים של גרף שמשתמש בצמתים כדי לזהות משאבי ענן כמו נכסים, זהויות, אפליקציות ונתונים. הקצוות של הגרף קובעים את קשר הסיכון בין המשאבים האלה בהתאם לכללי הזיהוי. כשמתגלה סיכון בקשר, Security Graph יוצר בעיה.
Security Command Center משתמש בכללים מוגדרים מראש של Security Graph כדי לזהות בעיות שעלולות לסכן את המשאבים שלכם.
הטבלה הבאה מגדירה את הכללים האלה.
| כלל | תיאור |
|---|---|
| מופע GCE: CVE בסיכון גבוה, גישה למשאב בעל ערך גבוה באמצעות התחזות לחשבון SA | זוהה CVE בסיכון גבוה במכונה של Compute Engine שיכולה להתחזות לחשבון שירות (SA) עם גישה למשאב קריטי. נקודת החולשה הזו מגדילה את הסיכון להרחבת הרשאות ולגישה לא מורשית למידע אישי רגיש או למערכות. |
| GCE Instance: CVE בסיכון גבוה, גישה למשאב עם נתונים רגישים באמצעות התחזות ל-SA | למופע של Compute Engine עם CVE בסיכון גבוה יש גישה למשאב שמכיל מידע אישי רגיש באמצעות התחזות לחשבון שירות (SA). הפגיעות הזו מגבירה את הסיכון לגישה לא מורשית לנתונים, להסלמת הרשאות ולפוטנציאל של פרצות אבטחה. |
| GCE Instance: High-risk CVE, direct access to high value resource | למכונה וירטואלית ב-Compute Engine עם CVE בסיכון גבוה יש גישה ישירה למשאב בעל ערך גבוה, מה שמגדיל את הסיכוי לניצול לרעה, לגישה לא מורשית ולפגיעה בנתונים. |
| GCE Instance: High-risk CVE, direct access to resource with sensitive data | למכונת Compute Engine וירטואלית עם CVE בסיכון גבוה יש גישה ישירה למשאב שמכיל נתונים רגישים. הפגיעות הזו מגדילה את הסיכון לגישה לא מורשית, לפרצות אבטחה ולהסלמת הרשאות. |
| מופע GCE שחשוף חיצונית: CVE ברמת סיכון גבוהה, ניצול לרעה זמין | מופע של Compute Engine חשוף חיצונית ומושפע מ-CVE בסיכון גבוה עם ניצול ידוע. הדבר מעלה משמעותית את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת. |
| מופע GCE: נקודת חולשה או חשיפה נפוצה (CVE) ברמת סיכון גבוהה, אפשרות להתחזות לחשבון SA | מכונה ב-Compute Engine מושפעת מ-CVE בסיכון גבוה ויש לה אפשרות להתחזות לחשבון שירות (SA) אחר. This significantly increases the risk of privilege escalation, unauthorized access, and potential compromise of critical cloud resources. |
| מופע GCE: CVE ברמת סיכון גבוהה, הרשאות ישירות מוגזמות | למכונת Compute Engine עם CVE בסיכון גבוה יש הרשאות ישירות מוגזמות במשאב אחר, מה שמגדיל את הסיכון לגישה לא מורשית, להעלאת רמת ההרשאות ולפגיעה במשאב. |
| GCE Instance: High-risk CVE, excessive permissions via SA impersonation | למכונה וירטואלית ב-Compute Engine עם CVE בסיכון גבוה יש הרשאות מוגזמות למשאב אחר דרך התחזות לחשבון שירות (SA), מה שמגדיל את הסיכון להסלמת הרשאות ולגישה לא מורשית. |
| עומס עבודה (workload) של GKE שחשוף חיצונית: CVE בסיכון גבוה, ניצול זמין | עומס עבודה ב-GKE חשוף חיצונית ומושפע מ-CVE בסיכון גבוה עם ניצול ידוע. הדבר מגדיל באופן משמעותי את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת. |
| GKE Node Pool: High-risk Bulletin, access to high value resource via SA impersonation | למאגר צמתים של GKE יש אפשרות להתחזות לחשבון שירות (SA) שמעניק גישה למשאב בעל ערך גבוה. כך גדל הסיכון להרחבת הרשאות, לגישה לא מורשית ולפגיעה בנתונים. |
| GKE Node Pool: High-risk Bulletin, access to resource with sensitive data via SA impersonation | למאגר צמתים של GKE יש אפשרות להתחזות לחשבון שירות (SA) שמעניק גישה למשאב שמכיל נתונים רגישים. כך גדל הסיכון לגישה לא מורשית, לפרצות אבטחה ולניצול לרעה של הרשאות. |
| GKE Node Pool: High-risk Bulletin, direct access to high value resource | למאגר צמתים של GKE יש גישה ישירה למשאב בעל ערך גבוה, ולכן גדל הסיכון לגישה לא מורשית, להעברת הרשאות ברמות גבוהות יותר ולפגיעה אפשרית בנתונים. |
| GKE Node Pool: High-risk Bulletin, direct access to resource with sensitive data | למאגר צמתים של GKE יש גישה ישירה למשאב שמכיל מידע אישי רגיש, ולכן גדל הסיכון לגישה לא מורשית, לפרצה באבטחת מידע ולהסלמת הרשאות (privilege escalation). |
| מאגר צמתים ב-GKE שחשוף חיצונית: עדכון אבטחה דחוף | מאגר צמתים של GKE חשוף חיצונית ומושפע מ-CVE בסיכון גבוה. הדבר מגדיל באופן משמעותי את הסיכון להתקפות מרחוק, לגישה לא מורשית ולפגיעה במערכת. |
| מאגר צמתים של GKE: עדכון אבטחה דחוף, אפשרות להתחזות לחשבון SA | יש עלון מידע על סיכון גבוה במאגר צמתים של GKE שיש לו הרשאות להתחזות לחשבון שירות (SA) אחר, מה שמגדיל את הסיכון להרחבת הרשאות ולגישה לא מורשית למשאבים קריטיים. |
| GKE Node Pool: High-risk Bulletin, excessive direct permissions | יש עלון מידע על סיכון גבוה במאגר צמתים של GKE, שבו יש הרשאות מוגזמות למשאב אחר, שמאפשרות גישה לא מכוונת. כך גדל הסיכון להרחבת הרשאות, לגישה לא מורשית ולחשיפת נתונים. |
| GKE Node Pool: High-risk Bulletin, excessive permissions via SA impersonation | יש הודעה על סיכון גבוה במאגר צמתים של GKE שיש לו הרשאות מוגזמות למשאב אחר באמצעות התחזות לחשבון שירות (SA), מה שמגדיל את הסיכון להסלמת הרשאות ולגישה לא מורשית. |
| לחשבון שירות עם מפתח שלא בוצעה לו רוטציה יש הרשאות מוגזמות | חשבון שירות משתמש במפתח לטווח ארוך שלא מתבצעת בו רוטציה, עם הרשאות מוגזמות. כך גדל הסיכון לפריצה של פרטי הכניסה, לגישה לא מורשית ולהסלמת הרשאות. |
| לחשבון שירות עם מפתח בניהול המשתמשים יש הרשאות מוגזמות | חשבון שירות עם מפתחות בניהול המשתמש והרשאות מוגזמות, מה שמגדיל את הסיכון לדליפת פרטי כניסה ולהסלמת הרשאות. |
| עומס עבודה ב-GKE שחשוף חיצונית ופגיע ל-CVE-2025-49844 (יש ניצול לרשות, הרצת קוד מרחוק קריטית ב-Redis) | מזהה עומסי עבודה של GKE שחשופים חיצונית ומריצים Redis, שפגיעים ל-CVE-2025-49844, פגם קריטי בהרצת קוד מרחוק עם ניצול ידוע. |
| מופע GCE שחשוף חיצונית ופגיע ל-CVE-2025-49844 (יש ניצול לרשות התוקף, הרצת קוד מרחוק קריטית ב-Redis) | מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ומריצות Redis, שפגיעות ל-CVE-2025-49844, פגם קריטי בהרצת קוד מרחוק עם ניצול ידוע. |
| עומס עבודה ב-GKE שחשוף חיצונית ופגיע ל-CVE-2025-32433 (RCE קריטי ב-Erlang SSH) | מזהה עומסי עבודה של GKE שחשופים חיצונית ומריצים Erlang SSH, שפגיעים ל-CVE-2025-32433, פגם קריטי בביצוע קוד מרחוק שמנוצל באופן פעיל על ידי תוקפים. |
| GCE Instance שחשוף חיצונית ופגיע ל-CVE-2025-32433 (RCE קריטי ב-Erlang SSH) | מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ומריצות Erlang SSH, שפגיעות ל-CVE-2025-32433, פגם קריטי בהרצת קוד מרחוק שמנוצל באופן פעיל על ידי תוקפים. |
| עומס עבודה ב-GKE שחשוף חיצונית ופגיע ל-CVE-2023-46604 (RCE קריטי ב-Apache ActiveMQ, שנוצל באופן פעיל) | מזהה עומסי עבודה של GKE שחשופים חיצונית ומריצים Apache ActiveMQ, שפגיע ל-CVE-2023-46604, פגם קריטי בביצוע קוד מרחוק בפרוטוקול OpenWire שמנוצל באופן פעיל על ידי תוקפים. |
| מכונת GCE חשופה חיצונית שפגיעה ל-CVE-2023-46604 (RCE קריטי ב-Apache ActiveMQ, שנוצל באופן פעיל) | מזהה מקרים של מכונות וירטואליות ב-GCE שחשופות חיצונית ומריצות Apache ActiveMQ, שפגיעה ב-CVE-2023-46604, פגם קריטי בביצוע קוד מרחוק בפרוטוקול OpenWire, שמנוצל באופן פעיל על ידי תוקפים. |
| מופע GCE פגיע ל-CVE-2025-32463 (Sudo) עם ניצול ידוע | מזהה מקרים של מכונות וירטואליות ב-GCE שפגיעות ל-CVE-2025-32463, פגם בהסלמת הרשאות מקומית ב-Sudo עם ניצול ידוע. |
| GCE Instance חשוף ל-CVE (CVE-2025-23266) של Nvidia Container Toolkit ברמת חומרה קריטית | מזהה מקרים של מכונות וירטואליות ב-GCE עם עומסי עבודה של GPU שחשופים ל-CVE-2025-23266, פגם קריטי בהסלמת הרשאות בערכת הכלים של NVIDIA לקונטיינרים. |
| מופע GCE שחשוף חיצונית ופגיע ל-CVE-2025-59287 בסיכון גבוה (ניצול בטבע, ביצוע קוד מרחוק קריטי ב-WSUS) | מזהה מקרים של GCE שנחשפים חיצונית ומריצים Windows WSUS, שפגיעים ל-CVE-2025-59287, נקודת חולשה קריטית בביצוע קוד מרחוק שמנוצלת באופן פעיל על ידי תוקפים. |
| Vertex AI Workbench: CVE בסיכון גבוה | זוהה CVE ברמת סיכון גבוהה במכונה של Vertex AI Workbench. נקודת חולשה זו מגדילה את הסיכון לגישה לא מורשית לסביבת הפיתוח, ועלולה להוביל לזליגת נתונים של נתוני אימון וקוד מקור של מודלים. |
| Vertex AI Workbench: CVE בסיכון גבוה, הרשאות מוגזמות | מכונת Vertex AI Workbench עם CVE בסיכון גבוה משתמשת בחשבון שירות עם הרשאות מוגזמות. השילוב הזה מאפשר לתוקפים לנצל את נקודת החולשה כדי להרחיב את ההרשאות ולפגוע במשאבי ענן אחרים. |