שירותי זיהוי

במסמך הזה מפורטת רשימה של שירותי הזיהוי, שלפעמים נקראים גם מקורות אבטחה, שבהם Security Command Center משתמש כדי לזהות בעיות אבטחה בסביבות הענן שלכם.

כשהשירותים האלה מזהים בעיה, הם יוצרים ממצא – רשומה שמזהה את בעיית האבטחה ומספקת את המידע שדרוש כדי לתעדף את הבעיה ולפתור אותה.

אפשר לראות את הממצאים במסוף ולסנן אותם בדרכים רבות ושונות, למשל לפי סוג הממצא, סוג המשאב או נכס ספציפי. Google Cloud כל מקור אבטחה עשוי לספק מסננים נוספים שיעזרו לכם לארגן את הממצאים.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

שירותים לזיהוי נקודות חולשה

שירותים לגילוי פרצות כוללים שירותים מובנים ומשולבים שמזהים פרצות בתוכנה, הגדרות שגויות והפרות של מצב האבטחה בסביבות הענן. סוגי בעיות האבטחה האלה נקראים יחד נקודות חולשה.

AI Protection

‫AI Protection עוזר לכם לנהל את מצב האבטחה של עומסי העבודה של ה-AI. הוא מזהה איומים ועוזר לצמצם את הסיכונים במלאי נכסי ה-AI.

‫AI Protection מספק את יכולות הזיהוי הבאות:

  • הערכת מלאי נכסי ה-AI: מספקת תובנות לגבי מערכות ונכסי ה-AI שלכם, כמו מודלים, מקורות נתונים, נקודות קצה וסוכני AI.
  • זיהוי נקודות חולשה: זיהוי נקודות חולשה בתוכנה (CVE) בעומסי עבודה מבוססי-סוכן שנפרסו באמצעות Agent Runtime.
  • זיהוי סיכונים: משתמש בהדמיית נתיב התקפה ובכללים של תרשים אבטחה כדי לזהות סיכונים שקשורים לסוכנים ואת ההשפעה הפוטנציאלית שלהם על הסביבה.
  • זיהוי סוכנים עם הרשאות עודפות: זיהוי סוכני AI שקיבלו הרשאות עודפות.
  • זיהוי איומים וניהול שלהם: זיהוי איומים פוטנציאליים שמכוונים למערכות ולנכסי ה-AI שלכם ותגובה לאיומים האלה באמצעות כללים משולבים משירותים אחרים של Security Command Center, כמו Event Threat Detection ו-Agent Platform Threat Detection.

מידע נוסף מופיע במאמר סקירה כללית על AI Protection.

הערכת נקודות חולשה ב-Artifact Registry

הערכת נקודות חולשה ב-Artifact Registry היא שירות לגילוי נקודות חולשה, ששולח לכם התראות על נקודות חולשה בקובצי אימג' של קונטיינרים שפרסתם.

שירות הזיהוי הזה יוצר ממצאים של נקודות חולשה לתמונות של קונטיינרים בתנאים הבאים:

  • קובץ האימג' של הקונטיינר מאוחסן ב-Artifact Registry.

  • קובץ האימג' של הקונטיינר נפרס באחד מהנכסים הבאים:

    • אשכול Google Kubernetes Engine
    • שירות Cloud Run
    • משימה ב-Cloud Run
    • App Engine

הערכת נקודות החולשה ב-Artifact Registry מציגה ממצאים לגבי נקודות חולשה שמסווגות כחמורות ברמה HIGH או CRITICAL. הערכת הפגיעות ב-Artifact Registry לא תייצר ממצאים לגבי פגיעות ברמת חומרה נמוכה יותר.

אם מפעילים את הערכת הפגיעות של Artifact Registry באמצעות Security Command Center, הערכת הפגיעות של Artifact Registry כותבת באופן אוטומטי ממצאים ברמת חומרה גבוהה וקריטית אל Security Command Center. אם בקובצי האימג' של הקונטיינרים יש נקודות חולשה שמסווגות כבינוניות או נמוכות, אפשר לנהל אותן בהערכת הפגיעות של Artifact Registry, אבל הן לא מוצגות ב-Security Command Center.

הערכת הפגיעות ב-Artifact Registry סורקת רק תמונות שנמשכו ב-30 הימים האחרונים. הערכת נקודות החולשה ב-Artifact Registry ממשיכה לסרוק את האימג' וליצור ממצאים חדשים עד שהאימג' לא נמשך במשך יותר מ-30 יום.

אחרי שנוצרים ממצאי הערכת נקודות החולשה ב-Artifact Registry, הם נשארים זמינים לשליחת שאילתות עד 30 יום אחרי העדכון האחרון של ממצאי נקודות החולשה. מידע נוסף על שמירת נתונים ב-Security Command Center זמין במאמר שמירת נתונים.

הפעלת ממצאים של הערכת נקודות חולשה ב-Artifact Registry

כדי שבדיקת נקודות החולשה ב-Artifact Registry תיצור ממצאים ב-Security Command Center לגבי קובצי אימג' של קונטיינרים שנפרסו ומאוחסנים ב-Artifact Registry, צריך להפעיל את Container Scanning API בפרויקט.

אם לא הפעלתם את Container Scanning API, אתם צריכים לבצע את הפעולות הבאות:

  1. במסוף Google Cloud , עוברים לדף Container Scanning API.

    מעבר אל Container Scanning API

  2. בוחרים את הפרויקט שבו רוצים להפעיל את Container Scanning API.

  3. לוחצים על Enable.

ב-Security Command Center יוצגו ממצאים לגבי תמונות של קונטיינרים פגיעים שנסרקו, שמוצבים באופן פעיל בנכסי זמן הריצה הרלוונטיים. עם זאת, אופן הפעולה של שירות הזיהוי משתנה בהתאם למועד שבו הפעלתם את Security Command Center ואת Container Scanning API.

תרחיש הפעלה התנהגות שירות הזיהוי

הפעלתם את Security Command Center אחרי שהפעלתם את Container Scanning API ופרסתם קובץ אימג' של קונטיינר.

הערכת הפגיעות ב-Artifact Registry תייצר ממצאים לגבי פגיעויות קיימות שנמצאו בסריקות קודמות של Artifact Registry תוך 24 שעות מהפעלת התכונה.

הפעלתם את Security Command Center ופרסתם קובץ אימג' של קונטיינר לפני שהפעלתם את Container Scanning API.

הערכת הפגיעות ב-Artifact Registry לא תיצור באופן אוטומטי ממצאי פגיעות לתמונות של קונטיינרים שפרסתם לפני שהפעלתם את ה-API, עד שתופעל סריקה חדשה. כדי להפעיל סריקה חדשה באופן ידני, צריך לפרוס מחדש את קובץ אימג' של קונטיינר לאותו משאב זמן ריצה. הערכת נקודות החולשה של Artifact Registry תפיק ממצאים באופן מיידי אם יזוהו נקודות חולשה במהלך הסריקה.

הפעלתם את Security Command Center ואת Container Scanning API לפני שפרסתם קובץ אימג' של קונטיינר.

קובץ האימג' של הקונטיינר שנפרס זה עתה נסרק באופן מיידי ב-Artifact Registry, והכלי להערכת נקודות חולשה ב-Artifact Registry יוצר ממצאים אם הסריקה מזהה נקודות חולשה.

השבתת הממצאים של הערכת הפגיעות ב-Artifact Registry

כדי להשבית את הממצאים של הערכת הפגיעות ב-Artifact Registry:

  1. במסוף Google Cloud , נכנסים לדף API/Service Details של Container Scanning API.

    מעבר אל API/Service Details

  2. בוחרים את הפרויקט שבו רוצים להשבית את Container Scanning API.

  3. לוחצים על השבתת ה-API.

ב-Security Command Center לא מוצגים ממצאים לגבי נקודות חולשה שזוהו בסריקות עתידיות של קובצי אימג' של קונטיינר. ב-Security Command Center, הממצאים של הערכת הפגיעות ב-Artifact Registry נשארים פעילים למשך 30 יום אחרי העדכון האחרון של ממצאי הפגיעות. לאחר מכן הממצאים מושבתים ונמחקים 7 ימים אחרי ההשבתה. מידע נוסף על שמירת נתונים ב-Security Command Center

אפשר גם להשבית את הערכת נקודות החולשה ב-Artifact Registry על ידי השבתת מזהה המקור של הערכת נקודות החולשה בהגדרות של Security Command Center. עם זאת, אנחנו לא ממליצים על כך. השבתה של מזהה המקור של הערכת נקודות חולשה תשבית את כל שירותי הזיהוי שמסווגים תחת מזהה המקור של הערכת נקודות חולשה. לכן מומלץ להשבית את Container Scanning API באמצעות התהליך שלמעלה.

צפייה בתוצאות של הערכת נקודות חולשה ב-Artifact Registry במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בקטע המשנה השם המוצג של המקור, בוחרים באפשרות הערכת נקודות חולשה. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

הערכת נקודות חולשה ב-Agent Platform

הכלי Agent Platform Vulnerability Assessment (הערכת נקודות חולשה ב-Agent Platform) מזהה נקודות חולשה בתוכנה (CVE) בעומסי עבודה סוכני שנפרסו באמצעות Gemini Enterprise Agent Platform.

הסורק הזה מעריך באופן אוטומטי קוד מותאם אישית ותלות בתוך המופע התפעולי במהלך הפריסה או העדכון.

הפעלת ממצאים של הערכת נקודות חולשה ב-Agent Platform

הערכת נקודות חולשה של Agent Platform מופעלת אוטומטית בהפעלות חדשות של ניהול סיכונים במערכות AI.

לקוחות קיימים יכולים להפעיל את הסורק בדף הגדרות ההגנה באמצעות AI. מידע נוסף זמין במאמר בנושא הגדרה של הערכת נקודות חולשה ב-Agent Platform.

צפייה בתוצאות של הערכת פגיעות בפלטפורמת הסוכן במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Vulnerability Assessment for Agent Platform. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

הגנה על ארטיפקטים

הגנה על ארטיפקטים (גרסת Preview) הוא שירות שעוזר למנוע פריסה של חבילות פגיעות במהלך תהליך build. הוא תומך בשלושה היקפי מדיניות: פלטפורמת CI/CD, רישום וזמן ריצה. השילוב של CI/CD מאפשר לכם להגדיר מחברים לפלטפורמות CI/CD. אתם יכולים להשתמש במחברים האלה כדי להגדיר מדיניות של הגנה על ארטיפקטים לזיהוי נקודות חולשה בפייפליין של CI/CD.

ממצאים ב-Compliance Manager

הכלי Compliance Manager יוצר ממצאים לגבי אמצעי הבקרה הבלשיים והמונעים בענן שאתם פורסים בסביבת Google Cloud . אפשר לראות את הממצאים האלה בדף Findings ב-Security Command Center.

בכל רמת שירות, הכלי Compliance Manager מספק קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של Compliance Manager.

צפייה בממצאים של Compliance Manager במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Compliance Evaluation Service. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

Data Security Posture Management

ניהול מצב אבטחת הנתונים (DSPM) יוצר ממצאים לגבי הפרות פוטנציאליות של מסגרות אבטחת הנתונים ואמצעי הבקרה בענן שאתם מיישמים בסביבה שלכם. אפשר לראות את הממצאים האלה בדף Data Security & Compliance, בדף Risk Overview (בכרטיסייה Data) או בדף Findings ב-Security Command Center. לכל רמת שירות יש קבוצה שונה של יכולות. מידע נוסף זמין במאמר סקירה כללית של ניהול מצב אבטחת הנתונים (DSPM).

צפייה בממצאים של DSPM במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את Google Cloud הארגון.

  3. כדי לראות את הממצאים של DSPM, משתמשים בשאילתה הבאה:

    state="ACTIVE" AND NOT mute="MUTED" AND resource.name="//aiplatform.googleapis.com/projects/478190632149/locations/us-central1/models/1244151282898305024" AND category="DATA_SECURITY_POSTURE_ACCESS_VIOLATION" OR category="DATA_SECURITY_POSTURE_FLOW_VIOLATION" OR category="DATA_SECURITY_POSTURE_DELETION_VIOLATION" OR category="DATA_SECURITY_POSTURE_PROTECTION_KEY_GOVERNANCE" OR category="BIGQUERY_TABLE_CMEK_DISABLED" OR category="VERTEX_AI_MODEL_CMEK_DISABLED" OR category="VERTEX_AI_METADATA_STORE_CMEK_DISABLED" OR category="VERTEX_AI_DATASET_CMEK_DISABLED" OR category="VERTEX_AI_FEATURE_STORE_TABLE_CMEK_DISABLED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_MISCONFIGURED" OR category="DATA_SECURITY_POSTURE_CMEK_POLICY_DELETED" OR category="DATA_SECURITY_POSTURE_CMEK_VIOLATION" OR category="SENSITIVE_DATA_PUBLIC_SQL_INSTANCE" OR category="SENSITIVE_DATA_PUBLIC_DATASET" OR category="SENSITIVE_DATA_BIGQUERY_TABLE_CMEK_DISABLED" OR category="SENSITIVE_DATA_DATASET_CMEK_DISABLED" OR category="SENSITIVE_DATA_SQL_CMEK_DISABLED" OR category="PUBLIC_DATASET" OR category="PUBLIC_SQL_INSTANCE" OR category="SQL_PUBLIC_IP" OR category="ACCESS_TRANSPARENCY_DISABLED" OR category="ORG_POLICY_LOCATION_RESTRICTION" OR category="BUCKET_POLICY_ONLY_DISABLED" OR category="DATA_EXFILTRATION_BIG_QUERY" OR category="DATA_EXFILTRATION_BIG_QUERY_EXTRACTION" OR category="DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE"

  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה Category (קטגוריה). חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.

  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שאותר, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא (אם יש כאלה).

  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

לוח הבקרה של מצב האבטחה ב-GKE

לוח הבקרה של מצב האבטחה ב-Google Kubernetes Engine‏ (GKE) הוא דף במסוףGoogle Cloud שמספק ממצאים מבוססי-דעות וניתנים ליישום לגבי בעיות אבטחה פוטנציאליות באשכולות GKE.

אפשר לחקור את הממצאים גם במרכז הבקרה של מצב האבטחה ב-GKE וגם ב-Security Command Center.

  • ממצאים מתכונות של GKE נשלחים אל Security Command Center.

  • הממצאים מ-Security Command Center מוצגים במרכז הבקרה של מצב האבטחה.

הממצאים מוצגים בחלוניות הבאות במרכז הבקרה של מצב האבטחה:

חלונית לוח הבקרה של מצב האבטחה ב-GKE סיווג הממצאים ב-Security Command Center
ביקורת על הגדרות של עומסי עבודה1 MISCONFIGURATION
עדכוני אבטחה דחופים1 VULNERABILITY
הפגיעויות העיקריות בתוכנה2 VULNERABILITY
האיומים העיקריים3 THREAT
  1. הממצאים נוצרים על ידי GKE וזמינים רק אם מפעילים את התכונה הזו.
  2. הממצאים נוצרים על ידי Security Command Center. נדרשת הפעלה של רמות השירות Standard,‏ Premium או Enterprise. לא אפשרי בדרגה Standard-legacy.
  3. הממצאים נוצרים על ידי Security Command Center. נדרשת הפעלה של רמות השירות Premium או Enterprise.

צפייה בממצאים של GKE ב-Security Command Center

בממצאים מוצג מידע על בעיית האבטחה והמלצות לפתרון הבעיות בעומסי העבודה או באשכולות.

כדי לראות את הממצאים של GKE ב-Security Command Center:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בקטע המשנה השם המוצג של המקור, בוחרים באפשרות מצב האבטחה של GKE. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

שירות ההמלצות של IAM

הכלי להמלצות ב-IAM יוצר המלצות שיעזרו לכם לשפר את האבטחה על ידי הסרה או החלפה של תפקידי IAM מחשבונות משתמשים, אם התפקידים מכילים הרשאות IAM שהחשבון לא צריך.

כשתפעילו את Security Command Center, הכלי IAM Recommender יופעל באופן אוטומטי.

הפעלה או השבתה של הממצאים של הכלי להמלצות בנושא IAM

כדי להפעיל או להשבית את הממצאים של IAM Recommender ב-Security Command Center, פועלים לפי השלבים הבאים:

  1. עוברים לכרטיסייה Integrated services בדף Settings של Security Command Center במסוף Google Cloud :

    כניסה לדף Integrated Services

  2. עוברים אל הערך IAM recommender.

  3. משמאל לרשומה, לוחצים על הפעלה או על השבתה.

הממצאים של שירות ההמלצות בנושא IAM מסווגים כנקודות חולשה.

כדי לטפל בממצא של שירות ההמלצות ל-IAM, מרחיבים את הקטע הבא כדי לראות טבלה של הממצאים של שירות ההמלצות ל-IAM. שלבי התיקון לכל ממצא כלולים ברשומה בטבלה.

צפייה בממצאים של IAM Recommender במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בקטע המשנה השם המוצג של המקור, בוחרים באפשרות IAM Recommender. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

ב-Security Command Center Premium, אפשר גם לראות את הממצאים של הכלי להמלצות בנושא IAM בדף Vulnerabilities (פגיעויות) בגרסה הקודמת, על ידי בחירה בהגדרה הקבועה מראש של השאילתה IAM recommender (הכלי להמלצות בנושא IAM).

Mandiant Attack Surface Management

חברת Mandiant היא מובילה עולמית בתחום מודיעין איומי סייבר בחזית. ‫Mandiant Attack Surface Management מזהה נקודות חולשה וטעויות בהגדרות של משטחי התקפה חיצוניים, כדי לעזור לכם להתעדכן לגבי מתקפות הסייבר האחרונות.

הכלי Mandiant Attack Surface Management מופעל אוטומטית כשמפעילים את רמת Enterprise של Security Command Center, והממצאים זמינים במסוף Google Cloud .

במאמר ASM and Security Command Center בפורטל התיעוד של Mandiant מוסבר מה ההבדל בין מוצר Mandiant Attack Surface Management עצמאי לבין השילוב של Mandiant Attack Surface Management ב-Security Command Center. הקישור הזה מחייב אימות ב-Mandiant.

בדיקת הממצאים של Mandiant Attack Surface Management במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters (מסננים מהירים), בקטע המשנה Source display name (שם התצוגה של המקור), בוחרים באפשרות Mandiant Attack Surface Management. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

ב-Security Command Center וב-Mandiant Attack Surface Management לא מסומנים ממצאים כפתורים. אחרי שפותרים בעיה, אפשר לסמן אותה כפתורה באופן ידני. אם הבעיה לא תזוהה בסריקה הבאה של Mandiant Attack Surface Management, היא תישאר מסומנת כפתורה.

הגנה מוגברת על המודל

‫Model Armor הוא שירות שמנוהל במלואו Google Cloud , שמשפר את האבטחה והבטיחות של אפליקציות AI על ידי סינון של הנחיות ותשובות של מודלים גדולים של שפה (LLM).

ממצאים של נקודות חולשה משירות Model Armor

ממצא סיכום

שם הקטגוריה ב-API: FLOOR_SETTINGS_VIOLATION

מציאת תיאור: הפרה של הגדרת רמת הבסיס שמתרחשת כשמודל Model Armor לא עומד בתקני האבטחה המינימליים שהוגדרו בהגדרות רמת הבסיס של היררכיית המשאבים.

רמת התמחור: Premium

תיקון הממצא הזה:

ממצא זה מחייב לעדכן את תבנית הגנה מוגברת על המודל כך שתתאים להגדרות אבטחה מינימליות שהוגדרו בהיררכיית המשאבים.

שם הקטגוריה ב-API: GEMINI_MODEL_NOT_PROTECTED_BY_MODEL_ARMOR

השם הקודם: VERTEX_AI_MODEL_NOT_PROTECTED_BY_MODEL_ARMOR

תיאור הממצא: מודל בסיסי של Gemini שזוהה ב-Gemini Enterprise Agent Platform לא מוגן על ידי Model Armor.

רמת התמחור: Premium

תיקון הממצא הזה:

כדי לפתור את הממצא הזה, צריך להגדיר את הגנה מוגברת על המודל למודל שזוהה. מידע נוסף זמין במאמר בנושא יצירה וניהול של תבניות.

ממצאי התצפיות משירות Model Armor

ניהול סיכונים במערכות AI יוצר ממצאי תצפית למודלי בסיס שמוגנים על ידי הגנה מוגברת על המודל.

ממצא סיכום

שם הקטגוריה ב-API: GEMINI_MODEL_DETECTED

השם הקודם: VERTEX_AI_MODEL_DETECTED

מציאת תיאור: זוהה מודל בסיסי ב-Gemini Enterprise Agent Platform והוא מוגן על ידי Model Armor.

רמת התמחור: Premium

Notebook Security Scanner

‫Notebook Security Scanner הוא שירות מובנה לזיהוי נקודות חולשה בחבילות של Security Command Center. אחרי שמפעילים את Notebook Security Scanner, הוא סורק אוטומטית מחברות Colab Enterprise (קבצים עם סיומת שם הקובץ ipynb) כל 24 שעות כדי לזהות פגיעויות בחבילות Python, ומפרסם את הממצאים האלה בדף ממצאים ב-Security Command Center.

אפשר להשתמש ב-Notebook Security Scanner עבור מחברות Colab Enterprise שנוצרו באזורים הבאים: us-central1,‏ us-east4,‏ us-west1 ו-europe-west4.

כדי להתחיל להשתמש ב-Notebook Security Scanner, אפשר לעיין במאמר בנושא הפעלה ושימוש ב-Notebook Security Scanner.

Policy Controller

Policy Controller מאפשר להחיל מדיניות שניתנת לתכנות על אשכולות Kubernetes. כללי המדיניות האלה פועלים כמגבלות ויכולים לעזור בשיטות מומלצות, באבטחה ובניהול התאימות של האשכולות וה-Fleet שלכם.

אם מתקינים את Policy Controller ומפעילים את אחד מחבילות Policy Controller,‏ Policy Controller כותב באופן אוטומטי הפרות של אשכולות ב-Security Command Center כממצאים מסוג Misconfiguration. תיאור הממצא והשלבים הבאים בממצאים של Security Command Center זהים לתיאור האילוץ ולשלבי התיקון של חבילת Policy Controller התואמת.

הממצאים של Policy Controller מגיעים מחבילות Policy Controller הבאות:

כדי למצוא ממצאים של Policy Controller ולתקן אותם, אפשר לעיין במאמר בנושא תיקון ממצאים של Policy Controller.

Risk Engine

מנוע הסיכונים של Security Command Center מעריך את החשיפה לסיכונים של פריסות הענן, מקצה ציוני חשיפה להתקפות לממצאים של נקודות חולשה ולמשאבים בעלי ערך גבוה, ויוצר דיאגרמות של נתיבים שבהם תוקף פוטנציאלי יכול להשתמש כדי להגיע למשאבים בעלי ערך גבוה.

במהדורות Enterprise או Premium של Security Command Center, מנוע הסיכון מזהה קבוצות של בעיות אבטחה, שכשהן מתרחשות יחד בדפוס מסוים, יוצרות נתיב לאחד או יותר מהמשאבים בעלי הערך הגבוה שלכם, שנחוש להשיג אותם יכול להשתמש בו כדי להגיע למשאבים האלה ולפגוע בהם.

כשמנוע הסיכונים מזהה אחד מהשילובים האלה, הוא יוצר ממצא מסוג TOXIC_COMBINATION. בממצא, Risk Engine מופיע כמקור הממצא.

מנוע הסיכון מזהה גם משאבים נפוצים או קבוצות משאבים שבהם מתלכדים כמה נתיבי תקיפה, ואז יוצר ממצא מסוג CHOKEPOINT.

מידע נוסף זמין במאמר סקירה כללית על שילובים רעילים ונקודות חולשה.

Security Health Analytics

‫Security Health Analytics הוא שירות מובנה לזיהוי ב-Security Command Center, שמספק סריקות מנוהלות של משאבי הענן כדי לזהות טעויות נפוצות בהגדרות.

כשמזוהה הגדרה שגויה, הכלי Security Health Analytics יוצר ממצא. רוב הממצאים של Security Health Analytics ממופים לאמצעי בקרה של תקני אבטחה, כדי שתוכלו להעריך את התאימות.

‫Security Health Analytics סורק את המשאבים שלכם ב- Google Cloud. אם אתם משתמשים ברמת Enterprise ומקימים חיבורים לפלטפורמות ענן אחרות, Security Health Analytics יכול גם לסרוק את המשאבים שלכם בפלטפורמות הענן האלה.

הגלאים הזמינים שונים בהתאם לרמת השירות של Security Command Center שבה אתם משתמשים:

  • במהדורת Standard מדור קודם, Security Health Analytics כולל רק קבוצה בסיסית של גלאי פגיעויות ברמת חומרה בינונית וגבוהה.
  • ‫Premium כולל את כל כלי האיתור של נקודות החולשה Google Cloud.
  • רמת Enterprise כוללת גלאים נוספים לפלטפורמות ענן אחרות.

הכלי Security Health Analytics מופעל באופן אוטומטי כשמפעילים את Security Command Center.

למידע נוסף, קראו את המאמרים הבאים:

שירות מצב אבטחה

שירות מצב האבטחה הוא שירות מובנה במהדורת Premium של Security Command Center, שמאפשר להגדיר, להעריך ולעקוב אחרי המצב הכללי של האבטחה ב- Google Cloud. הוא מספק מידע על מידת ההתאמה של הסביבה שלכם למדיניות שאתם מגדירים במצב האבטחה.

שירות מצב האבטחה לא קשור ללוח הבקרה של מצב האבטחה ב-GKE, שבו מוצגים רק ממצאים באשכולות GKE.

Sensitive Data Protection

‫Sensitive Data Protection הוא שירות שמנוהל במלואו Google Cloud שעוזר לכם לגלות, לסווג ולהגן על המידע האישי הרגיש שלכם. אתם יכולים להשתמש ב-Sensitive Data Protection כדי לקבוע אם אתם מאחסנים מידע רגיש או פרטים אישיים מזהים (PII), כמו:

  • שמות של אנשים
  • מספרים של כרטיסי אשראי
  • מספרי תעודת זהות ארצית או מדינתית
  • מספרי זיהוי של ביטוחי בריאות
  • סודות

ב-Sensitive Data Protection, כל סוג של מידע אישי רגיש שמחפשים נקרא infoType.

אם מגדירים את הפעולה של הגנה על מידע אישי רגיש כך שהתוצאות יישלחו אל Security Command Center, אפשר לראות את הממצאים ישירות בקטע Security Command Center במסוף Google Cloud , בנוסף לקטע Sensitive Data Protection.

אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות. אם לא תבצעו את המשימה הזו, יכול להיות שתקבלו אזהרות.

ממצאי פגיעות משירות הגילוי Sensitive Data Protection

שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם אתם מאחסנים נתונים רגישים מאוד שלא מוגנים.

קטגוריה סיכום

שם הקטגוריה ב-API:

PUBLIC_SENSITIVE_DATA

תיאור: במשאב שצוין יש נתונים רגישים מאוד שאפשר לגשת אליהם מכל מקום באינטרנט.

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • מאגר Azure Blob Storage

תיקון:

לגבי נתוני Google Cloud , צריך להסיר את allUsers ואת allAuthenticatedUsers ממדיניות ה-IAM של נכס הנתונים.

לגבי נתונים ב-Amazon S3, צריך להגדיר חסימה של גישה ציבורית או לעדכן את רשימת ה-ACL של האובייקט כדי למנוע גישה ציבורית לקריאה. מידע נוסף זמין במאמרים הגדרת חסימת גישה ציבורית לקטגוריות S3 והגדרת רשימות ACL במסמכי AWS.

לגבי נתונים ב-Azure Blob Storage, צריך להסיר את הגישה הציבורית למאגר ול-Blobs. מידע נוסף זמין במאמר Overview: Remediating anonymous read access for blob data במסמכי התיעוד של Azure.

תקני תאימות: לא ממופים

שם הקטגוריה ב-API:

SECRETS_IN_ENVIRONMENT_VARIABLES

מציאת תיאור: יש secrets – כמו סיסמאות, אסימוני אימות ופרטי כניסה ל- Google Cloud – במשתני סביבה.

הוראות להפעלת אמצעי הגילוי הזה מופיעות במאמר דיווח על סודות במשתני סביבה אל Security Command Center במסמכי התיעוד של Sensitive Data Protection.

נכסים נתמכים:

תיקון:

במשתני הסביבה של פונקציות Cloud Run, צריך להסיר את הסוד ממשתנה הסביבה ולאחסן אותו ב-Secret Manager במקום זאת.

במשתני סביבה של גרסת שירות ב-Cloud Run, מעבירים את כל התנועה מהגרסה ואז מוחקים אותה.

תקני תאימות:

  • CIS GCP Foundation 1.3: ‏ 1.18
  • CIS GCP Foundation 2.0: 1.18

שם הקטגוריה ב-API:

SECRETS_IN_STORAGE

מציאת תיאור: יש סודות – כמו סיסמאות, אסימוני אימות ופרטי כניסה לענן – במשאב שצוין.

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • מאגר Azure Blob Storage

תיקון:

  1. כדי להגן על Google Cloud נתונים, אפשר להשתמש ב-Sensitive Data Protection כדי להריץ סריקה מפורטת של המשאב שצוין כדי לזהות את כל המשאבים המושפעים. לגבי נתונים ב-Cloud SQL, מייצאים את הנתונים לקובץ CSV או AVRO בקטגוריה של Cloud Storage ומריצים סריקה מפורטת של הקטגוריה.

    לגבי נתונים מספקי ענן אחרים, צריך לבדוק ידנית את הקטגוריה או את מאגר התגים שצוינו.

  2. מסירים את הסודות שזוהו.
  3. כדאי לאפס את פרטי הכניסה.
  4. לגבי נתוני Google Cloud , כדאי לשקול לאחסן את הסודות שזוהו ב-Secret Manager במקום זאת.

תקני תאימות: לא ממופים

ממצאים של שגיאות בהגדרות משירות הגילוי של Sensitive Data Protection

שירות הגילוי של Sensitive Data Protection עוזר לכם לקבוע אם יש לכם הגדרות שגויות שעשויות לחשוף מידע אישי רגיש.

קטגוריה סיכום

שם הקטגוריה ב-API:

SENSITIVE_DATA_CMEK_DISABLED

תיאור הממצא: במשאב שצוין יש נתונים ברמת רגישות גבוהה או בינונית, ולא נעשה בו שימוש במפתח הצפנה בניהול הלקוח (CMEK).

נכסים נתמכים:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • קטגוריה ב-Amazon S3
  • מאגר Azure Blob Storage

תיקון:

תקני תאימות: לא ממופים

ממצאים של תצפיות מ-Sensitive Data Protection

בקטע הזה מתוארות הממצאים של התצפיות שנוצרים על ידי Sensitive Data Protection ב-Security Command Center.

ממצאי התצפיות משירות הגילוי

שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם הנתונים שלכם מכילים סוגי מידע ספציפיים, ואיפה הם נמצאים בארגון, בתיקיות ובפרויקטים. הוא יוצר את הקטגוריות הבאות של ממצאי תצפיות ב-Security Command Center:

Data sensitivity
אינדיקציה לרמת הרגישות של הנתונים בנכס נתונים מסוים. נתונים נחשבים רגישים אם הם מכילים פרטים אישיים מזהים (PII) או רכיבים אחרים שעשויים לדרוש בקרה או ניהול נוספים. חומרת הממצא היא רמת הרגישות שחושבה על ידי Sensitive Data Protection כשנוצר פרופיל הנתונים.
Data risk
הסיכון שמשויך לנתונים במצבם הנוכחי. כשמחשבים את הסיכון לנתונים, Sensitive Data Protection לוקח בחשבון את רמת הרגישות של הנתונים בנכס הנתונים ואת קיומם של אמצעים לבקרת גישה כדי להגן על הנתונים האלה. רמת החומרה של הממצא היא רמת הסיכון לנתונים שחושבה על ידי Sensitive Data Protection במהלך יצירת פרופיל הנתונים.

בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות 'מיון מידע אישי רגיש'. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.

לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.

מידע על שליחת תוצאות של פרופיל נתונים אל Security Command Center זמין במאמר בנושא הפעלת גילוי של מידע אישי רגיש.

ממצאי תצפיות משירות הבדיקה של Sensitive Data Protection

משימת בדיקה של Sensitive Data Protection מזהה כל מופע של נתונים מסוג infoType ספציפי במערכת אחסון כמו קטגוריה של Cloud Storage או טבלה ב-BigQuery. לדוגמה, אתם יכולים להריץ משימת בדיקה שמחפשת את כל המחרוזות שתואמות לגלאי CREDIT_CARD_NUMBER infoType בקטגוריה של Cloud Storage.

לכל גלאי infoType שיש לו התאמה אחת או יותר, Sensitive Data Protection יוצר ממצא תואם ב-Security Command Center. קטגוריית הממצא היא השם של גלאי ה-infoType שהייתה לו התאמה – לדוגמה, Credit card number. הממצא כולל את מספר המחרוזות התואמות שזוהו בטקסט או בתמונות במשאב.

מטעמי אבטחה, המחרוזות בפועל שזוהו לא נכללות בממצא. לדוגמה, בCredit card numberממצא מוצג מספר כרטיסי האשראי שנמצאו, אבל לא מוצגים מספרי כרטיסי האשראי עצמם.

ב-Sensitive Data Protection יש יותר מ-150 גלאי Infotype מובנים, ולכן לא מופיעות כאן כל הקטגוריות האפשריות של ממצאים ב-Security Command Center. רשימה מלאה של מזהי InfoType מופיעה במאמר חומר עזר בנושא מזהי InfoType.

במאמר שליחת תוצאות של עבודת בדיקה של Sensitive Data Protection אל Security Command Center מוסבר איך לשלוח את התוצאות של עבודת בדיקה אל Security Command Center.

בדיקת הממצאים של Sensitive Data Protection במסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters (מסננים מהירים), בקטע המשנה Source display name (שם התצוגה של המקור), בוחרים באפשרות Sensitive Data Protection (הגנה על מידע רגיש). תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

VM Manager

VM Manager הוא חבילת כלים שאפשר להשתמש בהם כדי לנהל מערכות הפעלה למכונות וירטואליות (VM) ב-Fleets גדולים, שמריצים Windows ו-Linux ב-Compute Engine.

כדי להשתמש ב-VM Manager עם הפעלות ברמת הפרויקט של Security Command Center Premium, צריך להפעיל את רמת השירות Security Command Center Standard-legacy בארגון האב.

אם מפעילים את VM Manager במסלול Security Command Center Premium,‏ VM Manager כותב אוטומטית ממצאים מסוג high ו-critical מדוחות נקודות החולשה שלו (שנמצאים בשלב טרום-השקה) אל Security Command Center. בדוחות מזוהות פגיעויות במערכות הפעלה (OS) שמותקנות במכונות וירטואליות, כולל פגיעויות וחשיפות נפוצות (CVE).

דוחות על פגיעויות לא זמינים במסלול Standard-legacy של Security Command Center.

התוצאות מפשטות את תהליך השימוש בתכונה Patch Compliance (תצוגה מקדימה) של VM Manager. כשמשלבים את התכונה עם Security Command Center Premium, אפשר לראות את כל הפרויקטים בארגון ולנהל את התיקונים שלהם. למרות שהגדרתם את משימות הטלאים הבודדות ב-VM Manager ברמת הפרויקט, ב-Security Command Center תוכלו לראות את כל משימות הטלאים בצורה מאוחדת, וכך לנהל אותן בכל הארגון.

כדי לתקן את הממצאים של VM Manager, אפשר לעיין במאמר בנושא תיקון הממצאים של VM Manager.

כדי להפסיק את כתיבת דוחות נקודות החולשה ב-Security Command Center, אפשר לעיין במאמר בנושא השתקת ממצאים של VM Manager.

כל נקודות החולשה מהסוג הזה קשורות לחבילות של מערכת ההפעלה המותקנות במכונות וירטואליות נתמכות של Compute Engine.

גלאי סיכום הגדרות סריקת נכסים

שם הקטגוריה ב-API: OS_VULNERABILITY

ממצא: VM Manager זיהה נקודת חולשה בחבילת מערכת ההפעלה (OS) שהותקנה במכונה וירטואלית של Compute Engine.

רמת התמחור: Premium

נכסים נתמכים

compute.googleapis.com/Instance

פתרון הממצא

דוחות הפגיעות ב-VM Manager מפרטים את הפגיעות בחבילות של מערכת ההפעלה המותקנת במכונות וירטואליות ב-Compute Engine, כולל פגיעות וחשיפות נפוצות (CVE).

רשימה מלאה של מערכות הפעלה נתמכות זמינה במאמר בנושא פרטים על מערכות הפעלה.

הממצאים מופיעים ב-Security Command Center זמן קצר אחרי שמתגלים נקודות חולשה. דוחות על נקודות חולשה ב-VM Manager נוצרים באופן הבא:

  • כשחבילה מותקנת או מתעדכנת במערכת ההפעלה של מכונה וירטואלית, אפשר לראות את המידע על Common Vulnerabilities and Exposures (CVEs) לגבי המכונה הווירטואלית ב-Security Command Center תוך שעתיים אחרי השינוי.
  • כשמתפרסמים עדכונים חדשים בנושא אבטחה למערכת הפעלה, בדרך כלל אפשר למצוא עדכונים של CVE תוך 24 שעות אחרי שספק מערכת ההפעלה מפרסם את העדכון.

הערכת נקודות חולשה ב-AWS

שירות הערכת נקודות חולשה ב-Amazon Web Services ‏ (AWS) מזהה נקודות חולשה בתוכנה בעומסי העבודה שפועלים במכונות וירטואליות (VM) של EC2 בפלטפורמת הענן של AWS.

לכל נקודת חולשה שזוהתה, הכלי להערכת נקודות חולשה ב-AWS יוצר ממצא מסוג Vulnerability בכיתה בקטגוריית הממצאים Software vulnerability ב-Security Command Center.

שירות הערכת נקודות החולשה ב-AWS סורק תמונות מצב של מופעי מכונות EC2 שפועלים, כך שעומסי העבודה של הייצור לא מושפעים. שיטת הסריקה הזו נקראת סריקת דיסק ללא סוכן, כי לא מותקנים סוכנים ביעדי הסריקה.

למידע נוסף, קראו את המאמרים הבאים:

הערכת נקודות חולשה ב- Google Cloud

השירות הערכת נקודות חולשה for Google Cloud מזהה נקודות חולשה בתוכנה במשאבים הבאים בפלטפורמה Google Cloud :

  • הפעלת מכונות וירטואליות של Compute Engine
  • צמתים באשכולות GKE Standard
  • קונטיינרים שפועלים באשכולות GKE Standard ו-GKE Autopilot

לכל נקודת חולשה שזוהתה, הכלי הערכת נקודות חולשה for Google Cloud יוצר ממצא מסוג Vulnerability class בקטגוריית הממצאים Software vulnerability או OS vulnerability ב-Security Command Center.

הכלי להערכת נקודות חולשה בשירות Google Cloud סורק את המכונות הווירטואליות ב-Compute Engine על ידי שיבוט הדיסקים שלהן בערך כל 12 שעות, טעינתם במכונה וירטואלית מאובטחת והערכתם באמצעות הסורק SCALIBR.

מידע נוסף זמין במאמר בנושא הערכת נקודות חולשה ב- Google Cloud.

Web Security Scanner

Web Security Scanner מספק סריקה מנוהלת ומותאמת אישית של נקודות חולשה באינטרנט עבור אפליקציות אינטרנט ציבוריות של App Engine,‏ GKE ו-Compute Engine.

סריקות מנוהלות

סריקות מנוהלות של Web Security Scanner מוגדרות ומנוהלות על ידי Security Command Center. סריקות מנוהלות מופעלות אוטומטית פעם בשבוע כדי לזהות ולסרוק נקודות קצה ציבוריות באינטרנט. הסריקות האלה לא משתמשות באימות והן שולחות בקשות GET בלבד, כך שהן לא שולחות טפסים באתרים פעילים.

סריקות מנוהלות מופעלות בנפרד מסריקות בהתאמה אישית.

אם Security Command Center מופעל ברמת הארגון, אפשר להשתמש בסריקות מנוהלות כדי לנהל באופן מרכזי את זיהוי נקודות החולשה הבסיסיות באפליקציות אינטרנט בפרויקטים בארגון, בלי לערב צוותים של פרויקטים ספציפיים. כשמתגלים ממצאים, אפשר לעבוד עם הצוותים האלה כדי להגדיר סריקות מותאמות אישית מקיפות יותר.

כשמפעילים את Web Security Scanner כשירות, ממצאי הסריקה המנוהלים זמינים באופן אוטומטי בדף Vulnerabilities (נקודות חולשה) ב-Security Command Center ובדוחות שקשורים אליהם. מידע על הפעלת סריקות מנוהלות של Web Security Scanner זמין במאמר הגדרת שירותים של Security Command Center.

סריקות מנוהלות תומכות רק באפליקציות שמשתמשות ביציאה שמוגדרת כברירת מחדל, שהיא 80 לחיבורי HTTP ו-443 לחיבורי HTTPS. אם האפליקציה שלכם משתמשת ביציאה שאינה ברירת המחדל, צריך לבצע סריקה בהתאמה אישית.

סריקות בהתאמה אישית

סריקות מותאמות אישית של Web Security Scanner מספקות מידע מפורט על ממצאי פגיעות באפליקציה, כמו ספריות מיושנות, סקריפטים חוצי אתרים או שימוש בתוכן מעורב.

סריקות בהתאמה אישית מוגדרות ברמת הפרויקט.

אחרי שתשלימו את המדריך בנושא הגדרת סריקות בהתאמה אישית ב-Web Security Scanner, תוכלו לראות את הממצאים של הסריקות בהתאמה אישית ב-Security Command Center.

מזהים ותאימות

Web Security Scanner תומך בקטגוריות בOWASP Top Ten, מסמך שמדרג את 10 סיכוני האבטחה הקריטיים ביותר באפליקציות אינטרנט ומספק הנחיות לתיקון שלהם, כפי שנקבע על ידי Open Web Application Security Project‏ (OWASP). במאמר OWASP Top 10 mitigation options on Google Cloud (אפשרויות לצמצום הסיכונים של OWASP ב-Google Cloud) מפורטות הנחיות לצמצום הסיכונים של OWASP.

מיפוי התאימות כלול לעיון בלבד, והוא לא מסופק או נבדק על ידי OWASP Foundation.

הפונקציונליות הזו נועדה רק כדי לעזור לכם לעקוב אחרי הפרות של כללי התאימות. המיפויים לא מסופקים לשימוש כבסיס לביקורת, לאישור או לדוח תאימות של המוצרים או השירותים שלכם לכל אמות מידה או תקנים רגולטוריים או תעשייתיים, או כתחליף להם.

מידע נוסף זמין במאמר סקירה כללית של סורק אבטחת אתרים.

שירותים לזיהוי איומים

שירותי זיהוי איומים כוללים שירותים מובנים ומשולבים שמזהים אירועים שעשויים להצביע על אירועים מזיקים פוטנציאליים, כמו משאבים שנפרצו או מתקפות סייבר.

זיהוי איומים ב-Agent Platform

התכונה Agent Platform Threat Detection (זיהוי איומים בפלטפורמת הסוכנים) מספקת זיהוי איומים בזמן ריצה לסוכנים שנפרסו ב-Agent Runtime. הוא עוקב אחרי סוכנים פעילים כדי לזהות מתקפות פוטנציאליות, ומפיק ממצאים ב-Security Command Center.

התכונה 'זיהוי איומים ב-Agent Platform' יכולה ליצור ממצאים לגבי Agent Runtime, כולל הקטגוריות הבאות:

  • Command and Control: Steganography Tool Detected
  • גישה לפרטי כניסה: מציאת Google Cloud פרטי כניסה
  • Credential Access: GPG Key Reconnaissance
  • גישה לפרטי כניסה: חיפוש מפתחות פרטיים או סיסמאות
  • התחמקות מהגנה: שורת פקודה של קובץ ELF בפורמט Base64
  • התחמקות מהגנה: סקריפט Python בקידוד Base64 הופעל
  • התחמקות מהגנה: סקריפט מעטפת בקידוד Base64 הופעל
  • התחמקות מהגנה: הפעלת הכלי Code Compiler במאגר
  • ביצוע: הרצת קוד מרחוק של Netcat במאגר
  • הרצה: הרצה אפשרית של פקודה שרירותית דרך CUPS‏ (CVE-2024-47177)
  • ביצוע: יכול להיות שזוהה ביצוע של פקודה מרחוק
  • ביצוע: הפעלת תוכנית עם סביבת HTTP Proxy לא מורשית
  • ביצוע: זוהה Socat Reverse Shell
  • הרצה: אובייקט משותף חשוד של OpenSSL נטען
  • העברת נתונים: הפעלת כלי להעתקת קבצים מרחוק במאגר
  • השפעה: זיהוי של שורות פקודה זדוניות
  • השפעה: הסרת נתונים בכמות גדולה מהדיסק
  • השפעה: פעילות חשודה של כריית קריפטו באמצעות פרוטוקול Stratum
  • הסלמת הרשאות: ניצול לרעה של Sudo להסלמת הרשאות (CVE-2019-14287)
  • הסלמת הרשאות: נקודת חולשה בהסלמת הרשאות מקומיות ב-Polkit‏ (CVE-2021-4034)
  • הסלמת הרשאות: הסלמת הרשאות פוטנציאלית ב-Sudo‏ (CVE-2021-3156)
  • ביצוע: בוצע Python זדוני
  • ביצוע: פירצה בקונטיינר
  • הרצה: הרצה של כלי לתקיפת Kubernetes
  • הרצה: הרצה של כלי לזיהוי נקודות חולשה ברשת המקומית
  • השפעה: סקריפט זדוני הופעל
  • השפעה: זוהתה כתובת URL זדונית
  • ביצוע: מעטפת צאצא לא צפויה

מידע נוסף על זיהוי איומים ב-Agent Platform

זיהוי אנומליות

זיהוי אנומליות הוא שירות מובנה שמשתמש באותות התנהגותיים מחוץ למערכת שלכם. מוצג בו מידע מפורט על אנומליות אבטחה שזוהו בחשבונות השירות, כמו פרטי כניסה שדלפו. התכונה 'זיהוי אנומליות' מופעלת באופן אוטומטי כשמפעילים את Security Command Center Standard-legacy או את רמת Premium, והממצאים זמינים במסוף Google Cloud .

הממצאים של זיהוי האנומליות כוללים את הפרטים הבאים:

שם החריגה קטגוריית התוצאות תיאור
account_has_leaked_credentials

פרטי הכניסה של חשבון שירות Google Cloud נחשפו בטעות באינטרנט או שנפרצו.

מידת החומרה: קריטית

פרטי הכניסה לחשבון נחשפו

‫GitHub הודיע ל-Security Command Center שפרטי הכניסה ששימשו לביצוע קומיט נראים כמו פרטי הכניסה של חשבון שירות שלGoogle Cloud Identity and Access Management.

ההודעה כוללת את שם חשבון השירות ואת מזהה המפתח הפרטי. Google Cloud שולחת גם הודעה באימייל אל איש הקשר שמוגדר לטיפול בבעיות אבטחה ופרטיות.

כדי לפתור את הבעיה, אתם יכולים לבצע אחת או יותר מהפעולות הבאות:

  • זיהוי המשתמש הלגיטימי במפתח.
  • מבצעים רוטציה למפתח.
  • מסירים את המפתח.
  • כדאי לבדוק את כל הפעולות שבוצעו באמצעות המפתח אחרי שהוא הודלף, כדי לוודא שאף אחת מהפעולות לא הייתה זדונית.

‫JSON: ממצא של פרטי כניסה לחשבון שנחשפו

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

התכונה זיהוי איומים בקונטיינר יכולה לזהות את המתקפות הנפוצות ביותר על זמן הריצה של קונטיינרים, ולשלוח לכם התראות ב-Security Command Center, ואם תרצו, גם ב-Cloud Logging. התכונה Container Threat Detection (זיהוי איומים בקונטיינר) כוללת כמה יכולות זיהוי, כלי ניתוח ו-API.

הכלי לזיהוי איומים בקונטיינר אוסף נתונים על התנהגות ברמה נמוכה בקרנל של מערכת ההפעלה האורחת, ומבצע עיבוד שפה טבעית על הקוד כדי לזהות את האירועים הבאים:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (תצוגה מקדימה)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (תצוגה מקדימה)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (תצוגה מקדימה)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47076)
  • Execution: Possible Remote Command Execution Detected (תצוגה מקדימה)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Socat Reverse Shell Detected
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (תצוגה מקדימה)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
  • Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
  • Reverse Shell
  • Unexpected Child Shell

מידע נוסף על זיהוי איומים בקונטיינר

Event Threat Detection

הכלי Event Threat Detection משתמש בנתוני יומן מתוך המערכות שלכם. הוא עוקב אחרי הזרם של Cloud Logging בפרויקטים, וצורכת את היומנים כשהם הופכים לזמינים. כשמזוהה איום, Event Threat Detection כותב ממצא ב-Security Command Center ובפרויקט Cloud Logging. התכונה Event Threat Detection מופעלת באופן אוטומטי כשמפעילים את מהדורת Security Command Center Premium, והממצאים זמינים במסוףGoogle Cloud .

בטבלה הבאה מפורטות דוגמאות לממצאים של Event Threat Detection.

טבלה ג' סוגי הממצאים של Event Threat Detection

הכלי Event Threat Detection מזהה השמדת נתונים על ידי בדיקת יומני ביקורת משרת ניהול השירות Backup and DR בתרחישים הבאים:

  • מחיקה של תמונת גיבוי
  • מחיקה של כל תמונות הגיבוי שמשויכות לאפליקציה
  • מחיקה של מכשיר לגיבוי או לשחזור

הכלי Event Threat Detection מזהה העברה לא מורשית של נתונים מ-BigQuery ומ-Cloud SQL על ידי בדיקת יומני ביקורת בתרחישים הבאים:

  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime יזמה חילוץ נתונים מ-BigQuery על ידי שמירת משאבים מחוץ לארגון. הממצא מסווג כחמור ברמה גבוהה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime ניסתה לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls. הממצא מסווג כבעל חומרה נמוכה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime יזמה חילוץ נתונים מ-BigQuery לקטגוריה מחוץ לארגון או לקטגוריה ציבורית ב-Cloud Storage.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime יזמה העברה של נתונים מ-Cloud SQL לקטגוריה של Cloud Storage מחוץ לארגון שלכם או לקטגוריה שבבעלות הארגון שלכם ונגישה לציבור.גרסת Preview
  • משאב BigQuery נשמר מחוץ לארגון, או שמנסים לבצע פעולת העתקה שנחסמת על ידי VPC Service Controls.
  • נעשה ניסיון לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls.
  • משאב Cloud SQL מיוצא באופן מלא או חלקי לקטגוריה של Cloud Storage מחוץ לארגון שלכם, או לקטגוריה שבבעלות הארגון שלכם ונגישה באופן ציבורי.
  • גיבוי של Cloud SQL משוחזר למופע של Cloud SQL מחוץ לארגון.
  • משאב BigQuery שבבעלות הארגון שלכם מיוצא לקטגוריה של Cloud Storage מחוץ לארגון, או לקטגוריה בארגון שלכם שנגישה באופן ציבורי.
  • משאב BigQuery שבבעלות הארגון שלכם מיוצא לתיקייה ב-Google Drive.
  • משאב BigQuery נשמר במשאב ציבורי שנמצא בבעלות הארגון.

הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים, שעשויים להעיד על פריצה לחשבון משתמש תקף במכונות Cloud SQL:

  • למשתמש במסד נתונים מוקצות כל ההרשאות למסד נתונים של Cloud SQL ל-PostgreSQL, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה.
  • משתמשים בחשבון סופר-משתמש של מסד נתונים שמוגדר כברירת מחדל ב-Cloud SQL ‏ (`postgres` במכונות PostgreSQL או `root` במכונות MySQL) כדי לכתוב לטבלאות שאינן מערכתיות.

הכלי Event Threat Detection בודק יומני ביקורת כדי לזהות את האירועים הבאים שעשויים להעיד על פריצה לחשבון משתמש תקף במכונות AlloyDB ל-PostgreSQL:

  • למשתמש במסד נתונים מוענקות כל ההרשאות למסד נתונים של AlloyDB ל-PostgreSQL, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה.
  • משתמשים במשתמש סופר בחשבון ברירת המחדל של מסד נתונים ב-AlloyDB ל-PostgreSQL ‏(`postgres`) כדי לכתוב לטבלאות שאינן טבלאות מערכת.
התכונה Event Threat Detection מזהה ניסיון לפריצה של אימות סיסמה ב-SSH על ידי בדיקת יומני syslog לחיפוש של כשלים חוזרים ואחריהם הצלחה.
הכלי Event Threat Detection מזהה תוכנות זדוניות לכריית מטבעות קריפטוגרפיים על ידי בדיקת יומני תעבורה של VPC ויומני Cloud DNS לחיבורים לדומיינים או לכתובות IP ידועים של מאגרי כרייה.

מתן הרשאות חריגות ב-IAM: Event Threat Detection מזהה הוספה של הרשאות ב-IAM שאפשר להגדיר כחריגות, כמו:

  • הוספת משתמש ב-gmail.com למדיניות עם התפקיד עורך הפרויקט.
  • הזמנת משתמש עם כתובת gmail.com כבעלים של פרויקט מתוך Google Cloud המסוף.
  • חשבון שירות שמעניק הרשאות רגישות.
  • תפקיד בהתאמה אישית שמעניק הרשאות רגישות.
  • חשבון שירות שנוסף מחוץ לארגון.

Event Threat Detection מזהה שינויים חריגים ב-Backup and DR שעשויים להשפיע על מצב הגיבוי, כולל שינויים משמעותיים במדיניות והסרה של רכיבים קריטיים ב-Backup and DR.
הכלי Event Threat Detection מזהה ניסיונות אפשריים לניצול של Log4j ונקודות חולשה פעילות ב-Log4j.
הכלי Event Threat Detection מזהה תוכנות זדוניות על ידי בדיקת VPC Flow Logs ויומנים של Cloud DNS כדי למצוא חיבורים לדומיינים ולכתובות IP ידועים של שרתים להשגת שליטה.
Event Threat Detection מזהה גישה חריגה על ידי בדיקת יומני ביקורת של Cloud לגבי שינויים בשירות שמקורם בכתובות IP אנונימיות של שרתי proxy, כמו כתובות IP של Tor. Google Cloud
הכלי Event Threat Detection מזהה התנהגות חריגה ב-IAM על ידי בדיקת יומני הביקורת של Cloud בתרחישים הבאים:
  • משתמשים וחשבונות שירות ב-IAM ניגשים Google Cloud מכתובות IP חריגות.
  • חשבונות שירות ב-IAM ניגשים מ-user agents חריגים. Google Cloud
  • משתמשים ומשאבים שמתחזים לחשבונות שירות ב-IAM כדי לגשת ל- Google Cloud.
‫Event Threat Detection מזהה מתי נעשה שימוש בפרטי כניסה של חשבון שירות כדי לחקור את התפקידים וההרשאות שמשויכים לאותו חשבון שירות.
התכונה 'זיהוי איומים על אירועים' מזהה שינוי במטא-נתונים של מכונת Compute Engine, בערך של מפתח SSH במכונה קיימת (בת יותר משבוע).
Event Threat Detection מזהה שינוי בערך של סקריפט לטעינה בזמן ההפעלה של המטא-נתונים של מופע Compute Engine במופע קיים (בן יותר משבוע).
Event Threat Detection מזהה פריצות פוטנציאליות לחשבונות Google Workspace על ידי בדיקת יומני ביקורת לפעילויות חריגות בחשבון, כולל סיסמאות שנחשפו וניסיונות כניסה חשודים.
‫Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם תוקפים בגיבוי גורם ממשלתי ניסו לפרוץ לחשבון או למחשב של משתמש.
Event Threat Detection בודקת את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם הושבתה כניסה יחידה (SSO) או שבוצעו שינויים בהגדרות של חשבונות אדמין ב-Google Workspace.
‫Event Threat Detection בודק את יומני הביקורת של Google Workspace כדי לזהות מקרים שבהם אימות דו-שלבי מושבת בחשבונות של משתמשים ואדמינים.
הכלי Event Threat Detection מזהה התנהגות חריגה של API על ידי בדיקת יומני הביקורת של Cloud לגבי בקשות ל Google Cloud שירותים שגורם מרכזי לא נתקל בהם בעבר.

הכלי Event Threat Detection מזהה ניסיונות להתחמקות מהגנה על ידי בדיקה של יומני הביקורת של Cloud בתרחישים הבאים:

  • שינויים בהיקפים קיימים של VPC Service Controls שיובילו לצמצום ההגנה.
  • פריסות או עדכונים של עומסי עבודה שמשתמשים בדגל break-glass כדי לעקוף את אמצעי הבקרה של Binary Authorization.תצוגה מקדימה
  • משביתים את המדיניות storage.secureHttpTransport ברמת הפרויקט, התיקייה או הארגון.
  • שינוי ההגדרות של סינון כתובות IP לקטגוריה של Cloud Storage.
  • ניתנה זהות שמשויכת לסוכן AI התפקיד Token Creator ברמת הפרויקט, התיקייה או הארגון.גרסת Preview

הכלי Event Threat Detection מזהה פעולות גילוי על ידי בדיקת יומני ביקורת לתרחישים הבאים:

  • גורם זדוני פוטנציאלי ניסה לקבוע אילו אובייקטים רגישים ב-GKE הוא יכול לשלוח לגביהם שאילתות, באמצעות הפקודה kubectl.
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime השתמשה בפרטי כניסה של חשבון שירות כדי לבדוק את התפקידים וההרשאות שמשויכים לאותו חשבון שירות.גרסת Preview
  • פרטי כניסה של חשבון שירות משמשים לחקירת התפקידים וההרשאות שמשויכים לאותו חשבון שירות.
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime ביצעה קריאה לא מורשית ל-API בפרויקט חיצוני.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime הציגה התנהגות של סריקת יציאות.תצוגה מקדימה
התכונה Event Threat Detection מזהה פעולות של גישה לפרטי כניסה על ידי בדיקת יומני Agent Runtime בתרחישים הבאים:
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime אחזרה אסימון של חשבון שירות משרת המטא-נתונים.תצוגה מקדימה
  • נעשה שימוש בפרטי כניסה של סוכן מחוץ ל- Google Cloud.תצוגה מקדימה
הכלי Event Threat Detection מזהה פעולות של גישה ראשונית על ידי בדיקת יומני הביקורת בתרחישים הבאים:
  • חשבון שירות רדום שמנוהל על ידי משתמש הפעיל פעולה.תצוגה מקדימה
  • גורם מרכזי ניסה להפעיל שיטות שונות של Google Cloud , אבל הניסיון נכשל שוב ושוב בגלל שגיאות של permission denied.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime הפעילה שוב ושוב שגיאות מסוג permission denied על ידי הפעלת שיטות שונות של Google Cloud .תצוגה מקדימה
  • פעילות של חשבון שירות רדום בשירות AI.תצוגה מקדימה

התכונה Event Threat Detection (זיהוי איומים באירועים) מזהה פעולות התמדה בנכסים של Gemini Enterprise Agent Platform, כולל התרחישים הבאים:

  • שיטה חדשה של AI API.תצוגה מקדימה
  • מיקום גיאוגרפי חדש לשירות AI.תצוגה מקדימה
  • הענקת הרשאת IAM חריגה לזהות של סוכן.תצוגה מקדימה
  • נוספה הרשאה לשימוש ב-AI עם מידע רגיש לתפקיד מותאם אישית.גרסת טרום-השקה
  • תפקיד רגיש שניתן על ידי סוכן AI.תצוגה מקדימה
  • תפקיד עם גישה למידע רגיש הוקצה לסוכן AI חיצוני.תצוגה מקדימה

התכונה Event Threat Detection (זיהוי איומים על אירועים) מזהה העלאת הרשאות ב-GKE על ידי בדיקת יומני ביקורת לתרחישים הבאים:

  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime יצרה טוקן על ידי ניצול לרעה של ההרשאה signJwt שאפשר להשתמש בה להעלאת רמת ההרשאה.תצוגה מקדימה
  • זהות שמשויכת לסוכן AI שנפרס ב-Agent Runtime יצרה טוקן שאפשר להשתמש בו להעלאת הרשאות.גרסת Preview
  • התחזות חריגה לחשבון שירות לצורך פעילות אדמין של AI.תצוגה מקדימה
  • התחזות חריגה לחשבון שירות לצורך גישה לנתוני AI.תצוגה מקדימה
  • העברת הרשאות חריגה של חשבון שירות מרובה שלבים לפעילות אדמין של AI או לגישה לנתונים.תצוגה מקדימה
  • מתחזה חריג לחשבון שירות בפעילות של אדמין AI.תצוגה מקדימה
  • כדי להעלות את רמת ההרשאות, גורם זדוני פוטנציאלי ניסה לשנות אובייקט של בקרת גישה מבוססת-תפקידים (RBAC) מסוג ClusterRole, RoleBinding או ClusterRoleBinding של התפקיד הרגיש cluster-admin באמצעות בקשה מסוג PUT או PATCH.
  • גורם זדוני פוטנציאלי יצר בקשת חתימה על אישור (CSR) של מישור הבקרה ב-Kubernetes, שמעניקה לו גישה ל-cluster-admin.
  • כדי להרחיב את ההרשאות, גורם זדוני פוטנציאלי ניסה ליצור אובייקט חדש מסוג RoleBinding או ClusterRoleBinding עבור התפקיד cluster-admin.
  • גורם זדוני פוטנציאלי שלח שאילתה לגבי בקשה לחתימת אישור (CSR) באמצעות הפקודה kubectl, תוך שימוש בפרטי כניסה שנפרצו.
  • גורם זדוני פוטנציאלי יצר Pod שמכיל קונטיינרים עם הרשאות או קונטיינרים עם יכולות להעלאת הרשאות.
‫Cloud IDS מזהה מתקפות בשכבה 7 על ידי ניתוח של חבילות נתונים שעברו רפליקציה, וכשמזוהה אירוע חשוד, הוא מפעיל ממצא של Event Threat Detection. למידע נוסף על זיהויים ב-Cloud IDS תצוגה מקדימה
הכלי Event Threat Detection מזהה מתקפות פוטנציאליות של שינוי דיסק אתחול על ידי בדיקת יומני הביקורת של Cloud כדי למצוא ניתוקים וחיבורים מחדש של דיסק אתחול בתדירות גבוהה במופעים של Compute Engine.

מידע נוסף על Event Threat Detection

Google Cloud Armor

Cloud Armor עוזר להגן על האפליקציה שלכם באמצעות סינון בשכבה 7. ‫Cloud Armor מנקה בקשות נכנסות מהתקפות אינטרנט נפוצות או ממאפיינים אחרים בשכבה 7 כדי לחסום תנועה באופן פוטנציאלי לפני שהיא מגיעה לשירותי הקצה העורפי או לדליים של הקצה העורפי עם איזון עומסים.

מערכת Cloud Armor מייצאת שני ממצאים ל-Security Command Center:

זיהוי איומים במכונות וירטואליות

זיהוי איומים במכונות וירטואליות הוא שירות מובנה של Security Command Center. השירות הזה סורק מכונות וירטואליות כדי לזהות אפליקציות זדוניות פוטנציאליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוט במצב ליבה ותוכנות זדוניות שפועלות בסביבות ענן שנפרצו.

התכונה 'זיהוי איומים במכונות וירטואליות' היא חלק מחבילת התכונות לזיהוי איומים ב-Security Command Center, והיא נועדה להשלים את היכולות הקיימות של Event Threat Detection ושל זיהוי איומים בקונטיינר.

מידע נוסף על זיהוי איומים במכונות וירטואליות זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.

ממצאים של איומים ב-VM Threat Detection

התכונה 'זיהוי איומים במכונות וירטואליות' יכולה ליצור את ממצאי האיומים הבאים.

ממצאים של איומים שקשורים לכריית מטבעות וירטואליים

התכונה 'זיהוי איומים ב-VM' מזהה את קטגוריות הממצאים הבאות באמצעות התאמת hash או כללי YARA.

ממצאים של זיהוי איומים במכונות וירטואליות בנושא איומים של כריית מטבעות וירטואליים
קטגוריה יחידת לימוד תיאור
CRYPTOMINING_HASH התאמה בין גיבובים של זיכרון של תוכניות שפועלות לבין גיבובים ידועים של זיכרון של תוכנות לכריית מטבעות וירטואליים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
CRYPTOMINING_YARA התאמה לדפוסי זיכרון, כמו קבועים של הוכחת עבודה, שידוע שהם בשימוש בתוכנות לכריית מטבעות קריפטוגרפיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 מזהה איום שזוהה על ידי המודולים CRYPTOMINING_HASH ו-CRYPTOMINING_YARA. מידע נוסף זמין במאמר Combined detections. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

ממצאים לגבי איומים של ערכת כלים להשגת הרשאות אדמין (rootkit) במצב ליבה

התכונה 'זיהוי איומים במכונה וירטואלית' מנתחת את תקינות הליבה בזמן הריצה כדי לזהות טכניקות התחמקות נפוצות שמשמשות תוכנות זדוניות.

מודול KERNEL_MEMORY_TAMPERING מזהה איומים על ידי השוואת הגיבוב של קוד הליבה וזיכרון הנתונים לקריאה בלבד של הליבה של מכונה וירטואלית.

מודול KERNEL_INTEGRITY_TAMPERING מזהה איומים על ידי בדיקת שלמות של מבני נתונים חשובים בקרנל.

ממצאים של איומים מסוג rootkit במצב ליבה של מכונה וירטואלית
קטגוריה יחידת לימוד תיאור
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 קיימים שילובים של אותות שתואמים לרוטקיט ידוע במצב ליבה. כדי לקבל ממצאים מהקטגוריה הזו, צריך לוודא ששני המודולים מופעלים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
שיבוש של זיכרון הליבה
KERNEL_MEMORY_TAMPERING קיימים שינויים לא צפויים בזיכרון הנתונים לקריאה בלבד של ליבת המערכת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
שיבוש תקינות הליבה
KERNEL_INTEGRITY_TAMPERING יש ftrace נקודות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים רכיבי handler של הפרעות שלא נמצאים באזורי הקוד של הליבה או המודול הצפויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים דפי קוד של ליבת המערכת שלא נמצאים באזורי הקוד הצפויים של ליבת המערכת או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING יש kprobe נקודות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים תהליכים לא צפויים בתור ההמתנה של מתזמן הפעולות. תהליכים כאלה נמצאים בתור להרצה, אבל לא ברשימת משימות התהליך. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
KERNEL_INTEGRITY_TAMPERING קיימים מטפלים בשיחות של המערכת שלא נמצאים באזורים הצפויים של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

שגיאות

גלאי שגיאות יכולים לעזור לכם לזהות שגיאות בהגדרה שמונעות ממקורות אבטחה ליצור ממצאים. ממצאי השגיאות נוצרים על ידי מקור האבטחה Security Command Center ויש להם את סיווג הממצאים SCC errors.

פעולות לא מכוונות

קטגוריות הממצאים הבאות מייצגות שגיאות שאולי נגרמו כתוצאה מפעולות לא מכוונות.

פעולות לא מכוונות
שם הקטגוריה שם ה-API סיכום חוּמרה
API_DISABLED

תיאור הממצא: ממשק API נדרש מושבת בפרויקט. השירות המושבת לא יכול לשלוח ממצאים אל Security Command Center.

רמת המחיר: Premium או Standard

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות אצווה: כל 60 שעות

פתרון הממצא

קריטית
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

תיאור הממצא: הגדרות ערכי משאבים מוגדרות לסימולציות של נתיבי תקיפה, אבל הן לא תואמות למופעים של משאבים בסביבה שלכם. הסימולציות משתמשות במקום זאת בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

השגיאה הזו יכולה להופיע מהסיבות הבאות:

  • אף אחת מההגדרות של ערכי המשאבים לא תואמת לאף מופע של משאב.
  • הגדרה אחת או יותר של ערכי משאבים שמציינת NONE מבטלת כל הגדרה תקפה אחרת.
  • כל ההגדרות של ערכי המשאבים המוגדרים מציינות ערך של NONE.

רמת התמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organizations

סריקות אצווה: לפני כל סימולציה של נתיב תקיפה.

פתרון הממצא

קריטית
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

תיאור הממצא: בסימולציית נתיב ההתקפה האחרונה, מספר המופעים של משאבים בעלי ערך גבוה, כפי שזוהו על ידי הגדרות ערך המשאבים, חורג מהמגבלה של 1,000 מופעים של משאבים בקבוצת משאבים בעלי ערך גבוה. כתוצאה מכך, Security Command Center לא כלל את מספר המקרים העודף בקבוצת המשאבים בעלי הערך הגבוה.

המספר הכולל של מקרים תואמים והמספר הכולל של מקרים שהוחרגו מהקבוצה מופיעים בSCC Errorממצאים במסוף Google Cloud .

ציוני החשיפה להתקפות בכל הממצאים שמשפיעים על מופעי משאבים שהוחרגו לא משקפים את הייעוד של מופעי המשאבים כבעלי ערך גבוה.

רמת התמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organizations

סריקות אצווה: לפני כל סימולציה של נתיב תקיפה.

פתרון הממצא

גבוהה
KTD_IMAGE_PULL_FAILURE

תיאור הממצא: אי אפשר להפעיל את זיהוי איומים בקונטיינר באשכול כי אי אפשר למשוך (להוריד) קובץ אימג' של קונטיינר נדרש מ-gcr.io, מארח התמונות של Container Registry. התמונה נדרשת כדי לפרוס את Container Threat Detection DaemonSet שנדרש לזיהוי איומים בקונטיינר.

הניסיון לפרוס את DaemonSet של זיהוי איומים בקונטיינר הסתיים בשגיאה הבאה:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

רמת התמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

תיאור הממצא: אי אפשר להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול Kubernetes. בקר קבלה מצד שלישי מונע את הפריסה של אובייקט Kubernetes DaemonSet שנדרש לזיהוי איומים בקונטיינרים.

כשצופים בפרטי הממצאים במסוף Google Cloud , הם כוללים את הודעת השגיאה שהוחזרה על ידי Google Kubernetes Engine כש-זיהוי איומים בקונטיינר ניסה לפרוס אובייקט DaemonSet של זיהוי איומים בקונטיינר.

רמת התמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל 30 דקות

פתרון הממצא

גבוהה
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא: לחשבון שירות חסרות הרשאות שנדרשות לזיהוי איומים בקונטיינרים. יכול להיות שזיהוי איומים בקונטיינרים יפסיק לפעול כמו שצריך כי אי אפשר להפעיל, לשדרג או להשבית את הכלים לזיהוי איומים.

רמת התמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא: הממצאים של Container Threat Detection לא נוצרים עבור אשכול Google Kubernetes Engine, כי חסרות הרשאות בחשבון השירות שמוגדר כברירת מחדל ב-GKE באשכול. כך לא ניתן להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול.

רמת התמחור: Premium

נכסים נתמכים
container.googleapis.com/Cluster

סריקות אצווה: כל שבוע

פתרון הממצא

גבוהה
MISCONFIGURED_CLOUD_LOGGING_EXPORT

תיאור הממצא: הפרויקט שהוגדר ל ייצוא רציף ל-Cloud Logging לא זמין. לא ניתן לשלוח ממצאים מ-Security Command Center אל Logging.

רמת התמחור: Premium

נכסים נתמכים
cloudresourcemanager.googleapis.com/Organization

סריקות אצווה: כל 30 דקות

פתרון הממצא

גבוהה
VPC_SC_RESTRICTION

ממצאים: לא ניתן ליצור ממצאים מסוימים עבור פרויקט ב-Security Health Analytics. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולחשבון השירות של Security Command Center אין גישה לגבולות הגזרה.

רמת המחיר: Premium או Standard

נכסים נתמכים
cloudresourcemanager.googleapis.com/Project

סריקות אצווה: כל 6 שעות

פתרון הממצא

גבוהה
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

תיאור הממצא: לחשבון השירות של Security Command Center חסרות הרשאות שנדרשות כדי שהשירות יפעל כמו שצריך. לא נוצרות תוצאות.

רמת המחיר: Premium או Standard

נכסים נתמכים

סריקות אצווה: כל 30 דקות

פתרון הממצא

קריטית

מידע נוסף זמין במאמר שגיאות ב-Security Command Center.

הערכות אבטחה של מחזור החיים של אפליקציות

אתם יכולים לשלב הערכות אבטחה פרואקטיביות ישירות במחזור החיים של פיתוח האפליקציה באמצעות Application Design Center (App Design Center) עם Security Command Center.

השילוב הזה מתמקד במושגים העיקריים הבאים.

ממצאים בזמן העיצוב ובזמן הריצה

  • ממצאים בזמן העיצוב: מקורם בסריקות של תבניות ותוכן של תשתית כקוד (IaC) בתוך App Design Center לפני פריסת המשאבים.
  • ממצאים בזמן ריצה: נובעים ממשאבים שנפרסו בסביבת הענן שלכם.

ב-Security Command Center מוצגים שני סוגי הממצאים כדי לספק תצוגה מאוחדת של מצב האבטחה של האפליקציה.

אפליקציות מנוהלות ולא מנוהלות

ב-Security Command Center נעשה שימוש במונחים הבאים כדי להבחין בין אפליקציות על סמך אופן הפריסה שלהן:

אפליקציות מנוהלות
אפליקציות שעיצבתם באמצעות App Design Center. האפליקציות האלה תומכות בהערכות בזמן העיצוב.
אפליקציות לא מנוהלות
אפליקציות שרשומות ב-מרכז האפליקציות אבל לא מנוהלות על ידי App Design Center. האפליקציות האלה תומכות בניטור בזמן ריצה ובתיעדוף סיכונים ב-Security Command Center, אבל לא תומכות בהערכות בזמן עיצוב.

נקודות הערכה לפני הפריסה

ב-App Design Center אפשר לבצע הערכות אבטחה בכמה שלבים במחזור החיים של האפליקציה:

  1. שלב העיצוב: הערכות על פי דרישה כשעורכים תבנית או אפליקציה.
  2. שלב הפרסום: הערכות אוטומטיות כשמפרסמים תבניות בקטלוג שירותים.
  3. שלב הפריסה: בדיקה סופית לפני הקצאת משאבים.

App Hub

ב-Security Command Center וב-Compliance Manager אפשר לראות ממצאים, בעיות ומידע על תאימות למשאבים באפליקציה ספציפית ב-App Hub. אפשר לסנן את התצוגות המפורטות של כלי החקירה כדי לראות נתונים רק לגבי משאבים שנרשמו לאפליקציה ב-מרכז האפליקציות.

אפשר לסנן בתצוגות החקירה הבאות:

  • סקירת סיכונים > מרכז הבקרה כל הסיכונים
  • סקירת סיכונים > לוח הבקרה נתונים
  • הדף ממצאים
  • הדף בעיות
  • Compliance > Monitor (New) tab
  • תאימות > מעקב (חדש) > הדף פרטי מסגרת

כשמציגים נתונים ברמת הארגון, אפשר להשתמש בתפריט בחירת אפליקציה כדי לסנן את התצוגה. בתפריט הזה מופיעות אפליקציות שנוצרו ב-App Hub ונפרסו באותו ארגון שבו Security Command Center פעיל. המידע בתפריט Select app מאוחזר מ-מאגר משאבי ענן ומ-מרכז האפליקציות.

התפריט בחירת אפליקציה לא זמין כשצופים בנתונים של פרויקט או תיקייה יחידים.

המאמרים הבאים