arrow_back

Iniziare a utilizzare Security Command Center

Accedi Partecipa
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Metti alla prova le tue conoscenze e condividile con la nostra community.
done
Accedi a oltre 700 lab pratici, badge delle competenze e corsi

Iniziare a utilizzare Security Command Center

Lab 1 ora universal_currency_alt 1 credito show_chart Introduttivi
info Questo lab potrebbe incorporare strumenti di AI a supporto del tuo apprendimento.
Metti alla prova le tue conoscenze e condividile con la nostra community.
done
Accedi a oltre 700 lab pratici, badge delle competenze e corsi

GSP1124

Logo dei self-paced lab di Google Cloud

Panoramica

Security Command Center (SCC) è una piattaforma di monitoraggio della sicurezza che consente agli utenti di:

  • Scoprire le configurazioni errate relative alla sicurezza delle risorse Google Cloud.
  • Creare report sulle minacce attive negli ambienti Google Cloud.
  • Risolvere le vulnerabilità nelle risorse Google Cloud.

In questo lab muoverai i primi passi con Security Command Center (SCC) esplorando l'interfaccia, le configurazioni e i risultati relativi alle vulnerabilità del servizio.

Obiettivi

In questo lab imparerai a:

  • Esplorare gli elementi dell'interfaccia di SCC.
  • Configurare le impostazioni di SCC a livello di progetto.
  • Analizzare e risolvere i risultati relativi alle vulnerabilità di SCC.

Prerequisiti

Ti consigliamo, ma non è obbligatorio, di avere familiarità con quanto segue prima di iniziare questo lab:

Configurazione e requisiti

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

  • Accesso a un browser internet standard (Chrome è il browser consigliato).
Nota: utilizza una finestra del browser in incognito o privata per eseguire questo lab. Ciò evita eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.
  • È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Nota: se hai già un account o un progetto Google Cloud personale, non utilizzarlo per questo lab per evitare addebiti aggiuntivi al tuo account.

Come avviare il lab e accedere alla console Google Cloud

  1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

    • Il pulsante Apri console Google Cloud
    • Tempo rimanente
    • Credenziali temporanee da utilizzare per il lab
    • Altre informazioni per seguire questo lab, se necessario

  2. Fai clic su Apri console Google Cloud (o fai clic con il tasto destro del mouse e seleziona Apri link in finestra di navigazione in incognito se utilizzi il browser Chrome).

    Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

    Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

    Nota: se visualizzi la finestra di dialogo Scegli un account, fai clic su Usa un altro account.

  3. Se necessario, copia il Nome utente di seguito e incollalo nella finestra di dialogo di accesso.

    {{{user_0.username | "Username"}}}

    Puoi trovare il Nome utente anche nel riquadro Dettagli lab.

  4. Fai clic su Avanti.

  5. Copia la Password di seguito e incollala nella finestra di dialogo di benvenuto.

    {{{user_0.password | "Password"}}}

    Puoi trovare la Password anche nel riquadro Dettagli lab.

  6. Fai clic su Avanti.

    Importante: devi utilizzare le credenziali fornite dal lab. Non utilizzare le credenziali del tuo account Google Cloud. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.

  7. Fai clic nelle pagine successive:

    • Accetta i termini e le condizioni.
    • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
    • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: per visualizzare un menu con un elenco di prodotti e servizi Google Cloud, fai clic sul menu di navigazione in alto a sinistra. Icona menu di navigazione

Attiva Cloud Shell

Cloud Shell è una macchina virtuale in cui sono caricati strumenti per sviluppatori. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud. Cloud Shell fornisce l'accesso da riga di comando alle risorse Google Cloud.

  1. Fai clic su Attiva Cloud Shell Icona Attiva Cloud Shell nella parte superiore della console Google Cloud.

Quando la connessione è attiva, l'autenticazione è già avvenuta e il progetto è impostato sul tuo PROJECT_ID. L'output contiene una riga che dichiara il PROJECT_ID per questa sessione:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud è lo strumento a riga di comando di Google Cloud. È preinstallato su Cloud Shell e supporta il completamento tramite tasto Tab.

  1. (Facoltativo) Puoi visualizzare il nome dell'account attivo con questo comando:
gcloud auth list

  1. Fai clic su Autorizza.

  2. L'output dovrebbe avere ora il seguente aspetto:

Output:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Facoltativo) Puoi elencare l'ID progetto con questo comando:
gcloud config list project

Output:

[core] project = <project_ID>

Output di esempio:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: per la documentazione completa di gcloud, in Google Cloud, fai riferimento alla Panoramica dell'interfaccia a riga di comando gcloud.

Scenario

5ce916afc496a60c.jpeg


Cymbal Bank è una banca retail americana con oltre 2000 filiali in tutti i 50 stati. Offre servizi di debito e credito completi basati su una solida piattaforma di pagamento. È un istituto bancario che sta operando la trasformazione digitale dei propri servizi finanziari legacy.

Cymbal Bank è stata fondata nel 1920 con il nome Troxler. Cymbal Group ha acquisito la società nel 1975 dopo aver investito molto negli sportelli bancomat di proprietà del gruppo. Man mano che la banca diventava un leader nazionale, ha posto un accento strategico sulla modernizzazione della customer experience sia di persona presso le proprie filiali che digitalmente attraverso un'app rilasciata nel 2014. Cymbal Bank consta di 42.000 dipendenti a livello nazionale e, nel 2019, ha registrato entrate per 24 miliardi di dollari.

Cymbal Bank vuole integrare una piattaforma centralizzata di monitoraggio della sicurezza per monitorare le minacce e correggere le vulnerabilità nelle risorse Google Cloud delle applicazioni bancarie aziendali. In qualità di Cloud Security Engineer, hai il compito di conoscere le funzionalità all'avanguardia di Security Command Center in modo da poter fornire una presentazione al CTO sui vantaggi dei servizi.

Attività 1: esplora gli elementi dell'interfaccia di SCC

In questa attività esplorerai l'interfaccia di Security Command Center (SCC) per scoprire le principali funzionalità del servizio.

  1. Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), seleziona Sicurezza > Panoramica dei rischi.
Nota: se ricevi il messaggio "Crea un'organizzazione", aggiorna semplicemente il browser.
  1. Nella pagina Panoramica dei rischi, scorri verso il basso ed esamina i riquadri informativi che fanno riferimento a Nuove minacce nel tempo e Vulnerabilità per tipo di risorsa.

Minacce e vulnerabilità sono due diversi tipi di classi dei risultati, che SCC utilizza per classificare e segnalare problemi di sicurezza nel tuo ambiente. Per saperne di più sulle classi dei risultati, consulta la documentazione Classi di risultati.

  • La scheda Minacce avvisa gli utenti di Google Cloud sulle attuali attività sospette che si verificano nei loro ambienti Google Cloud, ad esempio un service account che indaga sulle proprie autorizzazioni.
  • La scheda Vulnerabilità fornisce informazioni su configurazioni errate o vulnerabilità delle risorse, come una porta TCP aperta o una libreria obsoleta in esecuzione su una macchina virtuale.

Un risultato è un record generato da SCC, che fornisce dettagli sui dati di vulnerabilità o minacce nella dashboard di Security Command Center.

  1. Nella scheda Nuove minacce nel tempo, fai clic sulla scheda Risultati per tipo di risorsa.

Questa scheda elenca le minacce attualmente attive che si sono verificate nel tuo progetto durante il periodo di tempo determinato dal menu a discesa "Intervallo di tempo" sul lato destro di questo riquadro informativo.

Nota: in questa istanza del lab, il numero di minacce è pari a zero perché ti trovi in un progetto Google Cloud in sandbox che non è mai stato attaccato. Scopri come proteggerti dalle minacce in un altro lab: Rilevare e analizzare le minacce con Security Command Center.

Per impostazione predefinita, il menu a discesa dell'intervallo di tempo mostra tutte le minacce apparse negli ultimi 7 giorni, ma è possibile visualizzare tutte le minacce verificatesi negli ultimi 180 giorni.

  1. Nel selettore Intervallo di tempo, seleziona Ultimi 180 giorni.
  2. Scorri verso il basso fino alla scheda Vulnerabilità per tipo di risorsa.
Vulnerabilità attive negli ultimi 180 giorni

Dovresti vedere circa 80 vulnerabilità attive in elenco.

La maggior parte di questi risultati viene generata perché utilizzi una rete VPC predefinita, che non è secure-by-design, ai fini di questo lab. Ad esempio, contiene regole firewall che consentono l'accesso SSH e RDP da qualsiasi indirizzo IP.

  1. Ora scorri verso il basso fino alla scheda Vulnerabilità attive.

  2. Se non è selezionata per impostazione predefinita, fai clic sulla scheda Risultati per categoria.

Questo mostrerà le vulnerabilità del tuo ambiente organizzate in base a diverse categorie di vulnerabilità e la loro gravità. La gravità è una proprietà del risultato che aiuta a stimare il potenziale rischio che un problema comporta per l'ambiente Google Cloud.

Il livello di gravità non può essere modificato: ogni tipo di risultato ha un livello di gravità predeterminato da SCC. Di seguito è riportato un elenco dei diversi tipi di gravità ed esempi comuni:

  • Critica: ad esempio, una sessione reverse shell avviata dall'interno di un pod GKE.
  • Alta: ad esempio, una porta SSH aperta all'intera rete internet (0.0.0.0/0).
  • Media: ad esempio, uno dei ruoli IAM originari (Proprietario/Editor/Visualizzatore) è stato concesso a un utente o a un service account.
  • Bassa: ad esempio, non vengono raccolti log di flusso VPC.
  • Non specificata: può apparire in SCC, ma non è comune.

I criteri dettagliati su come SCC imposta la gravità dei risultati sono descritti nella pagina Gravità dei risultati.

Nota: tieni presente che i risultati relativi alle porte RDP e SSH aperte hanno livelli di gravità alti.
  1. Ora fai clic sulla scheda Risultati per tipo di risorsa. Verranno visualizzate le vulnerabilità classificate in base ai diversi tipi di risorse Google Cloud disponibili.
Nota: questo progetto ha una rete VPC predefinita, quindi la maggior parte dei risultati qui sono correlati a componenti di rete come firewall, rete o subnet.
  1. Infine, fai clic sulla scheda Risultati per progetto. Questa scheda è progettata per l'utilizzo con SCC a livello di cartella o nodo radice dell'organizzazione.
Nota: nel nostro lab abbiamo accesso a un solo progetto, quindi questa scheda contiene solo il nome del progetto corrente.
  1. Nel portale Sicurezza, a cui accedi selezionando Sicurezza dal menu di navigazione (Icona menu di navigazione), prendi nota delle varie schede elencate sotto l'intestazione Security Command Center. Di seguito viene riportata la descrizione di ognuna.
Sezione SCC Descrizione
Panoramica dei rischi Mostra le vulnerabilità del tuo ambiente organizzate in base a diverse categorie di vulnerabilità e gravità.
Minacce Offre una rapida panoramica dei risultati classificati come minacce in SCC. Alcuni esempi potrebbero essere un tentativo riuscito di un attacco di forza bruta SSH, un software di cryptomining in esecuzione su risorse di calcolo, ad esempio Execution: Cryptocurrency Mining YARA Rule e una sessione Reverse Shell avviata dall'interno di un contenitore GKE.
Vulnerabilità Offre una rapida panoramica di tutte le configurazioni errate o dei difetti del software che potrebbero esistere nell'ambito corrente (che sia all'interno del progetto, della cartella o dell'organizzazione). Ciò ti offre un accesso più capillare alle vulnerabilità, permettendoti di visualizzarle in dettaglio. Alcuni esempi di vulnerabilità sono una porta MySQL aperta a tutta internet, un'istanza di ruoli originari utilizzati, ad esempio il ruolo Proprietario/Editor/Visualizzatore assegnato a un utente o a un service account e una pagina web o un'applicazione web vulnerabile agli attacchi XSS (cross-site scripting).
Conformità Mostra informazioni sulla compatibilità del tuo Progetto con i più importanti standard di conformità come CIS, PCI DSS, NIST 800-53 e altri.
Asset Include le informazioni sugli asset di Cloud Asset Inventory che monitora continuamente gli asset nel tuo ambiente cloud.
Risultati Consente di esplorare tutti i risultati disponibili nel database SCC.
Origini Fornisce dettagli sui moduli software che analizzano la configurazione delle risorse Google Cloud e monitorano le attività correnti leggendo file di log e controllando i processi attualmente in esecuzione.
Gestione della configurazione di sicurezza Consente di utilizzare il servizio di security posture in SCC. Per ulteriori dettagli, consulta la guida Gestire una security posture.

Attività 2: configura le impostazioni di SCC a livello di progetto

In questa attività scoprirai come configurare le impostazioni di SCC a livello di progetto.

  1. Fai clic su Impostazioni nell'angolo in alto a destra della pagina Panoramica dei rischi.

  2. Assicurati di essere nella scheda Servizi.

Questa scheda ti consente di impostare i parametri dei servizi integrati di SCC, chiamati anche origini ("il centro nevralgico di SCC" che hai esplorato nell'attività precedente). Ai fini di questo lab, i termini servizi e origini sono intercambiabili.

I servizi rilevano minacce e vulnerabilità e forniscono informazioni a SCC. La maggior parte è disponibile solo nell'edizione Premium di SCC, per la quale è stato eseguito il provisioning in questo lab.

Di seguito sono riportati i servizi integrati che è possibile configurare:

  • Security Health Analytics (SHA): trova e segnala configurazioni errate delle risorse (log disabilitati, autorizzazioni IAM aggiuntive, servizi esposti pubblicamente). Questo è il servizio che abbiamo attualmente abilitato nel nostro progetto e che ha rilevato le 76 vulnerabilità nel nostro progetto.
  • Web Security Scanner (WSS): esegue la scansione delle applicazioni web disponibili pubblicamente esposte tramite indirizzi IP esterni e controlla le 10 principali vulnerabilità OWASP.
  • Container Threat Detection (CTD): rileva gli attacchi runtime ai container più comuni in un Container-Optimized OS.
  • Event Threat Detection (ETD): fornisce un'analisi delle minacce basata su log che monitora continuamente i log di Google Cloud e Google Workspace per individuare potenziali minacce.
  • Virtual Machine Threat Detection: analizza la memoria delle istanze VM a livello di hypervisor e può rilevare attività sospette che si verificano nella memoria VM, ad esempio moduli kernel inaspettati o l'esecuzione di software di cryptomining.

  1. Fai clic sul link Gestisci le impostazioni per Security Health Analytics.

  2. Fai clic sulla scheda Moduli.

I moduli sono unità predefinite o personalizzate di logica di rilevamento. Come puoi vedere, SCC offre molti tipi diversi di moduli che possono aiutarti a rilevare diverse configurazioni errate delle risorse. SCC semplifica l'abilitazione e la disabilitazione di diversi tipi di moduli per supportare la tua security posture e le risorse che ti interessa monitorare.

  1. Nel campo del filtro, digita VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED e premi Invio.

  2. Seleziona Abilita dal menu a discesa Stato.

Se questa opzione è abilitata, Security Health Analytics controlla se la proprietà enableFlowLogs delle subnet VPC è mancante o impostata su false.

Nota: c'è un ritardo prima che SCC avvii la scansione delle risorse utilizzando il modulo appena abilitato.

Ora che hai familiarità con i diversi servizi di Security Command Center e sai come configurarli, puoi scoprire come identificare e correggere una vulnerabilità con SCC.

Attività 3: analizza e correggi i risultati delle vulnerabilità di SCC

In questa attività imparerai come gestire e mitigare i risultati delle vulnerabilità.

Contrassegna un risultato come INATTIVO per modificarne lo stato

  1. Nel menu di navigazione (Icona menu di navigazione), seleziona Sicurezza > Panoramica dei rischi.
  2. Nel menu a sinistra, fai clic sulla scheda Risultati.
  3. Imposta il selettore Intervallo di tempo nell'angolo in alto a destra su Dall'inizio.

  1. Nell'angolo in alto a sinistra dello schermo, trova la finestra Anteprima della query, che contiene un filtro per ordinare tutti i risultati disponibili.

Per impostazione predefinita, la scheda Risultati mostra i risultati non disattivati con lo stato ATTIVO.

Le due proprietà state e mute di ogni risultato definiscono la visibilità dei risultati in molti filtri utilizzati per SCC.

  • Il valore mute può essere impostato sui risultati dall'analista della sicurezza oppure può essere impostato automaticamente se l'analista non vuole vedere risultati irrilevanti e fastidiosi nell'interfaccia di SCC.
  • La proprietà state indica se un risultato richiede attenzione e non è stato ancora risolto oppure se è stato corretto o risolto in altro modo e non è più attivo.

Un modo consigliato per gestire il ciclo di vita dei risultati e nasconderli è utilizzare la proprietà mute. La modifica della proprietà state viene generalmente gestita da origini software.

  1. Nella scheda Filtri rapidi, seleziona la casella di controllo associata alla categoria Rete predefinita.

  1. Tieni presente che la stringa di query nell'Anteprima della query è cambiata (ora è stato aggiunto AND category="DEFAULT_NETWORK").

  2. Nella sezione Risultati della query sui risultati, seleziona la casella di controllo associata a Rete predefinita e seleziona Altre azioni (Icona Altre azioni) > Modifica stato attivo.

  3. Imposta lo stato su Inattivo per questo risultato.

Ora il risultato è stato disattivato e nascosto dallo schermo perché per impostazione predefinita vengono elencati solo i risultati attivi e non disattivati.

Filtra i risultati delle ricerche applicando una query

  1. Puoi reimpostare la visualizzazione a scheda Risultati. Per farlo, seleziona Panoramica dei rischi e poi Risultati sotto l'intestazione SCC.

  1. Fai clic sul pulsante Modifica query.

  2. Modifica la stringa di query nell'editor di query in category="DEFAULT_NETWORK".

  3. Al termine della modifica, fai clic sul pulsante Applica.

    L'applicazione della modifica potrebbe richiedere un paio di minuti. A questo punto, viene elencato un solo risultato per Rete predefinita.

Nel menu a sinistra, sotto Filtri rapidi, tieni presente che la casella di controllo Mostra non attivi è selezionata. SCC ti offre la flessibilità di cercare risultati attivi e inattivi. Ora puoi ripristinare lo stato di questo risultato.

  1. Nella sezione Risultati della query sui risultati, seleziona la casella di controllo per Rete predefinita e seleziona Altre azioni (Icona Altre azioni) > Modifica stato attivo.

  2. Imposta lo stato di questo risultato su Attivo.

I risultati possono essere attivati e disattivati manualmente, ma non possono mai essere eliminati da un utente. Vengono eliminati automaticamente solo quando un risultato non è stato aggiornato dagli scanner per 13 mesi.

Quando uno scanner di sicurezza controlla lo stesso risultato e non rileva la configurazione errata che ha prodotto il risultato, lo contrassegna come INACTIVE. Se la vulnerabilità è ancora presente nel sistema, il risultato rimane in stato ACTIVE.

  1. Fai clic sul pulsante Cancella tutto accanto a Filtri rapidi per reimpostare la scheda dei risultati.

  2. Nella finestra Anteprima della query, fai clic su Modifica query.

  3. Ora copia e incolla la seguente query:

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
  1. Al termine della modifica, fai clic sul pulsante Applica.

Ora vengono visualizzati tutti i risultati relativi alle subnet. Per questo lab, la rete VPC predefinita viene creata con il parametro --subnet-mode=auto, quindi nessuna delle sue subnet ha l'accesso privato Google abilitato e nessuna subnet scrive log di flusso VPC.

Filtra i risultati per categoria e disattivali

Quando lavori in un ambiente di test, a volte potresti voler nascondere determinati risultati. In questo caso, non vuoi vedere i risultati SCC sull'accesso privato Google in questa rete, quindi vuoi disattivarli.

  1. Nella finestra Filtri rapidi, seleziona la categoria Accesso privato Google disabilitato.

  2. Nel riquadro Risultati della query sui risultati, seleziona la casella di controllo Categoria in alto in modo che tutti i risultati "Accesso privato Google disabilitato" siano selezionati.

Casella di controllo della categoria selezionata

  1. Seleziona Altre azioni (Icona Altre azioni) e fai clic sul pulsante Opzioni di disattivazione.

  2. Nel menu a discesa, seleziona Applica override di disattivazione. Questa operazione disattiva i risultati esistenti.

  3. Seleziona Panoramica dei rischi nel menu a sinistra e poi Risultati per reimpostare la visualizzazione dei risultati.

Tieni presente che i risultati Accesso privato Google disabilitato sono ora disattivati e non vengono più visualizzati. La disattivazione è un modo efficace per filtrare i risultati di SCC e ti fornisce il controllo granulare sulle risorse e sui risultati che ti interessano.

Crea una regola di disattivazione per nascondere determinati risultati

Un'altra configurazione errata della rete predefinita è che anche i log di flusso VPC sono disabilitati nelle subnet di questa rete. Poiché stai lavorando in un ambiente di test, non è necessario abilitare i log di flusso VPC.

In questa sezione, disattivi tutti i risultati esistenti e futuri relativi a questa categoria.

  1. Nella finestra Risultati della query sui risultati, seleziona Altre azioni (Icona Altre azioni) > Opzioni di disattivazione > Gestisci regole di disattivazione.
  2. Fai clic sul pulsante Crea regola di disattivazione.
Nota: puoi creare una configurazione SCC in grado di disattivare i risultati esistenti e tutti i nuovi risultati che soddisfano i criteri definiti nel campo Query sui risultati. Tieni presente che in precedenza hai disattivato i risultati esistenti di "Accesso privato Google disabilitato" (PGA).

Si è trattato di un'operazione una tantum e i nuovi risultati rilevati che segnalano il PGA disabilitato continuano a comparire in SCC. Tuttavia, se crei una regola di disattivazione, disattiverai tutti i risultati esistenti e tutti quelli nuovi.

  1. Nella nuova finestra, inserisci una regola di disattivazione con ID: muting-pga-findings.

  2. Per la descrizione della regola di disattivazione, inserisci Mute rule for VPC Flow Logs.

  3. Nel campo di immissione del filtro Query sui risultati, inserisci il seguente filtro:

category="FLOW_LOGS_DISABLED"
  1. Fai clic sul pulsante Salva.

Dovresti ricevere una notifica che ti informa che è stata creata una regola di disattivazione.

Fai clic su Controlla i miei progressi per verificare di aver completato questo obiettivo. Crea regola di disattivazione

  1. Ora aggiorna la dashboard di SCC principale selezionando Risultati dal menu a sinistra.

    Assicurati di non ricevere più alcun risultato Accesso privato Google disabilitato o Log di flusso disabilitati.

Nota: se continui a visualizzare uno di questi risultati, aggiorna la scheda del browser.

Crea un'altra rete VPC per testare la regola di disattivazione dei risultati

In questa sezione, creerai un'altra rete con subnet configurate automaticamente per testare le modifiche recenti alle regole dei risultati.

  1. Apri una nuova sessione di Cloud Shell (Icona Attiva Cloud Shell) ed esegui il comando seguente per creare la rete:
gcloud compute networks create scc-lab-net --subnet-mode=auto Nota: la creazione della subnet potrebbe richiedere alcuni minuti.

Assicurati che l'output visualizzato sia simile al seguente.

Output:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

Fai clic su Controlla i miei progressi per verificare di aver completato questo obiettivo. Crea una rete

  1. Chiudi la finestra Cloud Shell dopo aver verificato il messaggio precedente.

  2. Aggiorna la finestra dei risultati SCC e prendi nota del risultato Accesso privato Google disabilitato appena creato. Tuttavia, non ci sono risultati sui log di flusso VPC (questo è dovuto alla regola di disattivazione creata in precedenza).

    Anche se hai creato regole di disattivazione per i log di flusso VPC, SCC ti consente comunque di visualizzarli utilizzando l'editor di query.

  3. Fai clic sul pulsante Modifica query e incolla quanto segue per sovrascrivere il testo del filtro di query esistente:

category="FLOW_LOGS_DISABLED"

  1. Fai clic su Applica.

    Controlla la finestra Risultati della query sui risultati e tieni presente che nella colonna Nome visualizzato risorsa sono elencate entrambe le reti: "defaults" e "SCC-lab-net".

Nota: se non vedi la rete predefinita nell'elenco, assicurati che il parametro Rows per page sia impostato su 100. Verifica inoltre che il parametro Time Range sia impostato su All time.

  1. Nella finestra Anteprima della query, fai clic su Modifica query.

  2. Ora copia e incolla la seguente query per sovrascrivere il testo della query precedente:

state="ACTIVE" AND NOT mute="MUTED"

  1. Al termine della modifica, fai clic sul pulsante Applica.

    Vengono visualizzati i risultati che avevi disattivato in precedenza.

Esamina e correggi due risultati con gravità alta.

In questa sezione, esaminerai e scoprirai come correggere due risultati con gravità alta.

  1. Nella sezione Filtri rapidi, scorri verso il basso fino al tipo Gravità e seleziona Alta dall'elenco delle opzioni di gravità.

Dovresti vedere due risultati: Porta RDP aperta e Porta SSH aperta. Sono stati avviati perché la rete "predefinita" contiene due regole firewall che abilitano il traffico SSH e RDP verso tutte le istanze di questa rete dall'intera internet.

  1. Nella finestra Risultati della query sui risultati, fai clic sul risultato Porta RDP aperta.

Viene visualizzata una nuova finestra che fornisce una descrizione dettagliata del problema stesso, un elenco delle risorse interessate e i "Passaggi successivi" che ti aiuteranno a risolverlo.

  1. Nella sezione Passaggi successivi, fai clic sul link per accedere alla pagina delle regole firewall, che si apre in una nuova scheda.

  2. Fai clic sulla regola firewall default-allow-rdp.

  3. Fai clic su Modifica.

  4. Elimina l'intervallo IP di origine 0.0.0.0/0.

  5. Aggiungi il seguente intervallo IP di origine 35.235.240.0/20 e premi Invio.

Nota: questo intervallo di indirizzi IP viene utilizzato per la connessione sicura alle istanze VM tramite Identity-Aware Proxy. Maggiori informazioni sono disponibili alla pagina Utilizzo di IAP per inoltro TCP.

Non modificare nessun altro parametro.

  1. Fai clic su Salva.

  2. Una volta salvato, chiudi la scheda del browser in cui hai modificato la regola firewall.

  3. Aggiorna la scheda del browser Risultati SCC.

    Ora dovresti vedere solo un risultato con gravità Alta: Porta SSH aperta.

Aggiorna le regole firewall per risolvere un risultato

  1. Fai clic sul risultato Porta SSH aperta.

  2. Scorri verso il basso fino alla sezione Passaggi successivi e fai clic sul link per accedere alla pagina delle regole firewall, che si apre in una nuova scheda.

  3. Fai clic sulla regola firewall default-allow-ssh.

  4. Fai clic su Modifica.

  5. Elimina l'intervallo IP di origine 0.0.0.0/0.

  6. Aggiungi il seguente intervallo IP di origine 35.235.240.0/20 e premi Invio.

    Non modificare nessun altro parametro.

  7. Fai clic su Salva.

  8. Una volta salvato, chiudi la scheda del browser in cui hai modificato la regola firewall.

Fai clic su Controlla i miei progressi per verificare di aver completato questo obiettivo. Aggiorna le regole firewall

  1. Chiudi la finestra con la descrizione del risultato aperta e aggiorna la finestra del browser.

    Ora non dovresti vedere alcun risultato con gravità Alta.

Complimenti!

Nel corso di questo lab hai imparato come esplorare gli elementi dell'interfaccia di Security Command Center, configurare le impostazioni di SCC a livello di progetto e analizzare e correggere le vulnerabilità di SCC. Hai anche utilizzato SCC per identificare e correggere le vulnerabilità critiche della sicurezza nel tuo ambiente Google Cloud.

Passaggi successivi/Scopri di più

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 26 novembre 2024

Ultimo test del lab: 29 aprile 2024

Copyright 2025 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

Questi contenuti non sono al momento disponibili

Ti invieremo una notifica via email quando sarà disponibile

Bene.

Ti contatteremo via email non appena sarà disponibile

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.